Suprema Corte de Justicia de la Nación

Sistema de Consulta de Ordenamientos

Fecha de publicación: 05/07/2010
Categoría: LEY

PROCESOS LEGISLATIVOS
EXPOSICION DE MOTIVOS
CÁMARA DE ORIGEN: DIPUTADOS
EXPOSICIÓN DE MOTIVOS
México, D.F. 6 de septiembre de 2001.
Versión Estenográfica
INICIATIVA DE DIPUTADO (GRUPO PARLAMENTARIO DEL PRD)

NOTA: ESTE PROCESO LEGISLATIVO SE INTEGRA CON 6 INICITIVAS DE DIVERSAS FECHAS.

Tiene el uso de la palabra el diputado Miguel Barbosa Huerta, del Grupo Parlamentario del Partido de la Revolución Democrática, para presentar una Iniciativa de Ley de Protección de Datos Personales.

EL C. DIP. MIGUEL BARBOSA HUERTA: Gracias, señora Presidenta. Aun cuando debiéramos reclamar el quórum, por la ausencia de la mayoría de los legisladores, resulta importante presentar esta Iniciativa ante esta Honorable Cámara de Diputados, ante los medios de información y ante los diputados asistentes.

El derecho a la privacidad, es uno de los derechos humanos esenciales que dan contenido y substancia a la dignidad humana. Nuestra cultura actual reconoce que existe un ámbito de la vida de cada persona que solamente concierne a ésta y que queda reservada para los demás. Este ámbito es la consecuencia de la individualidad, de la autonomía y de la...

(Leyó la Iniciativa, insértese)

Iniciativa de Decreto que Expide la Ley Federal de Protección de datos personales.

El que suscribe, Luis Miguel Barbosa Huerta, integrante del grupo parlamentario del Partido de la Revolución Democrática de la LVIII Legislatura, en ejercicio de la facultad que me otorga la fracción II del artículo 71 de la Constitución Política de los Estado Unidos Mexicanos, y con fundamento en lo dispuesto en los artículos 56, 62 y 63 del Reglamento para el Gobierno Interior del Congreso General de los Estado Unidos Mexicanos, presento ante la Cámara de Diputados del Congreso de la Unión iniciativa de decreto que expide la Ley Federal de Protección de Datos Personales, al tenor de la siguiente

EXPOSICION DE MOTIVOS

El derecho a la privacidad es uno de los derechos humanos esenciales que dan contenido y substancia a la dignidad humana.

Nuestra cultura actual reconoce que existe un ámbito de la vida de cada persona que solamente concierne a ésta y que queda reservado para los demás.

Este ámbito es la consecuencia de la individualidad, de la autonomía y de la libertad que se admite como propias de todo ser humano. es allí de donde se desprende el derecho de todo hombre de mantener secretas e inviolables ciertas manifestaciones de su vida. sin su expreso consentimiento nadie puede inmiscuirse dentro de este ámbito.

El derecho a la intimidad se manifiesta así, como la facultad que tiene cada persona de disponer de su esfera, reducto infranqueable de libertad individual, el cual no puede ser invadido por terceros, ya sean particulares o el propio estado. el reconocimiento y salvaguarda de este derecho presuponen, pues, las condiciones mínimas indispensables para que el ser humano pueda desarrollar su individualidad en inteligencia y libertad.

Hoy, sin embargo, el derecho a la intimidad está seriamente amenazado por la que se ha querido llamar "sociedad de la información". la globalización tanto de las redes informáticas y de comunicación hacen cada vez más frecuentes los casos de violación al derecho a la intimidad.

Los medios tradicionales de protección de la vida privada han sido absolutamente desbordados por las nuevas modalidades de injerencia que en contra de ella proporciona el actual adelanto científico y tecnológico. El empleo de nuevas tecnologías permite acumular una cantidad enorme de información que es ordenada y clasificada automáticamente y que puede ser almacenada en espacios muy reducidos. la información puede ser recogida en cualquier parte del mundo y, mediante conexiones telefónicas, quedar clasificada en el acto. en esta forma sería posible compilar una información abundante sobre cada individuo y reunir un conjunto de datos que aisladamente nada dicen y que por ello no se ocultan, pero que al ser presentados en forma sistematizada pueden constituir una seria amenaza contra la intimidad de la persona.

Hasta hace pocos años, las fronteras de la privacidad estaban defendidas por el tiempo y el espacio. el tiempo permitía, con su transcurso, que desaparecieran los recuerdos de las actividades ajenas, impidiendo, así, la configuración de una historia lineal e ininterrumpida de la persona; el espacio, con la distancia que imponía, hasta hace poco casi insuperable, hacía difícil que tuviésemos conocimiento exacto de los hechos que, protagonizados por los demás, hubieran sucedido en lugares distantes. el tiempo y el espacio operaban, así, como una salvaguarda natural de la privacidad de la persona.

Uno y otro límite han desaparecido hoy, las modernas técnicas de comunicación permiten salvar sin dificultades el espacio, y la informática posibilita almacenar todos los datos que se obtienen a través de las comunicaciones y acceder a ellos en apenas segundos, por distante que fuera el lugar donde transcurrieron los hechos. Los más diversos datos sobre la infancia, sobre la vida académica, profesional o laboral, sobre los hábitos de vida y consumo, sobre el uso del denominado dinero plástico, sobre las relaciones personales o, incluso, sobre las creencias religiosas e ideologías, por mencionar sólo algunos, podrían ser, así, compilados y obtenidos sin dificultar. ello permitiría a quien dispusiese de ellos acceder aun conocimiento cabal de actitudes, hechos o pautas de comportamiento que, sin duda, pertenecen a la esfera privada de las personas; a aquella a la que sólo deben tener acceso el individuo y, quizás, quienes le son más próximos, o aquellos a los que él autorice.

Aún más, el conocimiento ordenado de esos datos puede dibujar un determinado perfil de la persona, o configurar una determinada reputación o fama que es, en definitiva, expresión del honor; y este perfil, sin duda, puede resultar luego valorado, favorable o desfavorablemente, para las más diversas actividades públicas o privadas del individuo.

Superados tiempo y espacio como barreras naturales, se hace preciso, por tanto, instrumentar una nueva protección, ahora normativa, del derecho a la intimidad, que como garantía de todo individuo consagra el artículo 7o. de la Constitución Política de los Estados Unidos Mexicanos y reconocen además el artículo 12 de la declaración universal de derechos humanos, el artículo 17.1 del pacto internacional de derechos civiles y políticos, el artículo 16 de la convención internacional sobre los derechos del niño, artículo 9o. de la declaración americana de derechos humanos y el artículo 11.2 del pacto de San José de Costa Rica, como Ley Suprema de la Unión en términos de lo dispuesto en el artículo 133 de nuestra Carta Magna.

No olvidemos que el papel de la ciencia del derecho frente a todo avance tecnológico es el de servir como eje disciplinador del proceso y corresponde ahora regular el progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos para salvaguardar el derecho a la intimidad de las personas.

De ahí que teniendo como propósito esencial el hacer frente a los riesgos que para los derechos de la personalidad puede suponer el acopio y tratamiento de datos, la redacción de la presente iniciativa se hace girar en torno a un elemento básico, lo que convencionalmente se denominan "ficheros de datos". ya que es precisamente la existencia de estos ficheros y la utilización que de ellos podría hacerse la que justifica la necesidad de una nueva protección al derecho a la intimidad.

Al efecto, en la iniciativa que se somete a esta soberanía, se introduce el concepto de tratamiento de datos, concibiendo los ficheros desde una perspectiva dinámica; es decir, no sólo como un mero depósito de datos, sino también, y sobre todo, como una globalidad de procesos o aplicaciones informáticas que se llevan a cabo con los datos almacenados y que son susceptibles, si llegasen a conectarse entre sí, de configurar el perfil personal de un individuo.

El texto del proyecto se estructura con una parte general y otra especial. en la parte general se establecen las normas delimitadoras del ámbito de aplicación de la ley, principios reguladores del acopio, registro y uso de datos personales y, sobre todo, garantías de los titulares o afectados.

Así, el ámbito de aplicación se define por exclusión, quedando fuera de él, por ejemplo, los datos anónimos, que constituyen información de dominio público, los que se recogen como información para darla a conocer al público en general o los de uso estrictamente personal. Igualmente se considera conveniente mantener las regulaciones especiales que contienen ya suficientes normas de protección y que se refieren a ámbitos que revisten una singularidad distinta, como los ficheros electorales. y en fin, quedan también fuera del ámbito de la norma aquellos datos que, en virtud de intereses público prevalentes, no deben estar sometidos a su régimen cautelar.

Bajo los principios generales se definen también las pautas a las que deberá sujetarse la recolección de datos de carácter personal objeto de tratamiento, pautas encaminadas a garantizar tanto la veracidad de la información contenida en los datos almacenados como la congruencia y la racionalidad de la utilización de los datos. este principio de la congruencia y la racionalidad, garantizará que los datos no puedan ser usados sino cuando lo justifique la finalidad para la que han sido recabados; su observancia es, por ello, esencial para evitar la difusión incontrolada de la información.

Por su parte, el principio de consentimiento, o de autodeterminación, del mismo modo consagrado, otorga a la persona la posibilidad de determinar el nivel de protección de los datos a ella referentes. Su fundamento está constituido por la exigencia del consentimiento consciente e informado del afectado para que la recolección de datos sea lícita y ello, a su vez, se refuerza con la definición de lo que se denominan datos sensibles, que comprenden la ideología, las creencias religiosas, la raza, la salud y la vida sexual de un individuo. La protección reforzada de estos datos viene determinada porque los primeros de entre los datos mencionados sólo serán disponibles con el consentimiento expreso y por escrito del afectado, y los segundos sólo serán susceptibles de ser recopilación mediando dicho consentimiento o una autorización legal expresa, habilitación que, según exigencia del proyecto ha de fundarse en razones de interés general. Mientras que en todo caso se establece la prohibición de los ficheros creados con la exclusiva finalidad de almacenar datos personales sensibles.

Pero indudablemente que los derechos que se establecen en favor del titular o afectado constituyen los elementos medulares de la parte general y se configuran jurídicamente como derechos subjetivos encaminados a hacer operativos los principios genéricos. Son, por ejemplo, los derechos de autodeterminación, de rectificación y de cancelación los que otorgan virtualidad normativa y eficacia jurídica a los principios consagrados en la parte general, principios que, sin los derechos subjetivos aludidos, no rebasarían un contenido meramente programático.

En concreto, los derechos de impugnación de valoraciones, de consulta, de acceso, de rectificación, de cancelación, de oposición y de indemnización que se definen y delimitan en el texto, constituyen las piezas centrales del sistema cautelar que se propone en el proyecto.

Con el objeto de procurar la máxima eficacia de sus disposiciones, en la parte especial del proyecto se propone la creación del registro nacional de protección de datos, como el ente encargado de coadyuvar en el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

Y para la debida articulación de los extremos concretos que han de regir los ficheros de datos, se distinguen distintos tipos de ficheros, según sea su titularidad pública o privada y simultáneamente, se propone establecer regímenes diferenciados para los ficheros en razón de su titularidad, toda vez que, con toda evidencia, resulta más problemático el control de los de titularidad privada que el de aquellos de titularidad pública.

Otras disposiciones de la parte especial que es pertinente destacar son las que se refieren a la cesión o transmisión de los datos objeto de tratamiento. La protección de la integridad de la información personal se concilia, de esta suerte, con el libre flujo de los datos, que constituye una auténtica necesidad de la vida global actual y en cuanto a la transmisión internacional de datos se opta por exigir que el país de destino cuente en su ordenamiento con un sistema de protección suficiente para garantizar la integridad de los datos transferidos.

Mención muy especial merece la regulación de la acción de protección de datos personales o hábeas data (exhibe el dato) como una garantía de toda persona para acceder a la información y a los datos que sobre sí misma obren en registros privados u oficiales; para conocer el uso que se haga de los mismos y de su finalidad y para solicitar la rectificación o la destrucción de aquellos, si fuesen erróneos o afectaran ilegalmente sus derechos.

Finalmente, se contempla también un capítulo donde se tipifican diversas figuras delictivas, estableciendo severas sanciones, al que insertara o hiciera insertar a sabiendas datos falsos en un archivo de datos personales; al que proporcionara a un tercero a sabiendas información falsa contenida en un fichero de datos personales; al que a sabiendas e ilegalmente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; y al que revelare a otro información registrada en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de una ley.

En vista de las anteriores consideraciones y con fundamento en lo dispuesto en el artículo 71 fracción II de la Constitución Política de los Estados Unidos Mexicanos, someto a la consideración de esta soberanía la siguiente

Iniciativa de Decreto que expide la Ley Federal de Protección de Datos Personales.

Artículo único. Se expide la Ley Federal de Protección de Datos Personales, para quedar como sigue:

Capítulo I

Disposiciones generales.

Artículo 1o.

Objeto de la ley.

Para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de estos derechos fundamentales, así como el acceso a la información que sobre las mismas se recabe, esta ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados destinados a dar informes.

Las disposiciones de la presente ley también serán aplicables, en cuanto resulte pertinente, a los datos relativos a personas morales.

En ningún caso se podrán afectar la base de datos ni las fuentes de información periodísticas.

Artículo 2o.

Ámbito de aplicación de la ley.

Las disposiciones de esta ley serán de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento automatizado o no automatizado y a toda modalidad de uso posterior, sea que el tratamiento de estos datos se realice en territorio nacional o en el extranjero cuando la legislación mexicana resulte aplicable de acuerdo con normas de Derecho Internacional público.

Artículo 3o.

Excepciones al ámbito de aplicación de la ley.

Se excluye del régimen de protección de los datos de carácter personal que se establece en esta ley:

I. A ficheros manipulados por personas morales o físicas particulares en el ejercicio de actividades exclusivamente personales o domésticas.

II. A ficheros regulados por disposiciones sobre protección de materias clasificadas.

III. A ficheros establecidos para la prevención, investigación y persecución de la delincuencia y crimen organizado.

Artículo 4o.

Regulación especial.

Se regirán por las disposiciones legales específicas:

I. Los ficheros derivados de los Servicios Nacionales de Estadística y de Información Geográfica, así como los que sirvan para fines exclusivamente estadísticos.

II. Los ficheros originados por la aplicación de la legislación electoral.

III. Los derivados del Registro Civil.

Artículo 5o.

Definiciones.

Para los efectos de esta ley se entenderá por:

I. Datos de carácter personal: cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recolección, registro, tratamiento o transmisión referida a personas físicas o morales determinadas o determinables, identificadas o identificables.

II. Datos sensibles: datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

III. Datos informatizados: los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado.

Fichero, archivo, registro, base o banco de datos: indistintamente, designan al conjunto organizado de datos de carácter personal sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la forma o modalidad de su formación, almacenamiento, organización o acceso.

IV. Tratamiento de datos: operaciones y procedimientos técnicos y sistemáticos de carácter automatizado o no, electrónicos o no, que permitan la recolección, grabación, conservación, elaboración, modificación, bloqueo, cancelación, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.

V. Responsable del fichero, archivo, registro, base o banco de datos: persona física o moral, de naturaleza pública o privada, que sea titular de un archivo, registro, base o banco de datos, o tenga poder de decisión sobre la finalidad, contenido y uso del tratamiento.

VI. Encargado del fichero, archivo, registro, base o banco de datos: la persona física o moral, de naturaleza pública o privada, que sola o conjuntamente con otras, trate datos personales por cuenta del responsable del tratamiento.

VI. Titular, interesado o afectado de los datos: toda persona física o moral con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la presente ley.

VII. Usuario de datos: toda persona física o moral, de naturaleza pública o privada, que realice a su arbitrio el tratamiento de datos ya sea en ficheros, archivos, registros o bancos de datos propios o a través de conexión con los mismos.

VIII. Identificación del titular, interesado o afectado de los datos: cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, de afiliación política, religiosa, cultural o social de la persona física afectada.

IX. Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

X. Transferencia de datos: el transporte de datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional.

XI. Cesión de datos: toda obtención de datos resultante de la consulta de un fichero, la publicación de los datos contenidos en el fichero, su interconexión con otros ficheros y la comunicación o revelación de datos realizada por una persona distinta de la afectada.

XII. Disociación de datos: todo tratamiento de datos personales efectuado de manera que la información obtenida no pueda asociarse a persona determinada o determinable.

XIII. Bloqueo de datos: la identificación y reserva de datos con el fin de impedir su tratamiento.

XIV. Datos accesibles al público: los datos que se encuentran a disposición del público en general, no impedida por cualquier norma limitativa y están recogidos en medios tales como censos, anuarios, bases de datos públicos, repertorios de jurisprudencia, archivos de prensa, repertorios telefónicos o análogos, así como los datos publicados en forma de listas de personas pertenecientes a grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo.

XV. Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por, cualquier persona, no impedida por una disposición legal limitativa.

CAPITULO II

Principios fundamentales para la protección de datos personales.

Artículo 6o.

Consentimiento del titular en el tratamiento de datos.

I. El tratamiento de los datos de carácter personal requerirá el consentimiento libre, expreso, informado e inequívoco del afectado.

II. No será necesario el consentimiento del interesado cuando los datos se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; cuando los datos se obtengan exclusivamente de fuentes de acceso público; cuando los datos deriven de una relación contractual, científica o profesional del titular de los datos y resulten necesarios para su desarrollo o cumplimiento; cuando se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio, o se trate y deriven de operaciones que realicen entidades financieras y de las informaciones que reciban directamente de sus clientes.

III. El consentimiento del afectado podrá ser revocado en cualquier momento cuando existe causa fundada para ello.

Artículo 7o.

Tratamiento de datos sensibles.

I. Nadie podrá ser obligado a proporcionar datos sensibles. Cuando para recolectar estos datos se proceda a recabar el respectivo consentimiento, se advertirá al afectado acerca de su derecho a no prestarlo.

II. Sólo por razones de orden público e interés general autorizadas en la ley podrán ser recolectados y sujetos a tratamiento datos sensibles. También podrán ser tratados con finalidades estadísticas o científicas siempre que no identifiquen a sus titulares.

III. Está prohibida la formación de ficheros, archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros. Se exceptúan de esta prohibición los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

IV. Los datos relativos a antecedentes penales o los derivados de controversias judiciales o procedimientos administrativos sólo pueden ser objeto de tratamiento por parte de las autoridades competentes, con sujeción a las leyes y reglamentos respectivos.

Artículo 8o.

Condición de los datos personales sujetos a tratamiento.

I. Los datos de carácter personal que se recaben para su tratamiento deberán ser ciertos, adecuados, pertinentes y no excesivos con relación al ámbito y finalidad para los que se hubieren obtenido.

II. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades distintas e incompatibles con aquellas para las que los hubieran sido reunidos. No se considerará incompatible el tratamiento posterior de éstos con fines puramente históricos, estadísticos o científicos.

III. Está prohibido el acopio .de datos de carácter personal para su tratamiento por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley.

IV. Los datos sujetos a tratamiento serán exactos y actuales de modo que reflejen con veracidad y precisión la situación personal del afectado. Si ellos resultaren incompletos o inexactos, en todo o en parte, deberán ser suprimidos y sustituidos de inmediato, o en su caso completados, por el responsable del fichero, sin perjuicio del derecho de acción de rectificación del afectado.

V. Para su tratamiento los datos personales deberán ser recopilados de modo que permitan el ejercicio del derecho de acceso de su titular.

VI. Los datos de carácter personal serán cancelados y destruidos cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

Artículo 9o.

Derecho de información del afectado en el tratamiento de datos personales.

I. Cuando se recaben datos de carácter personal para su tratamiento, los afectados deberán ser informados en forma expresa e inequívoca de:

a) La finalidad para la que serán tratados y los destinatarios de la información;

b) La existencia del fichero y la identidad y domicilio de su responsable y encargado;

c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga;

d) De las consecuencias de la captura de los datos o de la negativa a suministrarlos;

d) De la legitimidad del titular a ejercer los derechos de acceso, rectificación, cancelación u oposición.

II. En el texto de los cuestionarios o impresos que se utilicen, se consignarán los derechos a que se refiere la fracción anterior.

III. Cuando los datos de carácter personal no hayan sido recabados directamente del titular, éste deberá ser informado por el responsable o encargado del fichero dentro de los treinta días siguientes al momento del registro de los datos.

IV. No se aplicará lo dispuesto en la fracción anterior, cuando expresamente una ley así lo disponga o cuando el tratamiento tenga una finalidad exclusivamente históricos, estadísticos o científicos; o cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten.

Artículo 10.

Datos de carácter personal relativos a la salud.

Las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo` dispuesto en la legislación de la materia, respetando los principios del secreto profesional.

Artículo 11.

Deber de confidencialidad del responsable y encargados del fichero.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular. El .responsable podrá ser relevado del deber de confidencialidad por resolución judicial o cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.

Artículo 12.°

Medidas de seguridad de los datos de carácter personal objeto de tratamiento.

I. responsable del fichero y en su caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

II. Está prohibido el tratamiento de datos de carácter personal en ficheros que no reúnan condiciones técnicas de integridad y seguridad.

Artículo 13

Terceros frente á datos de carácter personal objeto de tratamiento.

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.

El consentimiento que exige la fracción anterior no será necesario:

Cuando la cesión está expresamente autorizada en una ley.

Cuando se trate de datos obtenidos de fuentes accesibles al público.

c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica de la que sea parte el titular, cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad de la relación contractual.

d) Cuando la comunicación sea requerida por una autoridad judicial.

e) Cuando la cesión se produzca entre entidades de la Administraciones Pública Federal y tenga por objeto el tratamiento posterior de los datos con fines puramente históricos, estadísticos o científicos.

f) Si la comunicación se efectúa previo procedimiento de disociación.

g) Cuando la comunicación de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación de la materia.

III. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite no satisfaga la finalidad que motivo la autorización.

IV. Es revocable el consentimiento para la comunicación de los datos de carácter personal a un tercero.

V. El tercero cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y responderá solidaria y conjuntamente por la observancia de las mismas ante el titular de los datos de que se trate.

VI. No se considerará comunicación de datos el acceso de un tercero a la información cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento necesario al mantenimiento o funcionamiento del fichero.

VII. La realización de tratamientos por cuenta de terceros deberá regularse mediante contrato, en el que se estipulará:

a) Que el tercero encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato ni los comunicará a otras personas.

b) Que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

Que en el caso de que el tercero encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido.

Artículo 14

Transferencia internacional de datos de carácter personal objeto de tratamiento.

I. Está prohibida la transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados.

II. Los niveles adecuados de protección que ofrece el país de destino se evaluarán atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos, y en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate.

La prohibición contenida en la fracción I no se aplicará en los siguientes supuestos:

a) Colaboración judicial internacional;

b) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que México sea parte;

c) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público;

d) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica;

e) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme a la legislación de la materia;

f) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico;

g) Por el consentimiento expreso del afectado.

CAPITULO TERCERO

Prerrogativas de los de titulares

Artículo 15

Derecho de consulta al Registro Federal de Protección de Datos.

Toda persona tiene derecho a solicitar del Registro Federal de Protección de Datos información relativa a la existencia de ficheros, archivos, registros, bases o bancos de datos personales, sus finalidades y la identidad de sus responsables y encargados. El Registro será de consulta pública y gratuita.

Artículo 16

Derecho de acceso a ficheros por el .titular de los datos.

I. El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en ficheros públicos o privados destinados a proveer informes.

II. El responsable o encargado del fichero debe proporcionar la información solicitada dentro de los 20 días siguientes a la fecha de presentación de la solicitud. Vencido el plazo sin que se satisfaga la petición o si desahogado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de los datos personales prevista en esta ley.

III. En caso de fallecimiento del titular, el ejercicio de este derecho corresponderá a sus sucesores legítimos.

Artículo 17

Condición de la información que se proporcione al titular de los datos.

I. La información que solicite el titular de los datos debe ser suministrada en forma clara, exenta de codificaciones y en su caso acompañada de una explicación en lenguaje accesible al conocimiento medio de la población.

II. La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.

III. A petición del titular, la información podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen u otro idóneo a tal fin.

Artículo 18

Impugnación de valoraciones de datos personales.

I. Las decisiones judiciales o los actos administrativos que impliquen apreciación o valoración de conductas humanas, no podrán tener como único fundamento los elementos derivados del tratamiento datos personales que suministren una definición del perfil o personalidad del afectado.

II. Las resoluciones y los actos que resulten contrarios a la disposición precedente serán nulos de pleno derecho.

III. El afectado está legitimado para impugnar las resoluciones y los actos administrativos que impliquen una valoración de su comportamiento y tengan como único fundamento un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

Artículo 19

Derechos de rectificación, actualización y cancelación de datos de carácter personal.

I. El afectado tiene derecho a que sean rectificados, actualizados y, cuando corresponda, cancelados o sometidos a confidencia¡ ¡dad los datos personales de los que sea titular en un fichero.

II. El responsable o usuario del fichero debe proceder a la rectificación, supresión o actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin en el plazo máximo de 20 días naturales a la fecha de recepción de la reclamación o de advertido el error o falsedad.

III. El incumplimiento de la obligación por parte del responsable del fichero, legitimará al afectado para ejercer la acción de protección de los datos personales o de hábeas data prevista en la presente ley.

IV. En el supuesto que existiere cesión o transferencia de datos, el responsable o usuario del fichero debe notificar la rectificación o cancelación al cesionario dentro de los 10 días siguientes a efectuado el tratamiento del dato.

V. La cancelación no procede cuando cause perjuicios a derechos o intereses legítimos de terceros o cuando existiera una obligación legal de conservar los datos.

VI. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del fichero deberá o bien bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.

VII. Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.

VIII. En forma fundada, los responsables o usuarios de ficheros deberán denegar el acceso, rectificación o la cancelación de datos:

a) Cuando así lo exija el interés público, por razones de seguridad nacional, seguridad pública o para proteger derechos legítimos de terceros.

b) Cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso.

Artículo 20

Gratuidad en la rectificación, actualización y cancelación de datos de carácter personal.

La rectificación, actualización o supresión de datos personales inexactos o incompletos que obren en ficheros públicos o privados se efectuará de forma gratuita para el interesado.

Artículo 21

Derecho a indemnización.

I. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente Ley por el responsable o el encargado del tratamiento, sufran daños, perjuicios o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

II. Cuando se trate de ficheros de titularidad pública, la acción de reparación del daño se promoverá ante el juez de lo civil del orden común del domicilio del afectado, sin perjuicio de aplicar el régimen de sanciones y responsabilidades establecido en la Ley Federal de Responsabilidades de los Servidores Públicos.

III. En el caso de los ficheros de titularidad privada, la acción se ejercerá ante el juez de lo civil del orden común del domicilio del afectado.

CAPITULO IV

Del Registro Nacional de Protección de Datos.

Artículo 22

Registro Nacional de Protección de Datos

I. Se crea el Registro Nacional de Protección de Datos como un ente integrado al Instituto Nacional de Estadística, Geografía e Informática.

II. Serán objeto de inscripción en el Registro Nacional de Protección de Datos:

Los ficheros de que sean titulares las entidades de los poderes de la Unión.

Los ficheros de titularidad privada.

Las autorizaciones a que se refiere la presente ley.

Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.

Artículo 23

Funciones del Registro Nacional de Protección de Datos

I. Asistir y asesorar alas personas que lo requieran acerca de los alcances de la presente ley y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza;

II. Dictar circulares que se deben observar en el desarrollo de las actividades comprendidas por esta ley;

III. Realizar un censo de archivos, registros o bancos de datos regulados por la ley y mantener el registro permanente y actualizado de los mismos;

IV. Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos. A tal efecto podrá solicitar autorización judicial para acceder a locales, equipos o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la presente ley;

V. Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran; Capítulo V.

De los responsables, encargados y usuarios de ficheros.

Artículo 24

Registro e inscripción de ficheros

I. Todo fichero, base o banco de datos público o privado destinado a proporcionar informes debe inscribirse en el Registro Nacional de Protección de Datos.

II. El registro de archivos de datos debe comprender como mínimo la siguiente información:

Nombre y domicilio del responsable y encargado;

Características y finalidad del fichero;

Naturaleza de los datos personales contenidos en cada archivo;

Forma de recolección y actualización de datos;

Destino de los datos y personas físicas o morales a las que pueden ser transmitidos;

Modo de interrelacionar la información registrada;

Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información;

Tiempo de conservación de los datos;

i) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.

Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro.

Artículo 25

Ficheros de titularidad pública

Las disposiciones sobre creación, modificación o supresión de archivos, registros o bancos de datos pertenecientes a organismos públicos deben publicarse en el Diario Oficial de la Federación.

Las disposiciones respectivas, deben precisar:

Características y finalidad del fichero;

Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas;

Procedimiento de obtención y actualización de los datos;

Estructura básica del archivo, informatizado o no, y la descripción de la naturaleza de los datos personales que contendrán;

Las cesiones, transferencias o interconexiones previstas;

Órganos responsables del archivo, precisando dependencia jerárquica en su caso;

Las oficinas ante las que se pudiesen efectuar las reclamaciones en ejercicio de los derechos de acceso, rectificación o supresión.

Artículo 26

Supuestos especiales de ficheros

I. Quedarán sujetos al régimen de la presente ley, los datos personales que por haberse almacenado para fines administrativos, deban ser objeto de registro permanente en los bancos de datos de las fuerzas armadas, fuerzas de seguridad, organismos policiales o de inteligencia; y aquellos sobre antecedentes personales que proporcionen dichos bancos de datos a las autoridades administrativas o judiciales que los requieran en virtud de disposiciones legales.

II. El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, fuerzas de seguridad, organismos policiales o inteligencia, sin consentimiento de los afectados, queda limitado a aquellos supuestos y categoría de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquellos para la defensa nacional, la seguridad pública o para la investigación o persecución de los delitos. Los archivos, en tales casos, deberán ser específicos y establecidos al efecto, debiendo clasificarse por categorías, en función de su grado de fiabilidad.

III. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Artículo 27

Ficheros de titularidad privada

Los particulares que formen ficheros, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse en el Registro Nacional de Protección de Datos.

Artículo 28

Prestación de servicios informatizados de datos personales

I. Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas.

II. Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios o cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.

CAPITULO VI

Acción de protección de los datos personales o de hábeas data

Artículo 29

Procedencia y objeto de la acción

La acción de protección de los datos personales o de hábeas data procederá:

I. Para tomar conocimiento de los datos personales almacenados en archivos, registros o bancos de datos públicos o privados destinados a proporcionar informes, y de la finalidad de aquellos;

II. En los casos en que se presuma la falsedad, inexactitud, desactualización de la información de que se trata, o el tratamiento de datos cuyo registro se encuentra prohibido en la presente ley, para exigir su rectificación, cancelación, confidencialidad o actualización.

Artículo 30

Legitimación activa y pasiva para el ejercicio de la acción

La acción de protección de los datos personales o de hábeas data podrá ser ejercida por el afectado o sus representantes. Y procederá respecto de los responsables, usuarios y encargados de ficheros de titularidad pública o privada destinados a proveer informes.

Artículo 31

De la competencia para el ejercicio de la acción

Es competente el juez de lo civil del orden común del domicilio del actor; el del domicilio del demandado; el del lugar en el que el hecho o acto se exteriorice o pudiera tener efecto, a elección del afectado.

Artículo 32

Procedimiento aplicable

La acción de protección de los datos personales o de hábeas data se tramitará según las disposiciones de la presente ley y por el procedimiento establecido para los juicios ordinarios civiles en la legislación local aplicable.

Artículo 33

Requisitos de la demanda y medidas preventivas

I. La demanda deberá interponerse por escrito, individualizando con la mayor precisión posible el nombre y domicilio del archivo, registro o banco de datos y, en su caso, el nombre del responsable o usuario del mismo. En el caso de los archivos, registros o bancos públicos, se procurará establecer el organismo estatal del cual dependen.

II. El actor deberá exponer los motivos por las cuales entiende que en el archivo, registro o banco de datos individualizado obra información referida a su persona; los motivos por los cuales considera que la información que le atañe resulta discriminatoria, falsa o inexacta.

III. Desde la presentación de la demanda el afectado podrá solicitar que mientras dure el procedimiento, el registro o banco de datos asiente que la información cuestionada está sometida a un proceso judicial.

IV. El Juez podrá disponer el bloqueo provisional del archivo en lo referente al dato personal motivo del juicio cuando sea manifiesto el carácter discriminatorio, falso o inexacto de la información de que se trate.

Artículo 34

Disposiciones del trámite

I. Admitida la acción el juez requerirá al responsable del fichero, registro o banco de datos la remisión de la información concerniente al actor. Podrá asimismo solicitar informes sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte conducente a la resolución de la causa que estime procedente.

II. El plazo para contestar el informe no podrá ser mayor de cinco días hábiles, el que podrá ser ampliado a criterio del juez.

Artículo 35

Contestación del informe

Al contestar el informe, el responsable del fichero, registro o banco de datos deberá expresar las razones por las cuales incluyó la información cuestionada y aquellas por las que no evacuó en términos de esta ley el pedido efectuado por el afectado.

Artículo 36

Ampliación de la demanda

Contestado el informe, el actor podrá, en el término de tres días, ampliar el objeto de la demanda solicitando la cancelación, rectificación, confidencial ¡dad o actualización de sus datos personales, en los casos que resulte procedente conforme a la presente ley. De la ampliación de la demanda se dará traslado al demandado por el término de tres días.

CAPITULO VII

De los delitos

Artículo 37

Se impondrá sanción de uno a tres años de prisión:

I. Al que insertara o hiciera insertar a sabiendas datos falsos en un fichero de datos personales.

II. Al que proporcionara a un tercero a sabiendas información falsa contenida en un fichero de datos personales.

Artículo 38

Se impondrá sanción de dos a cinco años de prisión:

I. Al que a sabiendas e ilegalmente o violando sistemas de confidencial ¡dad y seguridad de datos, accediere, de cualquier forma, a un fichero de datos personales;

II. Al que revelare a otro información registrada en un fichero o banco de datos personales, cuyo secreto estuviere obligado a preservar por disposición de una ley.

ARTICULOS TRANSITORIOS

Primero. La presente ley entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.

Segundo. Se derogan todas las disposiciones legales y reglamentarias que se opongan al presente ordenamiento.

Palacio Legislativo de San Lázaro, a 6 de septiembre de 2001.- Diputado federal, Luis Miguel Barbosa Huerta.

. omito la lectura del articulado referente y entrego a esta Mesa Directiva, por conducto de su Secretaría, el texto de la iniciativa suscrita por el dicente, y material magnético para su reproducción en el Diario de los Debates, en la Gaceta y en los demás órganos de esta Cámara. Muchas gracias.

LA C. PRESIDENTA: Gracias a usted, señor diputado, y de acuerdo a su petición, insértese totalmente el contenido de la iniciativa presentada, y túrnese a la Comisión de Gobernación y Seguridad Pública.

CAMARA DE ORIGEN: DIPUTADOS
EXPOSICIÓN DE MOTIVOS
México, D.F. jueves 23 de febrero de 2006.
Gaceta Parlamentaria 1953-I
INICIATIVA DE DIPUTADO (GRUPO PARLAMENTARIO PRI)

DE LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES, A CARGO DEL DIPUTADO DAVID HERNÁNDEZ PÉREZ, DEL GRUPO PARLAMENTARIO DEL PRI

El suscrito diputado federal a la LIX Legislatura en la Cámara de Diputados del honorable Congreso de la Unión, integrante del grupo parlamentario del PRI, con fundamento en lo dispuesto por los artículos 71, fracción II, de la Constitución Política de los Estados Unidos Mexicanos; y 55, fracción II, 56 y 62 del Reglamento para el Gobierno Interior del Congreso General de los Estados Unidos Mexicanos, somete a la consideración del Pleno de la H. Cámara de Diputados, la siguiente iniciativa con proyecto de decreto por el que se crea la Ley Federal de Protección de Datos Personales, al tenor de la siguiente:

Exposición de Motivos

Primero. Diversos gobiernos alrededor del mundo y en el marco de los organismos internacionales han reconocido que la protección de datos personales es un derecho fundamental.

Sin embargo, la premisa básica detrás de la protección de los datos personales y de las regulaciones que gobiernan este derecho, debe ser la de la libertad de los individuos de controlar la forma en la que otros utilicen su información personal.

El tratamiento y utilización de los datos personales de un individuo, debe estar sujeto a reglas que aseguren que los mismos sean utilizados con fines legales y respetuosos del derecho fundamental de su protección.

El derecho de protección de datos personales fundado en el control del individuo de la forma de su utilización por terceras personas, no depende del poder informático o del empleo de las nuevas tecnologías de la información y comunicaciones. Estas son solo herramientas que pueden ser utilizadas para su procesamiento, pero que pueden también proveer medidas de protección adecuadas y positivas que permitan a los individuos ejercer su derecho a elegir quienes manejan y como deben ser manejados sus datos personales.

Segundo. La presente iniciativa no pretende como otras aproximaciones al tema, regular los datos como un objeto o bien que pueda ser sujeto a reglamentación. La iniciativa pretende regular las conductas de terceros en relación con los datos personales de los individuos, permitiendo a éstos, el derecho inalienable de decidir como proveer y controlar el acceso y uso de su información personal.

Para ello, esta iniciativa se sustenta en 9 principios básicos que se han incorporado en sus disposiciones y los cuales son, a saber.

A) De Información: La obligación de una persona física o moral de informar a los individuos de los propósitos para los que recolecta información personal; de cómo contactar a quién colecta dicha información con respecto de preguntas o quejas sobre dicha práctica; los tipos de entidades a los que se pudiera revelar dichos datos, si ello aplicare, y las opciones y medios por los que un individuo puede limitar el uso y publicación de dicha información.

B) De Elección: Principio que busca asegurar que los individuos sobre los que un tercero posea información, puedan ejercer sus derechos sobre la misma. Esto incluye el derecho de un individuo a decidir sobre el uso de su información y el derecho de decidir sobre cómo y si su información es compartida con terceros, cuando esta acción es incompatible con el propósito original de la autorización.

C) De Transferencia: Principio que garantiza la capacidad de asegurar que la información no es transmitida fuera del control del responsable, sin salvaguardar sus derechos y manteniendo el mismo nivel de protección establecido cuando se recolectó.

D) De Seguridad: Principio que asegura que las entidades que tratan los datos personales de los individuos, utilizan medidas razonables de seguridad de carácter físico, técnico y organizacional para salvaguardar la integridad de dichos datos.

E) De Integridad: Principio que incluye el derecho de los individuos a asegurar que su información, que obre en posesión de un tercero, es precisa, completa y actual, teniendo el derecho de rectificarla en caso necesario.

F) De Acceso: Principio que otorga a los individuos el derecho a conocer su información personal que obre en posesión de un tercero.

G) De Cumplimiento: Principio que busca que las personas que tratan datos personales cuenten con las estructuras necesarias para dar cumplimiento con la Ley y que exista una autoridad encargada de velar por su cumplimiento y efectiva aplicación.

H) De Conocimiento El derecho del individuo de conocer con que finalidades son recolectados sus datos personales mismos que deben ser adecuados, pertinentes y no excesivos conforme a los fines planteados y las leyes respectivas.

I) De Consentimiento: El derecho del individuo de permitir el uso de sus datos personales que obren en bases de datos de un tercero y de igual forma poder solicitar la cancelación de su información en dichas bases de datos.

Tercero. Para la elaboración de esta iniciativa se consultaron como referencia distintos documentos internacionales, regionales y nacionales, relativos a la protección de los datos personales. Sin embargo, su diseño busca como característica fundamental, respetar la libertad de decisión del individuo.

Esta iniciativa, entiende la realidad de nuestro país y busca que nuestra legislación sea compatible con las prácticas empresariales de nuestros principales socios comerciales. Hacerlo de otra forma no ayudará al importante objetivo del crecimiento y desarrollo de México, en un momento toral de nuestra historia.

La presente propuesta de Ley es resultado de dicho análisis en el que se ha incluido la opinión de distintos grupos sociales, académicos y empresariales.

Cuarto. Se han presentado anteriormente algunos proyectos para regular los datos personales, a diferencia de éstos, la presente iniciativa contiene dos características sustanciales, la primera, deja en el ámbito de los particulares (persona física o moral) la responsabilidad del tratamiento de datos personales, mismos quienes serán los que atenderán en primera instancia la solicitud de los titulares de los mismos o en su caso a su representante legal para tramitar la rectificación, actualización o cancelación de sus datos, los cuales tendrán derecho a acudir en segunda instancia al Instituto.

La segunda característica esencial del proyecto se explica en relación a la forma en que actualmente se construyen, actualizan y mantienen las bases de datos. Pensar, como lo hacían otras propuestas, en establecer un registro nacional de todas las bases de datos que diariamente se manejan en el país, así como, representaba una tarea, simplemente imposible de llevar a cabo.

Por lo anterior, la propuesta que se presenta no obliga al responsable a registrar su base de datos ni registrarse ante el instituto, lo que redunda en un dinamismo que se requiere en el tratamiento de datos personales.

Quinto. La presente iniciativa de ley consta de 42 artículos, divididos en dos Títulos; el Primero con seis capítulos y el segundo también con seis. El primer Título se refiere a los Datos Personales y el segundo de la Protección de los Datos Personales.

Título Primero de los Datos Personales

El Capítulo Primero, aborda las Disposiciones Generales, en el que se definen los principales conceptos, se establece que esta Ley es de orden público, se define quiénes son los sujetos regulados y la definición de lo que debe entenderse como datos personales.

El Capítulo Segundo, se refiere en particular al tratamiento de los datos personales y se hace una referencia puntual al aviso de privacidad, eje toral de esta propuesta, definido en los artículos 7 y 8 del Proyecto, en donde establece la responsabilidad de quien trata los datos y limita su utilización al fin para el cual fueron recabados, incorporando los conceptos de fin primario y secundario, pilares en el tratamiento de bases de datos.

Es de hacer notar que los otros proyectos presentados que pusieron el tema en la discusión nacional, pretendían establecer una regulación de protección de datos personales basada en el control de las bases de datos, por sí mismos. Sin embargo, esto resulta técnicamente imposible, en virtud del dinamismo de las propias bases de datos.

La presente iniciativa propone un sistema de protección de los datos personales contenidos en las bases de datos que gira en un autocontrol de las mismas. Por lo tanto, se establece que habrá obligación para todo aquel que maneje datos personales de hacer del conocimiento del titular de los mismos, un aviso de privacidad que debe atender los nueve principios referidos en el aparado segundo de la presente Exposición de Motivos, el cual le concede al gobernado el control de la divulgación de sus datos con lo que le otorga certidumbre.

El Capítulo Tercero, aborda el consentimiento del titular para el uso y divulgación, tanto nacional como transfronterizo de sus datos personales, haciendo especial hincapié en que en todo caso, se requerirá del consentimiento previo, tratándose de datos sensibles.

En el Capítulo Cuarto se establecen disposiciones especiales respecto del uso y divulgación de las bases de datos, considerando en todo momento respetar la voluntad del titular de los datos quien otorga su consentimiento con lo dispuesto en el aviso de privacidad. Por tanto lo dispuesto en éste, aplicará asimismo, al cesionario.

En el Capítulo Quinto se establecen las excepciones a los referidos en el párrafo anterior, que permiten agilizar el tráfico mercantil, como pudieran ser los servicios tercerizados, los prestados a controladoras y filiales, los que derivan de fusiones y adquisiciones o sean requeridos por autoridades.

En el Capítulo Sexto se establece la posibilidad al responsable de, previa notificación, incorporar un nuevo fin secundario o ampliar el anteriormente descrito, en el aviso de privacidad.

Título Segundo, de la Protección de Datos Personales

El Capítulo Primero de este título, destaca la obligación de establecer y mantener medidas de seguridad administrativas, técnicas y físicas, que permitan proteger los datos personales. Detalla también la obligación de que el responsable de definir una persona o departamento encargados de recibir y dar trámite a solicitudes, registrarlas u agilizar el flujo de información con los titulares.

El Capítulo Segundo aborda de una manera clara y objetiva cuales son los derechos de los titulares, destacando entre ellos, el derecho de acceso, corrección y cancelación de datos.

El Capítulo Tercero establece el procedimiento de acceso del titular ante el responsable.

El Capítulo Cuarto indica que las funciones de vigilancia e interpretación de esta Ley estarán a cargo del Instituto Federal de Acceso a la Información Pública Gubernamental pero acotando que esta Ley no entrará en vigor en tanto no se realicen las reformas y adiciones a su Ley, que tengan como finalidad, darle facultades con respecto de datos personales, referidos en la presente ley.

El Capítulo Quinto establece el procedimiento administrativo de protección de datos personales ante el Instituto.

Por último, el Capítulo Sexto establece las sanciones a los responsables y terceros que no cumplan con lo dispuesto en la presente Ley.

Por lo anteriormente expuesto, sometemos a la consideración de esta Soberanía el siguiente:

Proyecto de decreto por el que se crea la Ley Federal de Protección de Datos Personales.

Artículo Único.- Se crea la Ley Federal de Protección de Datos Personales, para quedar como sigue:

LEY FEDERAL DE PROTECCION DE DATOS PERSONALES

Título Primero
De los Datos Personales

Capítulo Primero
Disposiciones Generales

Artículo 1.- Esta ley es de orden público, de observancia general en toda la República y tiene por objeto proteger los datos personales de los titulares y regular su tratamiento por parte de los sujetos regulados por ésta.

Artículo 2.- Son sujetos regulados por la presente Ley, las personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales.

Artículo 3.- No son sujetos regulados por esta ley:

I. El Poder Ejecutivo Federal;
II. El Poder Legislativo Federal;

III. El Poder Judicial de la Federación;
IV. Los órganos constitucionales autónomos;

V. Los tribunales administrativos federales;

VI. Los sindicatos, las asociaciones profesionales y las demás a que se refiere la fracción XVI del artículo 123 Apartado A de la Constitución Federal;

VII. Las sociedades de información crediticia, quienes en lo relativo a la recolección, uso, divulgación y/o almacenamiento de los Datos Personales que intercambien con sus usuarios, y a las relaciones jurídicas entre éstos y aquellas, estarán reguladas por la Ley para Regular las Sociedades de información Crediticia y demás disposiciones aplicables; y

VIII. Cualquier otra institución, órgano o entidad de naturaleza pública o privada que se encuentre regulada por leyes o disposiciones específicas.

Artículo 4.- Para efectos de la Ley se entenderá por:

I. Datos Personales: La información concerniente a una persona física, identificada o identificable, entre otra, la relativa a su origen étnico o racial, o que esté referida a las características físicas, morales o emocionales, a su vida afectiva y familiar, domicilio, número telefónico, patrimonio;

II. Datos Sensibles: La información de una persona concerniente a su , ideología y opiniones políticas, creencias o convicciones religiosas o filosóficas, los estados de salud físicos o mentales, las preferencias sexuales, u otras análogas que afecten su intimidad;

III. Fin primario: Cualquier tratamiento de Datos Personales que implique o sea necesario para:

a) Efectuar, administrar, mantener o cumplir una transacción comercial o acto jurídico solicitado por el titular;

b) El cumplimiento o ejecución de un mandato, comisión u otra relación jurídica establecida con el titular;

c) La proveeduría o aprovechamiento de un bien o servicio solicitado por el titular,

d) Responder una solicitud del titular; y

e) Ofrecer al titular la venta o aprovechamiento de bienes o la prestación de servicios.

IV. Fin secundario: Cualquier tratamiento licito de Datos Personales que no constituya un fin primario.

V. Tratamiento de Datos Personales: La recolección, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

VI. Titular: La persona física a quien corresponden los datos personales.

VII. Tercero: La persona física o moral nacional o extranjera distinta del titular o responsables de los datos.

VIII. Información Pública: Son aquellos datos personales que obren en fuentes accesibles al público en general.

IX. Responsable: Personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales sujetos a la presente Ley.

X. Instituto: Autoridad responsable de la aplicación de ésta Ley.

XI. Ley: La Ley Federal de Protección de Datos Personales.

Artículo 5.- No son datos personales, para los efectos de la ley:

I. El nombre, puesto, dirección, correo electrónico o teléfonos de trabajo de un empleado, prestador de servicios o miembro de una organización, o

II. La información que una persona hace pública de forma deliberada, o permite que sea hecha pública, o que es obtenida de registros públicos u otras fuentes accesibles al público en general de conformidad con las leyes.

III. Aquellos datos que obran o que son utilizados en el ejercicio de actividades exclusivamente personales o domésticas.

CAPITULO SEGUNDO
DEL TRATAMIENTO DE DATOS PERSONALES

Artículo 6.- Las personas físicas o morales podrán recolectar y tratar datos personales siempre y cuando:

I. Cumpla con la regulación establecida en la presente Ley;
II. Así lo determine la Ley aplicable al acto que motivó la colecta; o
III. Proporcione un aviso de privacidad en términos de esta ley.

Artículo 7.- Cuando sea necesario proporcionar un aviso de privacidad, en términos del artículo anterior, éste deberá contener, al menos, la siguiente información:

I. La identidad del responsable que recolecta y/o trata los datos personales;

II. El fin primario y cualquier fin secundario para el cual se recolectan y tratan los datos personales;

III. El fin primario y cualquier fin secundario para el cual los datos personales deban o puedan ser divulgados;

IV. Las opciones y medios que el responsable ofrezca a los titulares para tener acceso a sus datos, corregirlos, modificarlos o cancelarlos, de conformidad con lo dispuesto en esta ley;

V. El responsable establezca para limitar el uso y divulgación de datos personales para fines secundarios, de conformidad con lo dispuesto en esta ley, y

VI. El procedimiento y medio por el cual el responsable notificará a los titulares de cambios sustanciales al aviso de privacidad, de conformidad con lo previsto en esta ley.

Artículo 8.- El aviso de privacidad debe hacerse disponible por cualquiera de los siguientes medios:

I. Cuando el tratamiento de datos se haga por cualquier medio electrónico, óptico o de cualquier otra tecnología, el aviso de privacidad debe estar disponible o referenciado en el momento del primer contacto con el titular de los datos, de forma clara y fehaciente.

Tratándose del tratamiento de datos vía Internet, el sitio, página o pantalla en que se efectúa el primer contacto con el titular, puede remitir a un vínculo, liga o pantalla subsecuente en la que conste el aviso de privacidad.

Asimismo, el aviso de privacidad puede presentarse en forma resumida, indicando al menos los elementos previstos en el artículo 7, fracciones I, II, III y IV, siempre y cuando se presente en forma completa en el vínculo, liga o pantalla subsecuente a la que se remita en el sitio, página o pantalla original.

II. Cuando el tratamiento de datos se realice por cualquier otro medio distinto de los establecidos en el numeral anterior, el aviso de privacidad completo debe estar disponible en el momento del primer contacto con el titular.

La posibilidad de un titular de conocer el correspondiente aviso de privacidad no debe depender exclusivamente de su acceso a Internet u otros medios electrónicos, ópticos o de cualquier otra tecnología.

Artículo 9.- Si el responsable del tratamiento de los datos personales, pretende usarlos o divulgarlos para un fin secundario, debe incluir en el aviso de privacidad:

I. La declaración clara e inequívoca de que los datos personales proporcionados podrán ser usados o revelados para un fin secundario;

II. La descripción del mecanismo bajo el cual el titular podrá manifestar su voluntad de que sus datos personales no sean utilizados para un fin secundario, y

III. La descripción de los usos que se darán a los datos personales para fines secundarios.

CAPITULO TERCERO
DEL CONSENTIMIENTO PARA EL USO Y DIVULGACIÓN DE DATOS PERSONALES

Artículo 10.- El tratamiento de datos personales estará sujeto al consentimiento del titular de conformidad con lo dispuesto en el presente capítulo.

Artículo 11.- Para efectos de la presente ley, el responsable cuenta con el consentimiento del titular:

I. Si el aviso de privacidad puesto a disposición del titular, contiene los elementos descritos en los artículos 7 y 9 en su caso de esta ley, y

II. Si el titular no ha manifestado al responsable su voluntad de que sus datos personales no sean o continúen siendo utilizados o divulgados.

Artículo 12.- Tratándose de datos sensibles, el responsable deberá obtener el consentimiento previo del titular para su uso y divulgación.

Artículo 13.- No existe la obligación de recabar el consentimiento previo del titular, en el caso de datos sensibles, cuando:

I. Exista disposición legal que así lo determine;

II. Cuando sea necesarios para atender una emergencia médica del titilar o su cesión sea necesaria para una investigación epidemiológica o de interés público;

III. Los datos personales se sometan a un procedimiento previo de disociación, y

IV. Cuando así lo exija resolución de autoridad competente.

CAPITULO CUARTO
DISPOSICIONES ESPECIALES DE USO Y DIVULGACION A TERCEROS

Artículo 14.- Todo responsable que divulgue datos personales a terceros, deberá notificar a éstos, su aviso de privacidad y en su caso, los usos determinados en el artículo 9 anterior a que el titular sujetó su divulgación.

El tercero receptor de los datos personales quedará sujeto a las mismas obligaciones que corresponden al responsable que los divulgó.

Artículo 15.- Los datos personales procedentes de un responsable no podrán ser usados por un tercero a menos que éste obtenga consentimiento expreso del titular de los mismos, salvo que se trate de:

I. Aquellos datos personales relacionados con los fines para los cuales la información fue revelada, de conformidad con lo dispuesto en el aviso de privacidad, o

II. Aquellos establecidos en el artículo 16 de esta Ley.

CAPITULO QUINTO
DE LOS USOS Y DIVULGACION PROTEGIDOS

Artículo 16.- Las restricciones previstas en el artículo precedente, no aplicarán a los siguientes casos:

I. La divulgación a terceros que presten servicios al responsable en relación con el uso de datos personales para fines primarios, o cualesquiera fines secundarios consentidos por el titular, siempre y cuando:

a) El responsable tenga celebrado un contrato que obligue al tercero a no usar o divulgar información de los datos personales, en todo cuanto no sea estrictamente necesario para cumplir los fines para los cuales los datos personales fueron revelados por su titular, así como a asegurarse de mantener la confidencialidad de la información de acuerdo con las condiciones y términos establecidos en el aviso de privacidad y;

b) El responsable permanezca como la parte encargada de la integridad y protección de los datos personales que han sido transferidos a un tercero para su tratamiento, incluyendo cualesquiera terceros fuera de la jurisdicción o territorio de los Estados Unidos Mexicanos.

II. La divulgación efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad del mismo grupo de la responsable, que opere bajo los mismos procesos y políticas internas;

III. Uso y divulgación de datos personales que se adquieran mediante la fusión, escisión o adquisición de una empresa, siempre que se respeten los fines establecidos en el aviso de privacidad;

IV. Uso y divulgación en aquellos casos en los que el responsable actúe para:

a) Proteger o defender legítimamente sus bienes o derechos; y/o

b) Prevenir un daño o peligro inminente a una o más personas.

V. Uso y divulgación en casos de requerimientos de autoridad debidamente fundado y motivado.

CAPITULO SEXTO
DEL CAMBIO DEL USO O DIVULGACIÓN

Artículo 17.- Si el responsable pretende usar o divulgar toda o parte de los datos personales para un nuevo fin secundario o para ampliar uno anteriormente descrito, deberá proceder conforme a las reglas del presente capítulo.

Artículo 18.- En caso de un cambio de uso o divulgación de datos personales recolectados previamente, el responsable:

I. Modificará su aviso de privacidad para reflejar el nuevo fin, o la ampliación del anteriormente descrito;

II. Podrá usar o divulgar datos personales obtenidos de acuerdo con un aviso de privacidad que no contenía la descripción del nuevo fin secundario, o la ampliación de uno anteriormente descrito, siempre y cuando haga público o disponible el cambio al aviso de privacidad señalando las modificaciones realizadas.

En caso de que el titular desee revocar su consentimiento para el nuevo fin secundario deberá manifestarlo al responsable a través de los mecanismos establecidos en el aviso de privacidad a que se refiere la presente ley.

TITULO II
DE LA PROTECCIÓN DE DATOS PERSONALES

CAPITULO PRIMERO
DISPOSICIONES GENERALES

Artículo 19.- Todo responsable que lleve a cabo el tratamiento de datos personales debe establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales por daño, pérdida, alteración o destrucción; o del uso, acceso o divulgación no autorizados.

Dichas medidas deben ser congruentes con la naturaleza y grado de confidencialidad de los datos personales de que se trate, el riesgo potencial para el titular de su uso o transmisión indebida, el estado de la técnica, las posibilidades económicas del responsable y el costo de su implementación.

Artículo 20.- El responsable procurará, en la medida de lo posible, que los datos personales sean correctos y consistentes para los fines para los cuales fueron recolectados.

Artículo 21.- Todo responsable deberá designar a una persona, o departamento de datos personales, en su caso, que llevará a cabo las funciones siguientes:

I. Recibir y dar trámite a las solicitudes de los titulares o, en su caso, sus representantes legales en las que éstos manifiesten su voluntad de que sus datos personales no sean utilizados para un fin secundario, o sean cancelados, corregidos o modificados de acuerdo con lo establecido en el aviso de privacidad;

II. Recibir y dar trámite, en los casos que legalmente proceda, a las solicitudes de acceso a la información hechas por el Instituto a petición del titular o, en su caso, su representante legal;

III. Llevar un registro de las solicitudes en las que los titulares expresen su voluntad de que sus datos personales no sean utilizados para fines secundarios o sean cancelados, y

IV. Las demás necesarias para garantizar y agilizar el flujo de información entre el responsable y el titular

CAPITULO SEGUNDO
DE LOS DERECHOS DE LOS TITULARES

Artículo 22.- Todo responsable que lleve a cabo el tratamiento de datos personales, deberá permitir el acceso a los titulares que así lo soliciten, a sus datos personales que obran en su poder, a efecto de que éstos puedan ejercer su derecho a corregir, completar o modificar dicha información, si ésta fuera incompleta o inexacta y a cancelarla.

Artículo 23.- El responsable no está obligado a proporcionar información, si:

I. La persona que solicita el acceso no demuestra que es la persona titular de los datos personales o su representante legal;

II. De acuerdo con la ley, la revelación de información podría violar derechos de terceros, o resultaría en la revelación de información que forma parte de un secreto industrial o comercial, bancario o de otra información secreta o protegida por otras leyes aplicables;

III. Que dicha información podría afectar el curso de un litigio o procedimiento judicial en el que el responsable o el titular son partes o tienen interés jurídico y

IV. La divulgación de la información fuera ilícita.

Artículo 24.- En los casos en que alguna de las excepciones antes listadas aplicara únicamente a una porción de los datos personales tratados por el responsable, éste proporcionará acceso al resto de la información de los datos personales que no estuviere protegida por alguna de las excepciones mencionadas.

Artículo 25.- El responsable no estará obligado a corregir o modificar los datos personales, si:

I. El titular no proporciona los datos personales de que se trate; o

II. Si la corrección o modificación solicitada no es consistente con las leyes de la materia que regulen la información de que se trate.

Artículo 26.- El titular tendrá derecho a solicitar al responsable la cancelación de sus datos personales en cualquier momento.

El responsable no estará obligado a cancelar los datos personales cuando:

I. Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento;

II. Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto o por otra persona con un deber equivalente al del secreto.

III. Deban ser tratados por disposición legal;

IV. Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas;

V. Sean necesarios para proteger los intereses jurídicamente tutelados del titular;

VI. Sean necesarios para realizar una acción en función del interés público; y

VII. Sean necesarios para cumplir con una obligación legalmente adquirida por el titular.

Artículo 27.- De conformidad con lo dispuesto en el Artículo 22 de esta Ley, el titular tendrá derecho a solicitar información sobre sus Datos Personales que obren en poder del responsable.

Artículo 28.- El responsable debe responder a la solicitud del titular, y hacer los cambios o cancelaciones pertinentes, si éstos procedieran, dentro de los veinte días hábiles siguientes a la fecha de recepción de la solicitud por parte del responsable.

CAPITULO TERCERO
DEL PROCEDIMIENTO DE ACCESO ANTE EL RESPONSABLE

Artículo 29.- El titular o su representante legal podrán presentar, ante la persona o departamento de datos personales del responsable, la solicitud de acceso a sus datos en términos del capítulo anterior mediante escrito libre en un documento físico o electrónico que deberá contener, por lo menos:

I. El nombre del titular y domicilio u otro medio para recibir notificaciones, como el correo electrónico, así como los datos generales de su representante, en su caso,

II. La descripción clara y precisa de los datos cuya modificación, corrección o cancelación solicita, y

III. Cualquier otro dato que permita su localización, con objeto de facilitar su búsqueda.

Artículo 30.- La persona o departamento de datos personales será el vínculo entre el responsable y el titular o su representante legal.

La forma en la que se otorgue el acceso a la información podrá ser verbal siempre y cuando sea para fines de orientación, mediante consulta directa, copias simples, medios de comunicación electrónica o cualquier otro tipo de medio que determine el responsable.

Si los detalles proporcionados por el titular o su representante legal no bastan para localizar los documentos o son erróneos, la persona o departamento de datos personales podrá requerir dentro de los diez días hábiles siguientes a la presentación de la solicitud, que indique otros elementos o corrija los mismos. Este requerimiento interrumpirá el plazo establecido en el Artículo 32.

Si la solicitud es presentada ante una oficina o departamento distinto a la persona o departamento de datos personales, aquél tendrá la obligación de indicar al particular la ubicación física o dirección electrónica de la persona o departamento de datos personales.

Artículo 31.- La obligación de acceso a la información se dará por cumplida cuando se pongan a disposición del solicitante los datos personales; o bien, mediante la expedición de copias simples, documentos electrónicos o cualquier medio que determine el responsable.

En el caso que la información solicitada ya esté disponible al público en medios impresos, tales como libros, compendios, trípticos, archivos públicos, en formatos electrónicos disponibles en Internet o en cualquier otro medio, se le hará saberla solicitante por escrito o por medios electrónicos la fuente, el lugar y la forma en que puede consultar, reproducir o adquirir dicha información.

Artículo 32.- La respuesta a la solicitud deberá ser notificada por el responsable al titular o su representante legal en el domicilio o dirección electrónica señalados por éste, en un plazo máximo de veinte días hábiles, contados a partir de la recepción de la solicitud por parte del responsable. En dicha respuesta se precisará en su caso, la forma en que será entregada la información.

Excepcionalmente, este plazo podrá ampliarse hasta por un periodo igual cuando existan razones que lo motiven, siempre y cuando éstas se le notifiquen al solicitante.

La información deberá entregarse a más tardar a los diez días hábiles siguientes al que la persona o departamento de datos personales le haya notificado al solicitante la disponibilidad de aquélla.

CAPITULO CUARTO
DEL INSTITUTO

Artículo 33.- Las funciones de vigilancia e interpretación de esta Ley estarán a cargo del Instituto Federal de Acceso a la Información Pública.

CAPITULO QUINTO
DEL PROCESO ANTE EL INSTITUTO

Artículo 34.- El solicitante podrá iniciar dentro de los diez días hábiles siguientes a la fecha de recepción de la respuesta del responsable, el procedimiento administrativo de protección de datos personales ante el Instituto, cuando se presente alguno de los siguientes casos:

I. El responsable niegue el acceso a la información, o alegue la inexistencia de los datos solicitados,

II. El responsable no entregue en tiempo y forma al solicitante los datos personales solicitados, o lo haga en un formato incomprensible;

III. El responsable se niegue, sin causa justificada, a efectuar la cancelación, modificación o corrección de los datos personales;

IV. El solicitante considere fundadamente que la información entregada es incompleta o no corresponda a la información requerida en la solicitud.

Artículo 35.- El escrito inicial del procedimiento administrativo de protección de datos personales deberá contener, por lo menos:

Datos del responsable ante el cual presentó su solicitud;

I. El nombre del solicitante y domicilio u otro medio para recibir notificaciones, como el correo electrónico, así como los datos generales de su representante legal, en su caso;

II. La fecha en que se le notificó o tuvo conocimiento de la respuesta contra la que está inconforme y, en su caso, de la notificación correspondiente, y

III. Los demás elementos que considere procedentes someter al criterio del Instituto.

Artículo 36.- El Instituto sustanciará el procedimiento administrativo de protección de datos personales conforme a los lineamientos siguientes:

I. Presentado el escrito inicial, el Presidente del Instituto, lo turnará al Comisionado ponente y otorgará vista al responsable mediante notificación personal para que éste alegue lo que a su derecho convenga, en un plazo no mayor a 15 días hábiles a partir de la recepción de dicha notificación.;

II. El Comisionado ponente deberá, dentro de los treinta días hábiles siguientes a la presentación del escrito inicial, integrar el expediente y presentar un proyecto de resolución al Pleno del Instituto;

III. El Pleno del Instituto podrá determinar la celebración de audiencias entre las partes;

IV. El instituto podrá recibir, por vía electrónica, las promociones y escritos tanto de los solicitantes como de los responsables;

V. El Pleno del Instituto deberá emitir una resolución definitiva, dentro de los veinte días hábiles siguientes en que se presentó el proyecto de resolución, y

VI. Las resoluciones del Pleno serán públicas.

Cuando haya causa justificada, el Pleno del Instituto podrá ampliar, por una vez y hasta por un periodo igual, los plazos establecidos en las fracciones I y V de este Artículo.

Artículo 37.- Las resoluciones del Instituto podrán:

I. Desechar el procedimiento por improcedente o bien, sobreseerlo;
II. Confirmar la respuesta del responsable; o
III. Revocar o solicitar se modifique la respuesta del responsable.

Las resoluciones, deberán ser notificadas personalmente a las partes, y éstas establecerán los plazos para su cumplimiento y los procedimientos para asegurar la ejecución.

Si el Instituto no resuelve en el plazo establecido en esta Ley, la respuesta del responsable contra la cual se inconformó el titular se entenderá confirmada.

Artículo 38.- El procedimiento administrativo de protección de datos personales será improcedente cuando:

I. Sea presentado, una vez transcurrido el plazo señalado en el artículo 34;

II. El Instituto haya conocido anteriormente del procedimiento respectivo y haya resuelto en definitiva;

III. Se inconforme con una respuesta emitida por un tercero distinto al responsable, y

IV. Ante los tribunales del Poder Judicial Federal este pendiente de resolución algún recurso o medio de defensa interpuesto por el titular sobre la misma causa.

Artículo 39.- El procedimiento administrativo de protección de datos personales será sobreseído cuando:

I. El titular desista expresamente al procedimiento;

II. El titular fallezca;

III. Cuando admitido el escrito inicial y comenzado el procedimiento de datos personales, aparezca alguna causal de improcedencia en los términos de la presente ley, y

IV. El responsable de la respuesta contra la cual se inconforma el titular, la modifica o revoca, de tal manera que el procedimiento de revisión de datos personales quede sin efecto o materia.

Artículo 40.- Las resoluciones del Instituto podrán ser impugnadas por los titulares ante el Poder Judicial de la Federación.

CAPITULO VII
DE LAS SANCIONES

Artículo 41.- Son infracciones a esta Ley:

I. El tratamiento de datos personales en contravención con lo señalado en la presente ley;

II. Omitir en el aviso de privacidad alguno de los elementos a que se refieren los artículos 7 y 9, en su caso, de la presente ley;

III. Divulgar datos a terceros sin comunicar a éstos las limitaciones a que el titular sujetó la divulgación;

IV. El uso de datos personales hecho por terceros sin contar con el consentimiento expreso del titular salvo en los casos señalados por los artículos 15 y 16 de la presente ley;

V. Cambiar sustancialmente el uso o divulgación de los datos personales sin llevar a cabo las medidas señaladas en el artículo 18 de la presente ley,

VI. El uso o divulgación de datos sensibles para fines secundarios en contravención con lo establecido en los Artículos 12 y 13 de ésta ley;

VI. La falta de respuesta a una solicitud de acceso, en el plazo señalado en el Artículo 32, y

VII. Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente ley.

Artículo 42.- En los supuestos descritos en las fracciones III, IV, VII y VIII del artículo 41, el Instituto aplicará al infractor, dependiendo de las circunstancias del caso, del daño causado y de las condiciones del propio infractor, un apercibimiento o multa hasta por el equivalente de 100 a 500 días de salario mínimo general diario vigente en el Distrito Federal al momento de la comisión de la infracción.

En los supuestos previstos en las fracciones I, II, V, y VI del artículo 41, el Instituto aplicará al infractor, dependiendo de las circunstancias del caso, del daño causado y de las condiciones del propio infractor, la sanción de apercibimiento o multa hasta por el equivalente de 500 a 1000 días de salario mínimo general vigente en el Distrito Federal al momento de la comisión de la infracción.

Transitorios

Artículo Primero. La presente Ley no entrará en vigor en tanto no se realicen las reformas y adiciones correspondientes a la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, con la finalidad de darle facultades al Instituto conferidas en esta Ley con respecto de los datos personales.

Artículo Segundo. La presente Ley entrará en vigor 180 días naturales posteriores a las reformas y adiciones que se realicen en la Ley Federal de Transparencia y Acceso a la Información Publica Gubernamental.

Artículo Tercero. El poder Ejecutivo Federal, proveerá lo conducente para que se otorgue al Instituto Federal de Transparencia y Acceso a la Información Publica Gubernamental o su sucesor, el presupuesto y recursos necesarios para el ejercicio de su función.

Palacio Legislativo de San Lázaro, a 23 de febrero de 2006.

Dip. David Hernández Pérez (rúbrica)

CÁMARA DE ORIGEN: DIPUTADOS
EXPOSICIÓN DE MOTIVOS
México, D.F. miércoles 22 de marzo de 2006.
Gaceta Parlamentaria 1972-I
INICIATIVA DE DIPUTADO (GRUPO PARLAMENTARIO PAN)

DE LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES, A CARGO DE LA DIPUTADA SHEYLA FABIOLA ARAGÓN CORTÉS, DEL GRUPO PARLAMENTARIO DEL PAN

La que suscribe, Sheyla Fabiola Aragón Cortés, diputada del estado de México por la quinta circunscripción de la LIX Legislatura del H. Congreso de la Unión, integrante del grupo parlamentario del Partido Acción Nacional, con fundamento en lo dispuesto en los artículos 71, fracción II, de la Constitución Política de los Estados Unidos Mexicanos; y 55, fracción II, 56 y 62 del Reglamento para el Gobierno Interior del Congreso General de los Estados Unidos Mexicanos, somete a la consideración del Pleno de la Cámara de Diputados la presente iniciativa con proyecto de decreto, por el que se expide la Ley Federal de Protección de Datos Personales, conforme a la siguiente

Exposición de Motivos

En los últimos años, hemos visto el incremento de la tendencia de la regulación de la protección de la privacidad de la información. No es un hecho extraño, dado que la privacidad de los individuos es desde luego un derecho humano fundamental de la mayor importancia. No es posible concebir un estado de bienestar personal y, en consecuencia, de bien común en la sociedad en general sin la protección y salvaguarda adecuada de los derechos fundamentales del ser humano.

La privacidad de las personas abarca, naturalmente, la de la información que las identifica, o que versa sobre sus características o preferencias. En términos generales, estos datos son los que suelen llamarse "personales", pues por su propia definición y naturaleza corresponden e identifican a su titular.

En el contexto de un mundo globalizado, y sobre todo tecnificado y con gran desarrollo de instrumentos y mecanismos de procesamiento de datos de toda índole, la protección de la privacidad de los datos personales se ha convertido en un tema prioritario, de inmediata e inevitable atención.

El tema adquiere particular relevancia no sólo porque los datos personales de sus diversos titulares circulan indiscriminadamente sino porque en ocasiones, desafortunadamente, dichos datos pueden ser conocidos y utilizados por personas con fines ilícitos, para la comisión de delitos, o simplemente de formas no autorizadas, que eventualmente causan molestia o perjuicios diversos a sus titulares.

Por otra parte, hoy nos enfrentamos a la realidad ineludible de que los datos personales existen y son necesarios para una infinidad de operaciones comerciales o de muy diversas índoles en beneficio de sus titulares y, en general, del comercio y la economía nacional. Es decir, no es dable pensar que las múltiples relaciones que se plantean entre las personas, incluso entre una jurisdicción y otra, puedan llevarse a cabo sin diversos grados de manifestación y uso de datos personales.

En el ámbito de gobierno, por ejemplo, nuestro sistema jurídico ha dado pasos importantísimos para la protección de los datos personales que detentan las entidades gubernamentales. Así tenemos, por citar el cuerpo legal de mayor trascendencia en la materia, la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, que incluyó en su articulado disposiciones expresas de protección de datos personales conocidos y manejados por las entidades sujetas a su observancia.

La tarea está pendiente respecto de los datos personales que son detentados y usados o aprovechados por entidades del sector privado; esto es, por particulares. Aunque no de forma exclusiva, en este campo nos encontramos de forma preponderante con la tenencia, desarrollo, operación y uso de bases de datos para fines comerciales, publicitarios, o de relaciones de trabajo, entre otros supuestos.

A nivel internacional, la legislación en la materia es un tema extraordinariamente discutido e, incluso, de relativa antigüedad. Los primeros trabajos de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) -sin duda, la institución con mayor experiencia y autoridad en la materia, y de la que México forma parte- datan de 1969, con la formación del Grupo de Expertos sobre Bancos de Datos (Data Bank Panel), que analizó y estudió diferentes aspecto de la privacidad.

El primer gran consenso internacional en materia de protección de datos personales se dio en el Simposio de Viena, en 1977, organizado a instancias del Grupo de Expertos sobre Bancos de Datos de la OCDE. El Simposio de Viena recogió un conjunto de principios básicos que, en términos generales, han permanecido y continúan vigentes hasta la fecha, con ligeras variantes.

Estos principios reconocen (a) la necesidad de que la información fluya de forma regulada entre los países; (b) que es legítimo que los países impongan regulaciones para el flujo de información que pueda resultar contraria al orden público, o que atente contra la seguridad nacional; (c) que el flujo de información tiene un valor económico intrínseco importante para las economías de los países; (d) que los países deben adoptar medidas de seguridad mínimas para la protección de la información, así como regular sobre la protección de dicha información, para evitar su uso o aprovechamiento ilegítimos; y (e) que los países (particularmente los países miembros de la OCDE, desde luego) deben asumir un compromiso de adopción de principios generales para la protección de datos personales.

En 1978, la OCDE creó un nuevo grupo internacional ad hoc en relación con la protección de datos personales, que se denominó Grupo de Expertos sobre Barreras Transfronterizas de Información y Protección de Privacidad, que fue encomendado para desarrollar lineamientos de consenso general en relación con el flujo transfronterizo de datos, y la protección de datos personales y privacidad, con la finalidad de armonizar las legislaciones domésticas o nacionales de los países (particularmente, desde luego, las de los países miembros de la OCDE, como el caso de México).

Con el fin de hallar un consenso internacional en la materia, los trabajos de la OCDE se hicieron acompañar del Consejo de Europa y la entonces Comunidad Económica Europea, y terminaron el 1 de julio de 1979. En términos generales, ambas instituciones hallaron cuestionamientos y preocupaciones similares de los países miembros de la OCDE y de la comunidad europea.

Ciertamente, la óptica del tratamiento del tema entre los países miembros de la OCDE y la organización europea en su conjunto -pues ciertamente hay países europeos que son miembros de la OCDE- tuvo cierto grado de diferencia. En el tiempo, no obstante, los enfoques divergentes fueron confluyendo inexorablemente en la necesidad de asegurar la protección de la privacidad de los datos personales, como un aspecto de derechos humanos fundamentales y libertades individuales.

En este sentido, documentos relativamente recientes como la Directiva de la Unión Europea conocida como la de "Protección de Datos", del 25 de octubre de 1998, y/o la Directiva conocida como de "Privacidad y Comunicaciones Electrónicas" (Procesamiento de Datos Personales y de Protección de la Privacidad en el Sector de Comunicaciones Electrónicas), del 12 de julio de 2002, con sus diversos antecedentes, establecen que su promulgación responde a la necesidad de que los países miembros (en este caso, de la Unión Europea) "aseguren los derechos y las libertades de los individuos en relación con el procesamiento de datos personales, y en particular con relación a su privacidad, para preservar el flujo de datos personales".

Los resultados de los trabajos de la OCDE condujeron, finalmente, a la promulgación de los Lineamientos sobre la Protección de la Privacidad y el Flujo Transfronterizo de Datos Personales, de 1980 (OECD, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, los Lineamientos de la OCDE).

En términos generales, los Lineamientos de la OCDE se componen de los siguientes elementos:

a) Un preámbulo de recomendaciones, que expresa la necesidad elemental de realizar acciones de protección en la materia. La recomendación, particularmente dirigida a los países miembros de la organización -como en este caso lo es México-, hace énfasis en que el enfoque de la legislación debe orientarse hacia la protección de la privacidad y las libertades individuales, y al respeto al flujo transfronterizo de datos personales.

b) Los Lineamientos propiamente dichos consisten de cinco partes. La primera parte contiene un conjunto de definiciones básicas que buscan reflejar el consenso sobre conceptos básicos de la legislación en la materia. En esta parte, los Lineamientos indican que los estándares contenidos en ellos son mínimos, y que cada país en su propia legislación, puede ampliarlos para extender sus prerrogativas.

c) Una segunda sección de los Lineamientos delinea ocho principios básicos, de los párrafos 7 a 14.

Estos principios son

1. "Collection Limitation Principle", o Principio de Límites de la Recolección. Deben existir limitaciones para la recolección de datos personales, y en todo caso deben ser obtenidos haciendo uso de medios lícitos y, en determinados casos, con el conocimiento y consentimiento de los titulares.

2. "Data Quality Principle", o Principio de la Calidad de los Datos. Los datos personales deben ser relevantes para el propósito para el cual se usan y, en la medida de lo posible respecto de dichos propósitos, deben ser adecuados, completos y actuales.

3. "Purpose Specification Principle", o Principio de Especificación de Propósito. Los propósitos para los cuales se recolectan datos personales debe ser especificado al momento de su obtención, y el uso subsecuente de ellos debe limitarse al cumplimiento de tales propósitos u otros que no sean incompatibles con éstos, y que sean especificados en cada ocasión en que varíen los propósitos iniciales.

4. "Use Limitation Principle", o Principio de Limitación de Uso. Los datos personales no deben ser divulgados o puesto a disposición de terceros para usos diferentes a los declarados por quien los obtuvo, excepto (i) si se cuenta con el consentimiento del titular, o (ii) así lo requiere o autoriza la ley.

5. "Security Safeguards Principle", o Principio de Salvaguardas de Seguridad. Los datos personales deben ser protegidos mediante salvaguardas de seguridad razonables, contra riesgos de pérdida o de acceso, destrucción, uso, modificación o divulgación no autorizados.

6. "Openness Principle" o Principio de Amplitud. Debe existir una política pública abierta respecto al desarrollo, prácticas y políticas prevalecientes en relación con la recolección y uso de los datos personales. Al mismo tiempo, deben existir medios para determinar la existencia y naturaleza de los datos personales, así como los propósitos principales de ellos, y poderse conocer la identidad y domicilio de las personas que se consideren como sujetos responsables por el uso o manejo de datos personales.

7. "Individual Participation Principle" o Principio de Participación Individual. Todo individuo debe tener derecho (i) a obtener información de los sujetos obligados, o la confirmación de que un determinado sujeto obligado no tiene información sobre el individuo solicitante; (ii) a que se le indique en un tiempo y a costo razonables, en una forma adecuada, la información que se mantenga de él; (iii) a que se le informe y se le hagan saber las razones de cualquier negativa a contestar un requerimiento de información, así como a solicitar que se elimine, rectifique, complete o modifique información que se tenga de él.

8. "Accountability Principle" o Principio de Responsabilidad. Todo sujeto obligado en la ley debe ser responsable de cumplir con las medidas que se adopten para hacer eficientes los principios antes mencionados.

d) La tercera sección de los Lineamientos establece una serie de principios innominados en relación con la aplicación internacional de los Lineamientos y cualesquiera legislaciones domésticas en la materia.

En términos generales, exhorta a los países miembros a mantener legislaciones nacionales similares y acordes con los principios, para facilitar la ejecución de las disposiciones de protección de datos personales en cualquier jurisdicción.

El enfoque básico de los principios de cooperación internacional se concentra en la permisión y protección del flujo transfronterizo de datos, y del establecimiento únicamente de restricciones legítimas, para preservar el ambiente de comercio global entre los países.

Estos principios son

1. Los países miembros de la OCDE deben tomar en cuenta las implicaciones de otros países en relación con sus medidas de procesamiento y flujo de datos personales.

2. Los países miembros deben adoptar todas las medidas razonables para asegurar que los flujos transfronterizos de datos, particularmente respecto de los otros países miembros de la organización, sean ininterrumpidos y seguros.

3. Los países miembros no deben crear barreras o restricciones de flujo transfronterizo de datos personales, incluyendo barreras o restricciones internas, es decir entre sus propias fronteras de su división interna. En todo caso, los países pueden imponer restricciones en ciertas categorías de datos personales para los cuales sus propias legislaciones locales contengan regulaciones especiales, debido a la naturaleza de la información.

4. Los países miembros no deben desarrollar leyes, políticas o prácticas en nombre de la protección de la privacidad o de las libertades individuales, que en realidad constituyan obstáculos para el comercio interno o internacional, o para el flujo transfronterizo de datos personales.

e) La cuarta sección establece, en términos generales, la importancia de establecer medios que implementen los principios básicos mencionados en las secciones anteriores, y que estos medios sean utilizados de manera amplia y no discriminatoria.

Específicamente, a este respecto los Lineamientos exhortan a los países miembros de la OCDE a

1. Adoptar legislación nacional acorde con los Lineamientos de la OCDE;

2. Promover y apoyar los mecanismos de autorregulación, así como el establecimiento de códigos de conducta por parte del sector privado;

3. Proveer los medios razonables para que los individuos ejerzan sus derechos;

4. Proveer sanciones adecuadas y razonables para los sujetos obligados que no observen la ley; y

5. Asegurar que la ley se aplica de forma no discriminatoria.

f) Por último, la quinta sección enfatiza nuevamente la importancia de la cooperación internacional, y establece la obligación creada, particularmente respecto de los países miembros de la organización, a compartir información y proveerse asistencia mutua en investigaciones u otros órdenes en los cuales la cooperación es necesaria para hacer cumplir la ley en varias jurisdicciones.

A los Lineamientos de la OCDE de 1980 siguieron, tiempo después pero no con menor importancia, los trabajos del área para la Cooperación Económica de Asia-Pacífico (APEC), de la cual México es parte.

Los trabajos en materia de privacidad de APEC son también muy amplios, y resultaron en la creación del Marco de Privacidad de APEC (APEC Privacy Framework). El origen y su fundamento son, naturalmente, similares a los que dieron lugar a los Lineamientos de la OCDE. No obstante, el Marco de Privacidad de APEC, por su propio tiempo (posterior a los encuentros ministeriales de 1998), contiene referencias actuales de sustancial importancia.

El Marco de Privacidad de APEC no deja de reconocer la relevancia del tema como un aspecto de protección de derechos humanos y libertades fundamentales, pero enfatiza, al mismo tiempo, que la falta de una legislación adecuada en la materia, atrae la desconfianza de los consumidores y los usuarios de comunicaciones, y de otras tecnologías de la información, lo cual finalmente entorpece el comercio y afecta la economía de las naciones.

En ese sentido, el enfoque del Marco de Privacidad de APEC es interesantísimo para la preservación del bien común de las sociedades, pues se dirige al contenido económico de la legislación, y el impacto que ésta tiene sobre el bienestar de las familias, al permitir una economía más sana y dinámica, que efectivamente contribuya a que el mayor número de bienes y servicios llegue al mayor número de personas posible.

El entorpecimiento del comercio, particularmente el comercio detonado por el dinamismo de las tecnologías de información actuales, es un lujo que México no se puede permitir. Las tecnologías actuales presentan un gran potencial para los beneficios personales y de negocios en los países, para sus gobiernos, así como para la expansión de mercados, la productividad, la educación, la salud pública o la innovación tecnológica y científica, por citar sólo algunos ejemplos.

De hecho, hoy por hoy, la penetración, el desarrollo y el aprovechamiento de la tecnología es uno de los factores principales que separa a los países desarrollados de los no desarrollados, y de los países que experimentan crecimiento económico y bienestar, de aquéllos que se han rezagado en el panorama internacional.

En este contexto, el Marco de Privacidad de APEC advierte sobre los riesgos de una legislación laxa en materia de privacidad en relación con la economía de un país: en la medida en que la recolección y manejo de datos personales es cada vez más fácil e indispensable para el crecimiento económico, los individuos comienzan a ser más recelosos para compartir su información, y pueden experimentar desconfianza sobre el uso que tendrá su información por parte de las entidades privadas que la recolectan.

Así las cosas, es indispensable crear una legislación que recoja efectivamente los principios contenidos en el Marco de Privacidad de APEC, que provea a nuestras disposiciones legales con la visión vanguardista propuesta por APEC.

Específicamente, el Marco de Privacidad de APEC establece que "su enfoque distintivo es concentrar su atención en la protección práctica de la información... y que al hacerlo así, encuentra un equilibrio entre la privacidad de la información y las necesidades de los negocios comerciales, al mismo tiempo que reconoce la diversidad cultural y de otras naturalezas que existen entre las economías de los países miembros".

Las premisas básicas sobre las que se funda el Marco de Privacidad de APEC son las siguientes:

1. Es necesario desarrollar protecciones de privacidad de información personal, particularmente para prevenir y sancionar las consecuencias dañosas de intrusiones ilícitas y el uso no autorizado de información;

2. Se debe reconocer el principio de libre flujo de información, como un elemento esencial de protección al comercio y al desarrollo de las economías nacionales de los países miembros, para sostener su crecimiento económico y social;

3. Se debe facilitar a los sujetos obligados que la recolección, uso y procesamiento de información personal se practiquen con arreglo a las prácticas internacionales en el contexto de la globalización;

4. Se debe fortalecer a las instituciones nacionales para que efectivamente puedan ver por la protección de privacidad de la información; y

5. Es necesario participar y avanzar en la creación de mecanismos internacionales para promover y reforzar la privacidad de la información, al tiempo de preservar la continuidad del flujo de información entre las economías de los países.

En gran medida, el Marco de Privacidad de APEC ha sido el instrumento internacional de mayor importancia, que sienta el paradigma de modelo de legislación sobre privacidad en muchos sentidos.

Esto es así porque de la mano con los Lineamientos de la OCDE, el Marco de Privacidad de APEC vino a enunciar los principios de contenido legislativo que, a la fecha, orientan las principales cuerpos normativos del mundo en la materia (particularmente, aunque no de forma exclusiva, de la mayoría de los países miembros de la OCDE y APEC).

Estos principios son

1. "Preventing Harm", o de prevención de daño. Debe reconocerse el interés del individuo a sus expectativas legítimas de privacidad, por lo que la legislación debe prevenir y sancionar el uso ilegítimo de la información.

2. "Notice", o de obligación de dar aviso. Los sujetos obligados por la legislación deben dar aviso en términos claros y entendibles a los titulares de la información, respecto de las prácticas de privacidad de los que gozará la información que compartan. Esto incluye

i) La mención de que se recaban datos personales;

ii) La descripción de para qué se recolecta la información, con qué propósitos o fines;

iii) Los tipos de personas u organizaciones a quienes podría compartirse la información;

iv) La identidad y domicilio de la persona que recolecta la información, incluyendo la posibilidad de que dicho sujeto obligado sea contactado para realizar consultas sobre sus prácticas y políticas de privacidad; y

v) Las opciones que se ofrezcan al titular respecto del uso o divulgación de la información que proporcione.

3. "Collection Limitation" o de limitación a la recolección de información personal. La recolección de datos personales debe limitarse al alcance que sea relevante para los propósitos por los cuales se recaba la información.

En todo caso, la información debe obtenerse por medios lícitos y, cuando así lo requiera la ley, con conocimiento o consentimiento de sus titulares.

4. "Uses of Personal Information", o de usos de la información o datos personales. La información o datos personales que se recaben de sus titulares, debe ser usada de acuerdo con los propósitos que motivaron su recolección, o con propósitos compatibles, excepto en aquellos casos en que

i) Se cuente con el consentimiento del titular para fines diferentes;

ii) El uso es necesario para proporcionar un servicio al titular, de acuerdo con relaciones previas entre el receptor y el titular; o

iii) Cuando así lo requiera la ley.

5. "Choice" o de presentación de opciones. Los titulares deben recibir opciones claras y entendibles respecto del alcance que puede darse en el uso de sus datos, para fines distintos de aquellos por los cuales se recaba la información. Estas opciones o restricciones no deben existir cuando la información se recabe de fuentes de acceso público.

6. "Integrity of Personal Information" o de preservación de la integridad de datos personales. La información personal que se mantenga de los individuos por parte de los sujetos obligados, debe ser adecuada, completa y actual, de acuerdo con los propósitos para los cuales se recaba.

7. "Security Safeguards", o de salvaguardas de seguridad. Los sujetos obligados en el contexto de la ley, que mantengan registros de datos personales, deben manejarlos con estándares humanos y técnicos razonables que protejan la privacidad de la información, y que prevenga su destrucción, uso, modificación o divulgación no autorizados.

8. "Access and Correction", o de acceso y derecho de corrección. Los titulares de información personal deben tener derecho a

i) Obtener confirmación por parte de los sujetos obligados por la ley, respecto de si tienen o no información personal que les concierna;

ii) Que se les haga saber la información que tengan en su conocimiento, en un tiempo y a un costo razonable, con medios adecuados que les permita entenderla; y

iii) Controvertir la exactitud de la información y, en su caso, solicitar su rectificación.

9. "Accountability" o de responsabilidad. Todo sujeto obligado en el contexto de la ley, debe ser responsable de la observancia de las disposiciones legales o regulatorias tendentes a la protección de la privacidad y uso legítimo de datos personales.

Por otra parte, el Marco de Privacidad de APEC formula una serie de recomendaciones a los países miembros, como en este caso lo es México, respecto de la adecuada implementación de la ley modelo en sus respectivas legislaciones locales:

a) Primero, que la implementación de la ley modelo maximice los beneficios de las protecciones de privacidad y los flujos de la información;

b) Segundo, que las disposiciones que se integren a nivel nacional en la legislación de cada país miembro, tengan como efecto dar eficacia a los principios consensuados y reconocidos en el Marco de Privacidad de APEC;

c) Que se lleven a cabo esfuerzos de educación y publicación de las disposiciones de protección de datos personales. Esta recomendación es particularmente importante, pues reconoce el hecho innegable de que no existe legislación en el mundo que, por sí misma, pueda prevenir la sucesión de fenómenos ilícitos.

La eficacia de cualquier legislación en materia de protección de datos personales en el mundo, y en cualquier país, depende en buena medida del grado de cultura y educación de los individuos respecto de la prudencia, pertinencia y alcance de proporcionar sus datos personales.

d) Que exista una cooperación efectiva entre los sectores privados y públicos, tanto a nivel legislativo como desde el punto de vista de comunicación.

A este respecto, se estima que la legislación propuesta, con base en los modelos legislativos de la OCDE y APEC, es consistente y armónica con las disposiciones existentes en materia de protección de datos personales que son detentados por el sector público -según está regulado por la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, y garantizado por el Instituto Federal de Acceso a la Información Pública.

e) Que efectivamente se aplique la ley en casos en que la privacidad de la información sea vulnerada en violación de las disposiciones legales existentes.

Desde el punto de vista de cooperación internacional, para que la legislación adoptada permita a su vez la eficacia de las leyes correlativas en otras jurisdicciones, el Marco de Privacidad de APEC sugiere que los países miembros compartan información en relación con la materia; cooperen en investigaciones y aplicación de la ley, y adopten y desarrollen reglas de privacidad transfronterizas, como las del propio Marco de Privacidad de APEC.

Como puede apreciarse, la adopción de los lineamientos internacionales como los de la OCDE y APEC, particularmente por tratarse de aquellos en los que México ha participado, consensuado y que está de hecho obligado a atender y cumplir, permitirá a México contar con una legislación moderna, acorde con los principios y sus compromisos internacionales.

Ya se ha visto en el pasado que la adopción de modelos legislativos divergentes trajo como consecuencia diversos efectos negativos sobre la vida práctica de las economías involucradas. El ejemplo más claro se tuvo durante el periodo de divergencia que experimentaron, por citar el caso más indicativo, la Unión Europea y Estados Unidos de América, derivado de diversas interpretaciones entre las reglas de privacidad de la legislación estadounidense y la Directiva de Protección de Datos de la Unión Europea.

Específicamente, el caso dio lugar a la creación de los llamados "Safe Harbor Agreements", que consistieron en certificaciones anuales sobre el cumplimiento de principios básicos.

Aunque quedan resabios de la controversia, la tendencia internacional se ha movido consistentemente hacia la adopción de los mismos principios, incluidas la mayoría de las legislaciones de los países de la Unión Europea (que finalmente, muchos de ellos son también miembros de OCDE) y del propio Estados Unidos de América, cuya iniciativa más reciente, presentada en el Senado del país, responde a los incuestionados principios de la OCDE y APEC.

En este sentido, la iniciativa que hoy se propone ante esta soberanía no únicamente atiende las recomendaciones internacionales de los organismos de los que México es parte, y que hoy por hoy simplemente reflejan los paradigmas y las prácticas prevalecientes de la protección de la privacidad por el sector privado en el mundo, sino que salda la cuenta pendiente de México en el cumplimiento de un añejo compromiso internacional, de acuerdo con la membresía de las organizaciones aludidas.

En ese sentido, es importante destacar los siguientes elementos para la evaluación de la presente iniciativa:

1. Primero, que la responsabilidad de esta soberanía para legislar en materia de protección de la privacidad de los datos personales de los individuos es impostergable, no sólo por tratarse de un tema de protección de derechos humanos y libertades fundamentales, sino porque tiene un origen y efectos esenciales sobre la economía nacional y el aseguramiento del comercio irrestricto entre las entidades federativas, y con la regulación del comercio con otros Estados extranjeros.

2. El Congreso de la Unión está expresa y exclusivamente facultado para legislar en materia de comercio, incluyendo la facultad para legislar en todo cuanto impida que existan restricciones en el comercio entre las entidades de la Federación, como ocurre con el establecimiento de marcos legislativos diversos en materia de protección de datos personales en jurisdicción distinta de la federal, en la medida en que éstos puedan resultar contrarios a los lineamientos adoptados por los organismos internacionales de los cuales forma parte el Estado mexicano, y crear de hecho obstáculos o restricciones al comercio entre las entidades de la Federación.

3. Por las razones expuestas en la presente iniciativa, de acuerdo con las exposiciones de motivos y diversa memoranda explicativa tanto de los Lineamientos de la OCDE como del Marco de Privacidad de APEC, ambas organizaciones de las cuales es parte los Estados Unidos Mexicanos, como por la propia naturaleza de la legislación que se propone y su origen y efecto sobre el comercio interestatal y desde luego sobre el comercio internacional, la iniciativa se circunscribe en el contexto de la legislación en materia de comercio y en la intervención de esta soberanía federal para impedir el eventual establecimiento de medidas que puedan constituir obstáculos o restricciones al comercio entre las entidades de la Federación, por lo que la facultad de legislar sobre la materia que nos ocupa está expresamente reservada a la Federación, en términos de las fracciones IX, X y XXX del artículo 73 de la Constitución federal.

4. Que la iniciativa es consistente, armónica y complementaria con las disposiciones existentes en materia de protección de datos personales que esta soberanía ha expedido en la jurisdicción federal y en el ámbito del derecho administrativo, como las contenidas en relación con la protección de los datos personales por las entidades del sector público obligadas bajo la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, de las cuales es garante el Instituto Federal de Acceso a la Información Pública, o las contenidas en relación con la protección de datos personales compartidas en relaciones de consumo, según lo previsto en la Ley Federal de Protección al Consumidor.

5. Que si bien es cierto que el Instituto Federal de Acceso a la Información Pública, creado por virtud de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, es por definición la institución a cargo de la detentación y manejo de información por parte del sector público y no de los particulares, también lo es que la exigencia de razones presupuestarias, obligan a esta soberanía a tener en cuenta la conveniencia de aprovechar las instituciones existentes para dotar de eficacia al marco legal propuesto, y que sea el Instituto quien tenga las facultades para sancionar la eventual violación de las normas de privacidad en que pudieren incurrir los sujetos obligados.

6. Que en todo caso, la iniciativa deja a salvo para su regulación especial, sea que ésta competa a esta soberanía o al Ejecutivo federal por la vía reglamentaria, si las disposiciones legales pertinentes ya existieren en las leyes especiales por cada materia, los casos en que la protección de datos personales corresponda, por su naturaleza, a cuerpos normativos e institutos especiales, como lo es en materia financiera, de seguros y fianzas y otras especificadas en la misma, así como las que involucran otras entidades o dependencias del sector público en relación con funciones electorales, de seguridad nacional y demás indicadas en el cuerpo de la iniciativa.

Por cuanto toca al contenido de la propuesta iniciativa, ésta se compone de tres títulos, que versan sobre los datos personales, su protección y las autoridades y sanciones, respectivamente.

En cuanto al primer título, se compone a su vez de seis capítulos. El primer capítulo contiene una serie de disposiciones generales, que incluyen un artículo de definiciones, así como un apartado de campo de aplicación, expresado en forma negativa, en relación con los sujetos que no están obligados al cumplimiento de la misma, por estar regulados bajo otros ordenamientos o leyes especiales en sus materias.

Una primera distinción importante en la naturaleza de los datos personales se expresa en el propuesto artículo 4, que establece una categoría genérica de datos personales, dividida en dos especies, que son los datos de identificación, y los datos sensitivos. Los primeros guardan referencia con la información que permite identificar a una persona, en tanto que los segundos versan sobre sus condiciones o preferencias específicas, más allá de su mera identificación. La iniciativa propone una regulación más estricta respecto de los datos sensitivos sobre los meros datos de identificación, puesto que la violación de su confidencialidad puede naturalmente atraer sobre las personas, mayores efectos o daños, en su caso, que la de su sola identificación.

Igualmente, en atención a los estándares internacionales y la necesidad de que los sujetos obligados por la ley hagan del conocimiento de los titulares cuya información personal compartan, los fines específicos para los cuales se recaba y usa la información, se prevé la distinción elemental entre fines primarios y fines secundarios de uso de la información.

Los fines primarios, por definición, corresponden a los propósitos con una relación o derivación directa y necesaria entre el receptor de la información y el informante, en tanto que los fines secundarios, como su nombre indica, tiene relación con propósitos subsecuentes o diferentes de los fines primarios para los cuales se recaban o usan datos personales en un determinado contexto. En el desarrollo de la ley propuesta, los usos secundarios están necesariamente más regulados y exigen, en términos generales, una mayor acción positiva por parte de los responsables de la información para su manejo.

Esto nos lleva a otro concepto básico de la iniciativa, de acuerdo con las recomendaciones internacionales, consistente en la persona que deba estimarse como responsable del manejo de datos personales. En la práctica común ordinaria, las empresas y personas del sector privado en general, recaban y utilizan datos personales para la realización de sus actividades, lo que no necesariamente realizan de forma directa, sino que en algunos y no pocos casos, desde la recolección hasta el procesamiento y manejo de datos personales lo lleva a cabo un tercero por su cuenta y orden.

En estas condiciones, se estima indispensable que la ley confiera un determinado grado de responsabilidad no sólo a quien aprovecha la información, sino también a quien funge como operador directo de su obtención y tratamiento.

El mismo apartado de definiciones, al incluir el concepto de sistema de datos personales, reconoce la imposibilidad de categorizar o regular directamente a las bases o bancos de datos, independientemente de su forma, dado su número incierto, así como su naturaleza cambiante y extraordinariamente dinámica con el uso de las tecnologías actuales y las venideras.

Ello explica que la orientación de la iniciativa se concentra, preponderantemente, en la regulación de conductas -el tratamiento de datos personales-, y de ninguna manera versa sobre el registro o regulación de bases de datos como tales. Por lo que se ha expuesto, esto último no sólo resultaría materialmente imposible, sino que además sería ocioso e inútil para proteger dato personal alguno.

En el concierto internacional, el consenso actual se dirige hacia la regulación de conductas de los individuos que tratan datos personales, pues es la forma que ha probado ser más razonable para efectivamente procurar la protección de la privacidad de datos personales y la preservación de un ambiente de comercio sano e ininterrumpido.

Por lo anterior, el concepto de sistema de datos personales es un concepto amplio, que hace referencia e incluye, pero no se limita, a las bases o bancos de datos en la forma en que otra disposición legal o reglamentaria pueda definir, sino que abarca cualquier expresión automatizada o no, de datos clasificados o susceptibles de clasificación que mantenga u opere una determinada persona.

Por su parte, en el mismo orden de ideas, el concepto de tratamiento de base de datos incluye cualesquiera formas de recolección, uso, divulgación o almacenamiento de datos personales, de forma tal que el solo término haga referencia y contenga las varias actividades que una persona puede llevar a cabo en relación con los datos personales.

De manera importante, y en atención a los lineamientos internacionales, se excluye de la categoría legal de datos personales -no porque no lo sean sino porque desde la óptica legal no puedan sujetarse a esta ley propuesta- la información que consta en registros de acceso público o la que se da en el contexto de las relaciones laborales.

El capítulo segundo propone una serie de disposiciones en materia de recolección. El eje principal del capítulo, conforme a las premisas básicas de la experiencia internacional y particularmente de OCDE y APEC, lo conforma la obligación de toda entidad, sea que lo haga directa o indirectamente, de proporcionar un aviso de privacidad, que viene a constituirse en la principal institución legal de garantía respecto de la privacidad de que gozará la información que un titular comparta.

El aviso de privacidad, o "notice", en la terminología internacional, es independiente de la forma en que se manifieste, pero en todo caso debe permitir la identificación del sujeto obligado y los fines para los cuales se recaba o usa la información. En este punto, la iniciativa propuesta sugiere la inclusión de un aviso amplio, que puede precisarse más o menos según la experiencia de cada sujeto obligado.

Por otra parte, es de reconocerse que, ante la vigencia de las tecnologías actuales, la forma de recolección suele adoptar dos formas básicas: la que en esta iniciativa hemos denominado "en línea", haciendo referencia a un mecanismo de tiempo actual y vigente en que interactúa el receptor con el informante, generalmente a través de un mecanismo automatizado o el Internet, y lo que se ha denominado "fuera de línea", en los casos en que, por exclusión, no ocurre en un momento de tiempo real, sino diferido o diferente respecto de una y otra parte.

El capítulo tercero versa sobre el uso de la información. De forma trascendente, se propone especificar los casos en que el uso de la información se da como una consecuencia necesaria o derivada de una relación legítima. En todos los eventos, se reconoce a las personas con su prerrogativa de manifestar su voluntad contraria al uso subsecuente que se haga de su información, independientemente de la causa que hubiera dado origen a la recolección o uso originales.

Este mecanismo, que en la terminología internacional llamaríamos de "opt-out", es la piedra angular que permite la interacción ágil y con la menor restricción posible al comercio interestatal -e internacional también, desde luego-, al tiempo que reconoce y otorga la prerrogativa de protección, libertad y control de las personas sobre la información de la cual son titulares.

Evidentemente, esta excepción no se otorga tratándose de datos sensitivos, pues por su propia naturaleza es menester que su uso o aprovechamiento lo conozca o consienta su titular de forma previa.

El capítulo cuarto contiene un par de disposiciones especiales, propuestas en relación con el uso o divulgación por parte de terceros. En términos generales, la premisa básica de la manera legítima de compartir datos se funda en que la forma de divulgación incluya las restricciones a las que hubiere quedado sujeta su recolección o uso originales, si las hubiera.

Expresado de manera resumida, la iniciativa propone una regulación "in rem", esto es, que una causa o característica relativa a la información se estima "adherida" a ella, y la lleva de manera inherente, independientemente de la entidad o responsable que la trate.

El capítulo quinto contiene disposiciones cruciales para el mantenimiento del comercio regulado. Existen casos en que, natural y jurídicamente, la divulgación de datos personales a terceros no puede tener la misma sanción a que si aquélla se efectuara en supuestos ilícitos.

En otras palabras, hay determinados casos en que la ley debe, mediante la institución de la reputación legal, considerar que la divulgación a terceros se lleva a cabo de manera lícita y consentida, pues de otra forma se impedirían actos de comercio de curso lícito.

Estos casos, que son nuevamente los que aseguran y preservan la integridad del sistema del comercio interestatal, están referidos a las relaciones contractuales previas entre el receptor y el informante, así como a casos específicos de acciones corporativas que, por su naturaleza, implican el conocimiento de información para llevarse a cabo.

El capítulo sexto refiere a un evento mayor de cambio en el uso o divulgación de datos personales, diferente al que hubiere ocasionado su tratamiento original. En este caso, se prevé que como un mecanismo protectivo, los sujetos obligados estén requeridos a realizar acciones positivas para que, en su caso, los titulares interesados puedan manifestar su voluntad contraria a usos subsecuentes no conocidos en el momento del tratamiento original.

A continuación, el título segundo refleja mayormente lo que las recomendaciones internacionales refieren como salvaguardas de seguridad. Sujeto a que las disposiciones reglamentarias abunden en los aspectos técnicos que corresponda, la ley anota en primera instancia, la responsabilidad y obligación de los sujetos obligados, de mantener medidas que razonablemente aseguren la protección de la privacidad de los datos personales compartidos por sus respectivos titulares.

Un capítulo segundo del título a que aludimos ahora enuncia los derechos de acceso, según las legislaciones modelo en la materia. La premisa fundamental del apartado consisten en dotar a los titulares, efectivamente, de un medio de petición expreso en la ley, entre particulares como lo es éste, de que se le confirme si un sujeto obligado tiene o no información personal que concierna al solicitante y, en su caso, que efectúe las rectificaciones que procedan, de acuerdo con la manifestación de voluntad que al respecto se le formule.

La creación de este procedimiento de orden administrativo, aunque referido a particulares, es ciertamente un elemento que podría pasar por novedoso en nuestro sistema jurídico, aunque presente ya en otros ámbitos, y explicado también por la naturaleza propia de situaciones existentes entre particulares, pero que involucran valores tan altos como el derecho a la privacidad de las personas o la preservación del comercio interestatal en la Federación, ambos conceptos, necesariamente, de requerida protección estatal.

Finalmente, el título tercero contiene prevenciones sobre las facultades del Instituto para sancionar a las personas que actuaren en contravención de las disposiciones de la ley. En este contexto, se estima que una orden de remisión expresa a las disposiciones de la Ley Federal de Procedimiento Administrativo es conveniente para evitar la creación de un mecanismo ad hoc que podría convertir la ley propuesta en un ordenamiento adjetivo, en perjuicio de su naturaleza de orden primario respecto de las materias que regula.

Como se ha mencionado, si bien puede opinarse que el Instituto Federal de Acceso a la Información Pública es por definición un organismo rector de relaciones entre el sector público y los particulares, y no de relaciones que se establecen entre particulares, existen consideraciones de carácter presupuestaria e incluso del derecho administrativo que bien permiten evaluar la conveniencia de que sea el propio IFAI, y no un nuevo instituto, quien tenga a su cargo la función de ejecución de las disposiciones propuestas en esta iniciativa.

Por todo lo anteriormente expuesto, sometemos a consideración de ese honorable Pleno de la Cámara de Diputados la siguiente iniciativa con

Proyecto de decreto que expide la Ley Federal de Protección de Datos Personales

Ley Federal de Protección de Datos Personales

Título Primero
De los Datos Personales

Capítulo Primero
Disposiciones Generales

Artículo 1. Esta ley tiene por objeto proteger los datos personales, así como regular el tratamiento que de los mismos realicen las entidades previstas en este ordenamiento jurídico.

Artículo 2. Las disposiciones de esta ley son de orden público, de interés social y de observancia general en todo el territorio nacional. Su aplicación administrativa corresponde al Ejecutivo federal por conducto del Instituto Federal de Acceso a la Información Pública.

Artículo 3. No son sujetos obligados al cumplimiento de esta ley

I. El Poder Ejecutivo federal, la Administración Pública Federal y la Procuraduría General de la República;

II. El Poder Legislativo federal, integrado por la Cámara de Diputados, la Cámara de Senadores, la Comisión Permanente, y cualquiera de sus órganos;

III. El Poder Judicial de la Federación y el Consejo de la Judicatura Federal;

IV. Los órganos constitucionales autónomos;

V. Los tribunales administrativos federales;

VI. Las sociedades o corporaciones de carácter público reconocidas por la ley;

VII. Los sindicatos, las asociaciones profesionales y las demás a que se refiere el artículo 123 de la Constitución Política de los Estados Unidos Mexicanos;

VIII. Las sociedades de información crediticia que hayan sido autorizadas por la Secretaría de Hacienda y Crédito Público para operar con ese carácter;

IX. Cualquier otra institución, órgano, entidad o dependencia de naturaleza pública federal;

X. Las agrupaciones y asociaciones religiosas, en términos de la ley de la materia;

XI. Los partidos políticos y agrupaciones políticas; y

XII. Las personas físicas o morales de derecho privado que lleven a cabo la recolección y almacenamiento de sistemas de datos personales, cuyo uso sea exclusivamente personal, y sin fines de divulgación o utilización comercial.

Artículo 4. Para los efectos de esta ley, se entenderá por

I. Datos personales. Los datos personales de identificación, y los datos personales sensitivos.

II. Datos personales de identificación. La siguiente información concerniente a una persona física, o moral cuando resulte aplicable:

a) Nombre completo, incluyendo el nombre propio y sus apellidos materno y paterno respectivamente, o cada uno de éstos por separado;

b) Domicilio completo o, a falta de éste, del lugar del centro principal de sus negocios, o en ausencia de éstos, del lugar donde simplemente resida;

c) Correo electrónico, aun cuando tuviere varios;

d) Número o números de teléfono o facsímile;

e) Claves o números de identificación de documentos oficiales, tales como de la cédula del Registro Federal de Contribuyentes, la cédula profesional, la credencial para votar, el pasaporte, la Clave Única del Registro de Población (CURP) o similares;

f) Cualquier otra información que permita identificar a una persona; o

g) Cualquier otra información acerca de una persona que es tratada por una entidad regulada por la presente ley, en relación con todo o parte de cualquiera de los datos mencionados en los incisos anteriores.

III. Datos personales sensitivos. La siguiente información concerniente a una persona física, o moral cuando resulte aplicable:

a) Cualquiera que especifica o permite acceder o conocer balances o saldos de cuentas o estados financieros del titular, o en general datos relativos al conocimiento de claves o números de identificación personal de cuentas o tarjetas bancarias, de inversión, títulos u otros instrumentos de crédito; y

b) Cualquiera relacionada con la condición médica o de salud, de origen racial o étnico, creencias religiosas, opiniones políticas o preferencia sexual del titular.

IV. Entidad. Cualquier persona física o moral de derecho privado que lleve a cabo uno o varias de los actos de tratamiento de datos personales.

V. Fin primario. Cualquier uso o divulgación de datos personales de identificación, que implique o sea necesario para

a) Efectuar, administrar o cumplir una transacción autorizada por el titular;

b) El cumplimiento o ejecución de un mandato, comisión u otra relación jurídica previa establecida con el titular;

c) La proveeduría o aprovechamiento de un bien o servicio solicitado por el titular; o

d) Responder a una solicitud del titular.

VI. Fin secundario. Cualquier uso o divulgación de datos personales de identificación, que no constituye un fin primario.

VII. Instituto. El Instituto Federal de Acceso a la Información Pública creado por virtud de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.

VIII. Ley. La Ley Federal de Protección de Datos Personales.

IX. Responsable. La persona que independientemente del vínculo laboral o profesional que la vincule con la entidad, decide sobre la recolección, uso, divulgación o almacenamiento de datos personales.

X. Sistema de datos personales. El conjunto ordenado de datos personales que están en posesión de una entidad, con independencia de su forma de acceso, creación, almacenamiento u organización.

XI. Tratamiento de datos personales. La recolección, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

XII. Titular. La persona que es propietaria o de la cual versan o conciernen datos personales.

Artículo 5. No son datos personales

I. El nombre, puesto, dirección o teléfonos de trabajo de un empleado en una organización; o

II. La información que una persona hace pública de forma deliberada, o permite que sea hecha pública, o que es obtenida de forma lícita de registros públicos u otras fuentes legítimas, o cualquier otra información pública de conformidad con la ley.

Capítulo Segundo
Recolección de Datos Personales

Artículo 6. Ninguna entidad puede recolectar datos personales de un titular, a menos que dicha entidad proporcione al titular un aviso de privacidad en cumplimiento con esta ley.

Artículo 7. El aviso de privacidad debe contener, al menos, la siguiente información:

I. La identidad de la entidad regulada que recolecta los datos personales;

II. El tipo de datos personales que son recolectados;

III. El fin primario y cualquier fin secundario para los cuales se recolectan y usan los datos personales;

IV. Cualesquiera opciones y medios que la entidad ofrezca a los titulares para limitar el uso y divulgación de datos personales para fines secundarios, de conformidad con lo dispuesto en esta ley;

V. Los medios por los cuales el titular puede contactar a la entidad regulada que recolecta los datos personales, para plantear dudas, comentarios o quejas al respecto;

VI. El proceso por el cual la entidad regulada notifica a los titulares de cambios sustanciales al aviso de privacidad, de conformidad con lo previsto en esta ley; y

VII. La vigencia del aviso de privacidad.

Artículo 8. El aviso de privacidad debe ponerse a disposición de los titulares de los datos personales de la siguiente manera:

I. En recolecciones en línea, efectuadas por cualquier medio electrónico, óptico o de cualquier otra tecnología, en tiempo real, el aviso de privacidad debe proporcionarse en el momento de la recolección, de forma clara y fehaciente.

En su caso, tratándose de recolecciones vía Internet, el sitio, página o pantalla en que se efectúa la recolección, puede remitir a un vínculo, liga o pantalla subsecuente en la que conste el aviso de privacidad.

Asimismo, el aviso de privacidad puede presentarse en forma resumida, indicando al menos los elementos previstos en el artículo 6, fracciones I, III, y IV, de la presente ley y en forma completa en el vínculo, liga o pantalla subsecuente a la que se remita en el sitio, página o pantalla original.

II. En recolecciones fuera de línea, el aviso de privacidad debe ser proporcionado a solicitud del titular, en el momento de la recolección de los datos personales o con posterioridad, de conformidad con lo previsto en esta ley.

Capítulo Tercero
Uso y Divulgación de Datos Personales

Artículo 9. Una entidad regulada podrá usar y divulgar datos personales de identificación para fines secundarios, recolectados en términos de esta ley, en tanto el titular no manifieste su voluntad en contrario.

Artículo 10. La venta o aprovechamiento de bienes o la prestación de servicios, o en general la creación o continuación de una determinada relación, puede condicionarse al uso o divulgación de datos personales para fines secundarios, siempre y cuando

I. Se proporcione un aviso amplio de privacidad, y el titular no niegue el uso o divulgación de sus datos personales para fines secundarios; o

II. Los usos específicos o la divulgación para fines secundarios sean parte de la transacción relacionada con los bienes o servicios de que se trate.

Artículo 11. La entidad regulada debe poner a disposición del titular mecanismos transparentes, sencillos y gratuitos, que le permitan manifestar su voluntad de que sus datos personales no sean o continúen siendo utilizados o divulgados para fines secundarios. En su caso, la manifestación de voluntad del titular en ese sentido, podrá implicar la terminación de la relación existente entre éste y la entidad regulada de que se trate, en relación con determinados bienes y servicios, sin responsabilidad para ésta última, a partir de la fecha de notificación.

Artículo 12. Tratándose de datos personales sensitivos, la entidad deberá obtener el consentimiento previo y de manera clara del titular, para llevar a cabo su tratamiento, uso o divulgación con cualquier fin.

Capítulo Cuarto
Disposiciones Especiales de Uso y Divulgación por Terceros

Artículo 13. Toda entidad que divulgue datos personales a terceros debe notificar a éstos todas y cualesquiera limitaciones a que el titular hubiere sujetado su divulgación al momento de otorgar su consentimiento, si las hubiere.

Artículo 14. A menos que obtenga consentimiento previo del titular de los datos personales de que se trate, ningún tercero que reciba datos personales procedentes de una entidad, podrá usarlos para propósitos diferentes de los siguientes:

I. Aquellos consistentes con los fines para los cuales la información fue revelada, de acuerdo con el aviso de privacidad que se hubiere dado; o

II. Los autorizados en el artículo 14 de esta ley.

Capítulo Quinto
Usos y Divulgación Protegidos

Artículo 15. Las restricciones previstas en el capítulo cuarto precedente no aplicarán a los siguientes casos:

I. La divulgación a terceros que presten servicios a nombre y por cuenta de la entidad regulada en relación con el uso de datos personales para fines primarios, o cualesquiera fines secundarios consentidos por el titular, siempre y cuando

a) La entidad regulada tenga celebrado un contrato que obligue al tercero a no usar o divulgar información de los datos personales, en todo cuanto no sea estrictamente necesario para cumplir los fines para los cuales los datos personales fueron revelados por su titular, así como a asegurarse de mantener la confidencialidad de la información bajo estándares iguales o mayores a los requeridos por esta ley;

b) La entidad regulada permanezca como la parte responsable de la integridad y protección de los datos personales que han sido transferidos a un tercero para su tratamiento.

II. La divulgación efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común de la entidad regulada, o a una sociedad del mismo grupo de interés de la entidad regulada que opere bajo los mismos procesos y políticas internas, incluyendo su adherencia a avisos de privacidad presentados a titulares informantes de datos personales;

III. Uso y divulgación de datos personales relacionados con la fusión, escisión o adquisición de una negociación mercantil, en la que la sociedad fusionante, escindente o adquirente continúa la misma línea de negocios, y cualesquiera datos personales continúan siendo usados o divulgados sólo para los fines consistentes a aquellos para los cuales fueron originalmente recolectados, o subsecuentemente autorizados; y

IV. Uso y divulgación en casos requeridos por la ley.

Capítulo Sexto
Cambio Sustancial de Uso o Divulgación

Artículo 16. Si después de recolectar datos personales de acuerdo con un aviso de privacidad, una entidad regulada pretende usar o divulgar todo o parte de la información recabada para un nuevo fin secundario o la ampliación de uno anteriormente descrito, procederá conforme a lo previsto en el presente capítulo.

Artículo 17. En caso de un cambio sustancial de uso o divulgación de datos personales recolectados previamente, la entidad regulada:

I. Modificará su aviso de privacidad para reflejar el nuevo fin, o la ampliación de uno anteriormente descrito;

II. Podrá usar o divulgar datos personales obtenidos de acuerdo con un aviso de privacidad que no contenía la descripción del nuevo fin secundario, o la ampliación de uno anteriormente descrito, siempre y cuando

a) Haga público o disponible el aviso del cambio al aviso de privacidad, para reflejar el nuevo fin o la ampliación de uno anteriormente descrito, con una antelación de al menos 30 días naturales, al día en que pretenda llevarse a cabo el uso o divulgación de datos personales;

b) Los titulares involucrados no manifiesten en el plazo señalado en el inciso anterior, su oposición para que sus datos personales sean usados o divulgados para el nuevo fin secundario, o la ampliación de uno anteriormente descrito.

Título Segundo
De la Protección de Datos Personales

Capítulo Primero
Disposiciones Generales

Artículo 18. Toda entidad regulada que recolecte, almacene, use o divulgue datos personales debe establecer y mantener medidas de seguridad administrativas, técnicas y físicas suficientes y adecuadas para

I. Proteger los datos personales de cualquier uso, acceso o divulgación no autorizados; y

II. Asegurar que la información es correcta, actualizada y pertinente para los fines para los cuales fue recolectada.

Artículo 19. El nivel de medidas de seguridad administrativas, técnicas y físicas que deben ser operadas por la entidad regulada, debe ser congruente con la naturaleza y grado de confidencialidad de los datos personales de que se trate, el riesgo potencial para el titular de su uso o transmisión indebidos y el costo de su implementación.

Capítulo Segundo
Del Derecho de Información de los Titulares y del Registro

Artículo 20. Toda entidad regulada que recolecte datos personales debe informar a su respectivos titulares, a solicitud de éstos, los datos personales que sobre ellos obren en su poder a efecto de que tales titulares puedan solicitar por escrito la corrección, modificación o supresión de dicha información, si ésta fuera incompleta, inexacta o tratada para fines distintos a los previamente consentidos.

Artículo 21. La entidad no está obligada a proporcionar información si

I. La persona que solicita el acceso no demuestra que es la persona titular de los datos personales o su representante legal;

II. De acuerdo con la ley aplicable, la revelación de información pudiera violar derechos de terceros u obligaciones de confidencialidad, o pudiera resultar en la revelación de información que es o forma parte de un secreto industrial o comercial fiduciario, bancario, bursátil o de otro secreto protegido por la ley; y

III. Dicha información pudiera afectar el curso de un procedimiento administrativo o judicial en el que la entidad regulada o el titular son partes o en el cual tienen algún interés.

Artículo 22. Cuando cualquiera de las excepciones señaladas en el artículo anterior, afecten únicamente a una parte de los datos personales tratados por la entidad, ésta deberá proporcionar el acceso al resto de la información de los datos personales que no fuere objeto de las excepciones señaladas.

Artículo 23. La entidad regulada no estará obligada a corregir o modificar la información que obre en su poder si

I. El titular no proporciona información o, en su caso, pruebas, respecto de la falta de información o inexactitud de los datos personales de que se trate; y

II. Si la corrección o modificación solicitada no es consistente con las leyes de la materia que regulen la información de que se trate.

Artículo 24. La entidad podrá hacer un cargo razonable para atender las solicitudes de información, que no podrá exceder de

I. El costo efectivo de la entidad regulada para atender la solicitud; o

II. El costo promedio que la entidad regulada carga por trámites similares, si lo hubiere.

Artículo 25. El responsable del tratamiento de los datos personales, deberá proceder a la rectificación, supresión o actualización de los datos personales del afectado, en un plazo máximo de 30 días hábiles contado a partir de la fecha en que haya recibido la solicitud de corrección, modificación o supresión.

En caso de no obtener respuesta, o la respuesta recibida no satisface lo requerido por el solicitante, al término del plazo previsto en el artículo anterior, éste podrá acudir ante el Instituto, en los términos previstos en esta ley.

Durante el proceso de verificación y rectificación del error o falsedad de los datos personales, la entidad deberá bloquear el archivo o consignar al proveer información relativa al mismo, la circunstancia de que se encuentra sometida a revisión.

Artículo 26. No procederá la supresión de datos personales, cuando se pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.

Artículo 27. Los datos personales deberán ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre la entidad y el titular de los datos.

Artículo 28. El responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales, están obligados a no difundir por cualquier medio, la información contenida en los mismos. Tal obligación subsistirá aun después de finalizada su relación con la entidad.

El obligado únicamente podrá difundir información respecto del contenido de los datos personales, por resolución judicial o cuando lo justifiquen razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.

Artículo 29. Toda entidad que posea un sistema de datos personales destinado a ser usado y divulgado en los términos previstos en esta ley, deberá inscribirse en el Registro que al efecto llevará el Instituto.

El registro del sistema de datos debe comprender como mínimo la siguiente información:

a) Nombre y domicilio del responsable;
b) Características y finalidad del sistema de datos personales;

c) Naturaleza de los datos personales;
d) Forma de recolección y actualización de datos personales;

e) Destino de los datos y personas físicas o morales a las que pueden ser transmitidos;
f) Modo de interrelacionar la información registrada;

g) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información;

h) Tiempo de conservación de los datos; e

i) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación, actualización o en su caso, supresión de los datos personales.

Ninguna entidad deberá poseer datos personales de naturaleza distinta a los declarados en el registro.

El incumplimiento de estos requisitos dará lugar a las sanciones administrativas previstas en esta ley.

Título Tercero
De la Autoridad y Sanciones

Capítulo Primero
De la Autoridad Competente

Artículo 30. El Instituto será la autoridad competente para aplicar la presente ley. Para tales efectos, tendrá las siguientes atribuciones:

I. Orientar y asesorar a las personas, acerca de los derechos tutelados por esta ley, así como de los procedimientos y medios legales de que disponen para la defensa de los mismos;

II. Interpretar la ley en el orden administrativo;

III. Llevar el registro de sistemas de datos personales;

IV. Realizar investigaciones respecto de presuntas infracciones administrativas;

V. Llevar a cabo visitas de inspección;

VI. Solicitar la información que sea necesaria a las entidades, a efecto de verificar el cumplimiento de la presente ley;

VII. Ordenar y ejecutar actos provisionales y medidas de seguridad para prevenir o terminar con la violación de los derechos de los titulares de datos personales contenidos en esta ley;

VIII. Promover entre las entidades, la elaboración de códigos de conducta sobre el tratamiento y protección de los datos personales;

IX. Conocer y resolver sobre el recurso de revisión que se interponga en contra de las resoluciones dictadas por el Instituto;

X. Imponer las sanciones administrativas que sean procedentes;

XI. Emitir de conformidad con la normatividad aplicable, las disposiciones generales necesarias para hacer efectivos los derechos contenidos en la presente ley; y

XII. Las demás que correspondan en términos de la presente ley, sus reglamentos y demás disposiciones aplicables.

Artículo 31. El titular de datos personales a quien la entidad le haya negado la corrección, actualización o de ser procedente la supresión de los datos personales que le conciernen y que se hayan contenidos en su sistema de datos personales, o la solicitud recibida por parte de la entidad no sea satisfactoria de acuerdo a sus pretensiones, podrá solicitar por sí, o a través de su representante, la participación del Instituto para hacer valer sus derechos ante la entidad respectiva.

El reglamento de la presente ley deberá establecer un procedimiento para resolver sobre el cumplimiento de las obligaciones contenidas en esta ley a cargo de las entidades.

Los afectados por los actos y resoluciones emitidos por el Instituto que pongan fin a un procedimiento administrativo, a una instancia o resuelvan un expediente, podrán interponer recurso de revisión ante el propio Instituto, en los términos de la Ley Federal de Procedimiento Administrativo.

Capítulo Segundo
De las Infracciones

Artículo 32. El Instituto impondrá a las entidades infractoras de las disposiciones contenidas en esta ley, atendiendo a los daños que se hubieren causado o puedan causarse; el carácter intencional o no de la acción u omisión constitutiva de la inobservancia a la ley; la gravedad de esta o la reincidencia, una o más de las siguientes sanciones:

I. Amonestación con apercibimiento; y

II. Multa de 100 a 20,000 días de salario mínimo general vigente en el Distrito Federal, a la fecha en que se comete a la infracción.

En caso de reincidencia, se podrá imponer multa hasta por el doble del monto con el que se haya sancionado originalmente a la entidad infractora.

Transitorios

Primero. La presente ley entrará en vigor seis meses después que se haya aprobado y entrado en vigor el respectivo Presupuesto de Egresos de la Federación, en el que se otorguen los recursos suficientes para que el Instituto Federal de Acceso a la Información Pública, pueda ejercer las atribuciones otorgadas por esta ley.

Segundo. Se derogan todas las disposiciones que se opongan a la presente ley.

Transitorio

Único. Este decreto entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.

Dado en el Palacio Legislativo de San Lázaro, a 22 de marzo de 2006.

Dip. Sheyla Fabiola Aragón Cortés (rúbrica)

CAMARA DE ORIGEN: DIPUTADOS
EXPOSICIÓN DE MOTIVOS
México, D.F. martes 4 de noviembre de 2008
Gaceta Parlamentaria 23
INICIATIVA DE DIPUTADO (GRUPO PARLAMENTARIO

LEY DE PROTECCION DE DATOS PERSONALES EN POSESION DE PARTICULARES

El Presidente diputado José Luis Espinosa Piña: Enseguida tiene la palabra el diputado Luis Gustavo Parra Noriega, del Grupo Parlamentario del Partido Acción Nacional, para presentar iniciativa que expide la Ley de Protección de Datos Personales en Posesión de Particulares.

El diputado Luis Gustavo Parra Noriega: Buenas tardes. Con su permiso, señor presidente.

Nuestro país se encuentra inmerso en un proceso de definiciones fundamentales para la construcción de un México democrático, seguro, justo, transparente. Y debe ser en la línea del respeto y la tutela de los derechos fundamentales de las personas.

Por lo anterior, se propone ante esta soberanía, con la finalidad de perfeccionar y ampliar los derechos de los mexicanos, una iniciativa cuya incorporación a nuestro orden jurídico se convierte en un elemento indispensable de un auténtico estado de derecho, en un detonante privilegiado para la consolidación democrática.

Sin duda, el avance de nuestro país como nación soberana debe preservarse mediante el reconocimiento y el ensanchamiento de la esfera jurídica de las personas, así como mediante el establecimiento de principios, derechos y mecanismos de defensa frente a la intromisión injustificada e indebida en nuestra vida privada, y ante la posibilidad de ser objeto de discriminación por el tratamiento no autorizado de nuestros datos personales.

Es importante resaltar que este tema no es nuevo en la tribuna, toda vez que el año pasado se discutieron y aprobaron por el pleno de la Cámara reformas a nuestra Constitución para que se garantice el respeto a la dignidad de las personas mediante la tutela de sus datos personales.

En efecto, este órgano, este pleno, esta soberanía, aprobó reformas a los artículos 16 y 73 de nuestra norma máxima.

En el primer caso, con la finalidad de incorporar como una nueva garantía individual la protección de los datos personales; y en el segundo caso, para conferir al Congreso de la Unión la facultad expresa para legislar en materia de datos personales en posesión de particulares.

Cabe recordar que por lo que respecta a la tutela de los datos personales en posesión de órganos públicos, con la reforma al artículo 6o. de la Constitución en materia de transparencia y acceso a la información, quedó claro que dicha potestad corresponde de manera coexistente, a la federación y a cada entidad federativa.

A la fecha ambas propuestas de reformas constitucionales se encuentran en la Cámara colegisladora, por lo que exhortamos respetuosamente a las Comisiones Unidas de Puntos Constitucionales y de Estudios Legislativos, Segunda, del Senado de la República, a que analicen y discutan dichas minutas de reforma a los preceptos constitucionales citados.

Lo anterior, como parte precisamente de un diseño normativo, integral, que converja en que en nuestro país se establezcan normas para combatir la inseguridad, pero que de manera correlativa se instituya un entramado jurídico que tutele de forma clara, precisa y bajo excepciones expresamente señaladas, la vida privada y la dignidad de las personas.

Por tanto, con la presente iniciativa de Ley de Protección de Datos Personales en Posesión de Particulares, entendemos que si bien no podrá determinarse hasta en tanto no se apruebe la reforma al artículo 73 constitucional citado, sí con esta presentación se dé un paso decisivo para la materialización legislativa de la tutela de la dignidad de las personas y, de paso, se cumplan los compromisos internacionales suscritos por nuestro país.

Lo anterior no desconoce ni hace de lado que estos datos personales son un bien que ayudan y fomentan actividades importantes, pero debemos buscar que esta iniciativa autorice y establezca definitivamente un tratamiento a los datos personales de manera integral.

No podré seguir con la lectura a la exposición de motivos dado el tiempo necesario para este efecto; sin embargo, solicito a usted, señor presidente, dado que además sufrió modificaciones el texto que fue publicado en la Gaceta Parlamentaria, que se inserte íntegro el texto que en este momento entrego a los señores secretarios, para que sea turnado a la comisión correspondiente. Muchas gracias.

«Iniciativa que expide la Ley de Protección de Datos Personales en Posesión de Particulares, a cargo del diputado Luis Gustavo Parra Noriega , del Grupo Parlamentario del PAN

El que suscribe Luis Gustavo Parra Noriega , diputado federal de la Sexagésima Legislatura del honorable Congreso de la Unión, integrante del Grupo Parlamentario del Partido Acción Nacional, en ejercicio de la facultad que me otorga la fracción II del artículo 71 de la Constitución Política de los Estados Unidos Mexicanos y de conformidad con lo previsto en los artículos 55, fracción II, 56 y 62 del Reglamento para el Gobierno Interior del Congreso General de los Estados Unidos Mexicanos, someto a consideración de esta asamblea la siguiente iniciativa con proyecto de decreto por el que se crea la Ley de Protección de Datos Personales en Posesión de Particulares, al tenor de la siguiente:

Exposición de Motivos

El uso de nuevas tecnologías en el campo de la informática ha traído consigo beneficios que hace algunos años eran inimaginables. Hoy en día en cuestión de segundos es posible obtener, almacenar y someter a tratamiento un gran número de datos, lo cual facilita y crea condiciones favorables para el trabajo realizado en diferentes esferas de la vida social y económica, principalmente en el intercambio comercial.

Sin embargo, en forma paralela a dicho avance, ha surgido la posibilidad de ingerencias en la vida privada de las personas ya que la circulación de los datos personales es prácticamente ilimitada. El desarrollo de la tecnología ha permitido que exista un alto grado de capacidad de almacenamiento de los ordenadores, así como de fórmulas que permiten correlacionar la información existente a velocidades inimaginables, que en cuestión de segundos pueden elaborar perfiles bien definidos de las personas en base a su información personal.

Lo anterior convierte al ciudadano en un ser vulnerable ante el desarrollo estrepitoso de la tecnología ya que ante la ausencia de una regulación en la materia, quienes posean bases de datos personales tienen a su alcance una radiografía clara y precisa de los titulares de la información, es así que ``Un sistema centralizado de tratamiento automático de datos que no respetara límite alguno en cuanto a la información a recoger, almacenar y transmitir, convertiría a la sociedad en una casa de cristal en la que nuestro hogar, nuestra situación financiera, nuestras relaciones, nuestra salud física y mental serían puestas al desnudo ante cualquier observador.'' 1

Y es justamente el uso indebido de los datos personales, lo que puede tener consecuencias graves para una persona que pueden ir desde la provocación de actos de molestia al titular de los datos, consistente en el envío ilimitado de información no solicitada; pasando por actos de discriminación, toda vez que mediante el cruce de información de una persona, se puede configurar un perfil respecto de sus gustos, creencias, afinidades o que decir de su estado de salud o mental, que pueden influir negativamente al momento de solicitar se le proporcione un servicio o adquiera un bien; hasta la comisión de delitos graves como el secuestro o el robo de identidad. El uso perverso de la información puede crear problemas muy serios que han convertido a la persona en un ser vulnerable que vive con la amenaza latente de ser observado en forma permanente.

Es importante señalar, que el respeto a la dignidad de la persona constituye la base fundamental de la protección de datos personales, en cuanto a que se refiere a una expresión de su vida privada, toda vez que este derecho se basa en el poder de disposición de los datos por su titular, y de decir, en la mayoría de los casos, a quienes y bajo que condiciones los entrega; lo anterior implica que la persona que tenga a su cargo el tratamiento de datos personales, los debe utilizar con estricto respeto a los derechos del interesado.

En consecuencia, si los datos sometidos a tratamiento son datos ajenos y su utilización ha de hacerse en el marco del respeto a la dignidad de la persona y a su poder de disposición sobre los datos, es necesario que en la recopilación y tratamiento de datos se observen ciertos principios que garanticen plenamente seguridad en el manejo de los mismos.

En este sentido, vale la pena mencionar que durante la Segunda Semana Nacional de Transparencia 2005 2 , organizada por el Instituto Federal de Acceso a la Información Pública Gubernamental, en la Mesa de Trabajo denominada ¿Cuánto valen mis datos personales? El Precio de la Vida Privada, expertos en la materia hablaron sobre los riesgos de no contar con una ley que garantice la protección de los datos personales, haciendo referencia a situaciones delicadas como la venta ilegal de datos personales y el robo de identidad; por lo que se pronunciaron por la necesidad de que exista una ley que garantice la protección de los datos personales en posesión de particulares.

A nivel internacional existen antecedentes importantes que constituyen referentes obligados en la materia, la Organización de las Naciones Unidas, en su Resolución Nº 45/95 del 14 de diciembre de 1990, adoptó Principios rectores sobre la reglamentación de los ficheros computarizados de datos personales. La Resolución establece que se deben pedir garantías con respecto a los datos sensibles, además aconseja la creación de una autoridad de control. Preconiza la adopción de medidas que permitan al individuo tener un derecho de acceso y de rectificación de sus datos, que las personas que obtienen estos datos especifiquen la finalidad de la utilización de los mismos, así como la imposición de límites para su obtención, su uso y su retención. Finalmente hace hincapié en la importancia de la adopción de medidas de seguridad.

Por su parte, la Organización para la Cooperación y el Desarrollo Económico OCDE de la que México forma parte, analizó y estudió diferentes aspectos de la privacidad.

El Simposio de Viena organizado a instancias del Grupo de Expertos sobre Bancos de Datos en 1977, recogió un conjunto de principios básicos que reconocen entre otras cosas la necesidad de que la información fluya de forma regulada entre los países y la legitimación que los países tienen para imponer regulaciones para el flujo de información que pueda resultar contraria al orden público, o que atente contra la seguridad nacional.

Esta misma institución promulgó en 1980 los Lineamientos sobre la Protección de la Privacidad y el Flujo Transfronterizo de Datos Personales, en los que se recomienda de manera general a los países miembros que supriman o eviten crear obstáculos injustificados a los flujos transfronterizos de datos personales, bajo el pretexto de una protección privada. Por lo que se refiere a la obligación de proteger la vida privada, se dice que el Estado debe vigilar la obtención y la calidad de los datos; así como supervisar el respeto de diversos principios, entre ellos, los de finalidad, lealtad y seguridad; además, se prevé la obligación de los Estados de garantizar los derechos de acceso y rectificación por parte del titular de los datos.

En lo relativo a la obligación de garantizar la libre circulación de datos, los Lineamientos prevén que los Estados deben realizar esfuerzos para verificar las consecuencias del flujo transfronterizo de estos datos con respecto a otros países de Estados miembros o no, y, en su caso tomar las medidas apropiadas para garantizar la integridad, el respeto y la utilización de los datos personales. Entre estas medidas se encuentran la creación de sanciones coactivas y el reconocimiento de la responsabilidad jurídica de los controladores de datos y la exigencia de una transparencia en el control de los mismos.

En términos generales los Lineamientos exhortan a los países miembros a mantener legislaciones nacionales similares y acordes con los principios, para facilitar la ejecución de las disposiciones de protección de datos personales en cualquier jurisdicción.

Otro antecedente importante lo constituyen los trabajos del área para la Cooperación Económica de Asia-Pacífico (APEC), de la cual México es parte. El Marco de Privacidad de APEC promueve un acercamiento flexible a la protección de la privacidad de la información en las Economías Miembro de APEC, evitando la creación de barreras innecesarias para los flujos de información. La intención del Marco es proporcionar una clara orientación y dirección a empresas dentro de las Economías de APEC, sobre asuntos comunes de privacidad y de su impacto en la conducción de negocios legítimos.

Además, reconoce la importancia de: a) Desarrollar protecciones apropiadas para la información personal, particularmente contra las dañinas consecuencias de intrusiones no deseadas y del uso incorrecto de la información personal; b) Reconocer el libre flujo de información como algo esencial para Economías de mercado desarrolladas y en desarrollo, para sustentar el crecimiento económico y social; c) Posibilitar organizaciones globales que recopilen, accedan, usen o procesen información en Economías de APEC para desarrollar e implementar acercamientos uniformes dentro de sus organizaciones para tener acceso global y uso de la información personal; d) Posibilitar agencias de seguridad para cumplir con su mandato de proteger la privacidad de la información; y, e) Presentar mecanismos internacionales para promover y hacer cumplir la privacidad de la información, y mantener la continuidad de los flujos de información entre Economías de APEC y sus socios comerciales.

Cabe señalar que junto con el Marco de Privacidad de APEC, este organismo enunció una serie de principios de privacidad de la información, que han orientado en buena medida las legislaciones que existen en otros países sobre el tema, dichos principios son: prevención del daño, aviso, limitación de recolección, usos de la información personal, elección, integridad de la información personal, medidas de seguridad, acceso y corrección y responsabilidad.

Asimismo, el Marco de Privacidad de APEC formula una serie de orientaciones a los países miembros, como en este caso lo es México, respecto de la adecuada implementación de la ley modelo en sus respectivas legislaciones locales.

Otro referente obligado en la materia se ha desarrollado en la Unión Europea donde existe desde hace algunos años un esfuerzo notable para proteger los datos personales. Es de mencionarse el Convenio del Consejo Europeo Nº 108 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 1981 cuyo objetivo es conciliar el respeto de la vida privada y la libre circulación de la información a través de las fronteras. El Convenio se inscribe en una perspectiva de protección de los derechos humanos cuya finalidad es garantizar en el territorio de cada Parte a cualquier persona física el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal.

Otro importante antecedente legislativo en la Unión Europea sobre la materia es la Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, la cual reconoce que los sistemas de tratamiento de datos están al servicio del hombre y deben respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la intimidad, y contribuir al progreso económico y social, al desarrollo de los intercambios, así como al bienestar de los individuos. Reconoce las diferencias existentes en las legislaciones de los Estados miembros, respecto de los niveles de protección de los datos personales, lo cual crea obstáculos a la circulación de datos personales, por lo que para eliminarlos promueve la armonización de las legislaciones que protegen los datos personales buscando ofrecer un nivel máximo de garantía a los ciudadanos de la Unión Europea. De la citada Directiva resulta relevante el artículo 25, el cual establece que los Estados miembros dispondrán la transferencia de datos personales que sean objeto de tratamiento, a un país tercero, únicamente cuando el país tercero garantice un nivel de protección adecuado.

Es necesario tomar en cuenta este antecedente legislativo internacional en la materia, ya que la falta de un marco jurídico que proteja los datos personales en nuestro país, lo señala como un país que a nivel internacional no cumple con los requisitos mínimos en materia de protección de datos personales, lo cual desincentiva el comercio con países de la Unión Europea que exigen cierto grado de protección en la materia.

Ahora bien, es necesario hacer referencia a que la tendencia mundial apunta hacia la regulación jurídica de los datos personales, lo cual confirmamos con el registro de alrededor de cuarenta países 3 que cuentan con regulación jurídica en el tema de protección de datos personales.

Por lo anterior, no cabe la menor duda de que es urgente en nuestro país contar con una legislación que garantice a las personas la protección necesaria frente a la intromisión de los demás en su esfera privada.

En nuestro país, existen referentes legales en materia de protección a la intimidad y privacidad de las personas, tanto en la Constitución General de la República, como en Leyes Federales así como en la legislación secundaria. En la Constitución los artículos 7 y 16 establecen criterios tutelares de la privacidad e intimidad de las personas. En el artículo 7 se prevé como límite a la libertad de imprenta el respeto a la vida privada. En el artículo 16 se regulan dos aspectos relevantes de la garantía protectora del Estado: la inviolabilidad domiciliaria y de las comunicaciones privadas.

El Código Civil Federal en los artículos 1916 y 1916 Bis, hace referencia al derecho al honor, intimidad y a la propia imagen al establecer que: ``Por daño moral se entiende la afectación que una persona sufre en sus sentimientos, afectos, creencias, decoro, honor, reputación, vida privada, configuración y aspecto físico, o bien en la consideración que de si misma tienen los demás...''

Asimismo, establece la fracción IV de dicho artículo que quien ofenda el honor, ataque la vida privada o la imagen propia de una persona, estará sujeta a la reparación del daño moral establecido en ese ordenamiento.

Sin duda un importante avance en materia de protección de datos personales lo es la actual Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, la cual establece como uno de los objetivos de la ley, la protección de los datos personales en posesión de los sujetos obligados y los considera como información confidencial.

Otro paso más hacia la protección de los datos personales se vio reflejado en las recientes reformas al artículo sexto constitucional publicadas el 20 de julio de 2007, en cuya fracción segunda de dicha reforma se establece que: ``La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes''

En dicha reforma, se otorgó la facultad para legislar en materia de protección de datos personales en poder de órganos públicos, a los órganos legislativos de las entidades federativas, y claro, a la Federación.

En este sentido, la tarea está pendiente respecto a la tutela de los datos en posesión de particulares; es decir, hoy en día no contamos con un cuerpo legal que prevea con observancia en todo el país, los principios, derechos, obligaciones, procedimientos, autoridades y sanciones en la materia.

Cabe decirlo, derivado de nuestro sistema federal, algunas entidades federativas, han expedido ordenamientos jurídicos que regulan el tratamiento de datos personales en posesión de particulares, pero desafortunadamente, al igual que como sucedió en el tema del derecho de acceso a la información, la legislación en la materia se inspira en diseños normativos y contenidos diversos, que en nada ayudan a hacer efectivo en todo el país, la tutela y el ejercicio de un derecho fundamental, además de que entorpecen el buen desarrollo del comercio en nuestro país.

Ante esta realidad, la cual no puede pasar inadvertida por el legislador, he presentado e impulsado proyectos legislativos que tienen que ver con dotar al Congreso de la Unión, de facultad para legislar de manera exclusiva en la materia, evitando así la dispersión y asimetría legislativa que se está generando. En efecto, la Iniciativa que presenté ante el Pleno de la Cámara de Diputados, pretende adicionar el artículo 73 de la Constitución Política de los Estados Unidos Mexicanos 4 , a efecto de dotar de facultades al Congreso de la Unión para legislar en materia de protección de datos personales en posesión de particulares. En dicha iniciativa reconozco la importancia de legislar en la materia al decir en la parte expositiva que: ``...debe destacarse que es impostergable la responsabilidad de esta soberanía para legislar en materia de protección de la privacidad de los datos personales de los individuos, no sólo por tratarse de un tema de protección de derechos humanos y libertades fundamentales, sino porque tiene un origen y efectos esenciales sobre la economía nacional y el aseguramiento del comercio irrestricto entre las entidades federativas, y con la regulación del comercio con otros estados extranjeros.''

La iniciativa fue turnada a la Comisión de Puntos Constitucionales de la Cámara de Diputados, posteriormente fue dictaminada en sentido positivo 5 y aprobada en esa Cámara el jueves 20 de septiembre de 2007, siendo turnada a la Cámara de Senadores para los efectos constitucionales y actualmente se encuentra en proceso de dictaminación.

Es justamente en alcance a dicha reforma constitucional, la razón por la cual me presento ante esta tribuna, para someter a la consideración del H. Congreso de la Unión, la presente iniciativa de Ley de Protección de Datos Personales en Posesión de Particulares, sabedor de que la reforma constitucional que debe facultar al Congreso para legislar en el tema, aún no se encuentra dictaminada en la Cámara revisora, sin embargo, una vez que ésta sea aprobada, considero que esta iniciativa proporcionará las bases necesarias para la eventual Ley de Protección de Datos Personales que tutele la dignidad, honor y vida privada de las personas en todo el país.

Considerando la situación actual que en materia de protección de datos personales existe en nuestro país y tomando en cuenta la ausencia de una regulación jurídica que garantice a las personas la protección de sus datos personales en posesión de particulares, es que presento ante Ustedes la presente Iniciativa de Ley, la cual describo a continuación.

La iniciativa está compuesta por siete capítulos, en el Capítulo primero denominado ``Disposiciones Generales'', se establece que el objeto de la ley es la protección de los datos personales contenidos en bases de datos en posesión de particulares, con la finalidad de garantizar el derecho al honor, imagen y vida privada de las personas. Se exceptúa del cumplimiento de la Ley a las Sociedades de Información Crediticia que hayan sido autorizadas por la Secretaría de Hacienda y Crédito Público para operar con ese carácter, y las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

Se definen diversos conceptos que son fundamentales para la aplicación de la ley, tales como el concepto de datos personales, definido como aquella información concerniente a una persona identificada o identificable, y que para efectos de esta Ley, se divide en datos personales sensibles y datos personales de identificación.

En el proyecto se estima que los datos personales sensibles son aquellos relacionados con aspectos genéticos, huella digital o medios de reconocimiento biométrico, así como con la condición médica o de salud, de origen racial o étnico, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas o preferencia sexual del titular. Asimismo, se considera información sensible cualquiera que permita acceder o conocer balances o saldos de cuentas o estados financieros del titular, o en general datos relativos al conocimiento de claves o números de identificación personal de cuentas o tarjetas bancarias, de inversión, títulos u otros instrumentos de crédito.

Se considera necesario precisar en el capítulo referido los conceptos de tratamiento y disociación, ya que una vez que los datos personales son objeto de tratamiento es cuando se da su acceso, cotejo o interconexión, así como su cancelación y es a partir de su tratamiento, que se puede llega a dar un uso indebido de los datos personales.

Ahora bien, la disociación será el procedimiento a través del cual los datos personales no podrán asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo. En este sentido se prevé en la Ley que los datos sensibles únicamente se podrán difundir para fines estadísticos, previo proceso de disociación, en términos de las disposiciones legales aplicables.

Cabe señalar que en el ordenamiento se establece que los principios y derechos previstos, tendrán como límite, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.

En el Capítulo segundo se establecen los Principios relativos a la Protección de Datos y se considera de obligatoria observancia para los particulares en el tratamiento de datos personales, los principios de licitud, consentimiento, información, calidad, confidencialidad, derecho al olvido y seguridad.

En cuanto al principio de licitud, se prohíbe la obtención de datos personales por medios ilícitos, engañosos o fraudulentos y se considera lícito el tratamiento de datos personales cuando el titular de los datos haya otorgado su consentimiento y el objeto de la base de datos no sea contraria a la ley. En este sentido se garantiza en el tratamiento de datos personales la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en un particular, respecto de que los datos personales proporcionados a éste último, no serán tratados para fines distintos a los del objeto de su recolección.

Por lo que respecta al principio del consentimiento, considerado como el eje central en la protección de datos de carácter personal, se establece la obligación consistente en que todo tratamiento de datos personales requiere del consentimiento de su titular y concretamente en lo referente a datos sensibles se prevé que ninguna persona está obligada a proporcionar sus datos personales sensibles, únicamente cuando medie un consentimiento expreso, informado y entendible del titular de los mismos.

Para dar cumplimiento al principio de información, en la iniciativa se establece la obligación a cargo de los particulares que posean bases de datos personales, de proporcionar un aviso de privacidad, el cual en forma clara y entendible hará del conocimiento de los titulares de los datos personales, sus prácticas y políticas por lo que respecta al tratamiento de los datos personales. Además, queda definido el contenido del aviso de privacidad, así como el mecanismo a través del cual se pondrá a disposición de los titulares de los datos personales.

El principio de calidad, el cual se refiere a que los datos que se recaben deben ser pertinentes, adecuados y no excesivos para el fin que se pretenda en su tratamiento, se ve plasmado en la iniciativa al establecerse que los datos personales contenidos en las bases de datos deberán ser exactos y actualizados; aquellos que sean inexactos o incompletos deber ser suprimidos y sustituidos o bien, completados por el responsable de la base de datos.

El principio de derecho al olvido se incorpora en el proyecto al obligar a los responsables de las bases de datos a eliminar los datos personales contenidos en dichas bases, una vez que se haya cumplido el fin para el que fue creada.

Por lo que respecta al principio de seguridad se prevé que la autoridad en la materia establecerá mediante disposiciones generales, las medidas y procedimientos que deberán observar los particulares para garantizar la protección de los datos personales. Además, se prevé la creación de un Registro administrado por la Comisión Nacional de Protección de Datos Personales, en el cual estará inscrita toda base de datos.

En el Capítulo tercero se hace referencia a los Derechos de los Titulares de Datos Personales, consistentes en los derechos de acceso, rectificación, cancelación y oposición. Se prevé que todo titular tenga derecho a conocer si sus datos personales se encuentran almacenados en una base de datos y a solicitar su rectificación o cancelación en forma gratuita y en consultas no menores a seis meses. Además se prevé que los titulares puedan oponerse a proporcionar sus datos personales, salvo que exista obligación por disposición legal, de una relación contractual o por resolución de una autoridad competente.

Con la finalidad de que el titular pueda ejercer los derechos ante el Particular, se establece en el Capítulo cuarto un procedimiento ágil consistente en solicitar al Particular el ejercicio de los derechos previstos en la ley, teniendo el Particular un plazo de un máximo de cinco días hábiles para determinar la procedencia de la solicitud, y en su caso permitir el acceso o llevar a cabo la rectificación o cancelación de sus datos personales.

En caso de que exista una negativa de acceso, rectificación o cancelación de los datos personales; o bien inconformidad respecto a la respuesta obtenida, se prevé que el particular podrá solicitar ante la autoridad en la materia una declaración administrativa de infracción a efecto de que aquélla determine la procedencia de su solicitud, dejando a salvo los derechos de cualquiera de las partes involucradas para recurrir ante las autoridades jurisdiccionales correspondientes.

En el Capítulo quinto, se establece como autoridad administrativa en la materia, la Comisión Nacional de Protección de Datos Personales con la naturaleza jurídica de un organismo descentralizado de la Administración Pública Federal, no sectorizado, dotado de personalidad jurídica y patrimonio propio; contando con plena autonomía técnica y de gestión, así como para dictar sus resoluciones.

La Comisión tendrá entre sus atribuciones la promoción y protección de los datos personales en posesión de particulares; el desarrollo, fomento y difusión de análisis, estudios e investigaciones en materia de protección de datos personales en posesión de particulares; el establecimiento de los lineamientos que en materia de seguridad en el tratamiento de los datos personales, deban observar los particulares; la emisión de las disposiciones necesarias para la operación, funcionamiento y control del registro de bases de datos previsto en la ley; la difusión de los compromisos asumidos por el Estado mexicano en los instrumentos; procurar la solución de las diferencias entre los titulares de datos personales y los particulares; elaborar el Programa Institucional en materia de Protección de Datos Personales en posesión de particulares; conocer y resolver los procedimientos de declaración de infracción administrativa; resolver los recursos de revisión interpuestos en contra de sus resoluciones, así como imponer las sanciones correspondientes.

En la iniciativa se propone que la Administración de la Comisión corresponda a la Junta de Gobierno y a la Presidencia del mismo, previéndose que la Junta de Gobierno esté integrada por cinco representantes de diversas Secretarías de Estado relacionadas con el tema de la protección de datos personales y el Presidente de la Comisión, quien la presidirá. Además con la finalidad de que la Junta de Gobierno tome sus decisiones apoyada de la experiencia y conocimiento de todos los sectores involucrados en el tema, en su conformación se prevé que puedan ser invitados a sus sesiones representantes de los sectores económico y social, así como de universidades de educación superior o de organizaciones civiles, quienes asistirán con derecho a voz, pero no a voto.

Entre las funciones de la Junta de Gobierno, destacan la de establecer las políticas generales para la conducción de la Comisión, así como acordar la realización de todas las operaciones inherentes al objeto del organismo con sujeción a las disposiciones aplicables.

En este mismo Capítulo, se prevé la creación de la Contraloría, órgano de control interno, al frente de la cual estará la persona designada en los términos de la Ley Orgánica de la Administración Pública Federal.

Asimismo, contará con un Comisario Público propietario y un suplente, designados por la Secretaría de la Función Pública, quienes ejercerán sus funciones de acuerdo con las disposiciones legales aplicables.

En cuanto a la estructura, funcionamiento, operación, desarrollo y control la Comisión se regirá por lo dispuesto en la Ley y le serán aplicables las disposiciones contenidas en la Ley Federal de Procedimiento Administrativo, en lo que no se oponga a la misma; y las relaciones de trabajo del organismo y su personal, se regirán por la Ley Federal del Trabajo, reglamentaria del apartado ``A'' del artículo 123 de la Constitución Política de los Estados Unidos Mexicanos.

Cabe señalar que no pasó desapercibido en esta propuesta, el deber jurídico previsto en el artículo 18 de la Ley Federal de Presupuesto y Responsabilidad Hacendaria, el cual señala que ante toda propuesta de aumento o creación de gasto del proyecto de Presupuesto de Egresos, deberá agregarse la correspondiente iniciativa de ingreso distinta al financiamiento o compensarse con reducciones en otras previsiones de gasto. Al respecto, es consideración del proponente, que no debe limitarse por ley, la protección y satisfacción de nuevos derechos y necesidades por parte del Estado, que van surgiendo por virtud del natural dinamismo social y tecnológico; no obstante y conociendo el impacto presupuestal de la presente propuesta que someto a consideración de esta Soberanía, al crearse un organismo que tutele el derecho que nos asiste a todas las personas, es que se señala que al ejercer sus funciones de autoridad el organismo mencionado, éste podrá imponer sanciones de naturaleza económica, que ayudarán a la obtención de los recursos económicos necesarios para el funcionamiento y operación del mismo.

Posteriormente en el Capítulo sexto se regula el Procedimiento de Declaración Administrativa de Infracción, con la finalidad de que la Comisión determine la procedencia de la solicitud de acceso, rectificación, cancelación u oposición de datos personales, ante una negativa del Particular. Se establece la forma y los plazos en que se sustanciará el Procedimiento y se prevé que en contra de las resoluciones que la Comisión emita, procederá el recurso de revisión en los términos previstos por la Ley Federal de Procedimiento Administrativo, siendo la Comisión la competente de conocer y resolver el recurso de revisión. En todo caso, se deja a salvo el derecho de cualquiera de las partes involucradas en la controversia para recurrir ante las autoridades jurisdiccionales correspondientes.

En el Capítulo séptimo, se establecen aquellas conductas que constituyen infracciones a la ley, así como las sanciones a que se harán acreedores aquellas personas que infrinjan la ley, las cuales serán fundadas y motivadas y consistirán desde la obligación para que el particular lleve a cabo los actos solicitados por el titular, hasta multa de 5000 días de salario mínimo vigente en el Distrito Federal.

Finalmente cabe señalar que el tema de la protección de datos personales en posesión de particulares, plantea retos y desafíos importantes ante una eventual legislación, los cuales tienen que ver con los temas de seguridad pública, respeto a los derechos fundamentales de las personas, desarrollo económico y comercial, así como combate a la discriminación.

Por lo anteriormente expuesto, someto a consideración del honorable Congreso de la Unión a través de la Cámara de Diputados la siguiente iniciativa de ley con proyecto de Decreto por la que se expide la Ley de Protección de Datos Personales en Posesión de Particulares.

Decreto

Artículo Único. Se expide la Ley de Protección de Datos Personales en Posesión de Particulares, para quedar como sigue:

Ley de Protección de Datos Personales en Posesión de Particulares.

CAPÍTULO I Disposiciones Generales

Artículo 1. Las disposiciones de esta ley son de orden público y de observancia general en el territorio nacional; tiene por objeto la protección de los datos personales contenidos en bases de datos en posesión de particulares, con la finalidad de garantizar el derecho al honor, imagen y vida privada de las personas.

Sus disposiciones serán aplicables para la protección de los datos de las personas morales, en lo que corresponda a su propia naturaleza.

La aplicación del presente ordenamiento en la esfera administrativa, corresponde a la Comisión Nacional de Protección de Datos Personales.

Artículo 2. Son sujetos obligados al cumplimiento de esta Ley, los particulares que sean titulares de bases de datos, con excepción de:

I. Las Sociedades de Información Crediticia que hayan sido autorizadas por la Secretaría de Hacienda y Crédito Público para operar con ese carácter, y

II. Las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial.

Artículo 3. Para los efectos de esta Ley, se entenderá por:

I. Datos personales. La información concerniente a una persona identificada o identificable, y que para efectos de esta Ley, se divide en datos personales sensibles y datos personales de identificación.

II. Datos personales sensibles. La siguiente información concerniente a una persona:

a) Cualquiera que permita acceder o conocer balances o saldos de cuentas o estados financieros del titular, o en general datos relativos al conocimiento de claves o números de identificación personal de cuentas o tarjetas bancarias, de inversión, títulos u otros instrumentos de crédito; y

b) Cualquiera relacionada con aspectos genéticos, huella digital o medios de reconocimiento biométrico, así como con la condición médica o de salud, de origen racial o étnico, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas o preferencia sexual del titular.

III. Datos personales de identificación. La siguiente información concerniente a una persona:

a) Nombre completo, incluyendo el nombre propio y sus apellidos materno y paterno respectivamente, o cada uno de éstos por separado;

b) Domicilio completo o, a falta de éste, del lugar del centro principal de sus negocios, o en ausencia de éstos, del lugar donde simplemente resida;

c) Correo electrónico, aun cuando tuviere varios;

d) Número o números de teléfono o facsímile;

e) Claves o números de identificación de documentos oficiales, tales como de la cédula del Registro Federal de Contribuyentes, la cédula profesional, la credencial para votar, el pasaporte, la Clave Única del Registro de Población (CURP) o similares, y

f) Cualquier otra información que permita identificar a una persona, que no se trate de algún dato personal sensible

IV. Particular. Cualquier persona física o moral de derecho privado, o cualquier otra de naturaleza distinta a las de derecho público, que decida sobre la finalidad, uso y contenido de la base de datos;

VI. Comisión. La Comisión Nacional de Protección de Datos Personales;

VII. Ley. La Ley de Protección de Datos Personales en Posesión de Particulares.

VIII. Administrador. La persona que independientemente del vínculo laboral o profesional que la relacione con el particular, decide sobre la recolección, uso, divulgación o almacenamiento de datos personales.

IX. Bases de datos personales. El conjunto ordenado de datos personales referentes de una persona identificada o identificable;

X. Tratamiento: Cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o físicos, aplicada a datos personales, como la obtención, registro, organización, conservación, elaboración, modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma, que facilite el acceso a los datos personales, su cotejo o interconexión, así como su cancelación;

XI. Titular de los datos. La persona sobre la cual versan o conciernen datos personales.

XII. Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.

Artículo 4. No son datos personales sujetos a la protección de esta Ley:

I. El nombre, puesto, dirección o teléfonos de trabajo de un empleado en una organización o empresa; o

II. La información que es obtenida de forma lícita de registros públicos u otras fuentes legítimas, o cualquier otra información pública en términos de lo dispuesto en otras leyes.

Artículo 5. Los principios y derechos previstos en esta ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros.

CAPÍTULO II De los Principios Relativos a la Protección de Datos Personales

Artículo 6. Los particulares en el tratamiento datos personales, deberán observar los principios de licitud, consentimiento, información, calidad, confidencialidad, derecho al olvido y seguridad, previstos en la Ley.

Artículo 7. La obtención de datos personales no puede hacerse por medios ilícitos, engañosos o fraudulentos. La creación de bases de datos personales debe tener un fin lícito y observar los principios previstos en la ley.

Es lícito el tratamiento de datos personales cuando el titular de los datos haya otorgado su consentimiento, y el objeto de la base de datos no es contrario a la ley.

Artículo 8. El particular deberá garantizar, en el tratamiento de datos personales, la expectativa razonable de privacidad, entendida como la confianza que deposita cualquier persona en un particular, respecto de que los datos personales proporcionados a éste último, no serán tratados para fines distintos a los del objeto de su recolección.

Artículo 9. Todo tratamiento de datos personales requiere del consentimiento de su titular. Ninguna persona esta obligada a proporcionar sus datos personales sensibles. Únicamente podrán recabarse éstos, previo consentimiento expreso, informado y entendible del titular de los mismos.

No podrán crearse bases de datos que contengan información que directa o indirectamente difundan datos personales sensibles. Sin perjuicio de ello, las asociaciones religiosas, sindicatos, partidos políticos y asociaciones políticas, así como organizaciones de la sociedad civil que posean datos sensibles, podrán llevar un registro de sus miembros que sólo podrá hacerse público si los titulares de los datos así lo consienten de manera previa, expresa e informada.

Los establecimientos de salud privados, así como los profesionales vinculados a proporcionar servicios de salud, pueden recolectar y tratar datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén en tratamiento de aquéllos; dicha información, podrá hacerse pública en las condiciones señaladas en el párrafo anterior.

Los datos personales sensibles, previo proceso de disociación, podrán difundirse para fines estadísticos exclusivamente, en términos de las disposiciones legales aplicables.

En el tratamiento de datos personales de identificación, el consentimiento del titular, podrá otorgarse de manera amplia con la finalidad de que éstos se puedan utilizar, para fines diversos a los del objeto de creación de la base de datos en la que pretendan incorporarse. En este caso, el particular deberá informarle al titular los fines para los que serán utilizados los datos personales, así como los medios a través de los cuales puede limitar o retirar su consentimiento en el tratamiento de sus datos personales.

No se requerirá el consentimiento del titular, cuando su tratamiento derive de una disposición legal, de una relación contractual o profesional del particular con el titular de los datos, o dichos datos se hayan recabado de fuentes de acceso público.

Artículo 10. La recolección y el tratamiento de los datos personales, deberá estar relacionado con el objeto de creación de la base de datos, salvo lo prescrito en el penúltimo párrafo del artículo anterior de esta Ley, y los objetos compatibles o relacionados. Salvo consentimiento expreso, en ningún caso se podrán utilizar datos personales para un fin distinto al que originalmente fueron recabados, ni recolectarse datos personales de cualquier tipo, que no tengan relación con el objeto de creación la base de datos.

Artículo 11. Los datos personales contenidos en las bases de datos deberán ser exactos y actualizados. Los datos inexactos o incompletos, deben ser suprimidos y sustituidos, o de ser el caso, completados por el particular o el responsable de la base de datos, cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, o cuando así sea solicitado por el titular.

Artículo 12. Los responsables de las bases de datos, deberán eliminar los datos personales contenidos en la misma, una vez que se haya cumplido el fin para el que fue creada, de conformidad con los lineamientos que al efecto emita la Comisión. En este caso, no será necesario obtener el consentimiento del titular de los datos personales.

Artículo 13. Las bases de datos deberán de reunir las condiciones de seguridad suficientes que garanticen la protección de los datos personales. La Comisión establecerá mediante disposiciones generales, las medidas y procedimientos que deberán observar los particulares, para garantizar la protección de los datos personales.

Artículo 14. Toda base de datos en los términos previstos en esta Ley, debe inscribirse en el Registro que al efecto administre la Comisión Nacional de Protección de Datos Personales.

Artículo 15. El particular no puede recolectar datos personales de un titular, a menos que le proporcione un aviso de privacidad en cumplimiento con esta ley, en el que le informe de manera clara y entendible acerca de sus prácticas y políticas por lo que respecta al tratamiento de los datos personales.

Artículo 16. El aviso de privacidad deberá contener, al menos, la siguiente información:

I. La identidad y domicilio del particular que recolecta los datos personales;

II. El tipo de datos personales que son recolectados;

III. El fin para el que se recolecta y usarán los datos personales;

IV. las personas u organizaciones a quienes, en su caso, se puede dar a conocer la información recolectada;

V. Cualesquiera opciones y medios que la entidad ofrezca a los titulares para limitar el uso, divulgación, o ejercer los derechos de acceso, rectificación, corrección y cancelación de datos personales, de conformidad con lo dispuesto en esta ley;

VI. Los medios por los cuales el titular puede contactar al particular que recolecta los datos personales, para plantear dudas, comentarios o quejas al respecto, y

VII. El proceso por el cual el particular notifica a los titulares de cambios sustanciales al aviso de privacidad, de conformidad con lo previsto en esta ley;

Artículo 17. El aviso de privacidad debe ponerse a disposición de los titulares de los datos personales de la siguiente manera:

I. En recolecciones en línea, efectuadas por cualquier medio electrónico, óptico o de cualquier otra tecnología, en tiempo real, el aviso de privacidad debe proporcionarse en el momento de la recolección, de forma clara y fehaciente.

En su caso, tratándose de recolecciones vía Internet, el sitio, página o pantalla en que se efectúa la recolección, puede remitir a un vínculo, liga o pantalla subsecuente en la que conste el aviso de privacidad.

Asimismo, el aviso de privacidad puede presentarse en forma resumida, indicando al menos los elementos previstos en el artículo 16, fracciones I, III, y IV, de la presente ley y en forma completa en el vínculo, liga o pantalla subsecuente a la que se remita en el sitio, página o pantalla original.

II. En recolecciones fuera de línea, el aviso de privacidad debe ser proporcionado a solicitud del titular, en el momento de la recolección de los datos personales o con posterioridad, de conformidad con lo previsto en esta ley.

Artículo 18. No es obligatorio el que se proporcione el aviso de privacidad, respecto de la recolección y uso de la información disponible en fuentes de acceso público, ni cuando esta sea proporcionada por un tercero.

Capítulo III Derechos de los Titulares de Datos Personales

Artículo 19. Cualquier titular, o en su caso su representante, podrá ejercer los derechos de acceso, rectificación, cancelación y oposición previstos en la Ley. Los datos personales deben ser almacenados de tal manera, que permitan el ejercicio de los derechos mencionados en este artículo.

Artículo 20. Todo titular tiene derecho a conocer si sus datos personales se encuentran almacenados en una base de datos, y a solicitar su rectificación o cancelación de conformidad con lo señalado en esta ley.

Dicho derecho se ejercerá en forma gratuita, y en consultas no menores a seis meses, previa acreditación de su identidad ante el responsable de la base de datos o el particular titular de la misma.

El acceso puede consistir en la consulta de los archivos contenidos en la base de datos, o en la indicación de los datos objeto de tratamiento, a efecto de que el titular:

I. Conozca si existen datos personales en una base de datos;

II. Solicite información sobre las fuentes y los medios a través de los cuales se obtuvieron los datos;

III. Solicite los fines para los cuales sus datos personales fueron recabados;

IV. Se le informe respecto de si la base de datos se encuentra inscrita en el registro que al efecto administra la Comisión.

Artículo 21. En caso de que los datos personales pretendan ser transferidos o cedidos a otra persona u organización nacional o extranjera, el particular deberá obtener el consentimiento del titular; y en caso de haberlo obtenido, deberá asegurarse que el receptor de los datos personales, protegerá la información con al menos, los mismos principios previstos en esta Ley.

Artículo 22. Los titulares podrán oponerse a proporcionar sus datos personales, salvo que exista obligación proveniente de una disposición legal, de una relación contractual o por resolución de una autoridad competente.

Artículo 23. El titular podrá solicitar al responsable de una base de datos, que se cancelen sus datos personales que se encuentren en la misma, obtenidos sin su consentimiento, en los términos previstos en esta Ley. La cancelación deberá realizarse de manera gratuita.

Capítulo IV Procedimiento para el Ejercicio de los Derechos ante el Particular

Artículo 24. El Titular podrá ejercer ante el Particular, los derechos de acceso, rectificación o cancelación reconocidos en esta ley, mediante el siguiente procedimiento:

I. Se solicitará al Particular en el domicilio que al efecto haya designado o por la vía que se haya previsto en el aviso de privacidad respectivo, el ejercicio de alguno de los derechos previstos en la ley;

II. El Particular tendrá un plazo máximo de 5 días hábiles para determinar sobre la procedencia de la solicitud, y en su caso, permitir el acceso o llevar a cabo la rectificación o cancelación de los datos personales. Si es procedente, le informará al titular sobre dicha determinación, y en un plazo máximo de 48 horas, deberá permitir al titular el acceso a los datos personales, o realizar la rectificación o cancelación de los mismos.

Artículo 25. El Particular podrá negarse a permitir el acceso a los datos personales, o a realizar la rectificación o cancelación de los mismos, cuando se surta cualquiera de las siguientes hipótesis:

I. Cuando el solicitante no sea el titular de los datos personales, o el representante debidamente acreditado para ello;

II. Cuando en su base de datos, no se encuentren los datos personales del solicitante;

III. Cuando se lesionen los derechos de un tercero;

IV. Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación o cancelación de los mismos;

V. Cuando la rectificación o cancelación, haya sido previamente realizada;

En todos los casos anteriores, el particular deberá justificar su decisión y notificársela al titular de los datos, en un plazo máximo de tres días hábiles, por el mismo medio por el que se llevó a cabo la solicitud, acompañando, en su caso, las pruebas que resulten pertinentes.

Artículo 26. El Titular de los datos podrá solicitar ante la Comisión una declaración administrativa de infracción en un plazo máximo de tres meses contado a partir de que se cumpla cualquiera de los siguientes supuestos:

I. En caso de que no hubiere recibido la notificación señalada en el artículo anterior;

II. Cuando habiendo recibido la notificación a que se refiere la fracción anterior, no estuviere de acuerdo con su contenido;

III. En el supuesto de que el particular no hubiere permitido el acceso o realizado la rectificación o cancelación, en los términos y condiciones previstos en esta Ley.

CAPÍTULO V De la Comisión Nacional de Protección de Datos Personales Sección Primera Denominación, Objeto, Domicilio y Patrimonio

Artículo 27. La Comisión Nacional de Protección de Datos Personales es un organismo descentralizado de la Administración Pública Federal, no sectorizado, dotado de personalidad jurídica y patrimonio propio. Para el desarrollo de sus atribuciones, contará con plena autonomía para dictar sus resoluciones, así como técnica y de gestión. Tiene por objeto, promover y proteger los datos personales en posesión de particulares.

Artículo 28. El domicilio legal de la Comisión será la Ciudad de México, Distrito Federal, y podrá establecer delegaciones en las entidades federativas.

Artículo 29. El patrimonio de la Comisión estará integrado con:

I. Los recursos presupuestales que le asigne la Cámara de Diputados del Congreso de la Unión a través del Presupuesto de Egresos de la Federación correspondiente;

II. Los bienes muebles e inmuebles que le sean asignados;

III. Los bienes que adquiera por cualquier otro título lícito, y

IV. Las aportaciones, donaciones, legados y demás liberalidades que reciba de personas físicas y morales.

Sección Segunda De las Atribuciones

Artículo 30. La Comisión tiene las siguientes atribuciones:

I. Promover y proteger los datos personales en posesión de particulares, en los términos previstos en esta Ley;

II. Desarrollar, fomentar y difundir análisis, estudios e investigaciones en materia de protección de datos personales en posesión de particulares;

III. Promover y realizar directamente, en su caso, programas educativos y de capacitación en las materias a que se refiere esta ley y prestar asesoría a los titulares de los datos personales;

IV. Establecer mediante disposiciones generales, los lineamientos que en materia de seguridad en el tratamiento de los datos personales, deben observar los particulares

V. Promover la formulación, difusión y uso de códigos de ética, por parte de los particulares, que incorporen los principios previstos por esta Ley

VI. Celebrar todo tipo de actos jurídicos y acuerdos administrativos, con personas físicas o morales nacionales o extranjeras, de conformidad con las disposiciones legales aplicables, a efecto de dar pleno cumplimiento al objeto contenido en esta Ley;

VII. Divulgar los compromisos asumidos por el Estado mexicano en los instrumentos internacionales que establecen disposiciones en la materia;

VIII. Emitir las disposiciones necesarias para la operación, funcionamiento y control del registro de bases de datos previsto en esta Ley, así como llevar a cabo la administración del mismo;

IX. Vigilar y verificar el cumplimiento de las disposiciones contenidas en esta ley;

X. Procurar la solución de las diferencias entre los titulares de datos personales y los particulares, en los términos previstos en esta Ley;

XI. Elaborar del Programa Institucional en materia de Protección de Datos Personales en posesión de particulares, de conformidad con el Plan Nacional de Desarrollo, Ley de Planeación y demás disposiciones aplicables;

XII. Solicitar a las instituciones públicas o a particulares, la información para verificar el cumplimiento de este ordenamiento, en el ámbito de su competencia, con las excepciones previstas por la legislación;

XIII. Asistir a las reuniones internacionales en materia de Protección de datos personales;

XIV. Imponer las sanciones establecidas en esta ley;

XV. Conocer y resolver los procedimientos de declaración de infracción administrativa señalado en esta Ley;

XVI. Conocer y resolver los recursos de revisión interpuestos en contra de sus resoluciones;

XVII. Las demás que le confieran esta ley y demás ordenamientos aplicables.

Sección Tercera De los Órganos de Gobierno y Administración

Artículo 31. La Administración de la Comisión corresponde a:

I. La Junta de Gobierno, y

II. La Presidencia de la Comisión.

Artículo 32. La Junta de Gobierno estará integrada por los siguientes representantes:

I. Uno de la Secretaría de Gobernación;

II. Uno de la Secretaría de Hacienda y Crédito Público;

III. Uno de la Secretaría de Economía;

IV. Uno de la Secretaría de Educación Pública, y

V. Por el Presidente de la Comisión

Los representantes de las Secretarías deberán tener nivel de Subsecretario y sus respectivos suplentes el nivel inferior jerárquico inmediato.

Asimismo, podrán ser invitados a las sesiones de la Junta de Gobierno con derecho a voz, pero no a voto, representantes de los sectores económico y social, así como de universidades de educación superior o de organizaciones civiles, cuando se discuta un tema o materia de interés de los mismos, en los términos que establezca el Estatuto Orgánico.

Artículo 33. La Junta de Gobierno tendrá, además de aquellas que establece el artículo 58 de la Ley Federal de las Entidades Paraestatales, las siguientes atribuciones:

I. Aprobar su reglamento de sesiones y el Estatuto Orgánico de la Comisión, con base en la propuesta que presente la Presidencia;

II. Establecer las políticas generales para la conducción de la Comisión en apego a este ordenamiento, el Plan Nacional de Desarrollo, al Estatuto Orgánico y a las demás disposiciones legales y administrativas que regulen su funcionamiento;

III. Aprobar el proyecto de presupuesto que someta a su consideración la Presidencia de la Comisión y conocer los informes sobre el ejercicio del mismo;

IV. Nombrar y remover, a propuesta de la Presidencia de la Comisión, a los servidores públicos de éste que ocupen cargos en las dos jerarquías administrativas inferiores a la de aquél, y

V. Acordar con base en los lineamientos y prioridades que establezca el Ejecutivo Federal, la realización de todas las operaciones inherentes al objeto del organismo con sujeción a las disposiciones aplicables y delegar discrecionalmente en el Presidente de la Comisión sus facultades, salvo las que sean indelegables de acuerdo con la legislación aplicable, conforme a lo establecido en este artículo;

VI. Aprobar el tabulador de salarios de la Comisión;

VII. Expedir y publicar un informe anual de la Junta, y

VIII. Las demás que le confieran éste u otros ordenamientos.

Artículo 34. La Junta de Gobierno sesionará válidamente cuando en la sesión se encuentren presentes más de la mitad de los miembros, siempre que entre ellos esté el Presidente de la Junta.

Las resoluciones se tomarán por mayoría de los miembros presentes y en caso de empate, el Presidente tendrá voto de calidad.

Las sesiones que celebre la Junta de Gobierno serán ordinarias y extraordinarias; las ordinarias se llevarán a cabo por lo menos cada tres meses, y las extraordinarias se celebrarán cuando lo convoque el Presidente.

Artículo 35. El Presidente de la Comisión, quien presidirá la Junta de Gobierno, será designado por el Titular del Poder Ejecutivo Federal, y deberá ser ciudadano mexicano y haberse desempeñado en forma destacada en cuestiones profesionales, de servicio público, o académicas substancialmente relacionadas con el objeto de esta ley.

Artículo 36. Durante su encargo el Presidente de la Comisión no podrá desempeñar algún otro empleo, cargo o comisión distinto, que sea remunerado, con excepción de los de carácter docente o científico.

Artículo 37. El Presidente de la Comisión podrá ser removido de sus funciones y, en su caso, sujeto a responsabilidad, sólo por las causas y mediante los procedimientos establecidos por el Título Cuarto de la Constitución Política de los Estados Unidos Mexicanos.

Artículo 38. El Presidente de la Comisión tendrá, además de aquellas que establece el artículo 59 de la Ley Federal de las Entidades Paraestatales, las siguientes atribuciones:

I. Representar legalmente a la Comisión, así como otorgar poderes a servidores públicos de la misma, para representarla en asuntos o procedimientos judiciales, administrativos y laborales;

II. Crear las unidades que se requieran para el buen funcionamiento de la Procuraduría y determinar la competencia de dichas unidades, de acuerdo con el estatuto orgánico;

III. Proponer el anteproyecto de presupuesto de la Comisión y autorizar el ejercicio del aprobado;

IV. Delegar facultades de autoridad y demás necesarias o convenientes en servidores públicos subalternos, sin perjuicio de su ejercicio directo. Los acuerdos relativos se publicarán en el Diario Oficial de la Federación;

V. Fijar las políticas y expedir las normas de organización y funcionamiento de la Comisión;

VI. Planear, organizar, coordinar, dirigir, controlar y evaluar el funcionamiento de la Comisión, con sujeción a las disposiciones aplicables;

VII. Someter a la consideración de la Junta de Gobierno el informe anual de actividades y el informe sobre el ejercicio presupuestal;

VIII. Ejecutar los acuerdos y demás disposiciones de la Junta de Gobierno, así como supervisar su cumplimiento por parte de las unidades administrativas competentes de la Comisión;

IX. Someter a la aprobación de la Junta de Gobierno el proyecto del Estatuto Orgánico;

X. Nombrar a los servidores públicos de la Comisión, a excepción de aquellos que ocupen los dos niveles jerárquicos inferiores inmediatos al Presidente;

XI. Ejercer la representación legal de la Comisión, así como delegarla cuando no exista prohibición expresa para ello;

XII. Celebrar acuerdos de colaboración con órganos u organismos públicos o privados nacionales de cualquier ámbito de gobierno, así como internacionales, para el desarrollo de las atribuciones de la Comisión, de conformidad con las normas aplicables;

XIII. Proponer a la Junta de Gobierno el tabulador salarial de la Comisión y

XIV. Las demás que le confieran éste u otros ordenamientos.

Sección Cuarta De los Órganos de Vigilancia

Artículo 39. La Comisión contará con una contraloría, órgano de control interno, al frente de la cual estará la persona designada en los términos de la Ley Orgánica de la Administración Pública Federal.

Asimismo, contará con un Comisario Público propietario y un suplente, designados por la Secretaría de la Función Pública, quienes ejercerán sus funciones de acuerdo con las disposiciones legales aplicables.

El Comisario acudirá con voz pero sin voto, a las sesiones de la Junta de Gobierno.

Artículo 40. El Comisario Público, tendrá entre otras, las siguientes facultades:

I. Vigilar el cumplimiento de las disposiciones legales, así como de las reglamentarias, administrativas y de política general que se emitan;

II. Promover y vigilar que la Comisión establezca indicadores básicos de gestión, que permitan medir y evaluar su desempeño;

III. Vigilar que la Comisión proporcione con la oportunidad y periodicidad que se señale, la información que requiera en cuanto a los ingresos y gastos públicos realizados;

IV. Solicitar a la Junta de Gobierno o al Presidente de la Comisión, la información que requiera para el desarrollo de sus funciones, y

V. Las demás inherentes a su función y las que le señale expresamente la Secretaría de la Función Pública, en el ámbito de su competencia.

Sección Quinta Prevenciones Generales

Artículo 41. La Comisión se regirá por lo dispuesto en esta Ley en lo relativo a su estructura, funcionamiento, operación, desarrollo y control, y le serán aplicables aquellas disposiciones contenidas en la Ley Federal de Entidades Paraestatales, en lo que no se oponga a la misma.

En este sentido, contará con las disposiciones generales a la naturaleza y características del organismo, a sus órganos de administración, a las unidades que integran estos últimos, a la vigilancia, y demás que se requieran para su regulación interna, conforme a lo establecido en la legislación de la materia y por esta Ley.

Artículo 42. Queda reservado a los Tribunales Federales el conocimiento y resolución de todas las controversias en que sea parte la Comisión.

Sección Sexta Régimen de Trabajo

Artículo 43. Las relaciones de trabajo del organismo y su personal se regirán por la Ley Federal del Trabajo, reglamentaria del apartado ``A'' del artículo 123 de la Constitución Política de los Estados Unidos Mexicanos.

Capítulo VI Del Procedimiento de Declaración Administrativa de Infracción

Artículo 44. Los procedimientos de declaración administrativa de infracción, se sustanciarán y resolverán por la Comisión, con arreglo al procedimiento que señala este capítulo, siendo aplicable, en lo que no se oponga, la Ley Federal de Procedimiento Administrativo y el Código Federal de Procedimientos Civiles.

La Comisión pondrá a disposición del público, el domicilio de las unidades receptoras y la dirección electrónica donde podrán, también, recibirse las solicitudes del procedimiento de declaración administrativa de infracción, en los términos de esta Ley y su Reglamento.

Artículo 45. El procedimiento para sancionar administrativamente las infracciones a la presente Ley, se iniciará a petición de quien tenga interés jurídico, en los términos señalados en este ordenamiento legal.

Las partes, en cualquier etapa del procedimiento, podrán solucionar el conflicto surgido con motivo del ejercicio de los derechos reconocidos en esta Ley, de manera conciliatoria. En caso de llegar a un acuerdo, deberán asentarlo por escrito y hacerlo del conocimiento de la Comisión, a efecto de que ésta dé por concluido el procedimiento iniciado. El convenio celebrado por las partes, tendrá los efectos de cosa Juzgada.

Artículo 46. La solicitud de declaración administrativa de infracción, deberá contener los siguientes elementos:

I. Nombre del Titular de lo Datos Personales, así como de ser el caso, de su representante para ejercer los derechos previstos en esta Ley;

II. Domicilio para oír y recibir notificaciones;

III. Nombre del Particular que se encuentre en cualquiera de los supuestos previstos en el artículo 26 de esta Ley;

IV. Relación sucinta de los hechos que fundamenten su petición;

V. La solicitud para hacer valer cualquiera de los derechos previstos en esta Ley ante particular, por la que no obtuvo contestación, o que el acceso, rectificación o cancelación, no fueron realizados, en los términos previstos por esta ley, o en su caso, la justificación prevista en el último párrafo del artículo , y

VI. Fecha y firma.

Asimismo, el solicitante deberá adjuntar a su escrito, los documentos que acrediten su personalidad, y exhibir el número de copias simples de la solicitud y de los documentos que a ella se acompañan, necesarios para correr traslado al Particular respectivo.

La Comisión deberá poner a disposición del público, formatos en los que cumpliendo los requisitos señalados en este artículo, el titular de los datos, o en su caso, su representante, pueda presentar su solicitud de declaración administrativa de Infracción.

Artículo 47. Si el solicitante no cumpliere con los requisitos a que se refiere el artículo anterior, o no exhibiera los documentos que a ella se acompañan, la Comisión le requerirá por una sola vez, subsane la omisión en que incurrió o haga las aclaraciones que correspondan; para tal efecto se le concederá un plazo de tres días hábiles, y de no cumplirse el requerimiento en el plazo otorgado, se desechará la solicitud de declaración administrativa de infracción.

También se desechará la solicitud por la falta del documento que acredite la personalidad.

Artículo 48. En los procedimientos de declaración administrativa de infracción, se admitirán únicamente las pruebas que tengan relación directo con el fondo del asunto. Las pruebas que se presenten posteriormente, no serán admitidas salvo que fueren supervenientes.

Artículo 49. Para la comprobación de hechos que puedan constituir violación de alguno o algunos de los derechos que protege esta Ley, la Comisión podrá valerse de los medios de prueba que estime necesarios.

Artículo 50. Admitida la solicitud de declaración administrativa de infracción, la Comisión con copia simple de la solicitud y los documentos que se le acompañaron, le notificará al Particular el inicio del procedimiento, concediéndole un plazo de cinco días hábiles para que manifieste por escrito lo que a su derecho convenga y presente las pruebas correspondientes.

Artículo 51. El escrito en que el presunto infractor formule sus manifestaciones deberá contener:

I. Nombre del presunto infractor y, en su caso, de su representante;

II. Domicilio para oír y recibir notificaciones;

III. Excepciones y defensas;

IV. Las manifestaciones u objeciones a cada uno de los puntos de la solicitud de declaración administrativa de infracción;

V. Fundamentos de derecho, y

VI. Fecha y Firma.

El presunto infractor deberá adjuntar a su escrito, los documentos que acrediten su personalidad, así como las pruebas que estime convenientes para desvirtuar la imputación.

Artículo 52. Cuando el presunto infractor no pueda exhibir dentro del plazo concedido la totalidad o parte de las pruebas por causas debidamente justificadas a juicio de la Comisión, se le podrá otorgar un plazo adicional de cinco días hábiles para su presentación, siempre y cuando las ofrezca en su escrito y haga el señalamiento respectivo.

Artículo 53. Transcurrido el plazo para que el presunto infractor, presente sus manifestaciones y, en su caso, la prórroga a que se refiere el artículo anterior, previo estudio de los antecedentes relativos y desahogadas las pruebas que lo requieran, se dictará en un término máximo de cinco días hábiles, la resolución administrativa que proceda, la que se notificará a las partes en el domicilio señalado en el expediente dentro de un término de 48 horas. Cuando proceda la sanción, en la misma resolución se impondrá ésta, señalándose el plazo para su cumplimiento.

La Comisión acordará sobre la admisibilidad de las pruebas ofrecidas, pudiendo rechazar las pruebas propuestas por las partes, cuando éstas no fueren ofrecidas conforme a derecho, no tengan relación directa con el fondo del asunto o con los derechos controvertidos, sean improcedentes o innecesarias. Tal resolución deberá estar debidamente fundada y motivada.

Artículo 54. Las resoluciones que emita la Comisión serán públicas y estarán disponibles para su consulta electrónica, en los términos que disponga la ley de la materia.

En contra de las resoluciones que la Comisión emita de conformidad con la presente Ley, procede el recurso de revisión, en los términos previstos por la Ley Federal de Procedimiento Administrativo. La Comisión será la competente de conocer y resolver el recurso de revisión.

En todo caso, cualquiera de las partes involucradas en la controversia tendrá a salvo sus derechos para recurrir a las autoridades jurisdiccionales correspondientes.

CAPÍTULO VII De las Infracciones y Sanciones

Artículo 55. Constituyen infracciones a la presente Ley, cuando el Particular:

I. No permita al Titular de los Datos sin la debida justificación, el acceso a los datos personales, en los términos previstos en esta Ley;

II. No realice la rectificación o cancelación de los datos personales, sin la debida justificación, en los términos previstos en esta Ley;

III. No entregue al solicitante de los derechos de acceso, rectificación o cancelación, la justificación prevista en el artículo 26 de esta Ley;

IV. Cuando la negativa de permitir al titular de los datos personales el acceso, llevar a cabo la rectificación o cancelación de los datos personales, a juicio de la Comisión, sea notoriamente improcedente, en los términos previstos en esta Ley y su reglamento;

V. No establezca las medidas de seguridad señaladas por la Comisión, para proteger los datos personales en la base de datos de la cual es titular;

VI. Lleve a cabo la transmisión o cesión de los datos personales, sin el consentimiento de los titulares, en los términos previstos en esta Ley;

VII. Recabe datos personales para fines distintos a los del objeto de creación de la base de datos;

VIII. Divulgue o difunda datos personales sensibles, sin la autorización requerida para ello;

IX. No inscriba la base de datos, en el registro previsto en esta Ley;

X. Las demás violaciones a las disposiciones contenidas en esta Ley y su reglamento.

Artículo 56. Las infracciones a la presente Ley serán sancionadas por la Comisión con:

I. La obligación de que el particular lleve a cabo los actos solicitados por el titular, en los términos previstos por esta Ley, tratándose de los supuestos previstos en las fracciones I y II del artículo anterior;

II. Multa de 100 a 2000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en la fracción III, V, IX y X del artículo anterior;

III. Multa de 200 a 5,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones IV, VI, VII, VIII del artículo anterior.

IV. En caso de que persistan infracciones a la presente Ley, se impondrán nuevas multas por cada día que transcurra sin que se obedezca el mandato respectivo, hasta por 200 días de salario mínimo vigente en el Distrito Federal.

Artículo 57. La Comisión fundará y motivará sus resoluciones, considerando:

I. La notoria improcedencia de la negativa del Particular, para realizar los actos solicitados por el Particular, en términos de esta Ley;

II. El carácter intencional o no, de la acción u omisión constitutiva de la infracción;

III. La capacidad económica del Particular, y

IV. La reincidencia.

Artículo 58. Las sanciones que se señalan en este capítulo, se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.

Artículos Transitorios

Artículo Primero. La presente ley entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.

Artículo Segundo. La designación del Presidente de la Comisión deberá realizarse dentro de los 30 días siguientes a la entrada en vigor del presente decreto.

Artículo Tercero. La designación de la Junta de Gobierno deberá realizarse dentro de los 90 días siguientes a la publicación de la ley.

Artículo Cuarto. La Presidencia de la Comisión, someterá a la aprobación de la Junta de Gobierno el proyecto del Estatuto Orgánico dentro de los 120 días siguientes a su nombramiento. Los procedimientos a que alude el Capítulo III de este decreto, empezarán a conocerse, después de los 150 días de haber entrado en vigor la presente ley.

Artículo Quinto. Una vez designada la persona titular de la Presidencia del Consejo, la Secretaría de Hacienda y Crédito Público proveerá, con sujeción a las previsiones que para tal efecto estén contenidas en el Presupuesto de Egresos de la Federación, los recursos necesarios para dar inicio a las actividades de la institución y la Secretaría de la Función Pública llevará a cabo las acciones necesarias en su ámbito de competencia.

Notas: 1 Pablo Lucas Murillo de la Cueva. El Derecho a la Autodeterminación Informativa. La Protección de los Datos Personales frente al Uso de la Informática. Ed. Tecnos, España 1990. Pág. 108. 2 Semana Nacional de la Transparencia 2005. Instituto Federal de Acceso a la Información Pública. México 2005. 3 http://www.ifai.org.mx/SitiosInteres/leyesInternacionales 4 Publicada en la Gaceta Parlamentaria de la Cámara de Diputados, número 2221-I, martes 27 de marzo de 2007. 5 Dictamen publicado en la Gaceta Parlamentaria de la Cámara de Diputados número 2339 de fecha miércoles 12 de septiembre de 2007.

Palacio Legislativo de San Lázaro, a los siete días del mes de octubre de dos mil ocho.--- Diputado Luis Gustavo Parra Noriega (rúbrica).»

El Presidente diputado José Luis Espinosa Piña: Gracias, diputado Gustavo Parra. Insértese el texto íntegro en el Diario de los Debates y publíquese en la Gaceta Parlamentaria.Túrnese a la Comisión de Gobernación, con opinión de la Comisión de Presupuesto y Cuenta Pública.

CAMARA DE ORIGEN: DIPUTADOS
EXPOSICIÓN DE MOTIVOS
México, D.F. jueves 11 de diciembre de 2008.
Gaceta Parlamentaria No. 2653-VII

INICIATIVA DE DIPUATO (GRUPO PARLAMENTARIA DEL PRI)

QUE EXPIDE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES, A CARGO DEL DIPUTADO ADOLFO MOTA HERNÁNDEZ, DEL GRUPO PARLAMENTARIO DEL PRI

El suscrito, Adolfo Mota Hernández, integrante de la LX Legislatura de la Cámara de Diputados del honorable Congreso de la Unión, en uso de las facultades que me confieren los artículos 71, fracción II de la Constitución Política de los Estados Unidos Mexicanos y 55, fracción II del Reglamento para el Gobierno Interior del Congreso de los Estados Unidos Mexicanos, somete a la consideración de esta honorable asamblea, iniciativa con proyecto de decreto por la que se expide la Ley Federal de Protección de Datos Personales de conformidad con la siguiente

Exposición de Motivos

I. Antecedentes

En el contexto actual de globalización que ha presentado avances impresionantes en la tecnificación de instrumentos y mecanismos de procesamiento de datos de toda índole, la protección de la privacidad de los datos personales se ha convertido en un tema de la mayor importancia que inevitablemente requiere de nuestra atención.

Actualmente este tema toma mayor relevancia ante la necesidad de garantizar la seguridad, no sólo porque los datos personales pueden circular indiscriminadamente, sino porque en ocasiones, desafortunadamente, pueden ser conocidos y utilizados por personas con fines ilícitos, para la comisión de delitos, o simplemente de formas no autorizadas, con evidente perjuicio para sus titulares.

Sin embargo, también encontramos como una realidad ineludible que los datos personales son necesarios para una infinidad de operaciones comerciales o de muy diversas índoles en beneficio de sus titulares y, en general, del comercio y la economía nacional. Incluso, en ocasiones la existencia de estos es el habilitador para industrias enteras, como las de algunos modelos de tercerización de servicios o los llamados centros de contacto. Es decir, no es posible que las múltiples relaciones que se esbozan entre las personas, que incluso se dan entre una jurisdicción y otra, puedan llevarse a cabo sin diversos grados de manifestación y uso de los datos personales.

El tema de los datos personales en posesión del Estado se ha resuelto con fundamento en las recientes reformas al artículo 6o. constitucional, donde a nivel federal existen lineamientos para el manejo de dichos datos personales. Asimismo, los estados de la República están trabajando en incorporar esta protección dentro de sus jurisdicciones. Así, la tarea pendiente está planteada respecto de los datos personales detentados, usados o aprovechados por entidades del sector privado. Aunque no de forma exclusiva, en este campo nos encontramos de forma preponderante con la tenencia, desarrollo, operación y uso de bases de datos para fines comerciales, publicitarios, o de relaciones de trabajo, entre otros supuestos. Así, los datos personales adquieren un valor económico importante dentro de la economía nacional.

Es necesario entonces desarrollar un marco normativo específico para la protección de los datos personales en posesión de los particulares. En este sentido, sin embargo la legislación que se establezca en nuestro país debe encontrar un balance entre la protección efectiva de los datos, y por tanto de los derechos de los particulares, y la necesidad de dichos datos para la generación de productos y servicios que generen valor económico, empleo y desarrollo en el país.

Alrededor del mundo, diversos gobiernos y organismos internacionales han reconocido la protección de los datos personales como un derecho fundamental. En México el Congreso de la Unión está deliberando la inclusión de dicho derecho en la Carta Magna, consignándolo en el artículo 16. De ser aprobado se incorporarán en la legislación los derechos de acceso, rectificación, cancelación y oposición de los datos personales (también conocidos por el acrónimo de derechos Arco).

Sin embargo, la premisa básica detrás de la protección de los datos personales y de las regulaciones que gobiernan este derecho, debe ser la de la libertad de los individuos de controlar la forma en la que otros utilicen su información personal (derecho a la autodeterminación informativa). El tratamiento y utilización de los datos personales de un individuo, debe estar sujeto a reglas que aseguren que sean utilizados con fines legales y respetuosos del derecho fundamental de su protección.

El derecho a la protección de datos personales, fundado en el control del individuo de la forma en que se utilizan por terceras personas, no depende del poder informático o del empleo de las nuevas tecnologías de la información y comunicaciones. Estas son solo herramientas que pueden ser utilizadas para su procesamiento, pero que pueden también proveer medidas de protección adecuadas y positivas que permitan a los individuos ejercer su derecho a elegir quienes manejan, y como deben ser manejados sus datos personales.

II. Modelos regulatorios

Hoy por hoy existen dos modelos regulatorios denominados "puros"para la protección de los datos personales, mientras que de manera incipiente comenzamos a ver el surgimiento de un modelo "híbrido" de protección de datos personales. En el primer modelo en ocasiones denominado "modelo general" se establecen lineamientos comunes de protección para todos los sectores (público y privado) y busca establecer una protección universal de los datos personales bajo una autoridad nacional y estableciendo la necesidad de manifestaciones de consentimiento previo de los titulares de los datos personales. En la mayoría de los casos, este modelo general establece prohibiciones de transferencia de los datos y en particular tiene restricciones claras al flujo transfronterizo de los datos. Este modelo, es el que se ha difundido de manera importante entre algunos países de la Unión Europea.

El otro modelo, prevalente a nivel internacional es el se denomina como el modelo sectorial. Los proponentes del modelo sectorial basan el mismo en la premisa de que debe evitarse la sobre-regulación, con el enfoque de que los mercados se auto-regulen como una medida de eficiencia. Bajo esta premisa, el Estado solamente debe intervenir en ciertos casos para proteger a algunos grupos vulnerables (por ejemplo los menores) o a algunas industrias que requieren especial interés (por ejemplo el sector salud). El modelo también reconoce la aplicación limitada de algunos principios de protección, con la supervisión limitada de algunas autoridades sectoriales, pero bajo el principio rector de la preferencia de la auto-regulación por parte de la industria.

Sin embargo, actualmente se presenta una tercera vía que intenta tomar las características positivas de ambos modelos aparentemente antagónicos. Este modelo que puede denominarse como híbrido, establece derechos, principios y procedimientos de protección, que son supervisados por una autoridad centralizada y con aplicación general, que es complementada por prácticas propuestas por sectores específicos de la economía (como pudieran ser los sellos de confianza en Internet). Es decir, se asegura un determinado nivel de protección establecido en ley, pero los estándares varían de sector a sector, con la posibilidad de confeccionar la protección conforme a los requerimientos de las prácticas de la industria, lo que permite a la industria auto-regularse con base en las mejores prácticas a nivel internacional, sin perder la protección al titular de los datos.

Independientemente de estos modelos regulatorios, existen asimismo dos aproximaciones o enfoques para presentar niveles prácticos de protección para los titulares de los datos. En el primer enfoque, la regulación está centrada en el dato, intentando establecer medidas regulatorias de control por parte de la autoridad hacia referidas al dato y sus controles. Este enfoque regulatorio tiene la desventaja de intentar regular los datos con instrumentos tradicionales que son más fácilmente aplicables a elementos tangibles, y difícilmente aplicables a mensajes de datos en un contexto globalizado como el que vivimos. Esta corriente de pensamiento, se encuentra alineada a un enfoque burocrático de toma de decisiones que conlleva inexorablemente al aumento de la burocracia y la sobre-regulación que implican costos innecesarios para el gobierno e incrementa el precio de los bienes y servicios para los usuarios.

El segundo enfoque, plasmado cada día más en la legislación moderna de protección de datos personales, es aquel en el se regulan las conductas de los responsables de la recolección y tratamiento de los datos personales. Es decir, se busca establecer lo que los poseedores de datos de terceros pueden hacer con ellos. En dicho modelo, adicionalmente, se busca que los titulares de los datos, mantengan control de los mismos al poder definir, por medio de mecanismos específicos, si comparten sus datos personales y con qué fines lo hacen. Este modelo tiene la ventaja de permitir a los titulares de sus datos elegir y no establece restricciones innecesarias a la actividad comercial, es decir establece de manera práctica y con toda fuerza y vigor el derecho a la autodeterminación informativa de los individuos respecto de sus datos personales.

III. Derecho comparado

A nivel internacional, la legislación en la materia es un tema extraordinariamente discutido e, incluso, de relativa antigüedad. Los primeros trabajos de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) -sin duda, la institución con mayor experiencia y autoridad en la materia, y de la que México forma parte- datan de 1969, con la formación del Grupo de Expertos sobre Bancos de Datos (Data Bank Panel), que analizó y estudió diferentes aspecto de la privacidad.

El primer gran consenso internacional en materia de protección de datos personales se dio en el Simposio de Viena, en 1977, organizado a instancias del Grupo de Expertos sobre Bancos de Datos de la OCDE. El Simposio de Viena recogió un conjunto de principios básicos que, en términos generales, han permanecido y continúan vigentes hasta la fecha, con ligeras variantes.

Estos principios reconocen (a) la necesidad de que la información fluya de forma regulada entre los países; (b) que es legítimo que los países impongan regulaciones para el flujo de información que pueda resultar contraria al orden público, o que atente contra la seguridad nacional; (c) que el flujo de información tiene un valor económico intrínseco importante para las economías de los países; (d) que los países deben adoptar medidas de seguridad mínimas para la protección de la información, así como regular sobre la protección de dicha información, para evitar su uso o aprovechamiento ilegítimos; y (e) que los países (particularmente los países miembros de la OCDE, desde luego) deben asumir un compromiso de adopción de principios generales para la protección de datos personales.

En 1978, la OCDE creó un nuevo grupo internacional ad hoc en relación con la protección de datos personales, que se denominó Grupo de Expertos sobre Barreras Transfronterizas de Información y Protección de Privacidad, que fue encomendado para desarrollar lineamientos de consenso general en relación con el flujo transfronterizo de datos, y la protección de datos personales y privacidad, con la finalidad de armonizar las legislaciones domésticas o nacionales de los países (particularmente, desde luego, las de los países miembros de la OCDE, como el caso de México).

Con el fin de hallar un consenso internacional en la materia, los trabajos de la OCDE se hicieron acompañar del Consejo de Europa y la entonces Comunidad Económica Europea, y terminaron el 1 de julio de 1979. En términos generales, ambas instituciones hallaron cuestionamientos y preocupaciones similares de los países miembros de la OCDE y de la comunidad europea.

Ciertamente, la óptica del tratamiento del tema entre los países miembros de la OCDE y la organización europea en su conjunto -pues ciertamente hay países europeos que son miembros de la OCDE- tuvo cierto grado de diferencia. En el tiempo, no obstante, los enfoques divergentes fueron confluyendo inexorablemente en la necesidad de asegurar la protección de la privacidad de los datos personales, como un aspecto de derechos humanos fundamentales y libertades individuales.

Los resultados de los trabajos de la OCDE condujeron, finalmente, a la promulgación de los Lineamientos sobre la Protección de la Privacidad y el Flujo Transfronterizo de Datos Personales, de 1980 (OCDE, Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, los lineamientos de la OCDE).

En términos generales, los Lineamientos de la OCDE se componen de los siguientes elementos:

a) Un preámbulo de recomendaciones, que expresa la necesidad elemental de realizar acciones de protección en la materia. La recomendación, particularmente dirigida a los países miembros de la organización -como en este caso lo es México- hace énfasis en que el enfoque de la legislación debe orientarse hacia la protección de la privacidad y las libertades individuales, y al respeto al flujo transfronterizo de datos personales.

b) Los lineamientos propiamente dichos consisten de cinco partes. La primera parte contiene un conjunto de definiciones básicas que buscan reflejar el consenso sobre conceptos básicos de la legislación en la materia. En esta parte, los Lineamientos indican que los estándares contenidos en ellos son mínimos, y que cada país en su propia legislación, puede ampliarlos para extender sus prerrogativas.

Una segunda sección de los lineamientos delinea ocho principios básicos, de los párrafos 7 a 14.

Estos principios son:

1. Collection Limitation Principle, o principio de límites de la recolección. Deben existir limitaciones para la recolección de datos personales, y en todo caso deben ser obtenidos haciendo uso de medios lícitos y, en determinados casos, con el conocimiento y consentimiento de los titulares.

2. Data Quality Principle, o principio de la calidad de los datos. Los datos personales deben ser relevantes para el propósito para el cual se usan y, en la medida de lo posible respecto de dichos propósitos, deben ser adecuados, completos y actuales.

3. Purpose Specification Principle, o principio de especificación de propósito. Los propósitos para los cuales se recolectan datos personales debe ser especificado al momento de su obtención, y el uso subsecuente de ellos debe limitarse al cumplimiento de tales propósitos u otros que no sean incompatibles con éstos, y que sean especificados en cada ocasión en que varíen los propósitos iniciales.

4. Use Limitation Principle, o principio de limitación de uso. Los datos personales no deben ser divulgados o puesto a disposición de terceros para usos diferentes a los declarados por quien los obtuvo, excepto (i) si se cuenta con el consentimiento del titular, o (ii) así lo requiere o autoriza la ley.

5. Security Safeguards Principle, o principio de salvaguardas de seguridad. Los datos personales deben ser protegidos mediante salvaguardas de seguridad razonables, contra riesgos de pérdida o de acceso, destrucción, uso, modificación o divulgación no autorizados.

6. Openness Principle, o principio de amplitud. Debe existir una política pública abierta respecto al desarrollo, prácticas y políticas prevalecientes en relación con la recolección y uso de los datos personales. Al mismo tiempo, deben existir medios para determinar la existencia y naturaleza de los datos personales, así como los propósitos principales de ellos, y poderse conocer la identidad y domicilio de las personas que se consideren como sujetos responsables por el uso o manejo de datos personales.

7. Individual Participation Principle, o principio de participación individual. Todo individuo debe tener derecho (i) a obtener información de los sujetos obligados, o la confirmación de que un determinado sujeto obligado no tiene información sobre el individuo solicitante; (ii) a que se le indique en un tiempo y a costo razonables, en una forma adecuada, la información que se mantenga de él; (iii) a que se le informe y se le hagan saber las razones de cualquier negativa a contestar un requerimiento de información, así como a solicitar que se elimine, rectifique, complete o modifique información que se tenga de él.

8. Accountability Principle, o principio de responsabilidad. Todo sujeto obligado en la ley debe ser responsable de cumplir con las medidas que se adopten para hacer eficientes los principios antes mencionados.

d) La tercera sección de los lineamientos establece una serie de principios innominados en relación con la aplicación internacional de los Lineamientos y cualesquiera legislaciones domésticas en la materia.

En términos generales, exhorta a los países miembros a mantener legislaciones nacionales similares y acordes con los principios, para facilitar la ejecución de las disposiciones de protección de datos personales en cualquier jurisdicción.

El enfoque básico de los principios de cooperación internacional se concentra en la permisión y protección del flujo transfronterizo de datos, y del establecimiento únicamente de restricciones legítimas, para preservar el ambiente de comercio global entre los países.

Estos principios son:

1. Los países miembros de la OCDE deben tomar en cuenta las implicaciones de otros países en relación con sus medidas de procesamiento y flujo de datos personales.

2. Los países miembros deben adoptar todas las medidas razonables para asegurar que los flujos transfronterizos de datos, particularmente respecto de los otros países miembros de la organización, sean ininterrumpidos y seguros.

3. Los países miembros no deben crear barreras o restricciones de flujo transfronterizo de datos personales, incluyendo barreras o restricciones internas, es decir entre sus propias fronteras de su división interna. En todo caso, los países pueden imponer restricciones en ciertas categorías de datos personales para los cuales sus propias legislaciones locales contengan regulaciones especiales, debido a la naturaleza de la información.

4. Los países miembros no deben desarrollar leyes, políticas o prácticas en nombre de la protección de la privacidad o de las libertades individuales, que en realidad constituyan obstáculos para el comercio interno o internacional, o para el flujo transfronterizo de datos personales.

e) La cuarta sección establece, en términos generales, la importancia de establecer medios que implementen los principios básicos mencionados en las secciones anteriores, y que estos medios sean utilizados de manera amplia y no discriminatoria.

Específicamente, a este respecto los Lineamientos exhortan a los países miembros de la OCDE a:

1. Adoptar legislación nacional acorde con los lineamientos de la OCDE;

2. Promover y apoyar los mecanismos de autorregulación, así como el establecimiento de códigos de conducta por parte del sector privado;

3. Proveer los medios razonables para que los individuos ejerzan sus derechos;

4. Proveer sanciones adecuadas y razonables para los sujetos obligados que no observen la ley; y

5. Asegurar que la ley se aplica de forma no discriminatoria.

f) Por último, la quinta sección enfatiza nuevamente la importancia de la cooperación internacional y establece la obligación creada, particularmente respecto de los países miembros de la organización, de compartir información y proveerse asistencia mutua en investigaciones u otros órdenes en los cuales la cooperación es necesaria para hacer cumplir la ley en varias jurisdicciones.

Así la iniciativa que se presenta ha considerado cumplir en espíritu con los principios reconocidos por México en el seno de la OCDE y cumplir así con el compromiso internacional establecido por México en seno de la organización.

IV. Elementos para la construcción de la iniciativa de Ley de Protección de Datos Personales.

La presente iniciativa desde su construcción, busca establecerse dentro de lo que hemos denominado el modelo híbrido de regulación de los datos personales. En particular, se ha buscado un apego a los principios internacionales reconocidos sobre la materia en los distintos foros internacionales de los que México es parte (principalmente APEC y OCDE) con el fin de dar cumplimiento a los compromisos contraídos por México.

La iniciativa está fundada en prevenir el mal uso de los datos personales y por consiguiente el daño que se pudiera causar a los ciudadanos (los titulares de los datos personales) por ese mal uso. La iniciativa no se centra solamente en sancionar el mal uso de los datos, sino de proveer a los individuos de mecanismos para ejercer efectivamente los derechos Arco.

La presente iniciativa hace asimismo, una importante distinción entre los datos personales que tienen una naturaleza sensible y que en sí mismo no son necesarios para llevar a cabo actos meramente comerciales, contractuales o laborales. Esta diferenciación, permite establecer un nivel adicional de protección para aquellos datos que por su naturaleza, y como lo han reconocido los principios internaciones en la materia, requieren un mayor nivel de protección que el resto de los datos personales.

La iniciativa además, se centra en proveer a los titulares de información sobre los datos que se recopilan de ellos y con qué propósito. Esto se logra por medio del aviso de privacidad que los responsables del tratamiento de los datos personales (entendido de la forma más amplia posible) tienen que presentar a los titulares especificando no solamente que datos recopilarán, sino los fines para lo que lo hacen y cualesquiera fines secundarios para los que pudieran utilizarse dichos datos.

Asimismo, se ha especificado que el aviso de privacidad debe contener la información del responsable de los datos y los mecanismos de contacto con los que los titulares cuentan a fin de ejercer ante el responsable sus derechos Arco.

La utilización del aviso de privacidad como mecanismo principal de información y acceso permite limitar los propósitos para los que la información es recolectada y utilizada, mientras que al mismo tiempo establece mecanismos de limitación posterior de los usos de la información cuando por ejemplo se decide retirar el consentimiento para la utilización de los datos en el caso de un fin secundario.

Sobre todo, el modelo que está basado no en la regulación del dato como elemento sino de las conductas y actividades relacionadas con la recolección y manejo de los datos. Esto habilita la elección de los titulares de los datos al fomentar el entendimiento de que estos tienen una opción con relación a la recolección, uso y transferencia de sus datos personales.

Por otra parte la iniciativa especifica la necesidad de que la información esté completa y la mantenga, en la medida de lo posible, actualizada. Sin embargo, reconoce que para lograr esto se requiere de la participación y consentimiento del titular ya que es el quien tiene control sobre su información y puede proporcionarla. Establecer la obligación de los responsables de mantener la información actualizada y exacta, sin reconocer que este hecho no depende solamente del responsable, no solo es inoperante sino que establecería una obligación que no depende en su totalidad del sujeto regulado.

La iniciativa determina la existencia de una autoridad central que sea responsable del cumplimiento de la ley y que pueda establecer sanciones en la esfera administrativa. Esta autoridad está particularmente enfocada al cumplimiento de las obligaciones que los responsables de los datos tienen que dar para permitir el acceso y corrección de los datos a los titulares de éstos.

En la iniciativa se reconoce también en la designación de la autoridad, que en los tiempos actuales la creación de organizaciones, si bien necesarias para el cumplimiento de la ley, deben buscar minimizar los costos del Estado. Es por ello que se ha buscado establecer la responsabilidad a un ente especializado pero dependiente de una secretaría de Estado del Ejecutivo federal.

La elección de la Secretaría de Economía (SE) para que de ella se desprenda la autoridad reguladora no es fortuita. La SE tiene hoy entre sus atribuciones y órganos desconcentrados o especializados la protección de otros derechos como el del consumidor por medio de la Procuraduría Federal del Consumidor (Profeco) o el de la protección de la propiedad industrial por medio del Instituto Mexicano de la Propiedad Industrial (IMPI). Se ha considerado que esta vocación de la SE de asegurar los derechos de los particulares y al mismo tiempo considerar las necesidades de la actividad industrial y comercial aseguraría el balance necesario entre la protección de los particulares y la necesidad del mercado de utilizar los datos para su operación comercial.

La presente iniciativa reconoce también la necesidad de que los responsables de los datos establezcan medidas de seguridad para proteger estos. Sin embargo, se intenta en la iniciativa mantener un principio de neutralidad tecnológica al dejar a determinación del responsable de los datos las medidas a utilizar, estableciendo como requisito que dichas medidas no sean menores a las que el responsable aplica a sus propios datos.

Consideramos que la autoridad gubernamental no debe tener el papel de regular las medidas de protección. Las instituciones gubernamentales no cuentan con la experiencia o velocidad para definir las medidas de seguridad al ritmo que lo hace el mercado por medio de las mejores prácticas internacionales. Consideramos asimismo que al no ser estas definidas por la autoridad se reconoce que no todos los responsables tienen las mismas capacidades o necesidades de protección pues existen distintos niveles de sensibilidad de la información y capacidad de protección debido a la naturaleza de las organizaciones que son responsables de los datos.

Tanto las medidas relativas a la seguridad como las que se refieren a las limitaciones y derechos a proteger dependen de establecer la responsabilidad de quien trata los datos, aún cuando estos sean transferidos a un tercero para su procesamiento. El enfoque de la iniciativa a diferencia de otras propuestas no establece la responsabilidad de consentimiento ante la transferencia por encontrar que ello no es ni práctico, ni establece un nivel efectivo de protección para el titular de los datos. La iniciativa reconoce la necesidad de la transferencia para las operaciones comerciales, sin embargo, establece que la responsabilidad de los datos no solamente no cesa ante la transferencia sino que las condiciones establecidas en el aviso de privacidad deben mantenerse por parte del tercero y los niveles efectivos de protección deben ser mantenidos por dicho tercero que tratará los datos. Con ello, se establece un nivel efectivo de protección para el titular, mientras que se reconoce la necesidad de los modelos de negocio para hacer más eficiente la operación de las empresas.

Finalmente, la iniciativa establece dos procedimientos fundamentales para otorgar protección efectiva para los titulares de los datos. El primero, es el procedimiento de acceso ante el responsable. En el se establecen las condiciones para que los titulares de los datos personales puedan ejercer sus derechos de acceso corrección, cancelación y oposición ante los responsables del tratamiento de sus datos personales. Esto genera certidumbre en cuanto a establecer procedimientos comunes para el efectivo ejercicio de los derechos.

En segundo lugar se establece un procedimiento ante la autoridad que tiene el objeto de corregir faltas u omisiones que el responsable haya podido cometer, que es la verdadera necesidad del titular, estableciendo sanciones ante el incumplimiento. La posibilidad de que el responsable corrija la situación que despierta la queja del titular, debe ser la principal razón del procedimiento y no la sanción por ella misma.

V. Consideraciones para la evaluación de la iniciativa

Considerando los modelos regulatorios existentes y los compromisos internacionales contraídos por México en la materia, es importante destacar los siguientes elementos que resultan determinantes para la evaluación de la presente iniciativa:

1. Primero, que la responsabilidad de esta soberanía para legislar en materia de protección de los datos personales es impostergable, no sólo por tratarse de un tema de protección de derechos humanos y libertades fundamentales, sino porque tiene un origen y efectos esenciales sobre la economía nacional, la competitividad y el aseguramiento del comercio irrestricto entre las entidades federativas, y con la regulación del comercio con otros Estados extranjeros.

El pasado 5 de Diciembre del 2008, el Senado de la República aprobó la minuta enviada por ésta soberanía que reforma al artículo 73 constitucional, en el que se establece como facultad exclusiva del Congreso de la Unión el legislar en materia de datos personales en posesión de los particulares.

Por las razones expuestas en la presente iniciativa, de acuerdo con las exposiciones de motivos y diversa memoranda explicativa tanto de los Lineamientos de la OCDE como del Marco de Privacidad de APEC, ambas organizaciones de las cuales México es parte, como por la propia naturaleza de la legislación que se propone y su origen y efecto sobre el comercio interestatal y desde luego sobre el comercio internacional.

Por lo anteriormente expuesto, someto a consideración del honorable Congreso de la Unión a través de la Cámara de Diputados la siguiente iniciativa de ley con proyecto de decreto por la que se expide la Ley Federal de Protección de Datos Personales.

Decreto por el que se crea la Ley Federal de Protección de Datos Personales

Artículo Único. Se crea la Ley Federal de Protección de Datos Personales.

Ley Federal de Protección de Datos Personales

Título Primero
De los datos personales

Capítulo Primero
Disposiciones generales

Artículo 1. Esta ley es de orden público, de observancia general en toda la República y tiene por objeto regular el derecho a la autodeterminación informativa de las personas que permita, por una parte, la transferencia legítima, controlada e informada de los datos personales y por otra, la protección a la privacidad cuando se trate de datos sensibles, así como regular el tratamiento de los datos personales por parte de los sujetos responsables conforme a este ordenamiento.

Artículo 2. Son sujetos regulados por la presente ley, las personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales.

Artículo 3. No son sujetos regulados por esta ley:

I. El Poder Ejecutivo federal;

II. El Poder Legislativo federal;

III. El Poder Judicial de la federación;

IV. Los órganos constitucionales autónomos;

V. Los tribunales administrativos federales;

VI. Los sindicatos, las asociaciones profesionales y las demás a que se refiere la fracción XVI del artículo 123 Apartado A de la Constitución federal;

VII. Las sociedades de información crediticia, quienes en lo relativo a la recolección, uso, divulgación y almacenamiento o ambos de los datos personales que intercambien con sus usuarios, y a las relaciones jurídicas entre éstos y aquellas, están reguladas por la Ley para Regular las Sociedades de Información Crediticia y demás disposiciones aplicables;

VIII. Cualquier otra institución, órgano o entidad de naturaleza pública que se encuentre regulada por leyes o disposiciones específicas, y

IX. Las asociaciones religiosas.

Artículo 4. Para efectos de la ley se entenderá por:

I. Aviso de privacidad: Documento físico o electrónico generado por el responsable que es puesto a disposición del titular previo al tratamiento de sus datos personales, de conformidad con el principio de aviso al que se refiere el texto de la presente ley;

II. Datos personales: La información concerniente a una persona física, identificada o identificable;

III. Datos sensibles: La información de una persona concerniente a su origen racial o étnico, ideología y opinión política, pertenencia a organizaciones sindicales, creencia o convicción religiosa o filosófica, estado de salud físico o mental y la preferencia sexual.

IV. Fin primario: Cualquier tratamiento de datos personales que implique o sea necesario para:

a) Efectuar, administrar, mantener o cumplir una transacción o acuerdo de voluntades de naturaleza civil, comercial o laboral o cualquier acto jurídico solicitado por el titular o en el que este sea parte;

b) Dar cumplimento o ejecutar un mandato, comisión, servicio u otra relación jurídica establecida con el titular;

c) La proveeduría o aprovechamiento de un bien o servicio solicitado por el titular, o

d) Responder una solicitud del titular.

V. Fin secundario: Cualquier tratamiento licito de datos personales que no constituya un fin primario;

VI. Información Pública: Son aquellos datos personales que obren en fuentes accesibles al público en general, sin mas limitación que, en su caso, el pago de una contraprestación;

VII. Instituto: El Instituto de Protección de Datos Personales, autoridad responsable de la aplicación de ésta ley;

VIII. Ley: La Ley Federal de Protección de Datos Personales;

IX. Responsable: Personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales sujetos a la presente ley;

X. Tercero: La persona física o moral nacional o extranjera distinta del titular o responsables de los datos;

XI. Titular: La persona física a quien corresponden los datos personales, y

XII. Tratamiento de datos personales: La recolección, uso, divulgación o almacenamiento de datos personales, por cualquier medio. El uso abarca cualquier acción de acceso, manejo, aprovechamiento, transferencia o disposición de datos personales.

Artículo 5. No son datos personales, para los efectos de la ley:

I. El nombre, puesto, dirección o teléfonos de trabajo de un empleado, prestador de servicios o miembro de una organización;

II. La información que una persona hace pública de forma deliberada, o permite que sea hecha pública, o que es obtenida de registros públicos u otras fuentes accesibles al público en general de conformidad con las leyes, y

III. Aquellos datos que obran o que son utilizados en el ejercicio de actividades exclusivamente personales o domésticas.

Capítulo Segundo
Del tratamiento de datos personales

Artículo 6. Los datos personales deberán tratarse conforme a los siguientes principios: Licitud; aviso; calidad; acceso y corrección de información; seguridad y custodia; y consentimiento.

Artículo 7. Principio de licitud. Los datos personales deberán recabarse y tratarse de manera lícita conforme a las normas establecidas por esta ley y demás disposiciones aplicables en las leyes federales.

Artículo 8. Las personas físicas o morales podrán convenir entre ellas o con organizaciones civiles y gubernamentales, o ambas, nacionales o extranjeras, esquemas de autorregulación en la materia, que complementen lo dispuesto por la presente ley.

Artículo 9. Las personas físicas o morales podrán recolectar y tratar datos personales cuando:

I. Cumpla con la regulación establecida en la presente ley;

II. Así lo determine la ley aplicable al acto que motivó la colecta; o

III. Proporcione un aviso de privacidad en términos de esta ley.

Artículo 10. Principio de aviso. Asegurar que los titulares de los datos personales tengan conocimiento de que información se recaba de ellos y con que fines.

Artículo 11. Cuando sea necesario proporcionar un aviso de privacidad, en términos del artículo anterior, éste deberá contener, al menos, la siguiente información:

I. La identidad del responsable que recolecta y/o trata los datos personales;

II. El fin primario y cualquier fin secundario para el cual se recolectan y tratan los datos personales;

III. El fin primario y cualquier fin secundario para el cual los datos personales deban o puedan ser divulgados;

IV. Las opciones y medios que el responsable ofrezca a los titulares para tener acceso a sus datos, corregirlos, modificarlos o cancelarlos, de conformidad con lo dispuesto en esta ley;

V. El procedimiento que el responsable establezca para limitar el uso y divulgación de datos personales para fines secundarios, de conformidad con lo dispuesto en esta ley, y

VI. El procedimiento y medio por el cual el responsable notificará a los titulares de cambios sustanciales al aviso de privacidad, de conformidad con lo previsto en esta ley.

Artículo 12. El aviso de privacidad debe hacerse disponible por cualquiera de los siguientes medios:

I. Cuando el tratamiento de datos se haga por cualquier medio electrónico, óptico o de cualquier otra tecnología, el aviso de privacidad debe estar disponible o referenciado en el momento del primer contacto con el titular de los datos, de forma clara y fehaciente.

En el caso del tratamiento de datos vía Internet, el sitio, página o pantalla en que se efectúa el primer contacto con el titular, puede remitir a un vínculo, liga o pantalla subsecuente en la que conste el aviso de privacidad.

Asimismo, el aviso de privacidad contendrá un resumen que indicará al menos los elementos previstos en el artículo 11, fracciones I, II, III y IV.

II. Cuando el tratamiento de datos se realice por cualquier otro medio distinto de los establecidos en el numeral anterior, el aviso de privacidad completo debe estar disponible en el momento del primer contacto con el titular.

Artículo 13. Si el responsable del tratamiento de los datos personales, pretende usarlos o divulgarlos para un fin secundario, debe incluir en el aviso de privacidad:

I. La declaración clara e inequívoca de que los datos personales proporcionados podrán ser usados o revelados para un fin secundario;

II. La descripción del mecanismo bajo el cual el titular podrá manifestar su voluntad de que sus datos personales no sean utilizados para un fin secundario, y

III. La descripción de los usos que se darán a los datos personales para fines secundarios.

Capítulo Tercero
Del consentimiento para el uso y divulgación de datos personales

Artículo 14. Principio de consentimiento. El tratamiento de datos personales estará sujeto al consentimiento del titular de conformidad con lo dispuesto en el presente capítulo.

Artículo 15. Para efectos de la presente ley, el responsable cuenta con el consentimiento del titular:

I. Si el aviso de privacidad puesto a disposición del titular, contiene los elementos descritos en los artículos 11 y 13 en su caso de esta ley, y

II. Si el titular no ha manifestado al responsable su voluntad de que sus datos personales no sean o continúen siendo utilizados o divulgados para fines secundarios.

Artículo 16. Tratándose de datos sensibles, el responsable deberá obtener el consentimiento previo del titular para su uso y divulgación para fines secundarios.

Artículo 17. No existe la obligación de recabar el consentimiento previo del titular, en el caso de datos sensibles, cuando:

I. Exista disposición legal que permita la recolección o el tratamiento de dichos datos; o bien obligue a los titulares a proporcionarlos;

II. Cuando sea necesarios para atender una emergencia médica del titular o su cesión sea necesaria para una investigación epidemiológica o de interés público;

III. Los datos personales se sometan a un procedimiento previo de disociación, y

IV. Cuando así lo exija resolución de autoridad competente.

V. Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;

Capítulo Cuarto
Disposiciones especiales de uso y divulgación a terceros

Artículo 18. Todo responsable que divulgue datos personales a terceros, deberá notificar a éstos, su aviso de privacidad y en su caso, los usos determinados en el artículo 11 anterior a que el titular sujetó su divulgación.

El tercero receptor de los datos personales quedará sujeto a las mismas obligaciones que corresponden al responsable que los divulgó.

Artículo 19. Los datos personales procedentes de un responsable no podrán ser usados por un tercero a menos que éste obtenga consentimiento expreso del titular de los mismos, salvo que se trate de:

I. Aquellos datos personales relacionados con los fines para los cuales la información fue revelada, de conformidad con lo dispuesto en el aviso de privacidad; o

II. Aquellos establecidos en el artículo 20 de esta ley.

Capítulo Quinto
De los usos y divulgación protegidos

Artículo 20. Las restricciones previstas en el artículo precedente, no aplicarán a los siguientes casos:

I. La divulgación a terceros que presten servicios al responsable en relación con el uso de datos personales para fines primarios, o cualesquiera fines secundarios consentidos por el titular, siempre y cuando:

a) El responsable tenga celebrado un contrato que obligue al tercero a no usar o divulgar información de los datos personales, en todo cuanto no sea estrictamente necesario para cumplir los fines para los cuales los datos personales fueron revelados por su titular, así como a asegurarse de mantener la confidencialidad de la información de acuerdo con las condiciones y términos establecidos en el aviso de privacidad;

b) El responsable permanezca como la parte encargada de la integridad y protección de los datos personales que han sido transferidos a un tercero para su tratamiento, incluyendo cualesquiera terceros fuera de la jurisdicción o territorio de los Estados Unidos Mexicanos.

II. En el caso del tratamiento de datos hacia países con los cuales México tenga celebrados tratados internacionales o acuerdos de libre comercio.

III. La divulgación efectuada a sociedades controladoras, subsidiarias o afiliadas bajo el control común del responsable, o a una sociedad matriz o a cualquier sociedad del mismo grupo de la responsable, que opere bajo los mismos procesos y políticas internas;

IV. Uso y divulgación de datos personales que se adquieran mediante la fusión, escisión o adquisición de una empresa, siempre que se respeten los fines establecidos en el aviso de privacidad;

V. Uso y divulgación en aquellos casos en los que el responsable actúe:

a) Para proteger o defender legítimamente sus bienes o derechos;

b) Como parte activa o pasiva en algún litigio ante los tribunales competentes;

c) Cuando actúe para dar cumplimiento a un mandato de autoridad judicial o administrativa competente dentro o fuera de litigio o controversia;

d) Para prevenir un daño o peligro inminente a una o más personas.

VI. Uso y divulgación en casos de requerimientos de autoridad debidamente fundado y motivado.

Capítulo Sexto
Del cambio del uso o divulgación

Artículo 21. Si el responsable pretende usar o divulgar toda o parte de los datos personales para un nuevo fin secundario o para ampliar uno anteriormente descrito, deberá proceder conforme a las reglas del presente capítulo.

Artículo 22. En caso de un cambio de uso o divulgación de datos personales recolectados previamente, el responsable:

I. Modificará su aviso de privacidad para reflejar el nuevo fin, o la ampliación del anteriormente descrito, y

II. Hará público o disponible para los titulares de los datos, el cambio al aviso de privacidad señalando las modificaciones realizadas.

En caso de que el titular desee revocar su consentimiento para el nuevo fin secundario deberá manifestarlo al responsable a través de los mecanismos establecidos en el aviso de privacidad a que se refiere la presente ley.

Título II
De la protección de datos personales

Capítulo Primero
Disposiciones generales

Artículo 23. Principio de seguridad y custodia. Todo responsable que lleve a cabo el tratamiento de datos personales debe establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales por daño, pérdida, alteración o destrucción; o del uso, acceso o divulgación no autorizados.

Dichas medidas, a juicio del responsable, deben ser congruentes con la naturaleza y grado de confidencialidad de los datos personales de que se trate, el riesgo potencial para el titular de su uso o transmisión indebida, las posibilidades económicas del responsable, el costo de su implantación, y no deberán ser menores que las que el responsable mantiene para el tratamiento de sus propios datos.

Artículo 24. Principio de calidad. El responsable procurará, en la medida de lo posible, que los datos personales sean correctos, consistentes y no excesivos para los fines para los cuales fueron recolectados.

Artículo 25. Todo responsable deberá designar a una persona, o departamento de datos personales, en su caso, que llevará a cabo las funciones siguientes:

I. Recibir y dar trámite a las solicitudes de los titulares o, en su caso, sus representantes legales en las que éstos manifiesten su voluntad de que sus datos personales no sean utilizados para un fin secundario, o sean cancelados, corregidos o modificados de acuerdo con lo establecido en el aviso de privacidad;

II. Recibir y dar trámite, en los casos que legalmente proceda, a las solicitudes de acceso a la información hechas por el Instituto a petición del titular o, en su caso, su representante legal;

III. Llevar un registro de las solicitudes en las que los titulares expresen su voluntad de que sus datos personales no sean utilizados para fines secundarios o sean cancelados, y

IV. Las demás necesarias para garantizar y agilizar el flujo de información entre el responsable y el titular.

Capítulo Segundo
De los derechos de los titulares

Artículo 26. Principio de acceso y corrección. Todo responsable que lleve a cabo el tratamiento de datos personales, deberá permitir el acceso a los titulares que así lo soliciten, a sus datos personales que obran en su poder, a efecto de que éstos puedan ejercer su derecho a corregir, completar o modificar dicha información, si ésta fuera incompleta o inexacta y a cancelarla siempre que no contravenga lo establecido en el artículo 30 de la presente ley.

Artículo 27. El responsable no está obligado a proporcionar información, si:

I. La persona que solicita el acceso no demuestra que es la persona titular de los datos personales o su representante legal;

II. De acuerdo con la ley, la revelación de información podría violar derechos de terceros, o resultaría en la revelación de información que forma parte de un secreto industrial o comercial, bancario o de otra información secreta o protegida por otras leyes aplicables;

III. Que dicha información podría afectar el curso de un litigio o procedimiento judicial o administrativo en el que el responsable o el titular son partes o tienen interés jurídico y

IV. La divulgación de la información fuera ilícita.

Artículo 28. En los casos en que alguna de las excepciones antes listadas aplicara únicamente a una porción de los datos personales tratados por el responsable, éste proporcionará acceso al resto de la información de los datos personales que no estuviere protegida por alguna de las excepciones mencionadas.

Artículo 29. El responsable no estará obligado a corregir o modificar los datos personales, si:

I. El titular no proporciona los datos personales de que se trate; o

II. Si la corrección o modificación solicitada no es consistente con las leyes de la materia que regulen la información de que se trate; o

III. Si el titular o su representante no acreditan justificadamente su pretensión para corregir o modificar sus datos personales.

Artículo 30. El titular tendrá derecho a solicitar al responsable la cancelación de sus datos personales en cualquier momento.

El responsable no estará obligado a cancelar los datos personales cuando:

I. Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento;

II. Sean objeto de tratamiento para la prevención o para el diagnóstico médico o la gestión de servicios de salud, siempre que dicho tratamiento se realice por un profesional de la salud sujeto a un deber de secreto o por otra persona con un deber equivalente al del secreto;

III. Deban ser tratados por disposición legal;

IV. Obstaculice actuaciones judiciales o administrativas vinculadas a obligaciones fiscales, la investigación y persecución de delitos o la actualización de sanciones administrativas;

V. Sean necesarios para proteger los intereses jurídicamente tutelados del titular;

VI. Sean necesarios para realizar una acción en función del interés público, y

VII. Sean necesarios para cumplir con una obligación legalmente adquirida por el titular.

Artículo 31. Principio de información. De conformidad con lo dispuesto en el Artículo 26 de esta ley, el titular tendrá derecho a solicitar información sobre sus datos personales que obren en poder del responsable.

La primera consulta que se realice en períodos de doce meses, deberá ser atendida sin costo por el responsable. Para las consultas subsecuentes, el responsable podrá hacer un cargo no mayor a 5 días de salario mínimo general vigente en el Distrito Federal.

El titular tendrá derecho a realizar una consulta gratuita en un período de 12 meses cada vez que se realicen modificaciones al aviso de privacidad.

Artículo 32. El responsable debe responder a la solicitud del titular, y en su caso hacer los cambios o cancelaciones pertinentes, si éstos procedieran, dentro de los veinte días hábiles siguientes a la fecha de recepción de la solicitud por parte del responsable de conformidad con el procedimiento referido en el artículo 36.

Capítulo Tercero
Del procedimiento de acceso ante el responsable

Artículo 33. El titular o su representante legal podrán presentar, ante la persona o departamento de datos personales del responsable, la solicitud de acceso a sus datos en términos del capítulo anterior mediante escrito libre en un documento físico o electrónico que deberá contener, por lo menos:

I. El nombre del titular y domicilio u otro medio para recibir notificaciones, como el correo electrónico, así como los datos generales de su representante, en su caso,

II. La descripción clara y precisa de los datos cuya modificación, corrección o cancelación solicita, y

III. Cualquier otra referencia que permita su localización, con objeto de facilitar su búsqueda.

Artículo 34. La persona o departamento de datos personales será el vínculo entre el responsable y el titular o su representante legal.

La forma en la que se otorgue el acceso a la información podrá ser verbal siempre y cuando sea para fines de orientación, mediante consulta directa, copias simples, medios de comunicación electrónica o cualquier otro tipo de medio que determine el responsable.

Si los detalles proporcionados por el titular o su representante legal no bastan para localizar los documentos o son erróneos, la persona o departamento de datos personales podrá requerir dentro de los 10 días hábiles siguientes a la presentación de la solicitud, que indique otros elementos o corrija éstos. Este requerimiento interrumpirá el plazo establecido en el artículo 36.

Si la solicitud es presentada ante una oficina o departamento distinto a la persona o departamento de datos personales, aquél tendrá la obligación de indicar al particular la ubicación física o dirección electrónica de la persona o departamento de datos personales.

Artículo 35. La obligación de acceso a la información se dará por cumplida cuando se pongan a disposición del solicitante los datos personales; o bien, mediante la expedición de copias simples, documentos electrónicos o cualquier medio que determine el Responsable.

En el caso de que la información solicitada ya esté disponible al público en medios impresos, tales como libros, compendios, trípticos, archivos públicos, en formatos electrónicos disponibles en Internet o en cualquier otro medio, se le hará saber al solicitante por escrito o por medios electrónicos la fuente, el lugar y la forma en que puede consultar, reproducir o adquirir dicha información.

En el caso de que el titular solicite el acceso a los datos de una persona que presume es el responsable y ésta resulta no serlo, bastará con que así se le indique al titular por cualquiera de los medios a que se refiere el párrafo primero de este artículo, para tener por atendida la solicitud.

Artículo 36. La respuesta a la solicitud deberá ser notificada por el responsable al titular o su representante legal en el domicilio o dirección electrónica señalados por éste, en un plazo máximo de veinte días hábiles, contados a partir de la recepción de la solicitud por parte del responsable. En dicha respuesta se precisará en su caso, la forma en que será entregada la información.

Excepcionalmente, este plazo podrá ampliarse hasta por un periodo igual cuando existan razones que lo justifiquen, siempre y cuando éstas se le notifiquen al solicitante.

La información deberá entregarse a más tardar a los diez días hábiles siguientes al que la persona o departamento de datos personales le haya notificado al solicitante la disponibilidad de aquélla.

Capítulo Cuarto
Del instituto

Artículo 37. El Instituto de Protección de Datos Personales, autoridad administrativa encargada de la aplicación de esta Ley, es un organismo descentralizado dependiente de la Secretaría de Economía, con personalidad jurídica y patrimonio propio, el cual tendrá las siguientes facultades:

I. Interpretar en el orden administrativo esta ley;

II. Conocer y resolver los procedimientos administrativos de protección de datos personales interpuestos;

III. Orientar y asesorar a los particulares acerca del derecho a la protección de datos personales y su procedimiento;

IV. Elaborar y difundir estudios sobre la protección de datos personales;

V. Proporcionar apoyo técnico a los Responsables que lo soliciten, para el cumplimento de las obligaciones establecidas por esta Ley; y

VI. Vigilar el cumplimiento de las disposiciones de esta Ley y en su caso, determinar las sanciones correspondientes;

VII. Representar a México en los foros internacionales en la materia.

Capítulo Quinto
Del proceso ante el instituto

Artículo 38. El solicitante podrá iniciar dentro de los diez días hábiles siguientes a la fecha de recepción de la respuesta del responsable, el procedimiento administrativo de protección de datos personales ante el Instituto, cuando se presente alguno de los siguientes casos:

I. El responsable niegue el acceso a la información, o alegue la inexistencia de los datos solicitados.

II. El responsable no entregue en tiempo y forma al solicitante los datos personales solicitados, o lo haga en un formato incomprensible.

III. El responsable se niegue, sin causa justificada, a efectuar la cancelación, modificación o corrección de los datos personales.

IV. El solicitante considere fundadamente que la información entregada es incompleta o no corresponda a la información requerida en la solicitud.

Artículo 39. La solicitud del procedimiento administrativo de protección de datos personales deberá contener, por lo menos:

I. El nombre del solicitante y domicilio u otro medio para recibir notificaciones, como el correo electrónico, así como los datos generales de su representante legal, en su caso;

II. Los datos del responsable ante el cual presentó su solicitud;

III. La fecha en que se le notificó o tuvo conocimiento de la respuesta contra la que está inconforme; y

IV. Los demás elementos que considere procedentes someter al criterio del instituto.

Artículo 40. En caso de que quien promueva sea una persona distinta del titular de los datos; dicha promoción sólo podrá hacerse en nombre y representación de éste; en cuyo caso el tercero promovente deberá acompañar el documento que acredite la representación legal que ostenta.

Artículo 41. El instituto sustanciará el procedimiento administrativo de protección de datos personales conforme a lo siguiente:

I. Con la solicitud inicial del procedimiento administrativo de protección de datos personales, el solicitante deberá presentar, en su caso, en originales o copias debidamente certificadas, los documentos y constancias en que se funde su pretensión, y deberán ofrecerse las pruebas correspondientes. Las pruebas que se presenten posteriormente, no serán admitidas salvo que fueren supervenientes;

II. El solicitante deberá además exhibir el número de copias simples de la solicitud y de los documentos que a ella se acompaña, necesarios para correr traslado a la contraparte;

III. Si el solicitante no cumpliere con los requisitos a que se refiere el artículo 39 o no exhibiera las copias de la solicitud y en su caso, los documentos que a ella se acompañan, a que se refieren las fracciones I y II, el instituto le requerirá, por una sola vez, subsane la omisión en que incurrió o haga las aclaraciones que correspondan; para tal efecto se le concederá un plazo de cinco días hábiles, y de no cumplirse el requerimiento en el plazo otorgado se desechará la solicitud;

IV. En el procedimiento administrativo de protección de datos personales, se admitirán toda clase de pruebas, excepto las que sean contrarias a la moral y al derecho;

V. Admitida la solicitud del titular, el Instituto, con la copia simple de la solicitud y los documentos que se le acompañaron, la notificará al responsable, concediéndole un plazo de quince días hábiles para que manifieste por escrito lo que a su derecho convenga;

VI. Transcurrido el plazo para que el Responsable, presente sus manifestaciones, previo estudio de los antecedentes relativos y desahogadas las pruebas que lo requieran, se dictará la resolución administrativa que proceda.

Artículo 42. Las resoluciones del instituto podrán:

I. Desechar el procedimiento por improcedente o bien, sobreseerlo;

II. Confirmar la respuesta del responsable; o

III. Revocar o solicitar se modifique la respuesta del responsable.

Las resoluciones, deberán ser notificadas a las partes de manera personal o a través del uso de medios electrónicos, ópticos o de cualquier otra tecnología, y éstas establecerán los plazos para su cumplimiento y los procedimientos para asegurar la ejecución.

Si el instituto no resuelve en el plazo establecido en esta ley, la respuesta del responsable contra la cual se inconformó el titular se entenderá confirmada.

Artículo 43. El procedimiento administrativo de protección de datos personales será improcedente cuando:

I. II. Sea presentado, una vez transcurrido el plazo señalado en el artículo 38;

II. El instituto haya conocido anteriormente del procedimiento respectivo y haya resuelto en definitiva;

III. Cuando el titular solicite el acceso, corrección o cancelación de los datos personales a una persona que el titular presume como responsable y esta acredita no serlo;

IV. Se inconforme con una respuesta emitida por un tercero a quien presume como responsable en términos de lo dispuesto por la fracción anterior, y

V. Ante los tribunales del Poder Judicial federal este pendiente de resolución algún recurso o medio de defensa interpuesto por el titular sobre la misma causa.

Artículo 44. El procedimiento administrativo de protección de datos personales será sobreseído cuando:

I. El titular desista expresamente al procedimiento;

II. El titular fallezca;

III. Cuando admitido el escrito inicial y comenzado el procedimiento de datos personales, aparezca alguna causal de improcedencia en los términos de la presente ley; y

IV. El responsable de la respuesta contra la cual se inconforma el titular, la modifica o revoca, de tal manera que el procedimiento de revisión de datos personales quede sin efecto o materia.

Artículo 45. Las resoluciones del Instituto podrán ser impugnadas por los titulares ante el Poder Judicial de la federación.

Capítulo VII
De las sanciones

Artículo 46. Son infracciones a esta ley:

I. El tratamiento de datos personales en contravención con lo señalado en la presente ley;

II. Omitir en el aviso de privacidad alguno o todos los elementos a que se refieren los artículos 11 y 13, en su caso, de la presente ley;

III. Divulgar datos a terceros sin comunicar a éstos las limitaciones a que el titular sujetó la divulgación;

IV. El uso de datos personales hecho por terceros cuando provengan de un responsable sin contar con el consentimiento expreso del titular salvo en los casos señalados por los artículos 19 y 20 de la presente ley;

V. Cambiar sustancialmente el uso o divulgación de los datos personales sin llevar a cabo las medidas señaladas en el artículo 22 de la presente ley,

VI. El uso o divulgación de datos sensibles para fines secundarios en contravención con lo establecido en los artículos 16 y 17 de ésta ley;

VII. La falta de respuesta a una solicitud de acceso, en el plazo señalado en el artículo 36, y

VIII. Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente ley.

Artículo 47. En los supuestos descritos en las fracciones III, IV, VII y VIII del artículo 46, el instituto aplicará al infractor, dependiendo de las circunstancias del de comisión de la infracción, y la reincidencia en su caso propio infractor, un apercibimiento o multa por evento hasta por el equivalente de 100 a 500 días de salario mínimo general diario vigente en el Distrito Federal al momento de la comisión de la infracción.

En los supuestos previstos en las fracciones I, II, V, y VI del artículo 46, el Instituto aplicará al infractor, dependiendo de las circunstancias del de comisión de la infracción, y la reincidencia en su caso propio infractor, la sanción de apercibimiento o multa hasta por el equivalente de 500 a 1000 días de salario mínimo general vigente en el Distrito Federal al momento de la comisión de la infracción.

Artículo 48. Para la imposición de las sanciones previstas en esta Ley, el Instituto deberá seguir las reglas previstas en los artículos 72, 73 y 74 del Título Cuarto de la Ley Federal de Procedimiento Administrativo.

La facultad de la autoridad para imponer sanciones administrativas prescribe en cinco años. Los términos de la prescripción serán continuos y se contarán desde el día en que se cometió la falta o infracción administrativa si fuere consumada o, desde que cesó si fuere continua.

Los interesados podrán hacer valer la prescripción por vía de excepción y la autoridad deberá declararla de oficio.

Transitorios

Artículo Primero. La presente ley entrará en vigor 180 días naturales posteriores a su publicación en el Diario Oficial de la Federación.

Artículo Segundo. Se derogarán las disposiciones legales, reglamentarias y administrativas que contravengan las disposiciones de la presente ley.

Artículo Tercero. El Ejecutivo federal a través de la Secretaría de Economía expedirá dentro del plazo establecido en el artículo primero transitorio, el decreto de creación del instituto a que se refiere el artículo 37 de este ordenamiento legal.

Artículo Cuarto. La Secretaría de Economía reasignará los recursos necesarios para dar cabal cumplimiento a la presente ley y garantizar la correcta operación del instituto a que se refiere ésta con el fin de que la Dirección General de Comercio Interior y Economía Digital, aunado a los programas asociados a la economía digital, asuma las atribuciones de autoridad competente que le confiere el presente cuerpo normativo.

Palacio Legislativo de San Lázaro, a los 11 días de diciembre de 2008.

Diputado Adolfo Mota Hernández (rúbrica).

Estimado usuario:

La edición de los ordenamientos jurídicos del ámbito federal en medios electrónicos representa una versión oficial, con base en lo dispuesto por los artículos 2°, 5°, 6° fracción IV, y 8° de la Ley del Diario Oficial de la Federación y Gacetas Gubernamentales.

La edición de la Gaceta Oficial de la Ciudad de México en medios electrónicos no representa una versión oficial, con fundamento en el artículo 3° del Código Civil para el Distrito Federal.

Cuando en algún párrafo aparezca la leyenda “N. DE E.” significa Nota de Editor y consiste en la nota, aclaración o acotación de la persona que compiló la reforma, al advertir la falta de precisión en el decreto de promulgación o modificación.

En caso de que algunas fechas de publicación o modificaciones a este ordenamiento aún no incluyan la imagen digitalizada de su periódico oficial o texto sistematizado en Word, se hace de su conocimiento que éstas se encuentran en proceso de ingreso u obtención. Para confirmar los datos o conocer su seguimiento o actualización, favor de comunicarse al teléfono (55) 4113-1000 extensiones 1623 o 2113.

Para todo comentario o sugerencia adicionales en relación con la información que aquí se muestra, agradeceremos los haga llegar a las cuentas de correo electrónico cdaacl@mail.scjn.gob.mx y sjuridico@mail.scjn.gob.mx; o bien, se comunique al teléfono (55) 4113-1000 extensiones 4109 o 1262.

Centro de Documentación y Análisis, Archivos y Compilación de Leyes / cdaacl@mail.scjn.gob.mx / (55) 4113-1100 extensiones 4109 o 1262.

Procesando...

UBICACIÓN

MAPA DE SITIO

CONTÁCTANOS

DENUNCIAS DE RESPONSABILIDADES ADMINISTRATIVAS

ASISTENCIA EN CASOS DE ACOSO SEXUAL Y VIOLENCIA DE GÉNERO

UBICACIÓN

MAPA DE SITIO

CONTÁCTANOS

REDES SOCIALES

DENUNCIAS DE RESPONSABILIDADES ADMINISTRATIVAS

ASISTENCIA EN CASOS DE ACOSO SEXUAL Y VIOLENCIA DE GÉNERO