| Servicios Parlamentarios | Servicios a la Sesión | Datos Relevantes |



DIRECCIÓN DE APOYO TÉCNICO

Iniciativa con proyecto de Decreto que expide la Ley Federal de Protección de Datos Personales. Dip. Miguel Barbosa Huerta (PRD). Publicación en Gaceta Parlamentaria:Septiembre 7, 2001.

TEXTO QUE SE PROPONE

Iniciativa de decreto que expide la Ley Federal de Protección de Datos Personales.

Artículo único.- Se expide la Ley Federal de Protección de Datos Personales, para quedar como sigue:

Ley Federal de Protección de Datos Personales

Capítulo Primero

Disposiciones generales

Artículo 1º.

Objeto de la ley.

Para garantizar el honor, la intimidad personal y familiar de las personas físicas y el pleno ejercicio de estos derechos fundamentales, así como el acceso a la información que sobre las mismas se recabe, esta Ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados destinados a dar informes.

Las disposiciones de la presente ley también serán aplicables, en cuanto resulte pertinente, a los datos relativos a personas morales.

En ningún caso se podrán afectar la base de datos ni las fuentes de información periodísticas.

Artículo 2º.

Ambito de aplicación de la ley.

Las disposiciones de esta ley serán de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento automatizado o no automatizado, y a toda modalidad de uso posterior, sea que el tratamiento de estos datos se realice en territorio nacional o en el extranjero cuando la legislación mexicana resulte aplicable de acuerdo con normas de derecho internacional público.

Artículo 3º.

Excepciones al ámbito de aplicación de la ley.

Se excluye del régimen de protección de los datos de carácter personal que se establece en esta ley:

I. A ficheros manipulados por personas morales o físicas particulares en el ejercicio de actividades exclusivamente personales o domésticas.

II. A ficheros regulados por disposiciones sobre protección de materias clasificadas.

III. A ficheros establecidos para la prevención, investigación y persecución de la delincuencia y crimen organizado.

 

Artículo 4º.

Regulación especial.

Se regirán por las disposiciones legales específicas:

I. Los ficheros derivados de los Servicios Nacionales de Estadística y de Información Geográfica, así como los que sirvan para fines exclusivamente estadísticos.

II. Los ficheros originados por la aplicación de la legislación electoral.

III. Los derivados del Registro Civil.

Artículo 5º.

Definiciones.

Para los efectos de esta ley se entenderá por:

I. Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, susceptible de recolección, registro, tratamiento o transmisión referida a personas físicas o morales determinadas o determinables, identificadas o identificables.

II. Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

III. Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado.

IV. Fichero, archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de datos de carácter personal sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la forma o modalidad de su formación, almacenamiento, organización o acceso.

V. Tratamiento de datos: Operaciones y procedimientos técnicos y sistemáticos de carácter automatizado o no, electrónicos o no, que permitan la recolección, grabación, conservación, elaboración, modificación, bloqueo, cancelación, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.

VI. Responsable del fichero, archivo, registro, base o banco de datos: Persona física o moral, de naturaleza pública o privada, que sea titular de un archivo, registro, base o banco de datos, o tenga poder de decisión sobre la finalidad, contenido y uso del tratamiento.

VII. Encargado del fichero, archivo, registro, base o banco de datos: La persona física o moral, de naturaleza pública o privada, que sola o conjuntamente con otras, trate datos personales por cuenta del responsable del tratamiento.

VIII. Titular, interesado o afectado de los datos: Toda persona física o moral con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la presente ley.

IX. Usuario de datos: Toda persona física o moral, de naturaleza pública o privada, que realice a su arbitrio el tratamiento de datos, ya sea en ficheros, archivos, registros o bancos de datos propios o a través de conexión con los mismos.

X. Identificación del titular, interesado o afectado de los datos: Cualquier elemento que permita determinar directa o indirectamente la identidad física, fisiológica, psíquica, económica, de afiliación política, religiosa, cultural o social de la persona física afectada.

XI. Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.

XII. Transferencia de datos: El transporte de datos entre sistemas informáticos por cualquier medio de transmisión, así como el transporte de soportes de datos por correo o por cualquier otro medio convencional.

XIII. Cesión de datos: Toda obtención de datos resultante de la consulta de un fichero, la publicación de los datos contenidos en el fichero, su interconexión con otros ficheros y la comunicación o revelación de datos realizada por una persona distinta de la afectada.

XIV. Disociación de datos: Todo tratamiento de datos personales efectuado de manera que la información obtenida no pueda asociarse a persona determinada o determinable.

XV. Bloqueo de datos: La identificación y reserva de datos con el fin de impedir su tratamiento.

XVI. Datos accesibles al público: Los datos que se encuentran a disposición del público en general, no impedida por cualquier norma limitativa, y están recogidos en medios tales como censos, anuarios, bases de datos públicos, repertorios de jurisprudencia, archivos de prensa, repertorios telefónicos o análogos, así como los datos publicados en forma de listas de personas pertenecientes a grupos profesionales que contengan únicamente los nombres, títulos, profesión, actividad, grados académicos, dirección e indicación de su pertenencia al grupo.

XVII. Fuentes accesibles al público: Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una disposición legal limitativa.


Capítulo Segundo
Principios fundamentales para la protección de datos personales

Artículo 6º.

Consentimiento del titular en el tratamiento de datos.

I. El tratamiento de los datos de carácter personal requerirá el consentimiento libre, expreso, informado e inequívoco del afectado.

II. No será necesario el consentimiento del interesado cuando los datos se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; cuando los datos se obtengan exclusivamente de fuentes de acceso público; cuando los datos deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento; cuando se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio, o se trate y deriven de operaciones que realicen entidades financieras y de las informaciones que reciban directamente de sus clientes.

III. El consentimiento del afectado podrá ser revocado en cualquier momento cuando existe causa fundada para ello.

Artículo 7º.

Tratamiento de datos sensibles.

I. Nadie podrá ser obligado a proporcionar datos sensibles. Cuando para recolectar estos datos se proceda a recabar el respectivo consentimiento, se advertirá al afectado acerca de su derecho a no prestarlo.

II. Sólo por razones de orden público e interés general autorizadas en la ley podrán ser recolectados y sujetos a tratamiento datos sensibles. También podrán ser tratados con finalidades estadísticas o científicas siempre que no identifiquen a sus titulares.

III. Está prohibida la formación de ficheros, archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un registro de sus miembros. Se exceptúan de esta prohibición los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.

IV. Los datos relativos a antecedentes penales o los derivados de controversias judiciales o procedimientos administrativos sólo pueden ser objeto de tratamiento por parte de las autoridades competentes, con sujeción a las leyes y reglamentos respectivos.

Artículo 8º.

Condición de los datos personales sujetos a tratamiento.

I. Los datos de carácter personal que se recaben para su tratamiento deberán ser ciertos, adecuados, pertinentes y no excesivos con relación al ámbito y finalidad para los que se hubieren obtenido.

II. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades distintas e incompatibles con aquellas para las que los hubieran sido reunidos. No se considerará incompatible el tratamiento posterior de éstos con fines puramente históricos, estadísticos o científicos.

III. Está prohibido el acopio de datos de carácter personal para su tratamiento por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley.

IV. Los datos sujetos a tratamiento serán exactos y actuales de modo que reflejen con veracidad y precisión la situación personal del afectado. Si ellos resultaren incompletos o inexactos, en todo o en parte, deberán ser suprimidos y sustituidos de inmediato, o en su caso completados, por el responsable del fichero, sin perjuicio del derecho de acción de rectificación del afectado.

V. Para su tratamiento los datos personales deberán ser recopilados de modo que permitan el ejercicio del derecho de acceso de su titular.

VI. Los datos de carácter personal serán cancelados y destruidos cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

 

Artículo 9º.

Derecho de información del afectado en el tratamiento de datos personales.

I. Cuando se recaben datos de carácter personal para su tratamiento, los afectados deberán ser informados en forma expresa e inequívoca de:

a) La finalidad para la que serán tratados y los destinatarios de la información;

b) La existencia del fichero y la identidad y domicilio de su responsable y encargado;

c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga;

d) De las consecuencias de la captura de los datos o de la negativa a suministrarlos;

d) De la legitimidad del titular a ejercer los derechos de acceso, rectificación, cancelación u oposición.

II. En el texto de los cuestionarios o impresos que se utilicen, se consignarán los derechos a que se refiere la fracción anterior.

III. Cuando los datos de carácter personal no hayan sido recabados directamente del titular, éste deberá ser informado por el responsable o encargado del fichero dentro de los treinta días siguientes al momento del registro de los datos.

IV. No se aplicará lo dispuesto en la fracción anterior, cuando expresamente una ley así lo disponga o cuando el tratamiento tenga una finalidad exclusivamente históricos, estadísticos o científicos; o cuando los datos procedan de fuentes accesibles al público y se destinen a la actividad de publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al interesado se le informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten.

Artículo 10º.

Datos de carácter personal relativos a la salud.

Las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación de la materia, respetando los principios del secreto profesional.

Artículo 11º.

Deber de confidencialidad del responsable y encargados del fichero.

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular. El responsable podrá ser relevado del deber de confidencialidad por resolución judicial o cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.

Artículo 12º.

Medidas de seguridad de los datos de carácter personal objeto de tratamiento.

I. El responsable del fichero y, en su caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

II. Está prohibido el tratamiento de datos de carácter personal en ficheros que no reúnan condiciones técnicas de integridad y seguridad.

Artículo 13º.

Terceros frente a datos de carácter personal objeto de tratamiento.

I. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.

II. El consentimiento que exige la fracción anterior no será necesario:

a) Cuando la cesión está expresamente autorizada en una ley.

b) Cuando se trate de datos obtenidos de fuentes accesibles al público.

c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica de la que sea parte el titular, cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad de la relación contractual.

d) Cuando la comunicación sea requerida por una autoridad judicial.

e) Cuando la cesión se produzca entre entidades de la Administraciones Pública Federal y tenga por objeto el tratamiento posterior de los datos con fines puramente históricos, estadísticos o científicos.

f) Si la comunicación se efectúa previo procedimiento de disociación.

g) Cuando la comunicación de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación de la materia.

III. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite no satisfaga la finalidad que motivo la autorización.

IV. Es revocable el consentimiento para la comunicación de los datos de carácter personal a un tercero.

V. El tercero cesionario quedará sujeto a las mismas obligaciones legales y reglamentarias del cedente y responderá solidaria y conjuntamente por la observancia de las mismas ante el titular de los datos de que se trate.

VI. No se considerará comunicación de datos el acceso de un tercero a la información cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento necesario al mantenimiento o funcionamiento del fichero.

VII. La realización de tratamientos por cuenta de terceros deberá regularse mediante contrato, en el que se estipulará:

a) Que el tercero encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará a otras personas.

b) Que una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

c). Que en el caso de que el tercero encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido.

Artículo 14º.

Transferencia internacional de datos de carácter personal objeto de tratamiento.

I. Está prohibida la transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento con países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados.

II. Los niveles adecuados de protección que ofrece el país de destino se evaluarán atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos, y en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate.

III. La prohibición contenida en la fracción I no se aplicará en los siguientes supuestos:

a) Colaboración judicial internacional;

b) Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que México sea parte;

c) Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público;

d) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica;

e) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme a la legislación de la materia;

f) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.

g) Por el consentimiento expreso del afectado.

Capítulo Tercero
Prerrogativas de los titulares

Artículo 15º.

Derecho de consulta al Registro Federal de Protección de Datos.

Toda persona tiene derecho a solicitar del Registro Federal de Protección de Datos información relativa a la existencia de ficheros, archivos, registros, bases o bancos de datos personales, sus finalidades y la identidad de sus responsables y encargados. El Registro será de consulta pública y gratuita.

Artículo 16º.

Derecho de acceso a ficheros por el titular de los datos.

I. El titular de los datos, previa acreditación de su identidad, tiene derecho a solicitar y obtener información de sus datos personales incluidos en ficheros públicos o privados destinados a proveer informes.

II. El responsable o encargado del fichero debe proporcionar la información solicitada dentro de los 20 días siguientes a la fecha de presentación de la solicitud. Vencido el plazo sin que se satisfaga la petición, o si desahogado el informe, éste se estimara insuficiente, quedará expedita la acción de protección de los datos personales prevista en esta ley.

III. En caso de fallecimiento del titular, el ejercicio de este derecho corresponderá a sus sucesores legítimos.

 

 

Artículo 17º.

Condición de la información que se proporcione al titular de los datos.

I. La información que solicite el titular de los datos debe ser suministrada en forma clara, exenta de codificaciones y, en su caso, acompañada de una explicación en lenguaje accesible al conocimiento medio de la población.

II. La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aun cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el interesado.

III. A petición del titular, la información podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen, u otro idóneo a tal fin.

Artículo 18º.

Impugnación de valoraciones de datos personales.

I. Las decisiones judiciales o los actos administrativos que impliquen apreciación o valoración de conductas humanas, no podrán tener como único fundamento los elementos derivados del tratamiento datos personales que suministren una definición del perfil o personalidad del afectado.

II. Las resoluciones y los actos que resulten contrarios a la disposición precedente serán nulos de pleno derecho.

III. El afectado está legitimado para impugnar las resoluciones y los actos administrativos que impliquen una valoración de su comportamiento y tengan como único fundamento un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

Artículo 19º.

Derechos de rectificación, actualización y cancelación de datos de carácter personal.

I. El afectado tiene derecho a que sean rectificados, actualizados y, cuando corresponda, cancelados o sometidos a confidencialidad los datos personales de los que sea titular en un fichero.

II. El responsable o usuario del fichero debe proceder a la rectificación, supresión o actualización de los datos personales del afectado, realizando las operaciones necesarias a tal fin en el plazo máximo de 20 días naturales a la fecha de recepción de la reclamación o de advertido el error o falsedad.

III. El incumplimiento de la obligación por parte del responsable del fichero, legitimará al afectado para ejercer la acción de protección de los datos personales o de hábeas data prevista en la presente ley.

IV. En el supuesto que existiere cesión o transferencia de datos, el responsable o usuario del fichero debe notificar la rectificación o cancelación al cesionario dentro de los diez días siguientes a efectuado el tratamiento del dato.

V. La cancelación no procede cuando cause perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.

VI. Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del fichero deberá o bien bloquear el archivo, o consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión.

VII. Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos.

VIII. En forma fundada, los responsables o usuarios de ficheros deberán denegar el acceso, rectificación o la cancelación de datos:

a) Cuando así lo exija el interés público, por razones de seguridad nacional, seguridad pública o para proteger derechos legítimos de terceros.

b) Cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso.

Artículo 20º.

Gratuidad en la rectificación, actualización y cancelación de datos de carácter personal.

La rectificación, actualización o supresión de datos personales inexactos o incompletos que obren en ficheros públicos o privados se efectuará de forma gratuita para el interesado.

Artículo 21º.

Derecho a indemnización.

I. Los interesados que, como consecuencia del incumplimiento de lo dispuesto en la presente ley por el responsable o el encargado del tratamiento, sufran daños, perjuicios o lesión en sus bienes o derechos tendrán derecho a ser indemnizados.

II. Cuando se trate de ficheros de titularidad pública, la acción de reparación del daño se promoverá ante el juez de lo civil del orden común del domicilio del afectado, sin perjuicio de aplicar el régimen de sanciones y responsabilidades establecido en la Ley Federal de Responsabilidades de los Servidores Públicos.

III. En el caso de los ficheros de titularidad privada, la acción se ejercerá ante el juez de lo civil del orden común del domicilio del afectado.

Capítulo Cuarto
Del Registro Nacional de Protección de Datos

Artículo 22º.

Registro Nacional de Protección de Datos.

I. Se crea el Registro Nacional de Protección de Datos como un ente integrado al Instituto Nacional de Estadística, Geografía e Informática.

II. Serán objeto de inscripción en el Registro Nacional de Protección de Datos:

a) Los ficheros de que sean titulares las entidades de los Poderes de la Unión.

b) Los ficheros de titularidad privada.

c) Las autorizaciones a que se refiere la presente ley.

d) Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.

Artículo 23º.

Funciones del Registro Nacional de Protección de Datos.

I. Asistir y asesorar a las personas que lo requieran acerca de los alcances de la presente ley y de los medios legales de que disponen para la defensa de los derechos que ésta garantiza;

II. Dictar circulares que se deben observar en el desarrollo de las actividades comprendidas por esta ley;

III. Realizar un censo de archivos, registros o bancos de datos regulados por la ley y mantener el registro permanente y actualizado de los mismos;

IV. Controlar la observancia de las normas sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de datos. A tal efecto podrá solicitar autorización judicial para acceder a locales, equipos, o programas de tratamiento de datos a fin de verificar infracciones al cumplimiento de la presente ley;

V. Solicitar información a las entidades públicas y privadas, las que deberán proporcionar los antecedentes, documentos, programas u otros elementos relativos al tratamiento de los datos personales que se le requieran;

Capítulo Quinto
De los responsables, encargados y usuarios de ficheros

Artículo 24º.

Registro e inscripción de ficheros.

I. Todo fichero, base o banco de datos público o privado destinado a proporcionar informes debe inscribirse en el Registro Nacional de Protección de Datos.

II. El registro de archivos de datos debe comprender como mínimo la siguiente información:

a) Nombre y domicilio del responsable y encargado;

b) Características y finalidad del fichero;

c) Naturaleza de los datos personales contenidos en cada archivo;

d) Forma de recolección y actualización de datos;

e) Destino de los datos y personas físicas o morales a las que pueden ser transmitidos;

f) Modo de interrelacionar la información registrada;

g) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información;

h) Tiempo de conservación de los datos;

i) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.

III. Ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro.

Artículo 25º.

Ficheros de titularidad pública.

I. Las disposiciones sobre creación, modificación o supresión de archivos, registros o bancos de datos pertenecientes a organismos públicos deben publicarse en el Diario Oficial de la Federación.

II. Las disposiciones respectivas, deben precisar:

a) Características y finalidad del fichero;

b) Personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas;

c) Procedimiento de obtención y actualización de los datos;

d) Estructura básica del archivo, informatizado o no, y la descripción de la naturaleza de los datos personales que contendrán;

e) Las cesiones, transferencias o interconexiones previstas;

f) Organos responsables del archivo, precisando dependencia jerárquica en su caso;

g) Las oficinas ante las que se pudiesen efectuar las reclamaciones en ejercicio de los derechos de acceso, rectificación o supresión.

Artículo 26º.

Supuestos especiales de ficheros.

I. Quedarán sujetos al régimen de la presente ley, los datos personales que por haberse almacenado para fines administrativos, deban ser objeto de registro permanente en los bancos de datos de las fuerzas armadas, fuerzas de seguridad, organismos policiales o de inteligencia; y aquéllos sobre antecedentes personales que proporcionen dichos bancos de datos a las autoridades administrativas o judiciales que los requieran en virtud de disposiciones legales.

II. El tratamiento de datos personales con fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, fuerzas de seguridad, organismos policiales o inteligencia, sin consentimiento de los afectados, queda limitado a aquellos supuestos y categoría de datos que resulten necesarios para el estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa nacional, la seguridad pública o para la investigación o persecución de los delitos. Los archivos, en tales casos, deberán ser específicos y establecidos al efecto, debiendo clasificarse por categorías, en función de su grado de fiabilidad.

III. Los datos personales registrados con fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento.

Artículo 27º.

Ficheros de titularidad privada.

Los particulares que formen ficheros, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse en el Registro Nacional de Protección de Datos.

Artículo 28º.

Prestación de servicios informatizados de datos personales.

I. Cuando por cuenta de terceros se presten servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas.

II. Una vez cumplida la prestación contractual los datos personales tratados deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios o cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un período de hasta dos años.

Capítulo Sexto
Acción de protección de los datos personales o de habeas data

Artículo 29º.

Procedencia y objeto de la acción.

La acción de protección de los datos personales o de habeas data procederá:

I. Para tomar conocimiento de los datos personales almacenados en archivos, registros o bancos de datos públicos o privados destinados a proporcionar informes, y de la finalidad de aquéllos;

II. En los casos en que se presuma la falsedad, inexactitud, desactualización de la información de que se trata, o el tratamiento de datos cuyo registro se encuentra prohibido en la presente ley, para exigir su rectificación, cancelación, confidencialidad o actualización.

Artículo 30º.

Legitimación activa y pasiva para el ejercicio de la acción.

La acción de protección de los datos personales o de habeas data podrá ser ejercida por el afectado o sus representantes. Y procederá respecto de los responsables, usuarios y encargados de ficheros de titularidad pública o privada destinados a proveer informes.

Artículo 31º.

De la competencia para el ejercicio de la acción.

Es competente el juez de lo civil del orden común del domicilio del actor; el del domicilio del demandado; el del lugar en el que el hecho o acto se exteriorice o pudiera tener efecto, a elección del afectado.

Artículo 32º.

Procedimiento aplicable

La acción de protección de los datos personales o de hábeas data se tramitará según las disposiciones de la presente ley y por el procedimiento establecido para los juicios ordinarios civiles en la legislación local aplicable.

Artículo 33º.

Requisitos de la demanda y medidas preventivas.

I. La demanda deberá interponerse por escrito, individualizando con la mayor precisión posible el nombre y domicilio del archivo, registro o banco de datos y, en su caso, el nombre del responsable o usuario del mismo. En el caso de los archivos, registros o bancos públicos, se procurará establecer el organismo estatal del cual dependen.

II. El actor deberá exponer los motivos por las cuales entiende que en el archivo, registro o banco de datos individualizado obra información referida a su persona; los motivos por los cuales considera que la información que le atañe resulta discriminatoria, falsa o inexacta.

III. Desde la presentación de la demanda el afectado podrá solicitar que mientras dure el procedimiento, el registro o banco de datos asiente que la información cuestionada está sometida a un proceso judicial.

IV. El Juez podrá disponer el bloqueo provisional del archivo en lo referente al dato personal motivo del juicio cuando sea manifiesto el carácter discriminatorio, falso o inexacto de la información de que se trate.

Artículo 34º.

Disposiciones del trámite

I. Admitida la acción el juez requerirá al responsable del fichero, registro o banco de datos la remisión de la información concerniente al actor. Podrá asimismo solicitar informes sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte conducente a la resolución de la causa que estime procedente.

II. El plazo para contestar el informe no podrá ser mayor de cinco días hábiles, el que podrá ser ampliado a criterio del juez.

Artículo 35º.

Contestación del informe.

Al contestar el informe, el responsable del fichero, registro o banco de datos deberá expresar las razones por las cuales incluyó la información cuestionada y aquellas por las que no evacuó en términos de esta ley el pedido efectuado por el afectado.

Artículo 36º.

Ampliación de la demanda.

Contestado el informe, el actor podrá, en el término de tres días, ampliar el objeto de la demanda solicitando la cancelación, rectificación, confidencialidad o actualización de sus datos personales, en los casos que resulte procedente conforme a la presente ley. De la ampliación de la demanda se dará traslado al demandado por el término de tres días.

Capítulo Séptimo
De los delitos

Artículo 37º.

Se impondrá sanción de uno a tres años de prisión:

I. Al que insertara o hiciera insertar a sabiendas datos falsos en un fichero de datos personales.

II. Al que proporcionara a un tercero a sabiendas información falsa contenida en un fichero de datos personales.

Artículo 38º.

Se impondrá sanción de dos a cinco años de prisión:

I. Al que a sabiendas e ilegalmente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un fichero de datos personales;

II. Al que revelare a otro información registrada en un fichero o banco de datos personales, cuyo secreto estuviere obligado a preservar por disposición de una ley.

Transitorios

Primero. La presente ley entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.

Segundo. Se derogan todas las disposiciones legales y reglamentarias que se opongan al presente ordenamiento.

bann02.gif (1472 bytes)

| Página Principal | Funciones | Servicios de Asistencia Técnica a la Presidencia de la Mesa Directiva | Servicios de las Comisiones |
| Servicios del Diario de los Debates | Servicios del Archivo | Servicios de Bibliotecas |