Iniciativa de decreto que expide la Ley Federal de Protección de Datos
Personales.
Artículo único.- Se expide la Ley
Federal de Protección de Datos Personales, para quedar como sigue:
Ley Federal de Protección de Datos Personales
Capítulo Primero
Disposiciones generales
Artículo 1º.
Objeto de la ley.
Para garantizar el honor, la intimidad
personal y familiar de las personas físicas y el pleno ejercicio de estos derechos
fundamentales, así como el acceso a la información que sobre las mismas se recabe, esta
Ley tiene por objeto la protección integral de los datos personales asentados en
archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos,
sean éstos públicos o privados destinados a dar informes.
Las disposiciones de la presente ley
también serán aplicables, en cuanto resulte pertinente, a los datos relativos a personas
morales.
En ningún caso se podrán afectar la base
de datos ni las fuentes de información periodísticas.
Artículo 2º.
Ambito de aplicación de la ley.
Las disposiciones de esta ley serán de
aplicación a los datos de carácter personal registrados en soporte físico, que los haga
susceptibles de tratamiento automatizado o no automatizado, y a toda modalidad de uso
posterior, sea que el tratamiento de estos datos se realice en territorio nacional o en el
extranjero cuando la legislación mexicana resulte aplicable de acuerdo con normas de
derecho internacional público.
Artículo 3º.
Excepciones al ámbito de aplicación de la
ley.
Se excluye del régimen de protección de
los datos de carácter personal que se establece en esta ley:
I. A ficheros manipulados por personas
morales o físicas particulares en el ejercicio de actividades exclusivamente personales o
domésticas.
II. A ficheros regulados por disposiciones
sobre protección de materias clasificadas.
III. A ficheros establecidos para la
prevención, investigación y persecución de la delincuencia y crimen organizado.
Artículo 4º.
Regulación especial.
Se regirán por las disposiciones legales
específicas:
I. Los ficheros derivados de los Servicios
Nacionales de Estadística y de Información Geográfica, así como los que sirvan para
fines exclusivamente estadísticos.
II. Los ficheros originados por la
aplicación de la legislación electoral.
III. Los derivados del Registro Civil.
Artículo 5º.
Definiciones.
Para los efectos de esta ley se entenderá
por:
I. Datos de carácter personal: Cualquier
información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro
tipo, susceptible de recolección, registro, tratamiento o transmisión referida a
personas físicas o morales determinadas o determinables, identificadas o identificables.
II. Datos sensibles: Datos personales que
revelan origen racial y étnico, opiniones políticas, convicciones religiosas,
filosóficas o morales, afiliación sindical e información referente a la salud o a la
vida sexual.
III. Datos informatizados: Los datos
personales sometidos al tratamiento o procesamiento electrónico o automatizado.
IV. Fichero, archivo, registro, base o
banco de datos: Indistintamente, designan al conjunto organizado de datos de carácter
personal sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que
fuere la forma o modalidad de su formación, almacenamiento, organización o acceso.
V. Tratamiento de datos: Operaciones y
procedimientos técnicos y sistemáticos de carácter automatizado o no, electrónicos o
no, que permitan la recolección, grabación, conservación, elaboración, modificación,
bloqueo, cancelación, destrucción, y en general el procesamiento de datos personales,
así como también su cesión a terceros a través de comunicaciones, consultas,
interconexiones o transferencias.
VI. Responsable del fichero, archivo,
registro, base o banco de datos: Persona física o moral, de naturaleza pública o
privada, que sea titular de un archivo, registro, base o banco de datos, o tenga poder de
decisión sobre la finalidad, contenido y uso del tratamiento.
VII. Encargado del fichero, archivo,
registro, base o banco de datos: La persona física o moral, de naturaleza pública o
privada, que sola o conjuntamente con otras, trate datos personales por cuenta del
responsable del tratamiento.
VIII. Titular, interesado o afectado de los
datos: Toda persona física o moral con domicilio legal o delegaciones o sucursales en el
país, cuyos datos sean objeto del tratamiento al que se refiere la presente ley.
IX. Usuario de datos: Toda persona física
o moral, de naturaleza pública o privada, que realice a su arbitrio el tratamiento de
datos, ya sea en ficheros, archivos, registros o bancos de datos propios o a través de
conexión con los mismos.
X. Identificación del titular, interesado
o afectado de los datos: Cualquier elemento que permita determinar directa o
indirectamente la identidad física, fisiológica, psíquica, económica, de afiliación
política, religiosa, cultural o social de la persona física afectada.
XI. Consentimiento del interesado: Toda
manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que
el interesado consienta el tratamiento de datos personales que le conciernen.
XII. Transferencia de datos: El transporte
de datos entre sistemas informáticos por cualquier medio de transmisión, así como el
transporte de soportes de datos por correo o por cualquier otro medio convencional.
XIII. Cesión de datos: Toda obtención de
datos resultante de la consulta de un fichero, la publicación de los datos contenidos en
el fichero, su interconexión con otros ficheros y la comunicación o revelación de datos
realizada por una persona distinta de la afectada.
XIV. Disociación de datos: Todo
tratamiento de datos personales efectuado de manera que la información obtenida no pueda
asociarse a persona determinada o determinable.
XV. Bloqueo de datos: La identificación y
reserva de datos con el fin de impedir su tratamiento.
XVI. Datos accesibles al público: Los
datos que se encuentran a disposición del público en general, no impedida por cualquier
norma limitativa, y están recogidos en medios tales como censos, anuarios, bases de datos
públicos, repertorios de jurisprudencia, archivos de prensa, repertorios telefónicos o
análogos, así como los datos publicados en forma de listas de personas pertenecientes a
grupos profesionales que contengan únicamente los nombres, títulos, profesión,
actividad, grados académicos, dirección e indicación de su pertenencia al grupo.
XVII. Fuentes accesibles al público:
Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por
una disposición legal limitativa.
Capítulo Segundo
Principios fundamentales para la protección de datos personales
Artículo 6º.
Consentimiento del titular en el
tratamiento de datos.
I. El tratamiento de los datos de carácter
personal requerirá el consentimiento libre, expreso, informado e inequívoco del
afectado.
II. No será necesario el consentimiento
del interesado cuando los datos se recaben para el ejercicio de funciones propias de los
poderes del Estado o en virtud de una obligación legal; cuando los datos se obtengan
exclusivamente de fuentes de acceso público; cuando los datos deriven de una relación
contractual, científica o profesional del titular de los datos, y resulten necesarios
para su desarrollo o cumplimiento; cuando se trate de listados cuyos datos se limiten a
nombre, documento nacional de identidad, identificación tributaria o previsional,
ocupación, fecha de nacimiento y domicilio, o se trate y deriven de operaciones que
realicen entidades financieras y de las informaciones que reciban directamente de sus
clientes.
III. El consentimiento del afectado podrá
ser revocado en cualquier momento cuando existe causa fundada para ello.
Artículo 7º.
Tratamiento de datos sensibles.
I. Nadie podrá ser obligado a proporcionar
datos sensibles. Cuando para recolectar estos datos se proceda a recabar el respectivo
consentimiento, se advertirá al afectado acerca de su derecho a no prestarlo.
II. Sólo por razones de orden público e
interés general autorizadas en la ley podrán ser recolectados y sujetos a tratamiento
datos sensibles. También podrán ser tratados con finalidades estadísticas o
científicas siempre que no identifiquen a sus titulares.
III. Está prohibida la formación de
ficheros, archivos, bancos o registros que almacenen información que directa o
indirectamente revele datos sensibles. Sin perjuicio de ello, la Iglesia Católica, las
asociaciones religiosas y las organizaciones políticas y sindicales podrán llevar un
registro de sus miembros. Se exceptúan de esta prohibición los ficheros mantenidos por
los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y
asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea
política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus
asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre
el previo consentimiento del afectado.
IV. Los datos relativos a antecedentes
penales o los derivados de controversias judiciales o procedimientos administrativos sólo
pueden ser objeto de tratamiento por parte de las autoridades competentes, con sujeción a
las leyes y reglamentos respectivos.
Artículo 8º.
Condición de los datos personales sujetos
a tratamiento.
I. Los datos de carácter personal que se
recaben para su tratamiento deberán ser ciertos, adecuados, pertinentes y no excesivos
con relación al ámbito y finalidad para los que se hubieren obtenido.
II. Los datos de carácter personal objeto
de tratamiento no podrán usarse para finalidades distintas e incompatibles con aquellas
para las que los hubieran sido reunidos. No se considerará incompatible el tratamiento
posterior de éstos con fines puramente históricos, estadísticos o científicos.
III. Está prohibido el acopio de datos de
carácter personal para su tratamiento por medios desleales, fraudulentos o en forma
contraria a las disposiciones de la presente ley.
IV. Los datos sujetos a tratamiento serán
exactos y actuales de modo que reflejen con veracidad y precisión la situación personal
del afectado. Si ellos resultaren incompletos o inexactos, en todo o en parte, deberán
ser suprimidos y sustituidos de inmediato, o en su caso completados, por el responsable
del fichero, sin perjuicio del derecho de acción de rectificación del afectado.
V. Para su tratamiento los datos personales
deberán ser recopilados de modo que permitan el ejercicio del derecho de acceso de su
titular.
VI. Los datos de carácter personal serán
cancelados y destruidos cuando hayan dejado de ser necesarios o pertinentes para la
finalidad para la cual hubieran sido recabados o registrados.
Artículo 9º.
Derecho de información del afectado en el
tratamiento de datos personales.
I. Cuando se recaben datos de carácter
personal para su tratamiento, los afectados deberán ser informados en forma expresa e
inequívoca de:
a) La finalidad para la que serán tratados
y los destinatarios de la información;
b) La existencia del fichero y la identidad
y domicilio de su responsable y encargado;
c) El carácter obligatorio o facultativo
de las respuestas al cuestionario que se le proponga;
d) De las consecuencias de la captura de
los datos o de la negativa a suministrarlos;
d) De la legitimidad del titular a ejercer
los derechos de acceso, rectificación, cancelación u oposición.
II. En el texto de los cuestionarios o
impresos que se utilicen, se consignarán los derechos a que se refiere la fracción
anterior.
III. Cuando los datos de carácter personal
no hayan sido recabados directamente del titular, éste deberá ser informado por el
responsable o encargado del fichero dentro de los treinta días siguientes al momento del
registro de los datos.
IV. No se aplicará lo dispuesto en la
fracción anterior, cuando expresamente una ley así lo disponga o cuando el tratamiento
tenga una finalidad exclusivamente históricos, estadísticos o científicos; o cuando los
datos procedan de fuentes accesibles al público y se destinen a la actividad de
publicidad o prospección comercial, en cuyo caso, en cada comunicación que se dirija al
interesado se le informará del origen de los datos y de la identidad del responsable del
tratamiento, así como de los derechos que le asisten.
Artículo 10º.
Datos de carácter personal relativos a la
salud.
Las instituciones y los centros sanitarios
públicos y privados y los profesionales correspondientes podrán proceder al tratamiento
de los datos de carácter personal relativos a la salud de las personas que a ellos acudan
o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación de
la materia, respetando los principios del secreto profesional.
Artículo 11º.
Deber de confidencialidad del responsable y
encargados del fichero.
El responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal están
obligados al secreto profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirán aun después de finalizar sus relaciones con el titular. El
responsable podrá ser relevado del deber de confidencialidad por resolución judicial o
cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la
salud pública.
Artículo 12º.
Medidas de seguridad de los datos de
carácter personal objeto de tratamiento.
I. El responsable del fichero y, en su
caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y
organizativas necesarias que garanticen la seguridad de los datos de carácter personal y
eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del
estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que
están expuestos, ya provengan de la acción humana o del medio físico o natural.
II. Está prohibido el tratamiento de datos
de carácter personal en ficheros que no reúnan condiciones técnicas de integridad y
seguridad.
Artículo 13º.
Terceros frente a datos de carácter
personal objeto de tratamiento.
I. Los datos de carácter personal objeto
del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de los
fines directamente relacionados con el interés legítimo del cedente y del cesionario y
con el previo consentimiento del titular de los datos, al que se le debe informar sobre la
finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo.
II. El consentimiento que exige la
fracción anterior no será necesario:
a) Cuando la cesión está expresamente
autorizada en una ley.
b) Cuando se trate de datos obtenidos de
fuentes accesibles al público.
c) Cuando el tratamiento responda a la
libre y legítima aceptación de una relación jurídica de la que sea parte el titular,
cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho
tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima
en cuanto se limite a la finalidad de la relación contractual.
d) Cuando la comunicación sea requerida
por una autoridad judicial.
e) Cuando la cesión se produzca entre
entidades de la Administraciones Pública Federal y tenga por objeto el tratamiento
posterior de los datos con fines puramente históricos, estadísticos o científicos.
f) Si la comunicación se efectúa previo
procedimiento de disociación.
g) Cuando la comunicación de datos de
carácter personal relativos a la salud sea necesaria para solucionar una urgencia que
requiera acceder a un fichero o para realizar los estudios epidemiológicos en los
términos establecidos en la legislación de la materia.
III. Será nulo el consentimiento para la
comunicación de los datos de carácter personal a un tercero, cuando la información que
se facilite no satisfaga la finalidad que motivo la autorización.
IV. Es revocable el consentimiento para la
comunicación de los datos de carácter personal a un tercero.
V. El tercero cesionario quedará sujeto a
las mismas obligaciones legales y reglamentarias del cedente y responderá solidaria y
conjuntamente por la observancia de las mismas ante el titular de los datos de que se
trate.
VI. No se considerará comunicación de
datos el acceso de un tercero a la información cuando dicho acceso sea necesario para la
prestación de un servicio al responsable del tratamiento necesario al mantenimiento o
funcionamiento del fichero.
VII. La realización de tratamientos por
cuenta de terceros deberá regularse mediante contrato, en el que se estipulará:
a) Que el tercero encargado del tratamiento
únicamente tratará los datos conforme a las instrucciones del responsable del
tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho
contrato, ni los comunicará a otras personas.
b) Que una vez cumplida la prestación
contractual, los datos de carácter personal deberán ser destruidos o devueltos al
responsable del tratamiento, al igual que cualquier soporte o documentos en que conste
algún dato de carácter personal objeto del tratamiento.
c). Que en el caso de que el tercero
encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice
incumpliendo las estipulaciones del contrato, será considerado también responsable del
tratamiento, respondiendo de las infracciones en que hubiera incurrido.
Artículo 14º.
Transferencia internacional de datos de
carácter personal objeto de tratamiento.
I. Está prohibida la transferencia
temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento
o hayan sido recogidos para someterlos a dicho tratamiento con países u organismos
internacionales o supranacionales que no proporcionen niveles de protección adecuados.
II. Los niveles adecuados de protección
que ofrece el país de destino se evaluarán atendiendo a todas las circunstancias que
concurran en la transferencia o categoría de transferencia de datos, y en particular, se
tomará en consideración la naturaleza de los datos, la finalidad y la duración del
tratamiento o de los tratamientos previstos, el país de origen y el país de destino
final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que
se trate.
III. La prohibición contenida en la
fracción I no se aplicará en los siguientes supuestos:
a) Colaboración judicial internacional;
b) Cuando la transferencia internacional de
datos de carácter personal resulte de la aplicación de tratados o convenios en los que
México sea parte;
c) Cuando la transferencia sea necesaria o
legalmente exigida para la salvaguarda de un interés público;
d) Intercambio de datos de carácter
médico, cuando así lo exija el tratamiento del afectado, o una investigación
epidemiológica;
e) Transferencias bancarias o bursátiles,
en lo relativo a las transacciones respectivas y conforme a la legislación de la materia;
f) Cuando la transferencia tenga por objeto
la cooperación internacional entre organismos de inteligencia para la lucha contra el
crimen organizado, el terrorismo y el narcotráfico.
g) Por el consentimiento expreso del afectado.
Capítulo Tercero
Prerrogativas de los titulares
Artículo 15º.
Derecho de consulta al Registro Federal de
Protección de Datos.
Toda persona tiene derecho a solicitar del
Registro Federal de Protección de Datos información relativa a la existencia de
ficheros, archivos, registros, bases o bancos de datos personales, sus finalidades y la
identidad de sus responsables y encargados. El Registro será de consulta pública y
gratuita.
Artículo 16º.
Derecho de acceso a ficheros por el titular
de los datos.
I. El titular de los datos, previa
acreditación de su identidad, tiene derecho a solicitar y obtener información de sus
datos personales incluidos en ficheros públicos o privados destinados a proveer informes.
II. El responsable o encargado del fichero
debe proporcionar la información solicitada dentro de los 20 días siguientes a la fecha
de presentación de la solicitud. Vencido el plazo sin que se satisfaga la petición, o si
desahogado el informe, éste se estimara insuficiente, quedará expedita la acción de
protección de los datos personales prevista en esta ley.
III. En caso de fallecimiento del titular,
el ejercicio de este derecho corresponderá a sus sucesores legítimos.
Artículo 17º.
Condición de la información que se
proporcione al titular de los datos.
I. La información que solicite el titular
de los datos debe ser suministrada en forma clara, exenta de codificaciones y, en su caso,
acompañada de una explicación en lenguaje accesible al conocimiento medio de la
población.
II. La información debe ser amplia y
versar sobre la totalidad del registro perteneciente al titular, aun cuando el
requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso el
informe podrá revelar datos pertenecientes a terceros, aun cuando se vinculen con el
interesado.
III. A petición del titular, la
información podrá suministrarse por escrito, por medios electrónicos, telefónicos, de
imagen, u otro idóneo a tal fin.
Artículo 18º.
Impugnación de valoraciones de datos
personales.
I. Las decisiones judiciales o los actos
administrativos que impliquen apreciación o valoración de conductas humanas, no podrán
tener como único fundamento los elementos derivados del tratamiento datos personales que
suministren una definición del perfil o personalidad del afectado.
II. Las resoluciones y los actos que
resulten contrarios a la disposición precedente serán nulos de pleno derecho.
III. El afectado está legitimado para
impugnar las resoluciones y los actos administrativos que impliquen una valoración de su
comportamiento y tengan como único fundamento un tratamiento de datos de carácter
personal que ofrezca una definición de sus características o personalidad.
Artículo 19º.
Derechos de rectificación, actualización
y cancelación de datos de carácter personal.
I. El afectado tiene derecho a que sean
rectificados, actualizados y, cuando corresponda, cancelados o sometidos a
confidencialidad los datos personales de los que sea titular en un fichero.
II. El responsable o usuario del fichero
debe proceder a la rectificación, supresión o actualización de los datos personales del
afectado, realizando las operaciones necesarias a tal fin en el plazo máximo de 20 días
naturales a la fecha de recepción de la reclamación o de advertido el error o falsedad.
III. El incumplimiento de la obligación
por parte del responsable del fichero, legitimará al afectado para ejercer la acción de
protección de los datos personales o de hábeas data prevista en la presente ley.
IV. En el supuesto que existiere cesión o
transferencia de datos, el responsable o usuario del fichero debe notificar la
rectificación o cancelación al cesionario dentro de los diez días siguientes a
efectuado el tratamiento del dato.
V. La cancelación no procede cuando cause
perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una
obligación legal de conservar los datos.
VI. Durante el proceso de verificación y
rectificación del error o falsedad de la información que se trate, el responsable o
usuario del fichero deberá o bien bloquear el archivo, o consignar al proveer
información relativa al mismo la circunstancia de que se encuentra sometida a revisión.
VII. Los datos personales deben ser
conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en
las contractuales entre el responsable o usuario del banco de datos y el titular de los
datos.
VIII. En forma fundada, los responsables o
usuarios de ficheros deberán denegar el acceso, rectificación o la cancelación de
datos:
a) Cuando así lo exija el interés
público, por razones de seguridad nacional, seguridad pública o para proteger derechos
legítimos de terceros.
b) Cuando de tal modo se pudieran
obstaculizar actuaciones judiciales o administrativas en curso.
Artículo 20º.
Gratuidad en la rectificación,
actualización y cancelación de datos de carácter personal.
La rectificación, actualización o
supresión de datos personales inexactos o incompletos que obren en ficheros públicos o
privados se efectuará de forma gratuita para el interesado.
Artículo 21º.
Derecho a indemnización.
I. Los interesados que, como consecuencia
del incumplimiento de lo dispuesto en la presente ley por el responsable o el encargado
del tratamiento, sufran daños, perjuicios o lesión en sus bienes o derechos tendrán
derecho a ser indemnizados.
II. Cuando se trate de ficheros de
titularidad pública, la acción de reparación del daño se promoverá ante el juez de lo
civil del orden común del domicilio del afectado, sin perjuicio de aplicar el régimen de
sanciones y responsabilidades establecido en la Ley Federal de Responsabilidades de los
Servidores Públicos.
III. En el caso de los ficheros de
titularidad privada, la acción se ejercerá ante el juez de lo civil del orden común del
domicilio del afectado.
Capítulo Cuarto
Del Registro Nacional de Protección de Datos
Artículo 22º.
Registro Nacional de Protección de Datos.
I. Se crea el Registro Nacional de
Protección de Datos como un ente integrado al Instituto Nacional de Estadística,
Geografía e Informática.
II. Serán objeto de inscripción en el
Registro Nacional de Protección de Datos:
a) Los ficheros de que sean titulares las
entidades de los Poderes de la Unión.
b) Los ficheros de titularidad privada.
c) Las autorizaciones a que se refiere la
presente ley.
d) Los datos relativos a los ficheros que
sean necesarios para el ejercicio de los derechos de información, acceso, rectificación,
cancelación y oposición.
Artículo 23º.
Funciones del Registro Nacional de
Protección de Datos.
I. Asistir y asesorar a las personas que lo
requieran acerca de los alcances de la presente ley y de los medios legales de que
disponen para la defensa de los derechos que ésta garantiza;
II. Dictar circulares que se deben observar
en el desarrollo de las actividades comprendidas por esta ley;
III. Realizar un censo de archivos,
registros o bancos de datos regulados por la ley y mantener el registro permanente y
actualizado de los mismos;
IV. Controlar la observancia de las normas
sobre integridad y seguridad de datos por parte de los archivos, registros o bancos de
datos. A tal efecto podrá solicitar autorización judicial para acceder a locales,
equipos, o programas de tratamiento de datos a fin de verificar infracciones al
cumplimiento de la presente ley;
V. Solicitar información a las entidades
públicas y privadas, las que deberán proporcionar los antecedentes, documentos,
programas u otros elementos relativos al tratamiento de los datos personales que se le
requieran;
Capítulo Quinto
De los responsables, encargados y usuarios de ficheros
Artículo 24º.
Registro e inscripción de ficheros.
I. Todo fichero, base o banco de datos
público o privado destinado a proporcionar informes debe inscribirse en el Registro
Nacional de Protección de Datos.
II. El registro de archivos de datos debe
comprender como mínimo la siguiente información:
a) Nombre y domicilio del responsable y
encargado;
b) Características y finalidad del
fichero;
c) Naturaleza de los datos personales
contenidos en cada archivo;
d) Forma de recolección y actualización
de datos;
e) Destino de los datos y personas físicas
o morales a las que pueden ser transmitidos;
f) Modo de interrelacionar la información
registrada;
g) Medios utilizados para garantizar la
seguridad de los datos, debiendo detallar la categoría de personas con acceso al
tratamiento de la información;
h) Tiempo de conservación de los datos;
i) Forma y condiciones en que las personas
pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la
rectificación o actualización de los datos.
III. Ningún usuario de datos podrá poseer
datos personales de naturaleza distinta a los declarados en el registro.
Artículo 25º.
Ficheros de titularidad pública.
I. Las disposiciones sobre creación,
modificación o supresión de archivos, registros o bancos de datos pertenecientes a
organismos públicos deben publicarse en el Diario Oficial de la Federación.
II. Las disposiciones respectivas, deben
precisar:
a) Características y finalidad del
fichero;
b) Personas respecto de las cuales se
pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte
de aquéllas;
c) Procedimiento de obtención y
actualización de los datos;
d) Estructura básica del archivo,
informatizado o no, y la descripción de la naturaleza de los datos personales que
contendrán;
e) Las cesiones, transferencias o
interconexiones previstas;
f) Organos responsables del archivo,
precisando dependencia jerárquica en su caso;
g) Las oficinas ante las que se pudiesen
efectuar las reclamaciones en ejercicio de los derechos de acceso, rectificación o
supresión.
Artículo 26º.
Supuestos especiales de ficheros.
I. Quedarán sujetos al régimen de la
presente ley, los datos personales que por haberse almacenado para fines administrativos,
deban ser objeto de registro permanente en los bancos de datos de las fuerzas armadas,
fuerzas de seguridad, organismos policiales o de inteligencia; y aquéllos sobre
antecedentes personales que proporcionen dichos bancos de datos a las autoridades
administrativas o judiciales que los requieran en virtud de disposiciones legales.
II. El tratamiento de datos personales con
fines de defensa nacional o seguridad pública por parte de las fuerzas armadas, fuerzas
de seguridad, organismos policiales o inteligencia, sin consentimiento de los afectados,
queda limitado a aquellos supuestos y categoría de datos que resulten necesarios para el
estricto cumplimiento de las misiones legalmente asignadas a aquéllos para la defensa
nacional, la seguridad pública o para la investigación o persecución de los delitos.
Los archivos, en tales casos, deberán ser específicos y establecidos al efecto, debiendo
clasificarse por categorías, en función de su grado de fiabilidad.
III. Los datos personales registrados con
fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que
motivaron su almacenamiento.
Artículo 27º.
Ficheros de titularidad privada.
Los particulares que formen ficheros,
registros o bancos de datos que no sean para un uso exclusivamente personal deberán
registrarse en el Registro Nacional de Protección de Datos.
Artículo 28º.
Prestación de servicios informatizados de
datos personales.
I. Cuando por cuenta de terceros se presten
servicios de tratamiento de datos personales, éstos no podrán aplicarse o utilizarse con
un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas.
II. Una vez cumplida la prestación
contractual los datos personales tratados deberán ser destruidos, salvo que medie
autorización expresa de aquel por cuenta de quien se prestan tales servicios o cuando
razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá
almacenar con las debidas condiciones de seguridad por un período de hasta dos años.
Capítulo Sexto
Acción de protección de los datos personales o de habeas data
Artículo 29º.
Procedencia y objeto de la acción.
La acción de protección de los datos
personales o de habeas data procederá:
I. Para tomar conocimiento de los datos
personales almacenados en archivos, registros o bancos de datos públicos o privados
destinados a proporcionar informes, y de la finalidad de aquéllos;
II. En los casos en que se presuma la
falsedad, inexactitud, desactualización de la información de que se trata, o el
tratamiento de datos cuyo registro se encuentra prohibido en la presente ley, para exigir
su rectificación, cancelación, confidencialidad o actualización.
Artículo 30º.
Legitimación activa y pasiva para el
ejercicio de la acción.
La acción de protección de los datos
personales o de habeas data podrá ser ejercida por el afectado o sus
representantes. Y procederá respecto de los responsables, usuarios y encargados de
ficheros de titularidad pública o privada destinados a proveer informes.
Artículo 31º.
De la competencia para el ejercicio de la
acción.
Es competente el juez de lo civil del orden
común del domicilio del actor; el del domicilio del demandado; el del lugar en el que el
hecho o acto se exteriorice o pudiera tener efecto, a elección del afectado.
Artículo 32º.
Procedimiento aplicable
La acción de protección de los datos
personales o de hábeas data se tramitará según las disposiciones de la presente ley y
por el procedimiento establecido para los juicios ordinarios civiles en la legislación
local aplicable.
Artículo 33º.
Requisitos de la demanda y medidas
preventivas.
I. La demanda deberá interponerse por
escrito, individualizando con la mayor precisión posible el nombre y domicilio del
archivo, registro o banco de datos y, en su caso, el nombre del responsable o usuario del
mismo. En el caso de los archivos, registros o bancos públicos, se procurará establecer
el organismo estatal del cual dependen.
II. El actor deberá exponer los motivos
por las cuales entiende que en el archivo, registro o banco de datos individualizado obra
información referida a su persona; los motivos por los cuales considera que la
información que le atañe resulta discriminatoria, falsa o inexacta.
III. Desde la presentación de la demanda
el afectado podrá solicitar que mientras dure el procedimiento, el registro o banco de
datos asiente que la información cuestionada está sometida a un proceso judicial.
IV. El Juez podrá disponer el bloqueo
provisional del archivo en lo referente al dato personal motivo del juicio cuando sea
manifiesto el carácter discriminatorio, falso o inexacto de la información de que se
trate.
Artículo 34º.
Disposiciones del trámite
I. Admitida la acción el juez requerirá
al responsable del fichero, registro o banco de datos la remisión de la información
concerniente al actor. Podrá asimismo solicitar informes sobre el soporte técnico de
datos, documentación de base relativa a la recolección y cualquier otro aspecto que
resulte conducente a la resolución de la causa que estime procedente.
II. El plazo para contestar el informe no
podrá ser mayor de cinco días hábiles, el que podrá ser ampliado a criterio del juez.
Artículo 35º.
Contestación del informe.
Al contestar el informe, el responsable del
fichero, registro o banco de datos deberá expresar las razones por las cuales incluyó la
información cuestionada y aquellas por las que no evacuó en términos de esta ley el
pedido efectuado por el afectado.
Artículo 36º.
Ampliación de la demanda.
Contestado el informe, el actor podrá, en
el término de tres días, ampliar el objeto de la demanda solicitando la cancelación,
rectificación, confidencialidad o actualización de sus datos personales, en los casos
que resulte procedente conforme a la presente ley. De la ampliación de la demanda se
dará traslado al demandado por el término de tres días.
Capítulo Séptimo
De los delitos
Artículo 37º.
Se impondrá sanción de uno a tres años
de prisión:
I. Al que insertara o hiciera insertar a
sabiendas datos falsos en un fichero de datos personales.
II. Al que proporcionara a un tercero a
sabiendas información falsa contenida en un fichero de datos personales.
Artículo 38º.
Se impondrá sanción de dos a cinco años
de prisión:
I. Al que a sabiendas e ilegalmente, o
violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma,
a un fichero de datos personales;
II. Al que revelare a otro información
registrada en un fichero o banco de datos personales, cuyo secreto estuviere obligado a
preservar por disposición de una ley.
Transitorios
Primero. La presente ley entrará en
vigor al día siguiente de su publicación en el Diario Oficial de la Federación.
Segundo. Se derogan todas las
disposiciones legales y reglamentarias que se opongan al presente ordenamiento.
|
