TEXTO QUE SE PROPONE

Capítulo I
Disposiciones generales

Artículo 1.

1. Esta ley tiene por objeto asegurar que el trato de datos personales se realice con respeto a las garantías de las personas físicas.

2. Las disposiciones de esta ley también son aplicables, en lo conducente, a los datos de las personas jurídicas.

3. En ningún caso se podrán afectar los registros y fuentes periodísticas.

Artículo 2.

1. Esta ley es aplicable a los datos de carácter personal que figuren en archivos, registros, bancos o bases de datos de personas físicas o jurídicas, públicas o privadas, y a todo uso posterior, incluso no automatizado, de datos de carácter personal registrados en soporte físico susceptible de tratamiento automatizado.

2. Esta ley no es aplicable a los archivos, registros, bases o bancos de datos:

I. De titularidad pública cuyo objeto por ley sea almacenar datos para su publicidad con carácter general;

II. Cuyo titular sea una persona física y tengan un fin exclusivamente personal;

III. De información científica, tecnológica o comercial que reproduzcan datos ya publicados en medios de comunicación oficial;

IV. De resoluciones judiciales publicadas en medios de comunicación oficial; y,

V. Administrados por los partidos políticos, sindicatos, iglesias y asociaciones religiosas, sola y exclusivamente en lo tocante a los datos que se refieren a sus asociados, miembros o ex miembros y que se relacionen con su objeto, sin perjuicio de que la cesión de datos quede sometida a lo dispuesto en esta ley.

3. Se regulan por sus disposiciones específicas los archivos, registros, bases o bancos de datos:

I. Electorales, conforme a los ordenamientos aplicables;

II. Referentes al registro civil, a la prevención, persecución y sanción de los delitos, así como a la ejecución de las sanciones penales;

III. Con fines exclusivamente estadísticos, regulados por la Ley del Instituto Nacional de Geografía, Estadística e Informática; y,

IV. Personales concernientes a integrantes de las fuerzas armadas y los cuerpos de seguridad pública o a datos relativos a esos cuerpos.

4. los archivos, registros, bancos o bases de datos relativos a la prevención, persecución, sanción de los delitos, ejecución de sanciones penales, o a los datos correspondientes a los cuerpos de las fuerzas armadas y de seguridad pública o a sus integrantes, serán reservados, y se actualizarán, complementarán, corregirán, suspenderán, o cancelarán en los términos de sus propias disposiciones, sin que les resulte aplicable el régimen general de esta ley.

Artículo 3.

1. La integración, implementación y funcionamiento de los archivos, registros, bancos y bases de datos es lícita cuando se ajusta a los principios que establece esta ley y su reglamentación.

2. En ningún caso los archivos, registros, bases o bancos de datos pueden tener un fin contrario a la ley o la moral.

3. Los datos sensibles y los relativos a condenas y sanciones penales, sólo se pueden tratar automatizadamente para su acceso al público o a institución no competente con el permiso previo del interesado y siempre que el responsable del archivo, registro, base o banco de datos garantice, a satisfacción del Instituto Federal de Protección de Datos Personales, la disociación de datos.

Artículo 4.

1. Para los efectos de esta ley se entiende por:

I. Datos personales: La información de persona física o jurídica determinada o determinable;

II. Datos sensibles: Aquellos que revelan el origen racial, étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, salud o vida sexual;

III. Archivo, registro, base o banco de datos: Conjunto de datos personales organizados, tratados automatizadamente;

IV. Tratamiento de datos: Operaciones y procedimientos sistemáticos que tienen por objeto recolectar, guardar, ordenar, modificar, relacionar, cancelar y cualquiera otra que implique el procesamiento de datos, o su cesión a terceros a través de comunicaciones, consultas, interconexiones y transferencias;

V. Responsable del archivo, registro, base o banco de datos: Persona física o jurídica que ostenta la titularidad del archivo, registro, banco o base de datos;

VI. Datos informáticos: Los datos personales tratados automatizadamente;

VII. Usuario de datos: Toda persona física, jurídica, pública o privada que trata datos personales de manera voluntaria, ya sea en archivos, registros, bancos de datos propios o a través de conexión con los mismos;

VIII. Disociación de datos: Todo tratamiento de datos personales que impida asociarlos a persona determinada o determinable; y,

IX. Interesado: La persona física o jurídica a la que conciernen los datos personales.

Artículo 5.

1. Los datos colectados deben ser adecuados, ciertos, pertinentes y proporcionales al ámbito y fin para el que se colectan.

2. La colecta de datos se debe hacer por medios lícitos que garanticen el respeto a las garantías individuales y, especialmente, de los derechos al honor y a la intimidad de la persona a la que conciernen.

3. Los datos sólo pueden ser utilizados para los fines que motivaron su obtención, o para fines compatibles con estos.

4. Los datos objeto de tratamiento deben ser exactos y actualizados de manera que sean congruentes con los concernientes al interesado.

5. Los datos no incluidos, incompletos, inexactos o que estén en desacuerdo con la realidad de los que corresponden a la persona que conciernen, deben ser incluidos, complementados, actualizados, rectificados o cancelados, según corresponda.

6. Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso por parte del interesado.

7. Los datos deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para los fines para los que fueron colectados.

 

Capítulo II
De los interesados y los responsables de los registros

Artículo 7.

1. Todo interesado tiene derecho a que se le informe de manera expresa y suficiente:

I. De la existencia de un archivo, registro, base o banco de datos de carácter personal, el ámbito y la finalidad de la colección de éstos y de los destinatarios de la información;

II. Del carácter obligatorio o potestativo de su respuesta a las preguntas planteadas para la colecta de datos;

III. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos;

IV. De la posibilidad de ejercitar los derechos de acceso, inclusión, complementación, rectificación, suspensión, reserva y cancelación de los datos personales que le conciernan y de la forma y términos en que puede ejercitarlos; y,

V. De la identidad, dirección y domicilio del responsable del archivo, registro, base o banco de datos.

Artículo 8.

1. La colecta y el tratamiento automatizado de los datos requieren del consentimiento previo del interesado, salvo que la ley disponga otra cosa.

2. El interesado, sin su responsabilidad, tiene el derecho de revocar su consentimiento para el tratamiento automatizado de datos, dando aviso oportuno e indubitable al titular del archivo, registro, base o banco de datos, salvo que la ley disponga otra cosa.

3. No se requiere el consentimiento del interesado, cuando los datos de carácter personal se colecten de fuentes de información de acceso público, cuando se recojan para el ejercicio de las funciones propias de entidades y organismos públicos en el ámbito de su competencia, ni cuando se refieran a personas vinculadas por una relación comercial, laboral, administrativa, contractual y sean necesarios para el mantenimiento de la relación o para el cumplimiento del contrato.

Artículo 9.

1. Ninguna persona está obligada a proporcionar datos personales de carácter sensible que le conciernen.

2. Los datos sensibles sólo pueden ser colectados y tratados por razones de interés general previstas en la ley, cuando previamente el interesado ha otorgado su consentimiento, o cuando se colecten y traten con fines estadísticos o científicos, siempre que no se puedan atribuir a persona determinada o determinable.

3. Queda prohibida la formación de archivos, registros, bases o bancos que revelen datos sensibles, salvo lo dispuesto en esta ley.

4. Los datos personales relativos a los antecedentes penales o faltas administrativas sólo pueden ser tratados por los órganos y organismos públicos correspondientes en la esfera de su competencia.

5. Queda prohibido a los responsables de los archivos, registros, bancos o bases de datos formular juicios de valor sobre los datos personales que traten automatizadamente.

Artículo 10.

1. Los organismos públicos o privados de salud y los profesionales vinculados a las ciencias de la salud, pueden colectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hayan estado bajo tratamiento de aquellos, respetando en todo caso el secreto profesional, y siempre que esos datos se disocien.

Artículo 11.

1. Queda prohibido registrar datos personales en archivos, registros o bancos de datos que no reúnan condiciones técnicas de integridad o seguridad.

2. El responsable del archivo, registro, base o banco de datos debe adoptar todas las medidas técnicas y de organización necesarias para evitar la adulteración, pérdida, inexactitud, insuficiencia, falta, consulta, reserva, cancelación o tratamiento de datos no autorizado.

3. El reglamento de esta ley determinará los requisitos y condiciones mínimas de seguridad y de organización, en función del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos.

Artículo 12.

1. El responsable del archivo, registro, base o banco de datos y quienes intervengan en la colecta y el tratamiento de los datos personales están obligados a guardar el secreto profesional, incluso aún después de que concluyan sus relaciones con el interesado.

2. El titular del archivo, registro, base o banco de datos, o quienes intervengan en la colecta o el tratamiento de los datos personales los deben revelar cuando se les pida en cumplimiento de una resolución judicial, por razones de interés social o relativas a la seguridad pública o nacional, o a la salud pública.

Artículo 13.

1. Los datos que obren en archivos, registros, bases o bancos de datos personales sólo se pueden ceder a persona con interés legítimo, con el previo consentimiento del interesado, al que se debe informar suficientemente sobre la identidad del cesionario, y la finalidad de la cesión.

2. El consentimiento de la cesión es revocable, mediante notificación indubitable al titular del archivo, registro, base o banco de datos.

3. La cesión no requiere el consentimiento del interesado, cuando:

I. La ley no lo exija;

II. La cesión se realice entre dependencias y organismos públicos en forma directa, en el ejercicio de sus atribuciones y en el ámbito de sus competencias;

III. Por razones de interés social, de seguridad pública o nacional, o salud pública; y,

IV. Se aplique un procedimiento de disociación de datos de manera que no se puedan atribuir a persona determinada o determinable.

 4. El cesionario queda sujeto a las mismas obligaciones legales y reglamentadas del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el interesado.

Artículo 14.

1. Se prohíbe la transferencia de datos personales con Estados u organismos internacionales, que no proporcionen niveles de seguridad y protección cuando menos equivalentes a los que se proporcionan en el Estado Mexicano.

2. La prohibición no rige en los supuestos siguientes:

I. Colaboración judicial internacional;

II. Intercambio de datos en materia de salud, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica;

III. Transferencias bancarias o bursátiles, conforme a la legislación que le resulte aplicable;

IV. Cuando la transferencia se acuerde en un tratado, convenio o instrumento internacional vigente en el que el Estado Mexicano sea parte; y,

V. Cuando la transferencia tenga por objeto la cooperación internacional para la lucha contra el crimen organizado, el terrorismo, el narcotráfico y delitos contra la humanidad.

Artículo 15.

1. Toda persona tiene derecho de solicitar al Instituto Federal de Protección de Datos Personales, informes sobre la existencia de archivos, registros, bases o bancos de datos personales, sobre las finalidades y la identidad de sus responsables.

2. El registro en el que conste la información anterior será de consulta pública y gratuita.

Artículo 16.

1. Todo interesado que se identifique tiene derecho de solicitar y obtener informes de los datos personales que le conciernan y obren en archivos, registros, bases o bancos de datos públicos o privados que se destinen a proveer informes.

2. Los informes que se otorguen conforme al inciso anterior, pueden consistir en la simple observación o la comunicación por cualquier medio fiable que garantice la comunicación integra, y la constancia de su envío y recepción.

El informe se debe proporcionar dentro de los diez días hábiles posteriores a la recepción de la solicitud; vencido el plazo sin que se haya rendido el informe, el interesado puede promover la acción de protección de datos personales prevista en esta ley.

3. El derecho de información a que se refiere este artículo sólo se puede ejercer de manera gratuita a intervalos no menores de tres meses, salvo que el afectado acredite un interés legítimo, caso en el cual puede ejercerlo antes y cuantas veces sea necesario.

4. Para el caso de que el interesado directo haya fallecido, el representante legítimo de la sucesión pueden solicitar y recibir la información a que se refiere este artículo, previa la acreditación de su carácter.

Artículo 18.

1. Los informes se deben realizar de manera clara y sencilla, de forma que se puedan entender por el interesado.

2. La información debe ser completa y concerniente al interesado, aunque éste haya solicitado sólo parte de la información, pero no se podrán revelar datos relativos a terceros aunque estos se relacionen con aquél.

3. Los informes se suministrarán, dependiendo de la capacidad técnica del responsable del archivo, registro, base o banco de datos: impresos en papel, en medios electrónicos, ópticos o cualquiera otro que determine el interesado.

Artículo 19.

1. Toda persona tiene derecho de solicitar y obtener, en su caso y sin costo alguno, la inclusión, complementación, rectificación, actualización, reserva, suspensión, o cancelación de los datos personales que le conciernen y se contengan en archivos, registros, bases o bancos de datos.

2. Dentro de los cinco días hábiles siguientes a la recepción de la solicitud, el titular del archivo, registro, base o banco de datos debe incluir, complementar, rectificar, actualizar, reservar, suspender o cancelar los datos personales concernientes al interesado, informándole por escrito de manera completa, clara y sencilla el tratamiento realizado.

3. Si el titular del archivo, registro, base o banco de datos no cumple con la obligación que le impone el inciso anterior, el interesado puede ejercitar la acción de protección de datos o habeas data prevista en esta ley.

4. En el caso de que la información se haya cedido o transferido, el responsable del archivo, registro, base o banco de datos, sin cargo alguno para el interesado, debe comunicar la inclusión, complementación, rectificación, actualización o cancelación de los datos al cesionario, dentro de los tres días hábiles siguientes al en que se haya resuelto el tratamiento correspondiente.

5. La cancelación de los datos no procede por razones de interés social, de seguridad pública o nacional, de salud pública o por afectarse derechos de terceros, en los términos que lo disponga la ley.

6. Durante el procedimiento que se siga para complementar, rectificar, actualizar, reservar, suspender o cancelar los datos personales que conciernan al interesado, el titular del archivo, registro, base o banco de datos, debe bloquear los datos materia de la solicitud o consignar al proveer la información relativa que se tramita un procedimiento con determinado objeto.

7. Los datos se deben conservar por el tiempo que determinen la ley o las disposiciones contractuales vigentes entre las partes.

Artículo 20.

1. Los titulares de los archivos, registros, bases o bancos de datos públicos pueden negar la inclusión, complementación, actualización, rectificación, reserva o cancelación de datos personales solicitada, por resolución debidamente fundada y motivada en ley, la cual debe ser notificada al interesado.

2. Los interesados tienen derecho de acceder a los datos personales que les conciernan y que obren en archivos, registros, bases o bancos de datos con el fin de ejercer cabalmente su derecho de defensa.

Artículo 21.

1. Todo archivo, registro, base o banco de datos que tenga como fin proporcionar informes se debe inscribir en el Registro que al efecto implemente y establezca el Instituto de Federal de Protección de Datos Personales.

2. El Registro al que se refiere el inciso antecedente, cuando menos debe recabar del titular del archivo, registro, base o banco de datos la información siguiente:

I. El nombre, dirección y domicilio del responsable;

II. En el caso de personas jurídicas de derecho privado, nombre del representante legal, integrantes del consejo de administración, objeto de la sociedad o asociación, razón social, fecha de constitución y registro federal de causantes;

III. Características y finalidad del archivo;

IV. Categorías de datos personales que se han de colectar y tratar;

V. Forma, tiempo y lugar de recolección y actualización de los datos;

VI. Destino de los datos y personas físicas o jurídicas a las que se pueden transmitir o se les puede permitir la consulta;

VII. Procedimiento para relacionar la información colectada y tratada;

VIII. Metodologías y procedimientos técnicos para asegurar la información colectada y tratada;

IX. Nombre y domicilio de las personas que intervienen en la colecta y tratamiento de los datos;

X. Tiempo durante el cual se han de conservar los datos; y,

XI. Formas y procedimientos por los cuales las personas pueden acceder a los datos personales que les conciernen, o por los cuales se puede solicitar su inclusión, complementación, actualización, rectificación, reserva y cancelación.

3. Cualquier modificación a la información contenida en el registro debe ser comunicada por el responsable dentro de los tres días hábiles siguientes al en que haya tenido lugar.

4. El incumplimiento de las normas anticipadas dará lugar a las sanciones previstas en esta Ley.

Artículo 22.

1. Los archivos, registros, bases o bancos de datos de carácter público sólo se pueden crear, modificar o extinguir por medio de disposiciones de carácter general de conformidad con las normas jurídicas aplicables, que se deberán publicar en el Diario Oficial de la Federación.

2. Las disposiciones a que hace referencia el inciso anterior, deben indicar:

I. El órgano u organismo público responsable del archivo, registro, base o banco de datos, y dependencia o entidad pública de la que dependa, en su caso;

II. Estructura básica, características y finalidad del archivo;

III. Personas de las que se pretende colectar datos y el carácter potestativo u obligatorio del suministro de la información;

IV. Categorías de datos personales que se han de colectar y tratar;

V. Forma, tiempo y lugar de recolección y actualización de los datos;

VI. Cesiones, transferencias o interconexiones previstas; y,

VII. Órganos u organismos públicos ante los que el interesado puede solicitar los derechos de inclusión, complementación, actualización, rectificación, reserva, suspensión o cancelación.

3. En la resolución o disposición que determine la cancelación de archivos, registros, bases o bancos de datos personales, se debe precisar el destino de los mismos o las medidas tomadas para su destrucción.

Artículo 23.

1. Los archivos, registros, bancos o bases da datos personales que por ser colectados y tratados para fines administrativos, deben permanecer indefinidamente, estarán sujetos al régimen general de esta ley.

2. La colecta y el tratamiento automatizado de datos personales que se hayan realizado con fines de seguridad pública, se limitarán a los necesarios para prevenir un peligro inminente de seguridad pública, policial o para la represión de infracciones penales, se almacenarán en archivos específicos establecidos al efecto y se clasificarán por categorías en función de su grado de fiabilidad.

3. Los datos personales con fines de seguridad pública o policiales se cancelarán luego que se haya cumplido el objeto para el cual fueron colectados y tratados o ya no sean útiles para el mismo objeto.

Artículo 24.

1. Los particulares que formen archivos, registros, bancos o bases de datos personales que no sean para uso exclusivamente personal, deben registrarse conforme a lo dispuesto en el artículo 21 de esta ley.

Artículo 25.

1. Los terceros que presten servicios de tratamiento automatizado de datos personales, no pueden aplicarlos o utilizarlos para fin distinto del que figure en el contrato de servicios, ni cederlos a persona diversa, aún para fines de conservación.

2. Cumplida la prestación contractual, los datos personales tratados que hayan quedado en poder del prestador de servicios deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un periodo de hasta dos años.

Artículo 26.

1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y de crédito sólo podrán tratar automatizadamente datos de carácter personal obtenidos de fuentes accesibles al público, facilitados por el interesado o con su consentimiento previo.

2. Los datos personales concernientes al cumplimiento de las obligaciones pecuniarias pueden ser tratados automatizadamente cuando sean facilitados por el acreedor, con su consentimiento previo o por quien actúe en su nombre y cuenta.

3. Los titulares de los archivos, registros, bancos o bases de los datos referidos en los incisos anteriores, dentro de los treinta días siguientes a su registro, deben comunicar a los interesados los datos que se hayan incluido y el derecho que les asiste para recabar informe total de ellos, en los términos establecidos en la ley.

4. En caso de que el interesado lo solicite, el responsable del archivo le informará los datos que le conciernen, las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos tres meses y el nombre, domicilio y dirección del cesionario.

5. Sólo se pueden archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo se extinga la obligación, debiéndose hacer constar dicho hecho.

6. La prestación de servicios de información crediticia no requerirá el previo consentimiento del interesado, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

7. Los responsables de los archivos, registros, bancos o bases de datos rendirán informes sobre la solvencia patrimonial y de crédito de los interesados sin calificar la viabilidad de éstos para ser sujetos de obligaciones pecuniarias.

Artículo 27.

1. Los archivos, registros, bases o bancos de datos destinados al reparto de documentos, publicidad, venta directa u otras actividades análogas sólo pueden incorporar datos personales con el consentimiento de la persona a la cual concierne, cuando ésta los ha facilitado, o cuando los datos obren en fuentes accesibles al público.

2. El interesado puede acceder sin costo alguno a los archivos, registros, bases o bancos de datos referidos en el inciso anterior.

3. El interesado tiene en todo tiempo el derecho de conocer el origen de sus datos personales, el destino de los mismos, y a que se cancelen, bastando en este caso su simple solicitud.

Artículo 28.

1. Sólo se pueden colectar y tratar automatizadamente datos de carácter personal por encuestas de opinión, investigación científica y actividades análogas si el interesado otorga su consentimiento.

2. Los datos personales a que hace referencia el inciso anterior se deben destinar exclusivamente al cumplimiento de la finalidad para la que fueron recabados y sólo se pueden ceder con el consentimiento previo del interesado.

Capítulo III
Del Instituto Federal de Protección de Datos Personales

Artículo 29.

1. El Instituto Federal de Protección de Datos Personales es el organismo público descentralizado de la administración pública federal, con personalidad jurídica y patrimonio propios que tiene por objeto el control de los responsables de los archivos, registros, bases o bancos de datos personales y la protección de éstos.

2. El domicilio del Instituto se ubica en la ciudad de México, Distrito Federal, independientemente de que puede establecer delegaciones en diversos puntos de la República.

Artículo 30.

1. Compete al Instituto Federal de Protección de Datos Personales el ejercicio de las atribuciones siguientes:

I. Otorgar asesoría a las personas físicas o jurídicas que lo requieran acerca del contenido y alcance de la presente ley;

II. Dictar las normas y disposiciones administrativas necesarias para la realización de su objeto en el ámbito de su competencia;

III. Llevar un registro actualizado y completo de los archivos, registros, bases o bancos de datos personales;

IV. Vigilar que las normas sobre integridad y seguridad de los datos personales se respeten y apliquen por los titulares de los archivos, registros, bases o bancos de datos correspondientes;

Con ese objeto, podrá solicitar a la autoridad judicial competente autorización para inspeccionar los inmuebles, equipos, herramientas y programas de captura y tratamiento de datos;

V. Solicitar la información que requiera para el cumplimiento de su objeto a las entidades públicas y privadas titulares de los archivos, registros, bases o bancos de datos personales, garantizando en todo caso la seguridad, la integridad y confidencialidad de la información;

VI. Imponer las sanciones administrativas que correspondan a los infractores de esta ley;

VII. Formular y presentar las denuncias y querellas por violaciones a lo dispuesto en esta ley; y,

VIII. Cerciorarse de que los archivos, registros, bases o bancos de datos personales destinados a suministrar informes cuenten con los requisitos necesarios para que proceda su inscripción en el Registro de Archivos, Registros, Bases o Bancos de Datos.

Artículo 31.

1. El Director del Instituto será nombrado y removido libremente por el Titular del Poder Ejecutivo Federal.

Artículo 32.

1. El Director del Instituto debe reunir los requisitos siguientes:

I. Ser mexicano por nacimiento, con plena capacidad de goce y ejercicio de sus derechos políticos y civiles;

II. Tener 30 años cumplidos al momento de ser designado;

III. Tener título oficial de profesión afín al objeto del Instituto;

IV. Haberse destacado por sus estudios y/o aplicaciones en el ámbito de la informática o de las nuevas tecnologías de la información; y,

V. No haber sido condenado por la comisión de delito intencional.

Artículo 33.

1. El Instituto de Protección de Datos contará con la siguiente estructura básica para el cumplimiento de sus funciones:

I. Junta de Gobierno;

II. Dirección General;

III. Consejo Consultivo;

IV. Dirección del Registro de Archivos, Registros, Bases o Banco de Datos;

V. Dirección Seguridad y Protección de Datos;

VI. Dirección de Programas y Comunicaciones, y,

VII. Dirección Jurídica.

2. El Instituto contará con el personal profesional, técnico y administrativo que autorice el presupuesto.

Artículo 34.

1. La Junta de Gobierno se compone por los integrantes siguientes:

I. Titular del Poder Ejecutivo Federal o su representante, quien la presidirá;

II. El Secretario de Gobernación, como Secretario;

III. El Secretario de Energía, como vocal;

IV. El Secretario de Educación Pública, como vocal;

V. El Secretario de Hacienda y Crédito Público, como vocal;

VI. El Secretario de Economía, como vocal;

VII. Un representante de la Cámara de Diputados, como vocal;

VIII. Un representante de la Cámara de Senadores, como vocal;

IX. Un representante del Poder Judicial Federal, como vocal; y,

X. Un representante del Consejo Nacional de Ciencia y Tecnología, como vocal.

2. La Junta de Gobierno se considera válidamente constituida con la asistencia de la mitad más uno de sus integrantes.

3. Las decisiones se tomarán por mayoría de votos de los integrantes presentes y, en caso de empate, el Presidente tiene voto de calidad.

Artículo 35.

1. Compete a la Junta de Gobierno:

I. Conocer de los planes y programas del Instituto que someta a su consideración el Director General del mismo;

II. Aprobar el Reglamento Interior del Instituto que, en proyecto, presente a su consideración el Director General;

III. Supervisar y dar seguimiento a los trabajos realizados por el Instituto;

IV. Aprobar el informe semestral que le presente el Director General;

V. Emitir las recomendaciones e instrucciones que estime necesarias para el correcto funcionamiento del Instituto;

VI. Nombrar a los directores de las diversas áreas del Instituto que le proponga el Director General, removiéndolos en su caso; y,

VII. Las demás que le correspondan conforme al derecho vigente.

Artículo 36.

1. El Titular del Poder Ejecutivo Federal o quien éste designe en su representación, presidirá la Junta de Gobierno y dirigirá sus sesiones, velando por el buen orden y despacho de los asuntos sometidos a su conocimiento.

2. En caso de que el Titular del Poder Ejecutivo Federal o su representante no asistan, presidirá y dirigirá los trabajos de la sesión el Secretario, y a falta de éste cualquiera de los vocales, por designación de la propia Junta.

Artículo 37.

1. El Consejo Consultivo se integra por.

I. Un experto en la materia, designado por la Asociación Nacional de Universidades e Instituciones de Educación Superior;

II. Un representante designado por los titulares de archivos, registros, bases o bancos de datos reconocidos oficialmente;

III. Un representante de la Comisión Nacional de Derechos Humanos; y,

IV. Un representante de la Procuraduría General de la República.

2. Los integrantes del Consejo Consultivo durarán en su encargo tres años, y será honorífico.

3. El Consejo Consultivo es el órgano de asesoría de la Junta de Gobierno y de la Dirección General del Instituto.

4. El funcionamiento del Consejo Consultivo se determinará en el Reglamento de esta ley.

Artículo 38.

1. La organización y funcionamiento interior de las direcciones de área del Instituto se regularán en el Reglamento del propio Instituto.

2. los titulares de las direcciones de área del Instituto, deben reunir los mismos requisitos que el Director General.

Capítulo IV
De las sanciones

Artículo 39.

1. Son infracciones leves a esta Ley:

I. Omitir la inclusión, complementación, rectificación, actualización, reserva, suspensión o cancelación, de oficio o a petición del interesado, de los datos personales que obren en archivos, registros, bases o bancos de datos;

II. Incumplir las instrucciones dictadas por el Director General del Instituto; y,

III. Cualquiera otra de carácter puramente formal o documental que no pueda ser catalogada como grave.

Artículo 40.

1. Son infracciones graves a esta Ley:

I. Colectar o tratar datos de carácter personal para constituir, o implementar archivos, registros, bases o bancos de datos de titularidad pública, sin la previa autorización de la normativa aplicable;

II. Colectar o tratar automatizadamente datos de carácter personal para constituir, o implementar archivos, registros, bases o bancos de datos de titularidad privada, sin el consentimiento del interesado o de quien legítimamente puede otorgarlo;

III. Colectar, tratar automatizadamente o administrar datos de carácter personal con violación de los principios que rigen esta ley o de las disposiciones que sobre protección y seguridad de datos sean vigentes;

IV. Impedir u obstaculizar el ejercicio del derecho de acceso, así como negar injustificadamente la información solicitada;

V. Violentar el secreto profesional que debe guardar por disposición de esta ley;

VI. Mantener archivos, registros, bases o bancos de datos, inmuebles, equipos o herramientas sin las condiciones mínimas de seguridad requeridas por las disposiciones aplicables; y,

VII. Obstruir las inspecciones que realice el Instituto.

Artículo 41.

1. Sin perjuicio de las responsabilidades administrativas que correspondan en los casos de responsables o usuarios de bancos de datos públicos; de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley, y de las sanciones penales que correspondan, el organismo de control podrá aplicar las sanciones de:

I. Apercibimiento;

II. Suspensión de operaciones;

III. Multa hasta por el equivalente de 1 a 100 días de salario mínimo vigente en el Distrito Federal al momento de comisión de la infracción; y,

IV. Clausura o cancelación del archivo, registro o banco de datos.

2. En el caso de infracciones leves a esta ley, se aplicarán al infractor, dependiendo de las circunstancias del caso, del daño causado y de las condiciones del propio infractor, la sanción que corresponda conforme a las fracciones de la I a la III de este artículo.

3. En el caso de infracciones graves, se impondrán al infractor dependiendo de las circunstancias del caso, del daño causado y de las condiciones del propio infractor, la sanción que corresponda conforme a las fracciones III y IV de este artículo.
 

Capítulo V
De la acción de protección de datos personales

Artículo 42.

1. la acción de protección de los datos personales o de habeas data procede:

I. Para conocer los datos personales almacenados en archivos, registros o bancos de datos públicos o privados destinados a proporcionar informes, y de la finalidad de aquellos; y,

II. En los casos en que se presuma la falsedad, inexactitud, desactualización, omisión, total o parcial, o ilicitud de la información de que se trata, para exigir su rectificación, actualización, inclusión, complementación, reserva, suspensión o cancelación.

Artículo 43.

1. La acción de protección de los datos personales o de habeas data puede ser ejercida por el afectado, sus tutores o curadores y los sucesores de las personas físicas señalados por el Código Civil Federal, por sí o por medio de apoderado con cláusula especial.

2. Cuando la acción sea ejercida por personas jurídicas, deberá ser interpuesta por sus representantes legales, o apoderados con cláusula especial que éstas designen al efecto.

3. En el proceso podrá intervenir en forma coadyuvante el Defensor Público Federal.

Artículo 44.

1. La acción procede respecto de los responsables y usuarios de bancos de datos públicos, y de los privados destinados a proveer informes.

Artículo 45.

1. Es competente para conocer de esta acción el juez de distrito del domicilio del actor; el del domicilio del demandado; el del lugar en el que el hecho o acto se exteriorice o pudiera tener efecto, a elección del actor.

2. Procede la competencia federal:

I. Cuando se interponga en contra de los responsables de archivos, registros, bancos o bases de datos públicos de órganos u organismos públicos federales; y,

II. Cuando los archivos, bases o bancos de datos de datos de carácter público o privado se encuentren interconectados en redes interestatales, nacionales o internacionales.

Artículo 46.

1. La demanda debe expresar:

I. El tribunal ante el cual se promueve;

II. El nombre del actor y del demandado;

III. El objeto de la acción;

IV. Con la mayor precisión que sea posible, el nombre y domicilio del archivo, registro, banco o base de datos y, en su caso, el nombre y responsable del usuario del mismo;

V. En el caso de archivos, registros, bancos o bases de datos públicos, se procurará establecer el organismo estatal del cual dependen;

VI. los hechos en que el actor funde su petición, narrando sucintamente, con claridad y precisión, los motivos en los que apoya su acción, y por los cuales considera que los registros, archivos, bancos o bases de datos son omisos, incompletos, incorrectos, falsos, inexactos, o por los cuales considera que los datos deben reservarse, suspenderse, o cancelarse y destruirse;

VII. El interesado o quien promueva en su nombre y representación pueden solicitar que se asiente mientras dure el proceso que la información cuestionada se encuentra sujeta a proceso judicial;

VIII. El juez puede disponer de oficio, por causa fundada y motivada, la suspensión o reserva de los datos personales;

IX. El fundamento de derecho; y,

X. Lo que se pida, designándolo con toda exactitud, en términos claros y precisos.

Artículo 47.

1 . Con la demanda, el actor debe presentar los documentos en que funde su acción, o señalar, bajo protesta de decir verdad, el archivo o lugar en donde se encuentren si no los tiene a su disposición.

2. Con la sola protesta que haga el actor, el juez mandará expedir a costa de aquél copia de los documentos correspondientes.

Artículo 48.

1. De la demanda admitida, se correrá traslado a la persona contra la que se proponga, emplazándola para que la conteste dentro de los tres días siguientes.

2. Las cuestiones de jurisdicción, competencia y personalidad, deberán promoverse en la contestación de demanda y se resolverán de plano en el auto en el que se provea sobre ella.

3. En los procedimientos seguidos por el ejercicio de una acción de protección de datos personales no procede la contrademanda, ni la ampliación de la contestación.

Artículo 49.

1. El juez puede, en todo momento, y hasta antes de dictar sentencia, recabar informes sobre el soporte técnico de datos, documentación de base relativa a la recolección y cualquier otro aspecto que resulte conducente a la resolución de la causa.

Artículo 50.

1. Los responsables de los archivos, registros, bancos o bases de datos no puedan alegar confidencialidad de la información que se les requiera, salvo en el caso de que se afecten fuentes de información periodística o así corresponda conforme a esta ley.

2. Cuando la confidencialidad se alegue en los casos de excepción previstos en la ley, el juez puede tomar conocimiento personal y directo de los datos, asegurando el mantenimiento de su confidencialidad.

Artículo 51.

1. Contestada la demanda, inmediatamente el juez de oficio abrirá el proceso a prueba por un término único de 5 días comunes a las partes.

Artículo 52.

1. Vencido el plazo de prueba, de oficio el juez dictará sentencia dentro de los tres días siguientes.

2. Si la acción se resuelve fundada, el juez determinará los datos que deben ser incluidos, complementados, actualizados, rectificados, reservados, suspendidos o cancelados y destruidos, estableciendo un plazo no superior de quince días para su cumplimiento y acreditación y, en su caso, la forma de hacerlo.

3. La improcedencia de la acción no presume responsabilidad alguna en la que pudiera incurrir el demandante.

4. La sentencia, cualquiera que sea el sentido en que se pronuncie, se comunicará inmediatamente al Instituto Federal de Protección de Datos Personales, con el objeto de que lleve un registro al efecto.

Artículo 53.

1. La acción de protección de datos o habeas data se tramitará según las disposiciones de la presente ley y supletoriamente por las normas del Código Federal de Procedimientos Civiles.

Artículo primero. La presente ley entrará en vigor a los 180 días siguientes al de su publicación en el Diario Oficial de la Federación.

Artículo segundo. El Ejecutivo Federal establecerá el Instituto Federal de Protección de Datos Personales dentro de los 30 días siguientes a la entrada en vigor de la presente ley.

Artículo tercero. El Ejecutivo Federal reglamentará esta ley dentro de los 180 días siguientes a su publicación.

Artículo cuarto. El Ejecutivo Federal determinará en el reglamento de esta ley la forma, términos y plazos en que los archivos, registros, bancos o bases de datos destinados a otorgar informes deben registrarse en el organismo a que se refiere el artículo 33, fracción IV.

Artículo quinto. Se derogan las disposiciones legales, reglamentarias y administrativas que se opongan a lo dispuesto en esta ley.

Notas:

1 Habeas data significa, en términos generales, un recurso pronto y expedito para lograr que un dato que obre en archivos, registros, bancos o bases de datos sea complementado, actualizado, corregido, suspendido, bloqueado, destruido, o bien que una sede de datos sean incluidos en esos mismos registros, archivos, bancos o bases de datos, además de que se pueda acceder a registros o bancos de datos.