Lineamientos Generales de Protección de Datos Personales para las instituciones que conforman el Sector Público

LINEAMIENTOS GENERALES DE PROTECCIÓN DE DATOS PERSONALES PARA LAS INSTITUCIONES QUE CONFORMAN EL SECTOR PÚBLICO

Capítulo I

Disposiciones generales Artículos 1 a 65

Artículo 1 Objeto y ámbito de aplicación

Los presentes Lineamientos establecen las políticas generales que deberán observar las dependencias y entidades de la Administración Pública para garantizar a la persona la facultad de decisión sobre el uso y destino de sus datos personales con el propósito de:

1. Asegurar su adecuado tratamiento e impedir su uso para finalidades distintas de aquellas que motivaron su suministro.

2. Evitar la transferencia de datos personales que sea ilícita y lesiva para la dignidad y derechos de la persona afectada.

3. Instar a la Administración Pública a adoptar una cultura institucional y una concientización acerca de la importancia de poner en práctica los principios de acceso a la información pública y la transparencia, en equilibrio con el derecho a la protección de datos personales de las personas administradas, con las limitaciones que establece la Ley.

Artículo 2 Elementos de los datos personales

A efecto de determinar si la información que posee un ente obligado constituye un dato personal, deberán agotarse las siguientes condiciones:

1. Que la misma sea concerniente a una persona, identificada o identificable, y

2. Que la información se encuentre contenida en sus archivos.

Artículo 3 Derecho a la protección de datos personales

La protección de datos personales es el derecho autónomo, con características y dinámicas, que tiene por objeto salvaguardar el poder de disposición y el control que tiene toda persona física y jurídica con respecto a la información que le concierne, fundamentalmente en atención al empleo de las tecnologías de la información y las comunicaciones que cobran cada vez mayor relevancia en todos los quehaceres de la vida cotidiana.

Se reconoce el derecho de toda persona a la protección de datos personales, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta sección.

Artículo 4 Definiciones

Para efectos de la aplicación de los presentes Lineamientos, además de las definiciones establecidas en el artículo 6 de la Ley de Acceso a la

Información Pública, se entenderá por:

1. Datos Personales: Cualquier información concerniente a una persona física identificada o identificable, expresada en forma numérica, alfabética, gráfica, fotográfica, alfanumérica, acústica o de cualquier otro tipo. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando eso no requiera plazos o actividades desproporcionadas.

2. Datos personales sensibles: Aquellos que se refieran a la esfera íntima de su titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para este. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; identidad de los solicitantes de información, datos relativos a la salud, a la vida, preferencia u orientación sexual, datos genéticos o biométricos dirigidos a identificar de manera unívoca a una persona física.

3. Anonimización: La aplicación de medidas de cualquier naturaleza dirigidas a impedir la identificación o re identificación de una persona sin esfuerzos desproporcionados.

4. Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición de la persona titular, previo al tratamiento de sus datos personales, a fin de cumplir con el principio de transparencia.

5. Base de datos: Es un conjunto de información de una persona, almacenada de forma estructurada y sistematizada, los cuales se pueden administrar, consultar, analizar y publicar. La base de datos puede estar alojada de manera local, bajo un servicio en la nube o un tercero (empresa privada o institución pública).

6. Consentimiento: Manifestación de voluntad, libre, inequívoca, informada y específica, de la persona titular a través de la cual acepta y autoriza el tratamiento de los datos personales que le conciernen.

7. Datos de acceso restringido: Aquellos datos que, aun formando parte de registros de acceso al público, no son de acceso libre por ser de interés solo para su titular o para la Administración Pública.

8. Servicios en la nube: Son los servicios que facilitan el procesamiento, almacenaje y disponibilidad de información, sistemas y herramientas las cuales se acceden por medio de Internet.

9. Deber de confidencialidad: Obligación de las personas responsables de bases de datos, personal a su cargo y del personal del Instituto de Acceso a la Información Pública, de guardar la confidencialidad con ocasión del ejercicio de las facultades dadas por la ley, principalmente cuando se acceda a información sobre datos personales.

10. Destinatario/a: Cualquier persona física o jurídica o privada que recibe datos personales.

11. Encargado/a: se refiere a la prestación de servicios, que con el carácter de persona física o jurídica o autoridad pública, ajena a la organización del/la responsable, trata datos personales a nombre y por cuenta de este.

12. Intermediación tecnológica o provisión de servicios: Persona física o jurídica, pública o privada que brinda servicios en la nube, SaaS (software como un servicio), PaaS (Plataforma como un servicio), IaaS (Infraestructura como servicios) u otros servicios.

13. Estándares de seguridad: Diferentes técnicas, controles y mecanismos que garantizan la seguridad para la administración, resguardo y eliminación de información, por ejemplo: ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2 y SOC 3, PCI DSS.

14. Instituto: Instituto de Acceso a la Información Pública (IAIP).

15. LAIP: Ley de Acceso a la Información Pública.

16. LEPINA: Ley de Protección Integral de la Niñez y Adolescencia

17. LPA: Ley de Procedimientos Administrativos

18. NNA: Niños, Niñas y Adolescentes

19. Persona física identificable: Persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad anatómica, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionadas.

20. Responsable: Ente obligado que en solitario o en conjunto, determina los fines, medios, alcance y demás cuestiones relacionadas con un tratamiento de datos personales.

21. Sistema de Registro: Aplicación informática desarrollada por el Instituto para mantener actualizado el listado de los sistemas de datos personales que posean las dependencias y entidades para registrar e informar sobre las transmisiones, modificaciones y cancelaciones de los mismos.

22. Titular de los datos: Persona física o jurídica a quien le conciernen los datos personales.

23. Transmisión: Toda entrega total o parcial de sistemas de datos personales realizada por las dependencias y/o entidades a cualquier persona distinta a quien posee la titularidad de los datos, mediante el uso de medios físicos o electrónicos tales como la interconexión de computadoras, interconexión de bases de datos, acceso a redes de telecomunicación, así como a través de la utilización de cualquier otra tecnología que lo permita.

24. Transmisor: Dependencia o entidad que posee los datos personales objeto de la transferencia.

25. Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos físicos o automatizados realizados sobre datos personales, relacionadas, de manera enunciativa más no limitativa con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, elaboración, transferencia, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.

Artículo 5 Sistema de datos personales

Un Sistema de datos personales constituye el conjunto ordenado de datos personales que estén en posesión de una dependencia o entidad, con independencia de su forma de acceso, creación, almacenamiento u organización.

Los sistemas de datos personales podrán distinguirse entre físicos y automatizados, definiéndose cada uno de ellos de la siguiente forma:

1. Físicos: Conjunto ordenado de datos personales que para su tratamiento están contenidos en registros manuales, impresos, sonoros, magnéticos, visuales u holográficos.

2. Automatizados: Conjunto ordenado de datos personales que para su tratamiento han sido o están sujetos a un tratamiento informático y que por ende requieren de una herramienta tecnológica específica para su acceso, recuperación o tratamiento.

Capítulo II Artículos 6 a 16

Principios rectores de la Protección de los Datos Personales

Artículo 6 Principios aplicables

En el tratamiento de datos personales, el/la responsable observará los principios de legitimación, licitud, lealtad, transparencia, finalidad, proporcionalidad, calidad, responsabilidad, seguridad y confidencialidad.

Artículo 7 Principio de Legitimación

Por regla general, el tratamiento de los datos personales únicamente podrá proceder en los siguientes supuestos:

1. Cuando el/la titular otorgue su consentimiento para una o varias finalidades específicas.

2. Sea necesario para el cumplimiento de una orden judicial, resolución u orden fundada y motivada por autoridad pública competente.

3. Sea necesario para el ejercicio de facultades propias de los entes obligados o se realice en virtud de una habilitación legal.

4. Sea necesario para el...