Ley: LEY DE PROTECCIÓN DE DATOS PERSONALES

Tipo: REFORMA

Nombre: CON PROYECTO DE DECRETO QUE REFORMA LA LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DE LA CIUDAD DE MÉXICO

Propuesta: Artículo 1. La presente Ley es de orden público y de observancia general en la Ciudad de México, en materia de protección de datos personales en posesión de sujetos obligados. Todas las disposiciones de esta Ley, según corresponda, y en el ámbito de su competencia, son de aplicación y observancia directa para los sujetos obligados de la Ciudad de México. El Instituto ejercerá las atribuciones y facultades que le otorga esta Ley, independientemente de las otorgadas en las demás disposiciones aplicables. Tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona al tratamiento lícito de sus datos personales, a la protección de los mismos, así como al ejercicio de los Derechos de Acceso, Rectificación, Cancelación, Oposición, y Olvido de sus datos personales en posesión de sujetos obligados. Son sujetos obligados por esta Ley, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, Órganos Autónomos, partidos políticos, fideicomisos, fondos públicos, y administradores de motores de búsqueda en Internet. Artículo 2. Son objetivos de la presente Ley: I. Establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento lícito de los datos personales, la protección de datos personales y el ejercicio de los Derechos de Acceso, Rectificación, Cancelación, Oposición, y Olvido mediante procedimientos sencillos y expeditos; II. Garantizar que el tratamiento de los datos personales de toda persona física por parte de los sujetos obligados de la Ciudad de México sea lícito; III. Garantizar que los Sujetos Obligados de la Ciudad de México protejan los datos personales de las personas físicas en el debido cumplimiento de sus funciones y facultades; IV. Garantizar de manera expresa y expedita el ejercicio de los derechos de acceso, rectificación, cancelación, oposición, y olvido de las personas físicas; V. Promover, fomentar y difundir una cultura de protección de datos personales; y VI. Establecer los mecanismos para garantizar el cumplimiento y la efectiva aplicación de las medidas de apremio que correspondan para aquellas conductas que contravengan las disposiciones previstas en esta Ley. Artículo 3. Para los efectos de la presente Ley se entenderá por: I.Áreas: Instancias de los sujetos obligados previstas en los respectivos reglamentos interiores, estatutos orgánicos o instrumentos equivalentes, que cuentan o puedan contar, dar tratamiento, y ser responsables o encargadas de los datos personales; II. Aviso de privacidad: Documento a disposición del titular de los datos personales, generado por el responsable, de forma física, electrónica o en cualquier formato, previo a la recabación y tratamiento de sus datos, con el objeto de informarle sobre la finalidad del tratamiento, los datos recabados, así como la posibilidad de acceder, rectificar, oponerse, cancelar u olvidar el tratamiento de los mismos; III. Bases de datos: Conjunto ordenado de datos personales referentes a una persona física identificada o identificable, condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización; IV. Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación o supresión en la base de datos o sistema de datos personales que corresponda; V. Comité de Transparencia: Instancia a la que hace referencia la Ley de Transparencia, Acceso a la Información Pública y Rendición de Cuentas de la Ciudad de México; VI. Cómputo en la nube: Modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o programa informático, distribuido de modo flexible, mediante procedimientos virtuales, en recursos compartidos dinámicamente; VII. Consejo Nacional: Consejo Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales a que se refiere el artículo 32 de la Ley General de Transparencia y Acceso a la Información Pública; VIII. Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca del titular de los datos a través de la cual autoriza mediante declaración o acción afirmativa, que sus datos personales puedan ser tratados por el responsable; IX. Datos personales: Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona física es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información como puede ser nombre, número de identificación, datos de localización, identificador en línea o uno o varios elementos de la identidad física, fisiológica, genética, psíquica, patrimonial, económica, cultural o social de la persona; X. Datos personales sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, información biométrica, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual; XI. Derechos ARCOO: Los derechos de Acceso, Rectificación, Cancelación, Oposición, y Olvido al tratamiento de datos personales; XII. Días: Días hábiles; XIII. Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo; XIV. Documento de seguridad: Instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee; XV. Encargado: La persona física o jurídica, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras trate datos personales a nombre y por cuenta del responsable; XVI. Administradores de motores de búsqueda: La persona física, jurídica, pública o privada que, de manera individual o colectiva, por cuenta propia o a través de cualquier mecanismo o herramienta digital recopilen datos de internet, organicen, conserven y publiquen en sus servidores; (...) Artículo 23. El responsable para cumplir con el tratamiento lícito, transparente y responsable de los datos personales, tendrá al menos los siguientes deberes: I. Destinar recursos autorizados para la instrumentación de programas y políticas de protección de datos personales; II. Elaborar políticas y programas de protección de datos personales, obligatorios y exigibles al interior del sujeto obligado; III. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones y demás deberes en materia de protección de datos personales; IV. Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran; V. Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales; VI. Garantizar a las personas, el ejercicio de los derechos de Acceso, Rectificación, Cancelación, Oposición, y Olvido; VII. Diseñar, desarrollar e implementar políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las disposiciones previstas en la presente Ley y las demás que resulten aplicables en la materia; VIII. Garantizar que sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, cumplan con la protección de datos personales y las obligaciones previstas en la presente Ley y las demás que resulten aplicables en la materia; IX. Cumplir con las políticas y lineamientos, así como las normas y principios aplicables para el tratamiento lícito y la protección de los datos personales; X. Adoptar las medidas de seguridad necesarias para la protección de datos personales y los sistemas de datos personales, así como comunicarlas al Instituto para su registro, en los términos de la presente Ley; XI. Elaborar y presentar al Instituto un Informe correspondiente sobre las obligaciones previstas en la presente Ley, a más tardar en la segunda semana del mes de enero de cada año. La omisión de dicho informe será motivo de responsabilidad; XII. Informar al titular previo a recabar sus datos personales, la existencia y finalidad de los sistemas de datos personales; XIII.Registrar ante el Instituto los Sistemas de Datos Personales, así como la modificación o supresión de los mismos; XIV.Establecer los criterios específicos sobre el manejo, mantenimiento, seguridad y protección de los sistemas de datos personales; y XV. Coordinar y supervisar la adopción de medidas de seguridad a que se encuentren sometidos los sistemas de datos personales. (...) Artículo 37. La integración, tratamiento y protección de los datos personales se realizará con base en lo siguiente: I. Cada sujeto obligado publicará en la Gaceta Oficial de la Ciudad de México el Aviso relativo a la creación, modificación o supresión de sus sistemas de datos personales. Dicho Aviso deberá indicar las ligas electrónicas donde se podrán consultar los Acuerdos de creación, modificación o supresión correspondientes, los requisitos señalados en la fracción II del presente artículo, así como los lineamientos que, en su caso, determine el Instituto. Asimismo, dichos Acuerdos y los propios sistemas serán enviados en versión física con firma autógrafa en original y una versión digitalizada de los mismos al Instituto a efecto de su resguardo y su publicación en el Registro Electrónico de Sistemas de Datos Personales; II. En caso de creación o modificación de los sistemas de datos personales, se deberá indicar al menos lo siguiente: a) La finalidad o finalidades de los sistemas de datos personales; así como los usos y transferencias previstos; b) Las personas físicas o grupos de personas sobre las que se recaben o traten datos personales; c) La estructura básica del sistema de datos personales y la descripción de los tipos de datos incluidos; d) Las instancias responsables del tratamiento del sistema de datos personales: titular del sujeto obligado, usuarios y encargados, si los hubiera; e) Las áreas ante las que podrán ejercerse los derechos de acceso, rectificación, cancelación, oposición, y olvido; f) El procedimiento a través del cual se podrán ejercerse los derechos de acceso, rectificación, cancelación, oposición, y olvido; y g) El nivel de seguridad y los mecanismos de protección exigibles. (...) TÍTULO TERCERO DERECHOS DE LOS TITULARES Y SU EJERCICIO Capítulo I De los Derechos de Acceso, Rectificación, Cancelación, Oposición, y Olvido Artículo 41. Toda persona por sí o a través de su representante, podrá ejercer los derechos de Acceso, Rectificación, Cancelación, Oposición, y/u Olvido al tratamiento de sus datos personales en posesión de los sujetos obligados, siendo derechos independientes, de tal forma que no pueda entenderse que el ejercicio de alguno de ellos sea requisito previo o impida el ejercicio de otro. Artículo 45 bis. Toda persona por sí o a través de su representante, podrá ejercer el derecho al olvido consistente en impedir la difusión de información personal o datos personales, a través de Internet, aunque la publicación sea legítima, cuando esta no cumpla con los requisitos de adecuación y pertinencia siguientes: 9. La información o datos ya no son requeridos por la persona responsable; 10. La información o datos no tiene como origen consentimiento o un fundamento legal expresamente previsto por las normas; 11. La información tuvo un fundamento legal y dejó de tenerlo, por haber retirado el consentimiento; 12. Existió una objeción y el responsable no respondió con una motivación exhaustiva, con fundamento legal, en el término de 5 días hábiles; 13. En el caso de marketing existió objeción; 14. Si la información o datos corresponden a menores de 18 años de edad; 15. En el caso de publicación sobre la comisión de presuntos delitos, si no existe una carpeta de investigación abierta y en curso ante autoridad competente, o si existe resolución firme sobre el no ejercicio de la acción penal; 16. Si la información en su fuente original tiene más de 10 años de antigüedad. En el caso que alguno de los supuestos anteriores se actualice el derecho a limitar la información universal e indiscriminada de datos personales en los motores de búsqueda de Internet es exigible y la información se considerará obsoleta, no relevante ni de interés público. Los únicos requisitos que deberá cubrir el peticionario será la identificación de los URL(s) materia del ejercicio del derecho al olvido; una explicación breve y concisa sobre las razones o motivos para ejercer el derecho; la causa o hipótesis legal en que se basa su petición; el enunciado, oración o palabras relacionadas con la búsqueda y resultados que deben eliminarse, incluyendo el nombre y/o alias; correo electrónico para contacto; e identificación oficial. El responsable y/o administradores de los motores de búsqueda en Internet deberán adoptar las medidas razonables, incluidas medidas técnicas para que cualquier enlace, copia o réplica de los mismos también sea cumplida la supresión de la información o datos, así como establecer un mecanismo simple y sencillo, formulario y dirección de correo en donde se pueda contactar para el ejercicio del derecho al olvido. Una vez ejercido el derecho, la petición deberá ser resuelta en el término de 5 días hábiles y en caso de ser procedente, la información o datos personales deberán ser removidos en un término de 20 días hábiles. Capítulo II Del Ejercicio de los Derechos de Acceso, Rectificación, Cancelación, Oposición, y Olvido Artículo 46. La recepción y trámite de las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación, oposición, u olvido que se formulen a los sujetos obligados, se sujetará al procedimiento establecido en el presente Título y demás disposiciones que resulten aplicables en la materia. Artículo 47. Para el ejercicio de los derechos ARCOO será necesario acreditar la identidad del titular y, en su caso, la identidad y personalidad con la que actúe el representante, a través de carta poder simple suscrita ante dos testigos anexando copia de las identificaciones de los suscriptores. El ejercicio de los derechos ARCOO por persona distinta a su titular o a su representante, será posible, excepcionalmente, en aquellos supuestos previstos por disposición legal, o en su caso, por mandato judicial. El ejercicio de los derechos ARCOO de menores de edad se hará a través del padre, madre o tutor y en el caso de personas que se encuentren en estado de interdicción o incapacidad, de conformidad con las leyes civiles, se estará a las reglas de representación dispuestas en la legislación de la materia. Tratándose de datos personales concernientes a personas fallecidas, la protección de datos personales no se extingue, por tanto, el ejercicio de Derechos ARCOO lo podrá realizar, la persona que acredite tener un interés jurídico o legítimo, el heredero o el albacea de la persona fallecida, de conformidad con las leyes aplicables, o bien exista un mandato judicial para dicho efecto. Artículo 48. El ejercicio de los derechos ARCOO deberá ser gratuito. Sólo podrán realizarse cobros para recuperar los costos de reproducción, certificación o envío, conforme a la normatividad que resulte aplicable. Para efectos de acceso a datos personales, las leyes que establezcan los costos de reproducción y certificación deberán considerar en su determinación que los montos permitan o faciliten el ejercicio de este derecho. Cuando el titular proporcione el medio magnético, electrónico o el mecanismo necesario para reproducir los datos personales, los mismos deberán ser entregados sin costo a éste. La información deberá ser entregada sin costo, cuando implique la entrega de hasta sesenta hojas simples. Las unidades de transparencia podrán exceptuar el pago de reproducción y envío atendiendo a las circunstancias socioeconómicas del titular. El responsable no podrá establecer para la presentación de las solicitudes del ejercicio de los derechos ARCOO algún servicio o medio que implique un costo al titular. Artículo 49. Se deberán establecer procedimientos sencillos que permitan el ejercicio de los derechos ARCOO, cuyo plazo de respuesta no deberá exceder de quince días contados a partir de la recepción de la solicitud. Excepcionalmente, el plazo referido en el párrafo anterior podrá ampliarse hasta por quince días más, siempre y cuando existan razones fundadas y motivadas. En su caso, el sujeto obligado deberá comunicar, antes del vencimiento del plazo, las razones por las cuales hará uso de la ampliación excepcional. En caso de resultar procedente el ejercicio de los derechos ARCOO, el responsable deberá hacerlo efectivo en un plazo que no podrá exceder de diez días contados a partir del día siguiente en que se haya notificado la respuesta al titular. Artículo 51. Cuando el sujeto obligado no sea competente para atender la solicitud para el ejercicio de los derechos ARCOO, deberá hacer del conocimiento del titular fundando y motivando dicha situación dentro de los tres días siguientes a la presentación de la solicitud, y en su caso, orientarlo hacia el sujeto obligado competente. En caso de que el responsable declare inexistencia de los datos personales en sus archivos, registros, expediente, base de datos o sistemas de datos personales dicha declaración deberá constar en una resolución del Comité de Transparencia que confirme la inexistencia de los datos personales. En caso de que el responsable advierta que la solicitud para el ejercicio de los derechos ARCOO corresponda a un derecho diferente de los previstos en la presente Ley, deberá reconducir la vía haciéndolo del conocimiento al titular. Artículo 52. Cuando las disposiciones aplicables a determinados tratamientos de datos personales establezcan un trámite o procedimiento específico para solicitar el ejercicio de los derechos ARCOO, el responsable deberá informar al titular sobre la existencia del mismo, en un plazo no mayor a cinco días siguientes a la presentación de la solicitud para el ejercicio de los derechos ARCOO, a efecto de que este último decida si ejerce sus derechos a través del trámite específico, o bien, por medio del procedimiento que el responsable haya institucionalizado para la atención de solicitudes para el ejercicio de los derechos ARCOO conforme a las disposiciones establecidas en este Capítulo. (...) Artículo 82. El recurso de revisión podrá interponerse, de manera directa, por correo certificado o por medios electrónicos, ante el Instituto, o ante la Unidad de Transparencia del sujeto obligado que haya dado respuesta a la solicitud de acceso, rectificación, cancelación, oposición, u olvido a datos personales. La Unidad de Transparencia al momento de dar respuesta a una solicitud de acceso, rectificación, cancelación, oposición, u olvido a datos personales orientará al particular sobre su derecho de interponer el recurso de revisión y el modo de hacerlo. En el caso de que el recurso de revisión se interponga ante la Unidad de Transparencia, ésta deberá remitirlo al Instituto a más tardar al día siguiente de haberlo recibido. Cuando el recurso de revisión se presente ante la Unidad de Transparencia o por correo certificado, para el cómputo de los plazos de presentación, se tomará la fecha en que el recurrente lo presente; para el cómputo de los plazos de resolución, se tomará la fecha en que el Instituto lo reciba. Artículo 83. Toda persona podrá interponer, por sí o a través de su representante legal, el recurso de revisión, mediante escrito libre o a través de los formatos establecidos por el Instituto para tal efecto o por medio del sistema habilitado para tal fin, dentro de los quince días siguientes contados a partir de: I. La notificación de la respuesta a su solicitud de acceso, rectificación, cancelación u oposición a datos personales; o II. El vencimiento del plazo para la entrega de la respuesta de la solicitud de acceso, rectificación, cancelación, oposición, u olvido a datos personales, cuando dicha respuesta no hubiere sido entregada. (...) Artículo 90. El recurso de revisión procederá en contra de: I. La inexistencia de los datos personales; II. La declaración de incompetencia por el sujeto obligado; III. La entrega de datos personales incompletos; IV. La entrega de datos personales que no correspondan con lo solicitado; V. La negativa al acceso, rectificación, cancelación, oposición, u olvido de datos personales; VI. La falta de respuesta a una solicitud de acceso, rectificación, cancelación, oposición, u olvido de datos personales, dentro de los plazos establecidos en la presente ley; VII. La entrega o puesta a disposición de datos personales en una modalidad o formato distinto al solicitado, o en un formato incomprensible; VIII.Los costos de reproducción o tiempos de entrega de los datos personales; IX. La obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación u oposición de datos personales, a pesar de que fue notificada la procedencia de los mismos; o X. La falta de trámite a una solicitud para el ejercicio de los derechos de acceso, rectificación, cancelación, oposición, u olvido de datos personales. Artículo 91. Se considera que existe falta de respuesta en los supuestos siguientes: I. Concluido el plazo legal para atender una solicitud de acceso, rectificación, cancelación, oposición, u olvido de datos personales, el sujeto obligado no haya emitido ninguna respuesta; II. El sujeto obligado haya señalado que se anexó una respuesta o la información solicitada, en tiempo, sin que lo haya acreditado; III. El sujeto obligado, al dar respuesta, materialmente emita una prevención o ampliación de plazo, y IV. Cuando el sujeto obligado haya manifestado al recurrente que por cargas de trabajo o problemas internos no está en condiciones de dar respuesta a la solicitud de acceso, rectificación, cancelación u oposición de datos personales. Artículo 92. El recurso de revisión deberá contener lo siguiente: I. El sujeto obligado ante quien se presentó la solicitud para el ejercicio de los derechos ARCOO; II. El nombre del titular que recurre o su representante, así como el domicilio o medio que señale para recibir notificaciones; III. La fecha en que fue notificada la respuesta al titular, o bien, en caso de falta de respuesta, la fecha de presentación de la solicitud para el ejercicio de los derechos ARCOO; IV. El acto o resolución que se recurre, así como las razones o motivos de inconformidad; V. En su caso, copia de la respuesta que se impugna y de la notificación correspondiente, y VI. Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante. Adicionalmente se podrán anexar las pruebas y demás elementos que se consideren procedentes hacer de conocimiento del Instituto. En ningún caso será necesario que el particular ratifique el recurso de revisión interpuesto. (...) Artículo 109. El recurso de inconformidad procede contra las resoluciones emitidas por el Instituto que: I. Clasifiquen los datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables; II. Determinen la inexistencia de datos personales, o III. Declaren la negativa de datos personales, es decir: a) Se entreguen datos personales incompletos; b) Se entreguen datos personales que no correspondan con los solicitados; c) Se niegue el acceso, rectificación, cancelación, oposición, u olvido de datos personales; d) Se entregue o ponga a disposición datos personales en un formato incomprensible; e) El titular se inconforme con los costos de reproducción, envío, o tiempos de entrega de los datos personales, o f) Se oriente a un trámite específico que contravenga lo dispuesto por el artículo 54 de la presente Ley. (...) Artículo 127. Serán causas de sanción por incumplimiento de las obligaciones establecidas en la materia de la presente Ley, las siguientes: I. Actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes para el ejercicio de los derechos ARCOO; II. Incumplir los plazos de atención previstos en la presente Ley para responder las solicitudes para el ejercicio de los derechos ARCOO o para hacer efectivo el derecho de que se trate; III. Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de manera indebida datos personales, que se encuentren bajo su custodia o a los cuales tengan acceso o conocimiento con motivo de su empleo, cargo o comisión; IV. Dar tratamiento, de manera intencional, a los datos personales en contravención a los principios y deberes establecidos en la presente Ley; V. No recabar el consentimiento del titular, lo que constituye que el tratamiento sea ilícito, o no contar con el aviso de privacidad, o bien tratar de manera dolosa o con engaños datos personales y las demás disposiciones que resulten aplicables en la materia; VI. Incumplir el deber de confidencialidad establecido en la presente Ley; VII. No establecer las medidas de seguridad en los términos que establece la presente Ley; VIII. Presentar vulneraciones a los datos personales por la falta de implementación de medidas de seguridad; IX. Llevar a cabo la transferencia de datos personales, en contravención a lo previsto en la presente Ley; X. Obstruir los actos de verificación de la autoridad; XI. Crear bases de datos personales o sistemas de datos personales en contravención a lo dispuesto por el artículo 5 de la presente Ley; XII. No acatar las resoluciones emitidas por el Instituto; y XIII. Omitir la entrega del informe anual y demás informes o bien, entregarlo de manera extemporánea. Las causas de responsabilidad previstas en las fracciones I, II, IV, IX, XI y XIII, así como la reincidencia en las conductas previstas en el resto de las fracciones de este artículo, serán consideradas como graves para efectos de su sanción administrativa. En caso de que la presunta infracción hubiere sido cometida por algún integrante de un partido político, la investigación y, en su caso, sanción, corresponderán a la autoridad electoral competente. Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.

Dice: Artículo 1. La presente Ley es de orden público y de observancia general en la Ciudad de México, en materia de protección de datos personales en posesión de sujetos obligados. Todas las disposiciones de esta Ley, según corresponda, y en el ámbito de su competencia, son de aplicación y observancia directa para los sujetos obligados de la Ciudad de México. El Instituto ejercerá las atribuciones y facultades que le otorga esta Ley, independientemente de las otorgadas en las demás disposiciones aplicables. Tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona al tratamiento lícito de sus datos personales, a la protección de los mismos, así como al ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición de sus datos personales en posesión de sujetos obligados. Son sujetos obligados por esta Ley, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, Órganos Autónomos, partidos políticos, fideicomisos y fondos públicos. Artículo 2. Son objetivos de la presente Ley: I. Establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento lícito de los datos personales, la protección de datos personales y el ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición, mediante procedimientos sencillos y expeditos; II. Garantizar que el tratamiento de los datos personales de toda persona física por parte de los sujetos obligados de la Ciudad de México sea lícito; III. Garantizar que los Sujetos Obligados de la Ciudad de México protejan los datos personales de las personas físicas en el debido cumplimiento de sus funciones y facultades; IV. Garantizar de manera expresa y expedita el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de las personas físicas; V. Promover, fomentar y difundir una cultura de protección de datos personales; y VI. Establecer los mecanismos para garantizar el cumplimiento y la efectiva aplicación de las medidas de apremio que correspondan para aquellas conductas que contravengan las disposiciones previstas en esta Ley. Artículo 3. Para los efectos de la presente Ley se entenderá por: I.Áreas: Instancias de los sujetos obligados previstas en los respectivos reglamentos interiores, estatutos orgánicos o instrumentos equivalentes, que cuentan o puedan contar, dar tratamiento, y ser responsables o encargadas de los datos personales; II. Aviso de privacidad: Documento a disposición del titular de los datos personales, generado por el responsable, de forma física, electrónica o en cualquier formato, previo a la recabación y tratamiento de sus datos, con el objeto de informarle sobre la finalidad del tratamiento, los datos recabados, así como la posibilidad de acceder, rectificar, oponerse o cancelar el tratamiento de los mismos; III. Bases de datos: Conjunto ordenado de datos personales referentes a una persona física identificada o identificable, condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización; IV. Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación o supresión en la base de datos o sistema de datos personales que corresponda; V. Comité de Transparencia: Instancia a la que hace referencia la Ley de Transparencia, Acceso a la Información Pública y Rendición de Cuentas de la Ciudad de México; VI. Cómputo en la nube: Modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o programa informático, distribuido de modo flexible, mediante procedimientos virtuales, en recursos compartidos dinámicamente; VII. Consejo Nacional: Consejo Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales a que se refiere el artículo 32 de la Ley General de Transparencia y Acceso a la Información Pública; VIII. Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca del titular de los datos a través de la cual autoriza mediante declaración o acción afirmativa, que sus datos personales puedan ser tratados por el responsable; IX. Datos personales: Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona física es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información como puede ser nombre, número de identificación, datos de localización, identificador en línea o uno o varios elementos de la identidad física, fisiológica, genética, psíquica, patrimonial, económica, cultural o social de la persona; X. Datos personales sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, información biométrica, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual; XI. Derechos ARCO: Los derechos de Acceso, Rectificación, Cancelación y Oposición al tratamiento de datos personales; XII. Días: Días hábiles; XIII. Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo; XIV. Documento de seguridad: Instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee; XV. Encargado: La persona física o jurídica, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras trate datos personales a nombre y por cuenta del responsable; (...) Artículo 23. El responsable para cumplir con el tratamiento lícito, transparente y responsable de los datos personales, tendrá al menos los siguientes deberes: I. Destinar recursos autorizados para la instrumentación de programas y políticas de protección de datos personales; II. Elaborar políticas y programas de protección de datos personales, obligatorios y exigibles al interior del sujeto obligado; III. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones y demás deberes en materia de protección de datos personales; IV. Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran; V. Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales; VI. Garantizar a las personas, el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición; VII. Diseñar, desarrollar e implementar políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las disposiciones previstas en la presente Ley y las demás que resulten aplicables en la materia; VIII. Garantizar que sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, cumplan con la protección de datos personales y las obligaciones previstas en la presente Ley y las demás que resulten aplicables en la materia; IX. Cumplir con las políticas y lineamientos, así como las normas y principios aplicables para el tratamiento lícito y la protección de los datos personales; X. Adoptar las medidas de seguridad necesarias para la protección de datos personales y los sistemas de datos personales, así como comunicarlas al Instituto para su registro, en los términos de la presente Ley; XI. Elaborar y presentar al Instituto un Informe correspondiente sobre las obligaciones previstas en la presente Ley, a más tardar en la segunda semana del mes de enero de cada año. La omisión de dicho informe será motivo de responsabilidad; XII. Informar al titular previo a recabar sus datos personales, la existencia y finalidad de los sistemas de datos personales; XIII.Registrar ante el Instituto los Sistemas de Datos Personales, así como la modificación o supresión de los mismos; XIV.Establecer los criterios específicos sobre el manejo, mantenimiento, seguridad y protección de los sistemas de datos personales; y XV. Coordinar y supervisar la adopción de medidas de seguridad a que se encuentren sometidos los sistemas de datos personales. (...) Artículo 37. La integración, tratamiento y protección de los datos personales se realizará con base en lo siguiente: I. Cada sujeto obligado publicará en la Gaceta Oficial de la Ciudad de México el Aviso relativo a la creación, modificación o supresión de sus sistemas de datos personales. Dicho Aviso deberá indicar las ligas electrónicas donde se podrán consultar los Acuerdos de creación, modificación o supresión correspondientes, los requisitos señalados en la fracción II del presente artículo, así como los lineamientos que, en su caso, determine el Instituto. Asimismo, dichos Acuerdos y los propios sistemas serán enviados en versión física con firma autógrafa en original y una versión digitalizada de los mismos al Instituto a efecto de su resguardo y su publicación en el Registro Electrónico de Sistemas de Datos Personales; II. En caso de creación o modificación de los sistemas de datos personales, se deberá indicar al menos lo siguiente: a) La finalidad o finalidades de los sistemas de datos personales; así como los usos y transferencias previstos; b) Las personas físicas o grupos de personas sobre las que se recaben o traten datos personales; c) La estructura básica del sistema de datos personales y la descripción de los tipos de datos incluidos; d) Las instancias responsables del tratamiento del sistema de datos personales: titular del sujeto obligado, usuarios y encargados, si los hubiera; e) Las áreas ante las que podrán ejercerse los derechos de acceso, rectificación, cancelación y oposición; f) El procedimiento a través del cual se podrán ejercerse los derechos de acceso, rectificación, cancelación y oposición; y g) El nivel de seguridad y los mecanismos de protección exigibles. (...) TÍTULO TERCERO DERECHOS DE LOS TITULARES Y SU EJERCICIO Capítulo I De los Derechos de Acceso, Rectificación, Cancelación y OposiciónArtículo 41. Toda persona por sí o a través de su representante, podrá ejercer los derechos de Acceso, Rectificación, Cancelación y/u Oposición al tratamiento de sus datos personales en posesión de los sujetos obligados, siendo derechos independientes, de tal forma que no pueda entenderse que el ejercicio de alguno de ellos sea requisito previo o impida el ejercicio de otro. Capítulo II Del Ejercicio de los Derechos de Acceso, Rectificación, Cancelación y Oposición Artículo 46. La recepción y trámite de las solicitudes para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición que se formulen a los sujetos obligados, se sujetará al procedimiento establecido en el presente Título y demás disposiciones que resulten aplicables en la materia. Artículo 47. Para el ejercicio de los derechos ARCO será necesario acreditar la identidad del titular y, en su caso, la identidad y personalidad con la que actúe el representante, a través de carta poder simple suscrita ante dos testigos anexando copia de las identificaciones de los suscriptores. El ejercicio de los derechos ARCO por persona distinta a su titular o a su representante, será posible, excepcionalmente, en aquellos supuestos previstos por disposición legal, o en su caso, por mandato judicial. El ejercicio de los derechos ARCO de menores de edad se hará a través del padre, madre o tutor y en el caso de personas que se encuentren en estado de interdicción o incapacidad, de conformidad con las leyes civiles, se estará a las reglas de representación dispuestas en la legislación de la materia. Tratándose de datos personales concernientes a personas fallecidas, la protección de datos personales no se extingue, por tanto, el ejercicio de Derechos ARCO lo podrá realizar, la persona que acredite tener un interés jurídico o legítimo, el heredero o el albacea de la persona fallecida, de conformidad con las leyes aplicables, o bien exista un mandato judicial para dicho efecto. Artículo 48. El ejercicio de los derechos ARCO deberá ser gratuito. Sólo podrán realizarse cobros para recuperar los costos de reproducción, certificación o envío, conforme a la normatividad que resulte aplicable. Para efectos de acceso a datos personales, las leyes que establezcan los costos de reproducción y certificación deberán considerar en su determinación que los montos permitan o faciliten el ejercicio de este derecho. Cuando el titular proporcione el medio magnético, electrónico o el mecanismo necesario para reproducir los datos personales, los mismos deberán ser entregados sin costo a éste. La información deberá ser entregada sin costo, cuando implique la entrega de hasta sesenta hojas simples. Las unidades de transparencia podrán exceptuar el pago de reproducción y envío atendiendo a las circunstancias socioeconómicas del titular. El responsable no podrá establecer para la presentación de las solicitudes del ejercicio de los derechos ARCO algún servicio o medio que implique un costo al titular. Artículo 49. Se deberán establecer procedimientos sencillos que permitan el ejercicio de los derechos ARCO, cuyo plazo de respuesta no deberá exceder de quince días contados a partir de la recepción de la solicitud. Excepcionalmente, el plazo referido en el párrafo anterior podrá ampliarse hasta por quince días más, siempre y cuando existan razones fundadas y motivadas. En su caso, el sujeto obligado deberá comunicar, antes del vencimiento del plazo, las razones por las cuales hará uso de la ampliación excepcional. En caso de resultar procedente el ejercicio de los derechos ARCO, el responsable deberá hacerlo efectivo en un plazo que no podrá exceder de diez días contados a partir del día siguiente en que se haya notificado la respuesta al titular. Artículo 50. En la solicitud para el ejercicio de los derechos ARCO no podrán imponerse mayores requisitos que los siguientes: I. El nombre del titular y su domicilio o cualquier otro medio para recibir notificaciones; II. Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante; III. De ser posible, el área responsable que trata los datos personales; IV. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO; V. La descripción del derecho ARCO que se pretende ejercer, o bien, lo que solicita el titular; y VI. Cualquier otro elemento o documento que facilite la localización de los datos personales, en su caso. Tratándose de una solicitud de acceso a datos personales, el titular deberá señalar la modalidad en la que prefiere que éstos se reproduzcan. El responsable deberá atender la solicitud en la modalidad requerida por el titular, salvo que exista una imposibilidad física o jurídica que lo limite a reproducir los datos personales en dicha modalidad, en este caso deberá ofrecer otras modalidades de entrega de los datos personales fundando y motivando dicha actuación. Procederá el derecho de rectificación de datos del titular, en los sistemas de datos personales, cuando tales datos resulten inexactos o incompletos, inadecuados o excesivos, siempre y cuando no resulte imposible o exija esfuerzos desproporcionados. Con relación a una solicitud de cancelación, el titular deberá señalar las causas que lo motiven a solicitar la cancelación o supresión de sus datos personales en los archivos, expedientes, registros, bases de datos o sistemas de datos personales en posesión del sujeto obligado. En el caso de la solicitud de oposición, el titular deberá manifestar las causas o la situación específica que lo llevan a solicitar el cese en el tratamiento, así como el daño o perjuicio que le causaría la persistencia del tratamiento, o en su caso, las finalidades específicas respecto de las cuales requiere ejercer el derecho de oposición. Las solicitudes para el ejercicio de los derechos ARCO deberán presentarse ante la Unidad de Transparencia del sujeto obligado, que el titular considere competente, a través de escrito libre, formatos, medios electrónicos o cualquier otro medio que al efecto establezca el Instituto en el ámbito de sus respectivas competencias. El responsable deberá dar trámite a toda solicitud para el ejercicio de los derechos ARCO y entregar el acuse de recibo que corresponda. El Instituto podrá establecer formularios, sistemas y otros métodos simplificados para facilitar a los titulares el ejercicio de los derechos ARCO. Los medios y procedimientos habilitados por el responsable para atender las solicitudes para el ejercicio de los derechos ARCO deberán ser de fácil acceso y con la mayor cobertura posible considerando el perfil de los titulares y la forma en que mantienen contacto cotidiano o común con el responsable. En caso de que la solicitud de Derechos ARCO no satisfaga alguno de los requisitos a que se refiere este artículo, y el responsable no cuente con elementos para subsanarla, se prevendrá al titular de los datos dentro de los cinco días siguientes a la presentación de la solicitud de ejercicio de los derechos ARCO, por una sola ocasión, para que subsane las omisiones dentro de un plazo de diez días contados a partir del día siguiente al de la notificación. Si transcurrido el plazo no se ha desahogado la prevención, se tendrá por no presentada la solicitud de ejercicio de los Derechos ARCO. La prevención tendrá el efecto de interrumpir los plazos establecidos para dar respuesta a la solicitud de ejercicio de los derechos ARCO. Artículo 51. Cuando el sujeto obligado no sea competente para atender la solicitud para el ejercicio de los derechos ARCO, deberá hacer del conocimiento del titular fundando y motivando dicha situación dentro de los tres días siguientes a la presentación de la solicitud, y en su caso, orientarlo hacia el sujeto obligado competente. En caso de que el responsable declare inexistencia de los datos personales en sus archivos, registros, expediente, base de datos o sistemas de datos personales dicha declaración deberá constar en una resolución del Comité de Transparencia que confirme la inexistencia de los datos personales. En caso de que el responsable advierta que la solicitud para el ejercicio de los derechos ARCO corresponda a un derecho diferente de los previstos en la presente Ley, deberá reconducir la vía haciéndolo del conocimiento al titular. Artículo 52. Cuando las disposiciones aplicables a determinados tratamientos de datos personales establezcan un trámite o procedimiento específico para solicitar el ejercicio de los derechos ARCO, el responsable deberá informar al titular sobre la existencia del mismo, en un plazo no mayor a cinco días siguientes a la presentación de la solicitud para el ejercicio de los derechos ARCO, a efecto de que este último decida si ejerce sus derechos a través del trámite específico, o bien, por medio del procedimiento que el responsable haya institucionalizado para la atención de solicitudes para el ejercicio de los derechos ARCO conforme a las disposiciones establecidas en este Capítulo. (...) Artículo 82. El recurso de revisión podrá interponerse, de manera directa, por correo certificado o por medios electrónicos, ante el Instituto, o ante la Unidad de Transparencia del sujeto obligado que haya dado respuesta a la solicitud de acceso, rectificación, cancelación u oposición a datos personales. La Unidad de Transparencia al momento de dar respuesta a una solicitud de acceso, rectificación, cancelación u oposición a datos personales orientará al particular sobre su derecho de interponer el recurso de revisión y el modo de hacerlo. En el caso de que el recurso de revisión se interponga ante la Unidad de Transparencia, ésta deberá remitirlo al Instituto a más tardar al día siguiente de haberlo recibido. Cuando el recurso de revisión se presente ante la Unidad de Transparencia o por correo certificado, para el cómputo de los plazos de presentación, se tomará la fecha en que el recurrente lo presente; para el cómputo de los plazos de resolución, se tomará la fecha en que el Instituto lo reciba. Artículo 83. Toda persona podrá interponer, por sí o a través de su representante legal, el recurso de revisión, mediante escrito libre o a través de los formatos establecidos por el Instituto para tal efecto o por medio del sistema habilitado para tal fin, dentro de los quince días siguientes contados a partir de: I. La notificación de la respuesta a su solicitud de acceso, rectificación, cancelación u oposición a datos personales; o II. El vencimiento del plazo para la entrega de la respuesta de la solicitud de acceso, rectificación, cancelación u oposición a datos personales, cuando dicha respuesta no hubiere sido entregada. (...) Artículo 90. El recurso de revisión procederá en contra de: I. La inexistencia de los datos personales; II. La declaración de incompetencia por el sujeto obligado; III. La entrega de datos personales incompletos; IV. La entrega de datos personales que no correspondan con lo solicitado; V. La negativa al acceso, rectificación, cancelación u oposición de datos personales; VI. La falta de respuesta a una solicitud de acceso, rectificación, cancelación u oposición de datos personales, dentro de los plazos establecidos en la presente ley; VII. La entrega o puesta a disposición de datos personales en una modalidad o formato distinto al solicitado, o en un formato incomprensible; VIII.Los costos de reproducción o tiempos de entrega de los datos personales; IX. La obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación u oposición de datos personales, a pesar de que fue notificada la procedencia de los mismos; o X. La falta de trámite a una solicitud para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición de datos personales. Artículo 91. Se considera que existe falta de respuesta en los supuestos siguientes: I.Concluido el plazo legal para atender una solicitud de acceso, rectificación, cancelación u oposición de datos personales, el sujeto obligado no haya emitido ninguna respuesta; II. El sujeto obligado haya señalado que se anexó una respuesta o la información solicitada, en tiempo, sin que lo haya acreditado; III. El sujeto obligado, al dar respuesta, materialmente emita una prevención o ampliación de plazo, y IV. Cuando el sujeto obligado haya manifestado al recurrente que por cargas de trabajo o problemas internos no está en condiciones de dar respuesta a la solicitud de acceso, rectificación, cancelación u oposición de datos personales. Artículo 92. El recurso de revisión deberá contener lo siguiente: I. El sujeto obligado ante quien se presentó la solicitud para el ejercicio de los derechos ARCO; II. El nombre del titular que recurre o su representante, así como el domicilio o medio que señale para recibir notificaciones; III. La fecha en que fue notificada la respuesta al titular, o bien, en caso de falta de respuesta, la fecha de presentación de la solicitud para el ejercicio de los derechos ARCO; IV. El acto o resolución que se recurre, así como las razones o motivos de inconformidad; V. En su caso, copia de la respuesta que se impugna y de la notificación correspondiente, y VI. Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante. Adicionalmente se podrán anexar las pruebas y demás elementos que se consideren procedentes hacer de conocimiento del Instituto. En ningún caso será necesario que el particular ratifique el recurso de revisión interpuesto. (...) Artículo 109. El recurso de inconformidad procede contra las resoluciones emitidas por el Instituto que: I. Clasifiquen los datos personales sin que se cumplan las características señaladas en las leyes que resulten aplicables; II. Determinen la inexistencia de datos personales, o III. Declaren la negativa de datos personales, es decir: a) Se entreguen datos personales incompletos; b) Se entreguen datos personales que no correspondan con los solicitados; c) Se niegue el acceso, rectificación, cancelación u oposición de datos personales; d) Se entregue o ponga a disposición datos personales en un formato incomprensible; e) El titular se inconforme con los costos de reproducción, envío, o tiempos de entrega de los datos personales, o f) Se oriente a un trámite específico que contravenga lo dispuesto por el artículo 54 de la presente Ley. (...) Artículo 127. Serán causas de sanción por incumplimiento de las obligaciones establecidas en la materia de la presente Ley, las siguientes: I. Actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes para el ejercicio de los derechos ARCO; II. Incumplir los plazos de atención previstos en la presente Ley para responder las solicitudes para el ejercicio de los derechos ARCO o para hacer efectivo el derecho de que se trate; III. Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de manera indebida datos personales, que se encuentren bajo su custodia o a los cuales tengan acceso o conocimiento con motivo de su empleo, cargo o comisión; IV. Dar tratamiento, de manera intencional, a los datos personales en contravención a los principios y deberes establecidos en la presente Ley; V. No recabar el consentimiento del titular, lo que constituye que el tratamiento sea ilícito, o no contar con el aviso de privacidad, o bien tratar de manera dolosa o con engaños datos personales y las demás disposiciones que resulten aplicables en la materia; VI. Incumplir el deber de confidencialidad establecido en la presente Ley; VII. No establecer las medidas de seguridad en los términos que establece la presente Ley; VIII. Presentar vulneraciones a los datos personales por la falta de implementación de medidas de seguridad; IX. Llevar a cabo la transferencia de datos personales, en contravención a lo previsto en la presente Ley; X. Obstruir los actos de verificación de la autoridad; XI. Crear bases de datos personales o sistemas de datos personales en contravención a lo dispuesto por el artículo 5 de la presente Ley; XII. No acatar las resoluciones emitidas por el Instituto; y XIII. Omitir la entrega del informe anual y demás informes o bien, entregarlo de manera extemporánea. Las causas de responsabilidad previstas en las fracciones I, II, IV, IX, XI y XIII, así como la reincidencia en las conductas previstas en el resto de las fracciones de este artículo, serán consideradas como graves para efectos de su sanción administrativa. En caso de que la presunta infracción hubiere sido cometida por algún integrante de un partido político, la investigación y, en su caso, sanción, corresponderán a la autoridad electoral competente. Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.