LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DE LA CIUDAD DE MÉXICO.
Artículos explicados en lenguaje simple
- Art. 1Esta ley aplica para toda la Ciudad de México y es obligatoria para todas las dependencias del gobierno local, como alcaldías, ministerios o cualquier entidad pública. Su objetivo es proteger tus datos personales cuando los uses o los tengas alguna autoridad, asegurándose de que los traten de manera legal y solo para lo que dieron tu permiso. Te da derecho a ver qué información tienen de ti (acceso), a corregirla si está mal (rectificación), a pedir que la borren (cancelación), a oponerte a que la usen para ciertos fines (oposición) y a llevarte tus datos a otro servicio (portabilidad). Las autoridades encargadas de vigilar que se cumpla son la Secretaría de la Contraloría General y un organismo especializado en la materia.
- Art. 2Esta ley sirve para que tú tengas control sobre tu información personal, como tu nombre, dirección o teléfono. Las oficinas del gobierno de la Ciudad tienen la obligación de cuidar tus datos y usarlos solo para lo que son. Además, puedes pedir que te muestren qué datos tienen tuyos, corregirlos, borrarlos o incluso llevártelos a otro lado, todo de manera rápida y fácil. También se busca que todos en la ciudad entendamos la importancia de proteger nuestra información. Y si alguna autoridad no cumple con estas reglas, habrá castigos para asegurarse de que las respeten.
- Art. 3El artículo 3 define palabras clave de esta ley. Por ejemplo, un "Aviso de privacidad" es un documento que te deben dar antes de pedir tus datos, explicando para qué los usarán y cómo puedes decidir sobre ellos. "Consentimiento" significa que tienes que dar tu permiso de manera libre, específica y clara para que usen tu información. "Datos personales" es cualquier información que pueda identificar a una persona, como tu nombre o dirección. El "bloqueo" es cuando guardan tus datos solo por si surgen problemas legales, y después de un tiempo los borran.
- Art. 4Esta ley aplica para cualquier uso que se le dé a tus datos personales, ya sea que estén en papel o en dispositivos electrónicos. No importa cómo se hayan creado, dónde estén guardados o cómo estén organizados, la ley te protege por igual.
- Art. 5Este artículo define qué son las "fuentes de acceso público", o sea, lugares donde se puede obtener información de personas sin necesidad de pedir permiso especial. Ejemplos de estas fuentes son: páginas de internet abiertas a todo el mundo, directorios telefónicos, gacetas oficiales, medios de comunicación como la tele o el periódico, y registros públicos. La condición es que cualquier persona pueda consultarlos sin más requisito que pagar una cuota (si aplica), y sin que haya una ley que lo prohíba. Ojo: si la información se obtuvo de manera ilegal o no sigue las reglas de esta ley, ya no cuenta como fuente de acceso público.
- Art. 6El Gobierno de la Ciudad está obligado a cuidar tu información personal, como tu nombre, dirección o datos bancarios, para que nadie la use sin tu permiso. También tiene que asegurarse de que otras personas o empresas no hagan cosas que dañen tu privacidad de manera injusta. En pocas palabras, el gobierno debe proteger tus datos y vigilar que nadie los use de forma incorrecta o abusiva.
- Art. 7Cuando se aplique o interprete esta ley, se debe seguir lo que dice la Constitución de México, los tratados internacionales firmados por México, la Constitución de la Ciudad de México y la Ley General de Protección de Datos. También hay que tomar en cuenta las decisiones y opiniones de organismos especializados, tanto nacionales como internacionales, que sean obligatorias. Siempre se debe favorecer la protección de los datos personales y dar la mayor protección posible a las personas.
- Art. 8Este artículo dice que si hay algún caso o situación que no esté cubierto directamente en esta Ley, se usan otras leyes para resolverlo. Esas leyes son las de Transparencia de la Ciudad de México, la de Procedimiento Administrativo Local y el Código Nacional de Procedimientos Civiles y Familiares. También puede aplicarse cualquier otra norma que sea útil para el caso. Es como tener un “plan B” para cuando la ley principal no da una respuesta clara.
- Art. 9El artículo 9 dice que cualquier persona o empresa que maneje tus datos personales debe seguir ciertas reglas básicas para protegerte. Por ejemplo, solo pueden pedir la información estrictamente necesaria (como tu nombre o edad) y siempre debe ser verdadera y útil para el propósito que te dijeron. Además, están obligados a mantener tus datos en secreto, a menos que tú les des permiso explícito para compartirlos. También deben explicarte claramente para qué usarán tu información, y si cambia algo, tienen que avisarte de inmediato. Por último, no pueden obtener tus datos mediante engaños ni usarlos para fines diferentes a los que aceptaste originalmente.
- Art. 10Cuando una empresa o institución usa tus datos personales (como tu nombre, teléfono o dirección), debe hacerlo siguiendo ciertas reglas. Solo puede usarlos para fines específicos, claros y legales que estén justificados por la ley. Además, debe tener políticas y procedimientos para proteger tu información y comprobar que está cumpliendo con todo. Si esa empresa quiere usar tus datos para algo diferente a lo que originalmente te dijo, necesita pedirte permiso otra vez por escrito. La única excepción es si tú estás reportado como persona desaparecida, en cuyo caso pueden usar tus datos sin tu autorización, según lo que marca la ley.
- Art. 11Quien tenga tus datos personales no puede conseguirlos ni usarlos con mentiras o engaños. Siempre debe proteger tus intereses y lo que esperas de manera razonable sobre el cuidado de tu información.
- Art. 12Las empresas o personas que manejan tus datos (como tu nombre, teléfono o dirección) deben pedirte permiso antes de usarlos. Ese permiso tiene que ser: libre (que no te hayan engañado o presionado), específico (solo para usos claros y legales que te hayan dicho), informado (que te expliquen bien qué van a hacer con tus datos mediante un aviso de privacidad) y sin dejarte dudas (que tú digas "sí" de manera clara, ya sea con una acción o una declaración). No vale que te quedes callado o no hagas nada, porque el silencio no cuenta como permiso. Además, puedes cancelar tu permiso en cualquier momento, y desde ese momento ya no pueden usar tus datos, pero lo que ya hicieron antes sí es válido.
- Art. 13Si alguien quiere usar información personal de niñas, niños o adolescentes (como su nombre, fotos o datos), primero debe pedirles permiso de forma clara, completa y libre, tomando en cuenta qué tan capaces son de entender y decidir según su edad. La Secretaría de la Contraloría General, a través de su oficina especializada, va a crear un proceso especial para proteger siempre lo que sea mejor para ellos, como regla principal. En el caso de personas con discapacidad, para obtener su permiso se deben seguir las reglas de representación que marca la ley civil, como cuando un tutor o familiar da el permiso por ellos.
- Art. 14Básicamente, este artículo dice que, por lo general, no está permitido usar ni compartir tus datos personales más íntimos, como tu salud o tu religión, a menos que tú le hayas dado permiso a la persona o empresa de manera muy clara y sin dejar dudas. Ese permiso lo puedes dar con tu firma de puño y letra, con una firma electrónica, o con cualquier otro método que sirva para comprobar que realmente eres tú quien autoriza. También hay casos especiales, que la misma ley menciona, donde se podría usar esa información sin tu permiso.
- Art. 15El artículo dice que, por lo general, las empresas o el gobierno (el "responsable") deben pedir tu permiso para usar tus datos personales. Pero hay casos en los que no necesitan ese permiso, por ejemplo: cuando una ley los obligue, cuando una orden de un juez o autoridad lo exija, para defender tus propios derechos, para cumplir un contrato, en una emergencia que te ponga en riesgo, o cuando los datos se usen para tu salud. También aplica si los datos están "disociados" (sin tu nombre) o si eres una persona reportada como desaparecida. Es importante que estas excepciones solo son válidas para los casos exactos que menciona la lista; no se pueden inventar situaciones parecidas. Si hay duda de si aplica o no, la empresa o autoridad tiene que pedirte tu permiso de forma clara y demostrar por qué no lo necesita.
- Art. 16La persona o empresa que tenga tus datos debe cuidar que siempre estén correctos, completos y actualizados, para que no pierdan calidad. Cuando ya no necesiten tus datos para el propósito por el que los pidieron, deben eliminarlos, aunque primero pueden bloquearlos por seguridad si es necesario. No pueden guardarlos más tiempo del necesario, solo lo que marquen otras leyes (como las fiscales o contables). Después de usarlos, pueden hacer cosas como borrarlos o usarlos de forma anónima.
- Art. 17Quien maneje tus datos personales debe crear reglas escritas sobre cómo guardarlos, cuándo bloquearlos (es decir, detener su uso) y cuándo borrarlos. Esas reglas deben seguir todo el ciclo de vida de la información, desde que la reciben hasta que la eliminan, según lo que marca la ley. Además, deben incluir formas para asegurarse de que borren tus datos en el tiempo establecido, y revisar seguido cómo van esos procesos. En pocas palabras, las empresas o personas que tienen tus datos deben tener un plan claro y revisarlo constantemente para no quedarse con tu información más tiempo del necesario.
- Art. 18El responsable (la persona o empresa que guarda tus datos) solo puede usar la información tuya que sea necesaria, útil y directamente relacionada con el motivo por el que los pidió. No puede pedir ni guardar datos de más, solo los que realmente ocupen para el propósito que te explicaron. Por ejemplo, si te inscribes a un curso, no pueden pedirte tu historial médico si no tiene que ver con la clase. Es como cuando pides prestadas las llaves de un cuarto: solo te dan las que ocupas, no todas las del edificio.
- Art. 19La empresa o persona que use tus datos (el "responsable") debe informarte antes de obtenerlos, explicándote qué va a hacer con ellos y por qué, mediante un aviso de privacidad. Este aviso debe entregarse justo antes de que te pidan tus datos, ya sea por internet o en papel, y tiene que estar escrito de forma clara y fácil de entender para que tú puedas decidir si aceptas o no. Si no es posible dártelo directamente (por ejemplo, porque es muy complicado o caro), pueden usar otros medios como anuncios públicos, pero siempre siguiendo reglas oficiales.
- Art. 20El aviso de privacidad es un documento donde te dicen qué datos tuyos van a usar y para qué. La ley pide que ese aviso esté disponible en dos versiones: una más breve y fácil de entender (simplificado) y otra con todos los detalles (integral). Tú puedes pedir cualquiera de las dos cuando lo necesites.
- Art. 21Cuando una empresa o institución (el "responsable") pide tus datos personales, debe darte un aviso simple y claro que incluya: su nombre completo, cómo se llama el sistema donde guardará tu información, para qué usará tus datos (señalando qué usos requieren tu permiso), y si compartirá tus datos con otras personas o dependencias de gobierno, debe decirte con quién y para qué. También debe explicarte cómo ejercer tus derechos ARCOP (acceder, rectificar, cancelar u oponerte al uso de tus datos), cómo decir que no cuando te pidan permiso para ciertos usos, y dónde consultar el aviso de privacidad completo. Esto no quita que además te den la manera de leer el documento completo si lo pides.
- Art. 22Este artículo dice que cualquier empresa o persona que maneje tus datos personales debe darte un aviso de privacidad simple y fácil de entender. Te lo tienen que dar antes de pedirte tus datos si los obtienen directamente de ti, o antes de usarlos cuando los consiguen de otra fuente. Aunque te den ese aviso simple, después están obligados a entregarte el aviso completo con todos los detalles, como marca la ley.
- Art. 23Este artículo dice que el aviso de privacidad completo debe incluir, además de lo que ya marca la ley, datos como el nombre y dirección de la empresa o persona que usa tus datos (el responsable), qué información tuya van a juntar y si hay datos delicados, como tu salud o creencias. También tiene que decir para qué usan tus datos, si los comparten con otros, cómo puedes ejercer tus derechos ARCOP (acceder, rectificar, cancelar u oponerte al uso de tus datos), y cómo te avisarán si cambian el aviso. En pocas palabras, es un documento que te explica todo sobre el manejo de tu información personal.
- Art. 24La persona o empresa que guarda tus datos personales tiene la obligación de demostrar que los está cuidando bien y siguiendo la ley. Debe comprobar que cumple con todas las reglas y responsabilidades, y también tiene que rendir cuentas, es decir, explicar cómo usa y protege tu información tanto a ti como a las autoridades encargadas de vigilar que se respete tu privacidad. Para hacerlo, debe basarse en la Constitución mexicana, la de la Ciudad de México y los acuerdos internacionales que México haya firmado. Además, si no va en contra de las leyes mexicanas, puede usar reglas o prácticas recomendadas de otros países para demostrar que está haciendo bien su trabajo.
- Art. 25La persona u organización que maneja tus datos personales tiene quince obligaciones claras. Debe destinar dinero y crear programas para proteger tu información, además de capacitar a su personal en estos temas. También tiene que revisar periódicamente sus medidas de seguridad y hacer auditorías para asegurarse de que todo se cumpla. Debe garantizarte derechos como ver tus datos, corregirlos, cancelarlos, oponerte a que los usen o pedir que los transfieran a otro lado. Por último, tiene que informarte antes de pedir tus datos, registrar sus sistemas de información ante las autoridades y presentar un informe cada año antes de finales de agosto.
- Art. 26El que tiene tus datos personales (el responsable) debe poner medidas para protegerlos, sin importar dónde los guarde o cómo los use. Tiene que cuidarlos con reglas administrativas, candados físicos (como archiveros con llave) y sistemas técnicos (como contraseñas). Esto sirve para evitar que se dañen, pierdan, cambien, borren o que alguien los use sin permiso. También debe asegurarse de que nadie más los vea, que estén completos y que puedas acceder a ellos cuando los necesites.
- Art. 27La persona o empresa que guarda tus datos personales debe poner medidas de seguridad para protegerlos, y para eso tiene que considerar varios factores, como qué tan riesgosos o delicados son tus datos, la tecnología actual, qué pasaría si alguien los roba, cuántas personas están afectadas y si ha habido filtraciones antes. Además, la ley dice que hay tres niveles de seguridad según el tipo de información. El nivel básico es para todos los datos y es obligatorio; el nivel medio aplica a datos como multas, finanzas o perfiles de personalidad; y el nivel alto es para cosas muy privadas como tu religión, salud, orientación sexual o datos biométricos. Las medidas que se tomen solo se le informan a la autoridad de protección de datos para que las registre, pero no se hacen públicas.
- Art. 28La persona o empresa que guarda tus datos personales tiene que hacer varias cosas para cuidarlos bien. Primero, debe crear reglas internas sobre cómo manejar tus datos desde que los obtiene hasta que los borra. También tiene que decirle a cada empleado qué le toca hacer con esos datos y entrenarlos según su puesto. Además, debe hacer una lista de todos los datos que tiene, revisar los riesgos y peligros para tu información, y comparar si les faltan medidas de seguridad. Por último, tiene que hacer un plan para poner en marcha lo que falta y revisar periódicamente que todo esté funcionando.
- Art. 29Tienes que dejar por escrito todo lo que haces para proteger los datos personales, como medidas de seguridad, en un archivo especial llamado documento de seguridad. Ese documento no es solo un papel, sino un sistema completo que incluye pasos y acciones para crear, poner en marcha, vigilar, revisar y mejorar la forma en que cuidas y manejas esos datos. Todo esto debe hacerse siguiendo lo que dice esta Ley y otras reglas que apliquen. Básicamente, es como un manual de instrucciones que debes tener para garantizar que los datos estén seguros.
- Art. 30Tienes que hacer un documento de seguridad que incluya, como mínimo, estos puntos: los datos del sistema donde guardas información (como el nombre del programa), una lista de todos los datos personales que tienes, qué debe hacer cada persona que los maneja (empleados o encargados), un registro de cualquier problema o falla, y cómo identificas y verificas quién accede a la información. También debe decir cómo controlas quién entra, cómo haces respaldos y recuperas la información si se pierde, un análisis de los riesgos posibles, otro análisis de las fallas de seguridad, el nombre del encargado de seguridad, un control de quién y cómo se conecta, cómo supervisas y revisas las medidas de seguridad, un plan de trabajo, y un programa de capacitación para todo el personal.
- Art. 31El responsable (la persona o empresa que maneja tus datos personales) debe actualizar su documento de seguridad cuando pase alguna de estas situaciones: si hacen cambios importantes al tratamiento de tus datos que aumenten o disminuyan el riesgo; si después de revisar su sistema de protección notan que pueden mejorarlo; si ocurre un ataque o fuga de datos y toman medidas para reparar el daño; si aplican soluciones para evitar que vuelva a pasar una violación de seguridad; o si alguna autoridad de protección de datos se los recomienda.
- Art. 32Si se rompe la seguridad de tus datos personales, la persona o empresa que los maneja tiene que investigar por qué pasó. Después debe meterse a trabajar en un plan para corregir el problema y evitar que vuelva a ocurrir. Es como cuando te roban en tu casa y pones cámaras o más candados para que no pase otra vez. También tiene que ajustar cómo cuida tu información si hace falta. Todo esto es para que no se repita la falla.
- Art. 33Este artículo dice que hay ciertas cosas que cuentan como violaciones a la seguridad de tus datos personales. Por ejemplo, si alguien pierde o borra tu información sin permiso, o si te roban, extravían o copian tus datos de manera no autorizada. También es una violación si alguien usa, ve o maneja tus datos sin tener derecho, o si los daña, los cambia o los modifica sin que tú lo hayas autorizado. Todo esto aplica en cualquier momento en que se estén tratando tus datos personales.
- Art. 34La persona o empresa que maneje tus datos personales tiene la obligación de llevar un registro de cualquier filtración o ataque de seguridad, como cuando alguien accede sin permiso a tu información. En ese registro debe anotar qué pasó exactamente, el día en que ocurrió, por qué sucedió y qué medidas tomó para arreglarlo de inmediato y para siempre. Esto aplica a cualquier incidente que ponga en riesgo tu privacidad. Es como un cuaderno de bitácora donde se apuntan todos los accidentes y cómo se solucionaron.
- Art. 35Si una empresa o persona (el responsable) descubre que hubo una filtración o mal uso de tus datos personales, debe avisarte a ti y a la autoridad de protección de datos de inmediato. Después, tiene que revisar a fondo qué tan grave fue el problema, para que tú puedas tomar acciones para defenderte, como presentar una queja. Las autoridades también pueden revisar si el responsable tomó medidas para controlar el daño y mejorar su seguridad, y recomendarle lo que haga falta para proteger tus datos.
- Art. 36Si alguien que maneja tus datos personales tiene un problema o accidente que los expone (como un robo o filtración), debe avisarte. En ese aviso, tiene que explicarte qué pasó, qué datos tuyos se vieron afectados, qué puedes hacer para protegerte, qué medidas ya tomaron para solucionarlo y dónde pedir más información. Además, la autoridad encargada de proteger tus datos puede revisar lo que hicieron para arreglar el problema y darles recomendaciones que deben cumplir en un plazo fijo.
- Art. 37El que maneje tus datos personales tiene que asegurarse de que todos los que trabajan con ellos, como empleados o contratistas, guarden el secreto y no los compartan. Esta obligación de mantener la confidencialidad sigue vigente incluso después de que esa persona ya no trabaje con él. En otras palabras, aunque alguien renuncie o lo despidan, no puede andar divulgando tu información personal.
- Art. 38El jefe de la dependencia o empresa que maneja tus datos personales es quien decide si se crean, cambian o eliminan los sistemas donde guardan tu información. Estos sistemas sirven para que traten tus datos de manera clara, responsable y legal, sin esconder nada. En otras palabras, la persona encargada debe asegurarse de que todo esté bien organizado y cumpliendo con las reglas. Así protegen tu información personal y evitan malos usos.
- Art. 39Las dependencias del gobierno de la Ciudad de México deben avisar en la Gaceta Oficial cuando creen, cambien o eliminen un sistema donde guarden tus datos personales. En ese aviso pondrán links para ver los acuerdos completos, y también deben mandar una copia física y digital a la autoridad local para que los guarde y los publique en un registro electrónico. Cada vez que creen o modifiquen un sistema, tienen que explicar para qué usarán tus datos, quiénes los van a tratar, qué tipo de información recaban, quién es el responsable, cómo puedes pedir que corrijan o borren tus datos, y qué medidas de seguridad tendrán. Si deciden deshacerse de un sistema, deben explicar cómo van a eliminar o dar de baja los datos, aunque pueden conservar algunos si son anónimos o se usan solo para estadísticas, historia o ciencia.
- Art. 40Las oficinas locales encargadas de proteger tus datos personales van a crear un registro de todos los sistemas que contienen información privada que manejan las dependencias del gobierno. Cada dependencia debe anotar ahí los datos que tienen bajo su cuidado, incluyendo quién es el responsable, para qué usan la información, qué tipo de datos recolectan, cómo los obtienen y si los comparten con otros. También tienen que explicar cómo se relacionan esos datos, cuánto tiempo los guardan y qué medidas de seguridad aplican para protegerlos.
- Art. 41Está prohibido crear bases de datos cuyo único propósito sea almacenar información personal delicada, como tu origen étnico o racial, tu religión, tus ideas políticas, tu orientación sexual, o tus características emocionales o morales. Solo se puede usar esa información sensible si hay una razón de interés general, una ley lo permite, tú das tu permiso claro y voluntario, o se usa para estadísticas o investigación histórica. En esos casos, los datos deben estar "disociados", es decir, que no se pueda identificar a quién pertenecen. Para estudios científicos o de salud pública, no es necesario ocultar tu identidad.
- Art. 42Este artículo dice que cualquier archivo o sistema donde las autoridades de seguridad, justicia o administración guarden tus datos personales, ya sea en papel o en computadora, tiene que cumplir con las reglas de protección de esta ley. En otras palabras, aunque sean órganos del gobierno como la policía o los juzgados, no pueden hacer lo que quieran con tu información. Deben respetar la misma protección que cualquier otra institución.
- Art. 43El artículo 43 dice que tú, por ti mismo o con ayuda de alguien que te represente, tienes derecho a hacer cosas con tus datos personales que están en manos de oficinas de gobierno o empresas públicas. Estos derechos son: saber qué datos tienen sobre ti (Acceso), corregirlos si están mal (Rectificación), borrarlos (Cancelación), negarte a que los usen (Oposición) o pedir que los pasen a otro lugar (Portabilidad). Lo importante es que son derechos independientes, o sea, no tienes que hacer uno para poder hacer otro, ni el usar uno evita que después uses otro. Cada derecho funciona por su cuenta sin que uno sea obligatorio para el otro.
- Art. 44La persona dueña de los datos (o alguien que ella autorice) puede pedir y conocer toda la información sobre cómo se usan, guardan o comparten sus datos personales. Esto incluye desde cómo se registran hasta quién los tiene o los transfiere a otros. En pocas palabras, tienes derecho a saber todo lo que hagan con tu información.
- Art. 45Tienes derecho a pedir que corrijan o actualicen tus datos personales si están mal, incompletos, tienen errores o ya no son vigentes. Puedes hacerlo tú mismo o alguien que tú autorices. Si tus datos vienen de un juicio o de un trámite con el gobierno, se considerarán correctos solo si coinciden exactamente con lo que dice ese proceso. En otras palabras, no puedes cambiar información que ya fue comprobada legalmente.
- Art. 46Tienes derecho a pedir que borren tus datos personales de los archivos y sistemas de quien los tiene guardados. Esto significa que puedes solicitar que eliminen completamente tu información y que dejen de usarla para cualquier cosa. El responsable debe cumplir con tu petición una vez que la hagas válidamente. Solo aplica cuando tú, como dueño de los datos, haces la solicitud directamente.
- Art. 47Tienes derecho a pedir que dejen de usar tus datos personales o a negarte a que los sigan usando en dos casos. El primero es cuando, aunque sea legal que los usen, hacerlo te está causando algún daño o perjuicio, y por eso quieres que paren. El segundo es cuando tus datos se procesan de forma automática (sin que una persona intervenga) y eso te genera efectos legales que no querías, o afecta tus intereses, derechos o libertades de manera importante. Esto aplica, por ejemplo, si usan tus datos para evaluar automáticamente tu rendimiento en el trabajo, tu situación económica, tu salud, tus preferencias sexuales, tu confiabilidad o tu comportamiento.
- Art. 48Tienes derecho a pedirle a cualquier persona o empresa que tenga tus datos personales (como nombre, dirección o historial de compras) que te los entregue en un formato fácil de usar, como un archivo electrónico. También puedes solicitar que esos datos se pasen directamente a otra compañía o persona que tú elijas. Este derecho solo aplica en ciertos casos, por ejemplo, cuando tú mismo proporcionaste la información o cuando el sistema sea automático. Es como cuando te cambias de banco y pides que transfieran tus datos a la nueva institución para no empezar desde cero. Eso sí, no siempre funciona para cualquier tipo de información, solo cuando la ley lo permite.
- Art. 49Este artículo dice que cuando le pidas a una empresa o institución que te dé tus datos, los corrija, los borre, se oponga a usarlos o los transfiera, hay un proceso específico que deben seguir. Ese proceso está explicado en esta misma sección de la ley y en otras reglas relacionadas. Tanto tú como la persona o empresa a la que se lo pidas deben cumplir con esos pasos. No hay atajos ni formas distintas de hacerlo.
- Art. 50Para pedir que te expliquen, corrijan o eliminen tus datos personales (derechos ARCOP), primero debes demostrar quién eres con una identificación oficial. Si alguien más lo hace por ti, necesita una carta poder simple firmada frente a dos testigos, y copias de sus identificaciones. Solo por ley o por orden de un juez puede hacerlo otra persona sin ser el dueño de los datos o su representante. Los niños, niñas y adolescentes pueden hacer este trámite directamente, y las personas con discapacidad pueden pedir ayuda técnica o humana sin que eso quite los accesos generales. Si la persona dueña de los datos ya falleció, sus herederos, albaceas o quien tenga un interés legal pueden ejercer estos derechos.
- Art. 51El artículo dice que pedir información personal o ejercer tus derechos ARCOP (acceder, rectificar, cancelar u oponerte al uso de tus datos) es totalmente gratis. Solo te pueden cobrar si pides copias, certificados o envío, pero el costo debe ser bajo para que puedas ejercer tu derecho sin problema. Si tú llevas tu propio USB, disco o cualquier medio para guardar los datos, te deben entregar la información sin cobrarte nada. Además, si pides hasta 60 hojas impresas simples, te las deben dar sin costo. Las oficinas de transparencia pueden perdonarte el pago si no tienes recursos económicos.
- Art. 52Las empresas o instituciones que manejan tus datos personales deben tener reglas sencillas para que puedas ejercer tus derechos ARCOP, que son: Acceder, Rectificar, Cancelar, Oponerte y Portar tu información. Cuando pidas ejercer alguno de estos derechos, deben responderte en máximo 15 días desde que recibieron tu solicitud. Solo en casos especiales y con razones bien justificadas, pueden tardar 15 días más, pero deben avisarte antes de que se cumpla el primer plazo. Si aceptan tu solicitud, deben hacer el cambio o darte la información en un máximo de 10 días después de notificarte su respuesta.
- Art. 53Para pedir tus datos personales o ejercer tus derechos ARCOP (Acceso, Rectificación, Cancelación, Oposición y Portabilidad), solo te pueden pedir cierta información básica: tu nombre, un medio para contactarte (como tu domicilio o correo), una identificación oficial (y si vas con un representante, también sus papeles), una descripción clara de los datos que quieres modificar o eliminar, y qué derecho quieres usar. Si pides acceso, debes decir si quieres tu información en copia, digital o de otra forma, y la dependencia debe dártela así, a menos que sea imposible; entonces te ofrecerá otras opciones. Si quieres rectificar (corregir) datos, solo aplica si están mal, incompletos o son muchos, pero no cuando sea imposible o muy complicado arreglarlos. Para cancelar tus datos, debes explicar por qué los quieres borrar. Si te opones a que usen tus datos, tienes que decir qué daño te causa que sigan usándolos. Para la portabilidad (pasar tus datos a otra empresa), aplica solo si los trataron con tu permiso o por un contrato, y de forma automática. Todas las solicitudes se presentan en la Unidad de Transparencia de la institución que creas responsable, por escrito, formato, correo o como ellos indiquen, y te deben dar un recibo sellado.
- Art. 54Si la persona o empresa que recibe tu solicitud para ver, corregir o eliminar tus datos personales (los derechos ARCOP) no es la indicada para resolverla, debe decirte por qué no puede atenderla en los siguientes tres días desde que la entregaste. Además, tiene que orientarte sobre cuál es la autoridad o institución correcta a la que debes acudir. Si el encargado te dice que no tiene tus datos en sus archivos, computadoras o sistemas, no es suficiente con su palabra; el Comité de Transparencia de esa institución debe emitir una resolución oficial confirmando que los datos no existen. Por último, si el responsable se da cuenta de que lo que pediste no corresponde a ninguno de esos derechos (por ejemplo, si pides algo que no tiene que ver con tus datos personales), debe avisarte y guiarte para que uses la vía o procedimiento correcto.
- Art. 55Si hay una ley especial que ya tiene su propio trámite para que pidas tus derechos ARCOP (Acceso, Rectificación, Cancelación, Oposición y Portabilidad de tus datos), la empresa o persona que maneja tu información debe avisarte en máximo 5 días después de que hagas tu solicitud. Ese aviso es para que tú decidas si quieres usar ese trámite especial o si prefieres el procedimiento normal que esa empresa ya tenga. Así tú eliges la opción que más te convenga.
- Art. 56Si el responsable del manejo de tus datos te niega el derecho a acceder, rectificar, cancelar u oponerte a ellos (los llamados derechos ARCOP), o si no estás de acuerdo con su respuesta, puedes presentar una queja formal ante el INAI (que es la autoridad encargada de proteger tus datos en México). Ese recurso se llama "revisión" y sirve para que el INAI analice si la empresa o persona actuó bien. Tienes que hacerlo dentro de un plazo específico después de recibir la respuesta. Además, en el capítulo sobre portabilidad, se entiende que puedes pedir que te entreguen tus datos en un formato que puedas usar fácilmente para llevarlos a otro servicio.
- Art. 57Si una empresa o página web guarda tus datos personales (como tu nombre o correo) en un formato digital que se pueda usar fácilmente (como un archivo de Excel o PDF), tú tienes derecho a pedir una copia de esa información para seguir usándola donde quieras. Además, si tú mismo proporcionaste esos datos y le diste permiso a la empresa para usarlos, o si los necesitan porque firmaste un contrato, también puedes pedir que los pasen directamente a otro servicio o sistema en ese mismo formato fácil de usar. La empresa no te puede poner trabas para que te lleves tu información o la muevas a otro lado.
- Art. 58Si alguien más maneja tus datos personales por encargo de una institución o empresa (como una agencia externa), esa persona solo puede usarlos para lo que le hayan indicado, sin cambiar el propósito ni decidir por su cuenta cómo usarlos. El encargado solo puede hacer lo que el responsable le diga, ni más ni menos. En pocas palabras: no puede inventarse nuevos usos ni desviarse de las instrucciones.
- Art. 59El Artículo 59 dice que cuando una empresa (el responsable) contrata a otra persona o compañía (el encargado) para que maneje datos personales, debe haber un contrato escrito que demuestre qué se va a hacer y cómo. Ese contrato debe incluir reglas claras, como que el encargado solo use los datos para lo que el responsable le indique, que los mantenga seguros y confidenciales, que avise si hay algún problema de seguridad, y que borre o devuelva los datos cuando termine el trabajo, a menos que la ley diga que los guarde. También el encargado no puede compartir los datos con nadie más, salvo que el responsable lo autorice, lo pida un juez, o sea parte de un subcontrato. Todo lo acordado debe cumplir con la ley de protección de datos y con lo que dice el aviso de privacidad que ya se le dio a los dueños de la información.
- Art. 60Si la persona o empresa que cuida tus datos personajes (el encargado) no sigue las órdenes de quien los recolectó (el responsable) y empieza a hacer lo que se le antoje con ellos, entonces automáticamente se convierte en el responsable legal. Eso significa que tendrá que pagar las consecuencias de sus acciones, como si desde el principio fuera el dueño de esos datos. En pocas palabras, si se pasa de listo, le tocará responder ante la ley como si él fuera el jefe.
- Art. 61La persona que está a cargo de manejar tus datos personales puede pedirle ayuda a otra empresa o persona para procesarlos, pero solo si el dueño de los datos (el responsable) le da permiso por escrito. Ese nuevo encargado tendrá las mismas obligaciones que el primero, o sea, debe cuidar tu información según la ley. Si desde el principio el contrato entre el responsable y el encargado ya decía que se podían subcontratar servicios, entonces no se necesita pedir otro permiso. En resumen, no pueden pasar tus datos a terceros sin que el responsable lo autorice, ya sea en el contrato original o después.
- Art. 62Si una empresa contrata a otra para que le ayude con un trabajo, la empresa que contrata debe pedir permiso al cliente (el responsable) antes de que la otra empresa empiece a trabajar. Una vez que el cliente da el visto bueno, la empresa principal tiene que hacer un contrato por escrito con la que va a hacer el trabajo. Ese contrato debe explicar bien qué servicios se van a dar, cómo y hasta cuándo, para que quede todo claro y sin confusiones.
- Art. 63Si una empresa o persona que maneja tus datos personales contrata un servicio en la nube (como Google Drive o Dropbox) para guardarlos, el proveedor de ese servicio también tiene la obligación de cuidar tu información y cumplir con la ley. La empresa original debe dejar claro por escrito, en un contrato o documento legal, qué puede hacer el proveedor con tus datos y qué no. Así, el proveedor solo puede usar tu información para lo que le fue autorizado, sin poder compartirla o usarla de más.
- Art. 64Artículo 64. Las empresas o personas que manejen tus datos pueden usar servicios en la nube, pero solo si el proveedor cumple ciertas reglas. El proveedor debe tener políticas claras para proteger tu información, no puede venderla ni tratarla como propia, debe mantenerla en secreto y no puede contratar a terceros sin avisarte. También tiene que informarte si cambia sus reglas, dejarte decidir cómo se usan tus datos, y borrarlos cuando ya no los necesite. Si una autoridad pide tus datos por una razón legal, debe avisarte. Al final, quien maneja tus datos no puede contratar servicios que no cuiden tu información como manda la ley.
- Art. 65Cualquier persona que quiera pasar tus datos personales a otra empresa o país tiene que pedirte permiso primero. Tú decides si aceptas o no, a menos que la ley diga lo contrario en casos especiales. Es como cuando pides permiso antes de prestar algo que no es tuyo.
- Art. 66Cuando alguien quiere pasar tus datos personales a otra persona o empresa (a esto se le llama "transferencia"), debe hacerlo por escrito, usando un contrato o un acuerdo que explique qué van a hacer con tus datos y quién se hace responsable de cuidarlos. Esto no aplica en dos casos: primero, si la transferencia es dentro de México y la ley obliga a compartir los datos o la otra empresa tiene permiso legal para pedirlos. Segundo, si la transferencia es al extranjero y está prevista en una ley o tratado firmado por México, o la pide una autoridad de otro país con poderes similares a los de quien tiene tus datos.
- Art. 67Imagina que te pasan tus datos personales (como tu nombre o dirección) a otra persona o empresa dentro de México. Esa persona que los recibe tiene la obligación de mantenerlos en secreto y solo puede usarlos para el motivo exacto por el que se los prestaron. Además, debe seguir las reglas que le indique quien le dio los datos, que están escritas en un aviso de privacidad que le deben entregar.
- Art. 68Si una empresa quiere mandar tus datos personales a otro país, solo puede hacerlo si la persona o empresa que los va a recibir se compromete a cuidarlos igual que lo haría aquí en México, siguiendo las reglas de esta ley. Es como pedirle a alguien que prometa tratar tu información con el mismo cuidado que tú.
- Art. 69Cuando alguien te da tus datos personales a otra persona o empresa, el que los entrega debe decirle al que los recibe para qué se van a usar esos datos, tal como se le informó al dueño de los datos desde el principio. Así, el nuevo que los recibe sabe exactamente qué puede hacer con ellos. Esto evita que se usen para cosas distintas a las que aceptaste.
- Art. 70El artículo 70 dice que una empresa o persona que maneje tus datos personales puede compartirlos con otros sin pedirte permiso en estas situaciones: cuando una ley, un tratado internacional firmado por México o una autoridad lo exija, por ejemplo, para investigar delitos o resolver un juicio. También puede compartirlos si es necesario para tu salud (como en emergencias médicas), para cumplir un contrato que tengas con ellos, o si la ley ya los exime de pedir tu consentimiento por otras razones. En pocas palabras, solo pueden pasar tus datos sin avisarte si está obligado por la ley o para proteger intereses importantes como la justicia o tu salud.
- Art. 71El artículo 71 dice que las empresas o personas que manejan tus datos pueden crear o adoptar reglas voluntarias para proteger mejor tu información. Pueden hacerlo solas o en grupo con otras empresas y organizaciones. El objetivo es que tus datos estén más seguros, que se manejen igual en un mismo sector (por ejemplo, en hospitales o bancos), y que sea más fácil que tú puedas ejercer tus derechos ARCOP (acceder, rectificar, cancelar u oponerte al uso de tus datos). También sirve para que cumplan mejor con las leyes de protección de datos y puedan demostrarle a las autoridades locales que lo están haciendo bien.
- Art. 72Si tienes un plan para proteger mejor los datos personales y quieres que las autoridades locales lo reconozcan oficialmente, debes seguir dos pasos: primero, cumplir con las reglas que esas autoridades ya definieron según el Programa Nacional de Protección de Datos Personales; segundo, notificar tu plan para que lo revisen y, si está bien, lo aprueben y lo anoten en un registro especial. Las autoridades locales deben publicar cómo funcionará ese registro, y también pueden inscribir los planes ya aprobados en un registro más grande que maneja otra autoridad federal (la SABG), siempre y cuando sigan sus propias reglas.
- Art. 73Cuando una institución o empresa quiera usar o cambiar programas de computadora, aplicaciones o sistemas donde se manejen muchos datos personales importantes, primero debe pedir una revisión a la autoridad de protección de datos de tu estado o la que le corresponda. El objetivo es que esa autorité opine si esos datos van a estar seguros. Las recomendaciones que dé la autoridad seguirán las reglas generales que emita el Sistema Nacional Anticorrupción.
- Art. 74El artículo 74 dice que cuando se usen datos personales (como nombres, fotos o direcciones) para buscar o identificar a personas desaparecidas, todo debe hacerse siguiendo la ley especial que trata ese tema. Las autoridades o instituciones que manejen estos datos solo los pueden usar para encontrar a la persona o saber quién es, y tienen prohibido compartirlos o usarlos para otra cosa.
- Art. 75Este artículo dice que hay ocasiones en las que las empresas o el gobierno manejan datos personales de forma muy intensa o importante, y por eso deben presentar un estudio especial llamado "manifestación de impacto". Ese estudio es obligatorio cuando se dan ciertas condiciones, como cuando hay muchas personas afectadas, se usan tecnologías nuevas, o se manejan datos sensibles (como los de salud o creencias). También aplica si los datos se comparten con otras empresas o si hay un riesgo alto para la privacidad de las personas. En pocas palabras, si el manejo de información es muy grande o delicado, se necesita un análisis previo para evitar problemas.
- Art. 76Si tienes un negocio o institución que maneja datos personales y planeas lanzar un sistema nuevo, una aplicación o cambiar alguna política pública que use esos datos, primero debes hacer un estudio de cómo eso podría afectar la privacidad de las personas. Ese estudio lo tienes que entregar al organismo de protección de datos de tu estado o al que te corresponda, por lo menos 30 días antes de la fecha en que quieras empezar a usarlo o hacer el cambio. Ellos lo revisarán y te darán un dictamen con su visto bueno o recomendaciones.
- Art. 77Cuando una empresa o institución quiera usar tus datos personales, primero debe hacer un estudio para ver si eso puede causarte algún riesgo. La autoridad que vigila el cuidado de los datos tendrá hasta 30 días para revisar ese estudio, contando desde el día siguiente en que lo recibió. Después de revisarlo, la autoridad dará una opinión por escrito con sugerencias para que los riesgos a tu privacidad sean menores o desaparezcan. Esto es para que nadie haga mal uso de tu información sin haber medido antes las consecuencias.
- Art. 78Imagina que por alguna razón de emergencia o urgencia, el responsable tiene que poner en marcha un sistema o tecnología que maneje muchos datos personales, y no puede esperar los plazos normales. En ese caso, puede empezar a usarlo antes de entregar su Evaluación de Impacto. Pero tiene que presentar ese estudio veinte días después de haberlo puesto a funcionar. Esto aplica también si ya está usando el sistema y le hace cambios. Eso sí, solo puede hacerlo si cree que esperar a la evaluación arruinaría los beneficios que busca.
- Art. 79La policía y los fiscales pueden obtener tus datos personales sin pedirte permiso, pero solo cuando sea estrictamente necesario para prevenir delitos o proteger la seguridad pública. Esos datos solo los pueden guardar en sistemas especiales creados para eso, no en cualquier lado. También, si una autoridad revisa información que tú le diste a una empresa por obligación de la ley, debe seguir todas las reglas de protección de datos de esta ley. En pocas palabras: pueden usar tu información sin avisarte, pero solo para cosas muy específicas y siempre con cuidado.
- Art. 80Nadie puede abrir tus cartas, escuchar tus llamadas o leer tus mensajes sin tu permiso. Solo un juez puede dar la orden de intervenir o revisar una comunicación privada, y solo en los casos que la ley permite. Esto significa que ni la policía ni ningún funcionario público pueden hacerlo por su cuenta. La regla es que tu privacidad está protegida siempre, a menos que un juez autorice lo contrario.
- Art. 81Las personas o áreas que manejan datos personales delicados, como los relacionados con seguridad o justicia, tienen que poner medidas de seguridad muy fuertes. Esto es para evitar que la información se dañe, se pierda, se altere, se destruya, o que alguien la use o la vea sin permiso. También deben asegurarse de que los datos estén completos, disponibles cuando se necesiten y protegidos para que solo quienes deben verlos puedan hacerlo. En pocas palabras, es como poner candados extra y vigilancia especial a la información más sensible.
- Art. 82Cada institución u oficina pública debe tener un grupo de personas llamado Comité de Transparencia. Este comité se encarga de asegurar que se maneje bien tu información personal. Su forma de trabajar la decide la Ley de Transparencia de la Ciudad de México. Además, este comité es la autoridad más alta en todo lo que tiene que ver con proteger tus datos personales.
- Art. 83El Comité de Transparencia es como el encargado de vigilar que se cuiden tus datos personales en cualquier institución pública. Entre sus labores principales, debe coordinar que nadie use tu información sin permiso, crear reglas internas para atender tus solicitudes (como pedir que borren o corrijan tus datos), y decidir si te dicen que no tienen tus datos cuando tú sabes que sí. También tiene que asegurarse de que todos los empleados públicos estén capacitados para proteger tu información, y si descubre que alguien está haciendo algo sospechoso, debe avisarle al área de control interno para que investigue.
- Art. 84Cada empresa o institución debe tener un equipo llamado Unidad de Transparencia, que se encarga de ayudarte a ejercer tus derechos sobre tu información personal. Por ejemplo, si quieres saber qué datos tienen tuyos, corregirlos o cancelarlos, esa unidad te orienta y gestiona tu solicitud. También se asegura de que solo tú o alguien autorizado por ti reciban tus datos, y te informa si hay algún costo por copiarlos o enviártelos. Además, si manejan información muy sensible (como datos de salud o políticos), pueden nombrar a un especialista en protección de datos para que refuerce estas tareas. Por último, deben hacer lo posible por atenderte en tu idioma o en formatos accesibles, como braille, si lo necesitas.
- Art. 85El responsable (la persona o empresa que maneja tus datos) debe asegurarse de que tú, si tienes alguna discapacidad o eres parte de un grupo como adultos mayores, puedas defender tu privacidad igual que cualquier otra persona. Esto significa que deben ponerte las cosas fáciles, como darte formatos en braille, lenguaje de señas o lecturas fáciles para que entiendas y decidas sobre tu información personal.
- Art. 86La Autoridad Garante Local es la oficina del gobierno de la Ciudad de México que se encarga de asegurarse de que todas las dependencias públicas y las Alcaldías cumplan con la ley que protege tus datos personales. Esta autoridad revisa que tu información sea tratada de manera correcta, legal y segura, sin que la usen de mala forma. También vigila que las reglas de esta ley se apliquen bien en todo momento. En pocas palabras, es como un vigilante que cuida que nadie haga mal uso de tus datos.
- Art. 87Este artículo enumera todo lo que puede hacer la autoridad local encargada de proteger tus datos personales. Entre sus funciones están: resolver quejas cuando una empresa o gobierno no te dé acceso a tus datos, investigar si están cumpliendo la ley, imponer multas o medidas para obligar a cumplir, y denunciar ante otras autoridades si alguien viola la ley. También debe promover y enseñar a la gente cómo ejercer su derecho a la privacidad, asegurarse de que personas con discapacidad o en situación vulnerable puedan ejercerlo, y publicar estudios sobre el tema. Por último, puede recomendar buenas prácticas y evaluar si las empresas o instituciones están protegiendo bien tus datos.
- Art. 88Este artículo dice que las autoridades encargadas de vigilar la protección de tus datos personales tienen varias tareas importantes. Por ejemplo, pueden resolver quejas cuando alguien no está de acuerdo con cómo se usaron sus datos, y pueden obligar a las empresas o instituciones a cumplir con sus decisiones usando multas u otras medidas. También tienen que promover y enseñar a la gente sobre su derecho a proteger su información personal, y asegurarse de que personas con discapacidades o que hablen lenguas indígenas puedan ejercer este derecho sin problemas. Además, pueden investigar, hacer estudios, capacitar a quienes manejan datos y, si es necesario, dar recomendaciones (aunque no obligatorias) para mejorar la protección de datos.
- Art. 89El artículo 89 dice que, para formar, elegir y hacer funcionar a las Autoridades Garantes (que son las oficinas encargadas de vigilar que se cumplan las leyes de transparencia y protección de datos), hay que seguir lo que marca la Ley de Transparencia y otras leyes relacionadas. En pocas palabras, no se puede improvisar: todo debe hacerse conforme a las reglas ya establecidas en otras normas. Esto aplica para el capítulo que habla de cómo se coordinan y promueve el derecho a la protección de datos personales.
- Art. 90Las personas o empresas que manejan datos personales tienen la obligación de ayudar a la autoridad encargada de vigilar que se cumpla la ley de protección de datos. Esta ayuda es para dar cursos, talleres y otras capacitaciones a todos los empleados del gobierno sobre cómo cuidar la información privada de la gente. Además, esas capacitaciones se deben estar actualizando constantemente para que los servidores públicos sepan bien cómo proteger los datos.
- Art. 91La autoridad local encargada de proteger tus datos personales tiene que hacer tres cosas. Primero, debe asegurarse de que en todas las escuelas del estado (desde kinder hasta universidad) se enseñe qué son tus datos personales y cómo cuidarlos, y que esto esté en los libros y planes de estudio. Segundo, tiene que juntarse con universidades para crear centros donde se investigue y enseñe sobre este derecho, y que esos centros ayuden a la autoridad en su trabajo diario. Tercero, debe promover que existan espacios para que tú y la gente en general puedan dar sus ideas y opiniones sobre el manejo de datos, junto con los representantes de la ciudadanía y las personas u organismos que manejan tu información.
- Art. 92Si no estás de acuerdo con la respuesta que te dio una dependencia sobre tu solicitud de datos personales (por ejemplo, si te negaron el acceso o la corrección de tu información), puedes presentar una queja formal llamada "recurso de revisión". Puedes hacerlo directamente en la oficina de la autoridad de protección de datos, por correo certificado o por internet, y también puedes entregarlo en la misma oficina de transparencia de la dependencia que te respondió. Esa oficina debe explicarte cómo y dónde presentar tu queja. Si entregas el recurso en la oficina de transparencia, ellos tienen que mandarlo a la autoridad correspondiente al día siguiente de recibirlo. Para que cuente el plazo de entrega, se toma en cuenta la fecha en que tú lo presentaste, pero para que la autoridad decida tu caso, cuenta la fecha en que ellos lo reciben.
- Art. 93Cualquier persona puede quejarse si un organismo público o privado no le responde bien su solicitud sobre sus datos personales (como pedir acceso, corregir, cancelar, oponerse o mover tus datos). Puedes hacer la queja personalmente o que alguien más lo haga por ti, usando un escrito libre, los formatos oficiales o un sistema en línea. Tienes 15 días seguidos para presentarla, contando desde que recibes la respuesta a tu solicitud, o desde que termina el plazo sin que te hayan dado respuesta.
- Art. 94Si necesitas hacer algún trámite, puedes demostrar quién eres de tres maneras: con tu identificación oficial (como la credencial del INE o pasaporte), con tu firma electrónica avanzada (la e.firma, antes FIEL), o mediante algún otro método de autenticación que haya autorizado la Autoridad Garante Local y que esté publicado en la Gaceta Oficial de la Ciudad de México. Si usas tu firma electrónica avanzada, no te van a pedir que entregues una copia de tu identificación.
- Art. 95Si alguien va a actuar en tu nombre ante la autoridad, necesita comprobar que tiene permiso para hacerlo. Si eres una persona común, puede usar una carta poder firmada frente a dos testigos (con copias de sus identificaciones), un documento notariado (instrumento público), o ir los dos en persona a declarar ante la autoridad. Pero si eres una empresa (persona moral), solo sirve un documento notariado. Esto es para asegurar que el representante realmente tiene tu autorización.
- Art. 96El artículo 96 dice que si ya falleció una persona y alguien quiere pedir que revisen o corrijan sus datos personales, eso lo puede hacer quien demuestre que tiene un interés legal o directo en el asunto, como un heredero o el albacea (la persona encargada de cumplir la voluntad del fallecido). También puede hacerlo si un juez da la orden. En pocas palabras, no cualquiera puede pedir cambios en los datos de alguien que murió, solo quienes tengan un derecho reconocido por la ley o una autorización judicial.
- Art. 97Cuando alguien presenta una queja o recurso de revisión, los avisos oficiales (notificaciones) que mande la autoridad de transparencia de la Ciudad de México empiezan a contar desde el día siguiente de que se entreguen. Estos avisos se pueden hacer de cuatro maneras: 1) en persona, pero solo la primera vez, cuando te pidan algo, cuando pidan documentos, cuando sea la decisión final o cuando la ley lo exija; 2) por correo certificado (con comprobante de recibido) o por medios digitales aprobados y publicados en la Gaceta Oficial de la Ciudad; 3) por correo postal o correo electrónico normal, para casos que no sean los anteriores; y 4) pegando el aviso en un lugar público (estrados) si no te encuentran en tu casa o no saben dónde vives.
- Art. 98Para contar los días o plazos que se mencionan en esta sección de la ley, empiezas a contar desde el día siguiente a aquel en que recibiste la notificación oficial. O sea, si te notificaron un lunes, el plazo comienza a correr el martes. El día en que te avisan no cuenta. Esto aplica para todos los plazos que vienen en esta parte de la ley.
- Art. 99El artículo 99 dice que la persona que está a cargo (titular) y la que tiene la información (sujeto obligado) tienen que responder a los pedidos de información en los tiempos y condiciones que indique la Autoridad Garante Local u otras autoridades similares. En palabras más claras, si alguien pide información pública, los encargados deben responder dentro del plazo que marque la autoridad encargada de vigilar esto.
- Art. 100Cuando alguien presenta una queja o apelación (llamada "recurso de revisión"), las personas involucradas pueden presentar pruebas para demostrar su versión. Estas pruebas pueden ser documentos oficiales (como actas de nacimiento), documentos privados (como un contrato entre personas), una inspección (que un funcionario vaya a ver algo en persona), un dictamen de un perito (un experto en un tema), el testimonio de testigos, o una declaración de la persona que está siendo acusada, pero en este último caso no aplica si se trata de una autoridad. También se pueden usar fotos, páginas de internet, escritos y lo que ofrezca la tecnología, además de "presunciones" (deducciones que se hacen a partir de hechos ya comprobados). Por último, las autoridades encargadas del caso también pueden pedir por su cuenta las pruebas que crean necesarias, siempre y cuando no vayan contra lo que dice la ley.
- Art. 101El recurso de revisión es como una queja formal que puedes presentar cuando algo sale mal con tus datos personales. Sirve para reclamar si una institución te dice que no tiene tus datos, que no es su problema, o si te entrega información incompleta o que no pediste. También puedes usarlo si te niegan corregir, borrar o mover tus datos, si no te responden a tiempo, o si te los dan en un formato que no pediste o que no entiendes. Incluso aplica si te cobran de más o te retrasan la entrega, o si te ponen trabas para ejercer tus derechos. En corto, es tu derecho a inconformarte cuando una autoridad no maneja bien tu información personal.
- Art. 102Imagina que le pides a una dependencia del gobierno (como el SAT o el IMSS) que corrija tus datos personales o que te dé copia de tu información. Pues bien, la ley dice que se considera que no te respondieron (aunque digan que sí) en estos casos: si el plazo legal para responderte ya se cumplió y la dependencia nunca te dijo nada; si la dependencia afirma que sí te dio respuesta o los documentos, pero no lo puede comprobar; si, en vez de resolverte, te pide más papeles o que esperes más tiempo sin razón; o si te dicen que por mucho trabajo o problemas internos no pueden atender tu petición.
- Art. 103Si quieres pelear una respuesta que te dio una autoridad sobre tus datos personales, tienes que presentar un escrito de queja. Ese escrito debe tener: el nombre de la dependencia a la que le pediste la información, el tuyo o el de tu representante, y un domicilio o correo para que te avisen. También tienes que decir cuándo te dieron la respuesta o, si no te respondieron, cuándo hiciste la solicitud. Explica claramente qué fue lo que no te gustó de la respuesta y por qué estás inconforme. Acompaña el escrito con una copia de la respuesta que te dieron, tu identificación oficial, y si vas con un representante, también su identificación y un documento que demuestre que puede actuar por ti. Puedes agregar más pruebas si quieres, y lo más importante: **no tienes que ir a firmar personalmente para confirmar que sí vas a presentar la queja**.
- Art. 104Si presentas un recurso de revisión (una queja formal) y te faltó algún requisito, la autoridad local te lo va a notificar por una sola vez para que corrijas el error en un plazo máximo de 3 días después de que presentaste tu escrito. Tú tendrás 5 días a partir de que recibas esa notificación para arreglarlo; si no lo haces, tu recurso será rechazado. Eso detiene el tiempo que tiene la autoridad para resolver tu caso, y se reanuda hasta que entregues la información completa. Si tu recurso se presenta después de la fecha límite, lo desecharán de inmediato y te avisarán en un máximo de 5 días hábiles.
- Art. 105Cuando alguien presenta una queja (recurso de revisión) por un problema de privacidad o datos personales, las autoridades encargadas pueden intentar que ambas partes lleguen a un arreglo amistoso. Si logran ponerse de acuerdo, ese acuerdo se escribe en un papel y es obligatorio cumplirlo. Una vez firmado, la queja original ya no se sigue revisando, porque el conflicto se resolvió. Las autoridades tienen la obligación de checar que el acuerdo se cumpla tal cual se pactó.
- Art. 106Cuando alguien presenta un recurso de queja por violación a sus datos personales, la autoridad encargada debe invitar a las dos partes (la persona que se queja y la que usó los datos) a tratar de llegar a un acuerdo en un plazo de 7 días después de avisarles. Si ambas aceptan, se programa una junta en los siguientes 10 días para platicar y buscar un arreglo. Si una de las partes no va a la junta sin una excusa válida, el proceso sigue su curso normal. Cuando logran un acuerdo, se escribe y es obligatorio cumplirlo, con lo que se termina la queja. Esto no aplica si la queja es sobre un niño, niña o adolescente.
- Art. 107La autoridad encargada de proteger tus datos personales (la Autoridad Garante Local o las autoridades garantes) tiene 30 días para resolver tu queja o revisión, contados desde que la aceptaron a trámite. Ese plazo solo se puede alargar una vez, y nada más por 10 días adicionales. Es decir, como máximo puedes esperar hasta 40 días para que te den una respuesta.
- Art. 108El artículo dice que, durante un proceso de revisión, la autoridad encargada debe ayudar a la persona que presentó la queja a completar o corregir su solicitud, pero sin cambiar los hechos o el problema que ya explicó. También tiene que asegurarse de que ambas partes puedan mostrar sus pruebas y argumentos para apoyar lo que piden. En pocas palabras, la autoridad le echa la mano a quien pone la queja, pero sin inventar ni modificar lo que ya dijo.
- Art. 109Cuando alguien presenta un recurso de revisión (que es un medio para impugnar una decisión), la autoridad que lo recibe debe seguir estos pasos: Primero, en los 3 días siguientes decide si lo acepta, lo rechaza o te pide que corrijas algo. Si lo acepta, abre un expediente y te da hasta 7 días para que tú y la otra parte digan lo que quieran y, si desean, busquen un acuerdo (conciliación). Durante ese plazo pueden ofrecer pruebas, pero los servidores públicos no pueden usar la prueba confesional (declaración bajo protesta) ni pruebas ilegales. Después, si hace falta, la autoridad organiza cómo presentar las pruebas y puede citar a audiencias. Una vez terminadas las pruebas y los alegatos (argumentos finales), se cierra la investigación. A partir de ahí, la autoridad ya no toma en cuenta información que mande la parte obligada. Finalmente, tiene máximo 10 días para emitir su resolución.
- Art. 110Cuando alguien presenta una queja ante la autoridad de protección de datos, esa autoridad puede tomar varias decisiones: rechazar la queja, darle la razón a la persona o empresa que respondió, cambiar esa respuesta, o exigirle que atienda la solicitud si no lo hizo. La autoridad también fija un plazo para cumplir lo ordenado y la persona o empresa debe avisar cuando ya lo haya hecho. Si la autoridad no responde dentro del tiempo establecido, se entiende que la respuesta original de la persona o empresa es la correcta. Además, si durante el proceso la autoridad detecta que alguien pudo haber violado la ley, debe notificarlo al área de control interno para que investigue y, si procede, aplique una sanción.
- Art. 111El artículo 111 dice cuándo **tirarán a la basura** tu queja o recurso de revisión. Pasa si lo metes **fuera del tiempo** que marca la ley, si no compruebas bien quién eres o quién te representa, si tu caso no encaja en lo que la ley permite, si no entregaste los papeles que te pidieron, si cambias o añades cosas nuevas a tu solicitud en el recurso, o si ya llevas otro juicio o defensa en los tribunales por el mismo asunto. En pocas palabras, si no cumples con estos requisitos, tu recurso se desecha y ya no lo revisan.
- Art. 112El artículo 112 dice que un recurso de revisión (un tipo de queja formal contra una decisión del gobierno) se da por terminado o cancelado si pasa algo de lo siguiente: que la persona que lo presentó (el recurrente) diga que ya no quiere seguir; que esa persona fallezca; que después de aceptar el recurso resulte que no era válido según la ley; que la autoridad cambie su respuesta original y así el problema que motivó la queja ya no exista; o simplemente si por cualquier otro motivo el asunto ya no tiene razón de ser.
- Art. 113La autoridad encargada de proteger tus derechos (como el INAI o el Instituto de Transparencia de tu estado) tiene hasta tres días después de tomar una decisión para avisarte a ti y a los demás involucrados. También debe publicar esa decisión en internet, pero borrando tus datos personales (como tu nombre o dirección) para que nadie pueda identificarte. Así, todos pueden ver cómo se resolvió el asunto sin que tu privacidad se vea afectada.
- Art. 114Si presentas un queja porque una autoridad no respondió a tu solicitud de tus datos personales, la autoridad de protección de datos de tu estado le pedirá explicaciones a quien te debió responder. Esa persona tiene máximo 5 días para dar su versión. Luego, la autoridad local tiene otros 5 días para decidir si tienes razón y ordenarle que atienda tu petición en 3 días, cubriendo los gastos de copias si aplica. En pocas palabras, si no te respondieron, se puede obligar a que lo hagan rápido.
- Art. 115Las decisiones de la Autoridad Garante Local y de las Autoridades Garantes son obligatorias, es decir, los sujetos obligados deben cumplirlas al pie de la letra sin poder objetar o impugnar de ninguna manera. Estas resoluciones son definitivas, lo que significa que no se pueden cambiar después de que se emiten, y nadie puede atacarlas legalmente. En otras palabras, si eres un sujeto obligado, te toca acatar lo que digan sin chistar. No hay vuelta atrás ni manera de pelear la decisión.
- Art. 116Las personas que tienen a su cargo el manejo de tus datos personales pueden pelear las decisiones que tome el INAI sobre su trabajo. Para hacerlo, tienen que ir ante jueces especializados en datos personales, que son parte del Poder Judicial de la Federación. El único recurso que pueden usar para impugnar se llama "juicio de amparo", que es un proceso legal para revisar si una autoridad actuó mal.
- Art. 117Las oficinas de gobierno y sus trabajadores deben seguir al pie de la letra lo que les ordenen los organismos locales que vigilan la transparencia y la protección de datos. Todas las áreas y empleados tienen la obligación de ayudar al departamento de transparencia para que se cumplan esas órdenes en el tiempo que se les dio. Si un caso es muy especial, pueden pedir una prórroga explicando bien por qué la necesitan, pero deben hacerlo dentro de los primeros 3 días del plazo que les dieron; el organismo tiene 5 días para decidir. Si les niegan la prórroga, tienen que cumplir la orden en el plazo original.
- Art. 118Una vez que pase el plazo que se menciona en el artículo anterior, la dependencia o persona a la que le pediste información debe avisarle a la autoridad local o a la autoridad garante que ya cumplió con lo que le ordenaron. Esa autoridad va a revisar por su cuenta si la información que dieron es correcta y completa, y al día siguiente de recibir el informe se lo notificará a ti, la persona que presentó la queja. A partir de ese aviso, tienes cinco días para decir si estás de acuerdo o no, y si crees que no cumplieron bien, debes explicar las razones específicas por las que piensas eso.
- Art. 119Cuando alguien presenta una queja porque no se cumplió una resolución, la autoridad encargada (como la Comisión de Derechos Humanos de tu estado) tiene máximo 5 días para revisar todas las razones que dio la persona y también lo que encontró en su investigación. Si la autoridad ve que sí se cumplió lo ordenado, da por cerrado el asunto y guarda el expediente. Pero si detecta que no se cumplió, entonces saca un documento diciendo que hubo incumplimiento. También le avisa al jefe directo de quien debía cumplir, para que en máximo 5 días lo haga. Además, decide qué castigo o medida aplicarle, como una multa o una sanción.
- Art. 120La Autoridad Garante Local y las Autoridades Garantes (que son las oficinas encargadas de vigilar el cumplimiento de esta ley) tienen la tarea de supervisar y revisar que se sigan las reglas que aquí se establecen. Cuando el personal de estas oficinas haga una revisión, debe mantener en secreto toda información privada que vea durante ese proceso. La persona o empresa responsable que esté siendo revisada no puede negarse a mostrar los documentos que le pidan, ni sus bases de datos personales, y tampoco puede usar excusas de que la información es confidencial o reservada para evitar mostrarla.
- Art. 121La verificación (que es una revisión para checar si se está cumpliendo la ley) puede empezar de cuatro maneras: 1) por iniciativa propia de la autoridad encargada de proteger datos personales, si tiene pistas serias de que alguien está violando la ley; 2) por una queja de la persona dueña de los datos, cuando cree que le hicieron algo malo; 3) por cualquier persona que sepa de posibles incumplimientos; o 4) mediante un programa anual de revisión que la autoridad prepara para vigilar que todo esté en orden. Si presentas una queja, tienes solo un año a partir de que pasaron los hechos para hacerlo; si los hechos se repiten, el plazo empieza al día hábil siguiente de la última vez que ocurrieron. La verificación no se puede hacer si ya se inició un recurso de revisión (un proceso para impugnar una decisión). Antes de empezar la verificación, la autoridad puede hacer investigaciones previas para asegurarse de que tiene razones válidas para actuar.
- Art. 122Para presentar una queja o denuncia, necesitas dar tu nombre completo (o el de quien te represente, como un abogado). También tienes que proporcionar una dirección o un medio (como un correo electrónico o teléfono) para que te avisen sobre el proceso. Debes explicar claramente qué pasó y, si tienes pruebas (como fotos, videos o testigos), mencionarlas. Además, tienes que decir quién es el responsable de lo que estás denunciando y, si sabes su domicilio o cómo localizarlo, decirlo. Por último, debes firmar la denuncia; si no sabes firmar, basta con poner tu huella digital. Puedes presentar la denuncia por escrito, en un formato especial, por internet o por otro medio que la autoridad local indique, y ellos deben darte un recibo de que la recibieron.
- Art. 123Cuando la autoridad encargada de proteger tus datos personales quiere revisar si una empresa o institución está cumpliendo la ley, primero te entrega un documento por escrito donde explica por qué va a hacer la revisión. Con ese documento, pueden pedirte papeles o información sobre el problema que detectaron, o incluso ir a tus oficinas o al lugar donde tengas guardados los datos personales para checar todo. Esta revisión no puede durar más de 50 días. Si durante la inspección ven que hay un riesgo de que los datos se dañen de forma grave o que no se pueda reparar el daño, pueden ordenar medidas temporales para detener el problema, pero sin impedir que trabajes normalmente. Esas medidas son solo para que arregles la situación siguiendo sus recomendaciones, y duran hasta que cumplas con lo que te pidieron.
- Art. 124El artículo dice que cuando una autoridad encargada de proteger tus derechos (como la de transparencia local) revisa si una empresa o persona cumplió con la ley, el proceso termina con una decisión oficial. En esa resolución, se te dirá qué acciones debe hacer el que manejó tus datos para arreglar el problema. También te van a dar un plazo específico para que cumplan con lo ordenado.
- Art. 125Si tienes a cargo datos personales, puedes pedirle voluntariamente a la autoridad de protección de datos (como el INAI o su equivalente local) que revise si tus medidas de seguridad están funcionando bien. Ellos te harán una auditoría para ver si cumples con lo que dice la ley. Al final, te entregarán un informe donde te dirán si lo que haces está correcto, qué fallas tienen tus controles y qué recomendaciones o cambios debes hacer para mejorar.
- Art. 126Las autoridades encargadas de garantizar la transparencia pueden usar dos castigos para obligar a las instituciones a cumplir sus órdenes: una llamada de atención pública (como un regaño público) o una multa de entre 150 y 1,500 veces el valor diario de la Unidad de Medida y Actualización (una cantidad fija que actualizan cada año). Si una institución no cumple, la autoridad lo publicará en su página web y lo tomará en cuenta al evaluar su desempeño. Si el incumplimiento resulta ser un delito o una falta grave que la ley ya menciona, la autoridad debe reportarlo al ministerio público. Además, ninguna institución puede pagar esas multas con dinero del gobierno, es decir, deben salir de su propio presupuesto.
- Art. 127Si alguien no obedece una orden de un juez, primero se le aplican castigos como multas. Si aún así no la cumple, el juez le avisa a su jefe directo para que en máximo cinco días lo obligue a hacer lo que debe. Si pasado ese tiempo el jefe tampoco hace nada, entonces el juez le reporta el caso a la autoridad que castiga a servidores públicos por no hacer su trabajo.
- Art. 128Las medidas de apremio son las herramientas que usan las autoridades para obligar a alguien a cumplir con una orden, como multas o uso de la fuerza pública. Este artículo dice que la autoridad encargada de proteger tus derechos (llamada Autoridad Garante Local o Autoridad Garante) puede aplicar esas medidas por su cuenta o pidiendo ayuda a otra autoridad. Todo debe hacerse siguiendo lo que digan las leyes de cada estado o del país, sin improvisar. En corto, la autoridad no puede actuar al aventón, sino que debe aferrarse a los pasos legales ya establecidos.
- Art. 129Cuando te multan por no cumplir con las leyes de transparencia o protección de datos, la autoridad que puso la multa no la cobra directamente. En la Ciudad de México, la Secretaría de Finanzas es la encargada de cobrarla, siguiendo los pasos que marca la ley. Esto significa que el proceso para pagar o impugnar la multa lo maneja esa dependencia, no la autoridad que la impuso.
- Art. 130Para decidir qué tan fuerte debe ser un castigo por no obedecer una orden, las autoridades deben tomar en cuenta tres cosas: primero, qué tan grave fue la falta, viendo el daño que causó, si fue a propósito, cuánto tiempo duró la desobediencia y cómo afectó su trabajo; segundo, la situación económica de quien cometió la falta; y tercero, si ya lo había hecho antes. Además, las autoridades van a crear reglas generales para que sus áreas internas puedan medir la gravedad de la falta y encargarse de notificar y aplicar esos castigos.
- Art. 131Si vuelves a cometer la misma falta después de que ya te hayan multado una vez, las autoridades pueden castigarte con el doble de la multa que te pusieron la primera vez. Eso se llama reincidencia: significa que te repites en la misma infracción, como cuando te multan dos veces por no cumplir con lo mismo. Así que, si ya te sancionaron por algo, cuidado con hacerlo otra vez porque el castigo puede ser más caro.
- Art. 132Si te imponen una medida de apremio (una sanción o castigo por no cumplir con una orden de la autoridad), esa medida se debe aplicar en un plazo máximo de 15 días. El conteo empieza desde el momento en que te notifican oficialmente que tienes esa medida. O sea, no pueden tardarse más de dos semanas en hacerla efectiva después de avisarte.
- Art. 133La amonestación pública es como un regaño oficial que hace la autoridad encargada de proteger tus datos (llamada Autoridad Garante) y lo lleva a cabo el jefe directo de la persona que cometió la falta. En lugar de una multa, el superior le dice a esa persona en público que está mal su comportamiento. Es un aviso para que no vuelva a hacer lo mismo, pero sin ponerle una sanción económica.
- Art. 134Si te multan por no proteger datos personales, la autoridad te puede pedir información sobre tu situación económica para saber cuánto pagar. Si no entregas esos datos, ellos calculan la multa con lo que encuentren en registros públicos, internet o cualquier lugar que muestre tu nivel de ingresos. También pueden pedir documentos a otras oficinas de gobierno para hacer ese cálculo. Esto aplica tanto para autoridades locales como las de todo el país. En pocas palabras, si no cooperas, la multa se basa en lo que ellos investiguen.
- Art. 135Si un juez te impone una multa o una orden de arresto porque no cumpliste con algo que te ordenó, puedes quejarte ante el Poder Judicial de la Ciudad de México. Eso significa que tienes derecho a pedir que un tribunal revise si la medida que te aplicaron fue correcta o no. El "recurso" es simplemente el derecho a inconformarte de manera formal. No te pueden sancionar sin darte oportunidad de defenderte.
- Art. 136El artículo 136 dice que te pueden castigar si no cumples con la ley de protección de datos personales. Por ejemplo, te pueden sancionar si actúas con flojera, a propósito o de mala fe al atender solicitudes de derechos ARCOP (que son los derechos para acceder, rectificar, cancelar u oponerte al uso de tus datos). También si no respondes a tiempo, usas los datos de alguien sin permiso, los compartes mal, o no pones medidas de seguridad para evitar que se filtren. Las faltas más graves son cuando haces algo a propósito, como no pedir consentimiento, obstruir a la autoridad o crear bases de datos sin razón legal, y si reincides te pueden aplicar multas que no se pueden pagar con dinero público. La autoridad encargada será quien imponga y cobre la sanción.
- Art. 137Si una autoridad te sanciona por algo que hiciste mal en el trabajo o en un trámite, esa sanción no quita que también puedas tener problemas en otros lados. Por ejemplo, aunque ya te hayan castigado en la oficina, igual te pueden demandar por daños o incluso ir a la cárcel si lo que hiciste es delito. Cada asunto se revisa por separado y no porque ya te hayan multado en lo administrativo te libres de lo demás. En corto, pagar una multa no borra otras consecuencias legales.
- Art. 138Si alguien que trabaja en el gobierno es sospechoso de no cumplir con esta ley, las autoridades encargadas de vigilarla pueden avisar a otra autoridad o iniciar un proceso para ver si cometió una falta en su trabajo. Esa autoridad que investiga tiene que informarles cómo terminó el proceso y si se aplicó algún castigo. Para empezar este proceso, las autoridades deben hacer un documento donde expliquen claramente qué hizo o dejó de hacer esa persona del gobierno que afectó la aplicación de la ley y podría ser una falta. También deben armar un expediente con todas las pruebas que muestren que sí hay una posible responsabilidad, y demostrar que esas pruebas tienen una relación directa con lo que pasó.
- Art. 139Este artículo dice que, para aplicar multas o sanciones, se van a seguir las reglas que ya están escritas en la Ley General y en la Ley de Procedimiento Administrativo de la Ciudad de México. Básicamente, no se crea un nuevo proceso, sino que se usa el que ya existe en esas leyes. Luego vienen los artículos transitorios, que son como instrucciones para poner en marcha esta nueva ley. Por ejemplo, el Tercero dice que la ley empieza a aplicarse al día siguiente de publicarse en la Gaceta Oficial, excepto por el punto Quinto. El Cuarto aclara que, al entrar en vigor, se elimina la ley anterior de protección de datos personales que estaba vigente desde 2018. El Quinto indica que las nuevas reglas para un organismo llamado "Órgano Desconcentrado" comenzarán hasta que ese organismo empiece a funcionar, y para entonces, el organismo antiguo dejará de existir. El Sexto explica que los gastos para aplicar esta ley se pagarán con el presupuesto que ya tienen las dependencias, sin pedir dinero extra. El Séptimo asegura que los servicios de protección de datos personales no se pueden detener, y las autoridades deben garantizar que sigan funcionando. El Octavo dice que los casos que ya estaban en proceso en el Instituto de Transparencia se pasarán a la Secretaría de la Contraloría cuando su nuevo organismo empiece a operar. Finalmente, el Noveno deroga cualquier regla que vaya contra este decreto, y las firmas al final lo oficializan desde el 31 de mayo de 2026.