LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DE LA CIUDAD DE MÉXICO
Artículos explicados en lenguaje simple
- Art. 1Esta ley aplica para toda la Ciudad de México y nadie puede evitarla. Su objetivo es proteger tus datos personales cuando están en manos del gobierno o de ciertas instituciones. Te da derecho a saber qué información tienen sobre ti, corregirla, cancelarla o pedir que dejen de usarla. Las autoridades, partidos políticos y organismos públicos están obligados a cumplirla. Un Instituto especializado se encarga de vigilar que se respete tu privacidad.
- Art. 2Esta ley tiene seis objetivos principales. Primero, pone reglas claras para que los datos personales de la gente sean tratados de manera legal y para que puedas ejercer tus derechos de Acceso, Rectificación, Cancelación y Oposición (conocidos como ARCO) de forma sencilla y rápida. Segundo y tercero, asegura que las dependencias del gobierno de la Ciudad de México manejen tu información personal solo cuando sea legal y mientras hagan su trabajo. Cuarto, garantiza que puedas ejercer esos derechos ARCO sin complicaciones y con prontitud. Quinto, busca promover una cultura en la que se valore la protección de datos. Sexto, establece sanciones para quien no cumpla con lo que dice esta ley.
- Art. 3El artículo 3 solo define términos clave de la ley. Por "Áreas" se refiere a las oficinas o departamentos de las instituciones que manejan tus datos. El "Aviso de privacidad" es un documento que te deben dar antes de pedir tu información, para explicarte para qué la usarán y qué derechos tienes sobre ella. Las "Bases de datos" son simplemente archivos ordenados con información de personas, sin importar si están en papel o en computadora. Por último, el "Bloqueo" significa que cuando ya no necesiten tus datos para el propósito original, los guardan sin usarlos por si surge algún problema legal, y después los borran definitivamente.
- Art. 4Esta ley aplica a toda información sobre ti que esté guardada, ya sea en papel, en una computadora, en un teléfono o en cualquier otro lugar. No importa cómo se haya creado esa información, en qué tipo de archivo esté o cómo esté organizada. Mientras sean tus datos personales, esta ley los protege sin importar si están escritos o son electrónicos.
- Art. 5Este artículo dice que son "fuentes de acceso público" los archivos o bases de datos del gobierno que cualquier persona puede consultar, siempre y cuando la ley lo permita. Lo único que te pueden pedir para acceder a esa información es pagar una cuota o tarifa, pero no pueden ponerte más condiciones. También aclara que no cuenta como fuente de acceso público si la información se obtuvo de forma ilegal o si no se siguió lo que marca esta ley. En pocas palabras, puedes consultar datos del gobierno si la ley lo autoriza, pagando solo lo que te pidan, pero siempre que esa información haya sido obtenida legalmente.
- Art. 6El Gobierno de la Ciudad tiene la obligación de cuidar tu información personal (como tu nombre, dirección o datos bancarios) y evitar que se use de manera incorrecta. También debe asegurarse de que otras personas o empresas no hagan nada que pueda dañar tu privacidad sin una razón válida. En pocas palabras, tanto el gobierno como los particulares tienen que respetar tus datos y no usarlos a lo loco. Si alguien los usa mal, el gobierno está obligado a intervenir para protegerte.
- Art. 7Este artículo dice que para entender y aplicar esta ley, los jueces y autoridades deben guiarse por la Constitución de México, los tratados internacionales firmados por México y la Constitución de la Ciudad de México. También deben tomar en cuenta la Ley General de Protección de Datos Personales y las decisiones importantes de organismos nacionales e internacionales. En cualquier caso, la prioridad siempre será proteger tus datos personales y darte la mayor protección posible como persona.
- Art. 8Si esta ley no dice cómo resolver un caso, se usan otras leyes como apoyo: la Ley de Transparencia de la CDMX, la Ley de Procedimiento Administrativo local, el Código de Procedimientos Civiles local, y cualquier otra regla que aplique. Es como cuando no encuentras una instrucción en un instructivo y buscas en otro manual similar. Esto sirve para que siempre haya una forma clara de actuar.
- Art. 9El artículo 9 explica las reglas básicas que debe seguir quien maneje tus datos personales. Por ejemplo, los datos que te pidan deben ser ciertos, necesarios y no exagerados para lo que se necesitan. Además, esa persona o empresa debe mantener tus datos en secreto y solo tú puedes decidir compartirlos. También debe pedirte permiso antes de usarlos, decirte para qué los va a ocupar y cuánto tiempo los tendrá. Al final, cuando ya no los necesite, debe borrarlos o destruirlos.
- Art. 10Cualquier empresa o persona que use tus datos (como tu nombre, dirección o teléfono) solo puede hacerlo por razones específicas, claras y legales, y siempre dentro de lo que le permita la ley. Si quieren usar tu información para algo diferente a lo que originalmente acordaron, necesitan pedirte permiso por escrito de manera clara y antes de hacerlo. La única excepción es cuando una persona está reportada como desaparecida, porque entonces sí pueden usar sus datos sin tu consentimiento, pero siguiendo las reglas de esta ley. En pocas palabras: nadie puede usar tus datos para cualquier cosa que se les ocurra, a menos que tú digas que sí o sea un caso de emergencia por desaparición.
- Art. 11Quien maneje tus datos personales (como tu nombre, dirección o teléfono) no puede obtenerlos o usarlos con mentiras o trucos. Esto significa que no pueden engañarte para que des tu información o usarla a escondidas. La ley dice que lo más importante es proteger tus intereses y tu derecho a que cuiden tu información como es debido. En pocas palabras, tienen que ser honestos y transparentes contigo.
- Art. 12Para que alguien pueda usar tus datos personales, primero tiene que pedirte permiso y tú tienes que darlo de manera **libre** (sin que te engañen, amenacen o presionen), **específica** (solo para algo concreto y legal que te hayan explicado), **informada** (que sepas bien qué van a hacer con tus datos gracias al aviso de privacidad) e **inequívoca** (que digas "sí" de forma clara, con una acción, como firmar o hacer clic). El simple hecho de que te quedes callado o no hagas nada NO cuenta como consentimiento. Además, si después te arrepientes, puedes cancelar tu permiso en cualquier momento, y desde ese instante ya no pueden usar tus datos, pero lo que ya hicieron antes no se echa para atrás.
- Art. 13Cuando se trata de los datos personales de un menor de edad (niños, niñas o adolescentes), siempre se necesita el permiso de su papá, su mamá o de quien tenga la custodia legal (tutor). Además, al manejar esa información, lo más importante debe ser proteger el bienestar del menor. En el caso de personas que un juez haya declarado que no pueden valerse por sí mismas (como alguien con una discapacidad mental severa), se debe pedir el consentimiento siguiendo las reglas de quién puede representarlas legalmente, según lo que diga el Código Civil.
- Art. 14Básicamente, este artículo dice que nadie puede usar ni compartir tus datos personales más delicados (como tu salud, religión o preferencias sexuales) a menos que tú les des permiso. Ese permiso debe ser por escrito, con tu firma de puño y letra o con una firma electrónica, para que quede bien claro que aceptaste. También hay algunas excepciones en la ley donde sí pueden usar esos datos sin tu permiso, pero solo en casos muy específicos.
- Art. 15Este artículo solo dice que se elimina o deja sin efecto la ley o el artículo que se menciona antes. Cuando una ley se deroga, ya no es válida ni se puede aplicar. Es como si nunca hubiera existido para efectos legales.
- Art. 16La regla general es que sí necesitan pedir tu permiso para usar tus datos, pero este artículo dice cuándo no lo necesitan. Por ejemplo, no te piden permiso si una ley ya los obliga a pedir tus datos, si hay una orden de un juez, o si es una emergencia que pueda dañarte a ti o a tus cosas. Tampoco necesitan tu consentimiento si los datos son para tu atención médica (como un diagnóstico), si están en un registro público, o si tú apareces como persona desaparecida según la ley. Si los datos se usan solo para estadísticas o investigación histórica, tampoco te tienen que pedir permiso.
- Art. 17La persona o empresa que tenga tus datos debe asegurarse de que siempre estén correctos, completos y actualizados. Cuando tus datos ya no sean necesarios para el propósito para el que los dieron (como una compra o un servicio), deben eliminarlos, pero antes pueden ponerlos en “bloqueo” por un tiempo (para cumplir con requerimientos legales o administrativos). No pueden guardarlos más tiempo del necesario, aunque sí pueden conservarlos si lo exigen leyes fiscales, contables o históricas. Si los usan después, solo pueden hacerlo para procesos como borrar información personal o reducirla al mínimo.
- Art. 18Tienes que crear y guardar por escrito las reglas sobre cómo vas a guardar, y en su caso, bloquear o borrar los datos personales que manejas. Esas reglas deben incluir todo el tiempo que los datos van a estar en tu poder, desde que los obtienes hasta que los borras, siempre según el motivo por el que los pediste. También debes incluir maneras de asegurarte de que borras los datos cuando toca y de revisar de vez en cuando si todavía los necesitas o ya puedes eliminarlos.
- Art. 19Quien tenga tus datos personales solo puede usarlos si son realmente necesarios para el propósito que te explicó cuando los pidió. No puede pedirte o guardar información de más, solo lo justo para lo que acordaron. Por ejemplo, si te piden tu nombre para un servicio, no tienen por qué pedirte también tu dirección si no la ocupan.
- Art. 20Antes de que una empresa o persona (el "responsable") obtenga tus datos personales, está obligada a informarte, mediante un aviso de privacidad, para qué los va a usar y cómo los va a manejar. Ese aviso debe darte la información desde el principio, antes de que te pidan tus datos, y deben ponerlo a tu alcance tanto en internet como en papel o en sus oficinas. Además, el aviso tiene que estar escrito en un lenguaje claro y sencillo, para que cualquier persona lo entienda sin problemas. Si es imposible o muy difícil entregarte ese aviso directamente, pueden usar otros medios, como anuncios o comunicados masivos, para cumplir con informarte.
- Art. 21La ley dice que cuando te pidan tus datos personales, deben darte un aviso de privacidad en dos versiones: una corta (simplificada) y una larga (integral). En la versión corta tienen que decirte quién es el responsable de tus datos, para qué los van a usar (señalando qué usos necesitan tu permiso), a quién se los van a compartir y por qué, cómo puedes decir que no estás de acuerdo, y dónde consultar la versión completa. Además, aunque te den el aviso corto, ellos deben asegurarse de que puedas conocer todo el aviso largo. Y antes de que usen tus datos para algo que requiere tu permiso, deben darte la oportunidad de decir que no.
- Art. 21 BISEl responsable (la persona o empresa que usa tus datos) debe darte un aviso de privacidad simplificado, que es un resumen fácil de entender sobre cómo usará tu información. Esto debe pasar en dos momentos: primero, antes de pedirte tus datos personales directamente. Segundo, antes de usar tus datos si ya los tiene. Aunque te den este resumen, después tienen que darte el aviso de privacidad completo, como marca la ley.
- Art. 21 TerEl aviso de privacidad integral debe decirte quién es el responsable de usar tus datos, los datos que van a recoger (sobre todo si son sensibles, como tu salud o religión), y por qué ley puede hacerlo. También tiene que explicarte para qué usarán tu información y cuándo necesitan tu permiso. Además, te debe informar cómo y dónde puedes ejercer tus derechos ARCO (acceder, rectificar, cancelar u oponerte al uso de tus datos). Por último, debe decirte las oficinas a las que puedes ir y cómo te avisarán si cambian el aviso.
- Art. 22Quien tenga tus datos personales (el "responsable") está obligado a demostrar que cumple con todas las reglas de protección de datos que marca esta ley. Tiene que rendir cuentas, es decir, explicar y justificar cómo usa tu información y cómo cuida sus sistemas, tanto a ti como al Instituto Nacional de Transparencia (INAI). Para hacerlo, debe basarse en lo que dice la Constitución y los tratados internacionales que México haya firmado, y si no hay una regla mexicana que lo impida, puede usar estándares o buenas prácticas de otros países o del mundo para cumplir con su obligación.
- Art. 23Las empresas u organismos que manejen tus datos personales tienen obligaciones claras. Deben destinar presupuesto para proteger tu información, crear políticas internas de seguridad y capacitar a su personal en estos temas. También tienen que revisar periódicamente sus medidas de seguridad, hacer auditorías para verificar que cumplen y garantizar que puedas ejercer tus derechos de acceso, corrección, cancelación u oposición al uso de tus datos. Además, cuando desarrollen sistemas o aplicaciones que usen datos personales, deben diseñarlos desde el principio con protección de privacidad. Están obligados a registrar ante el INAI (Instituto Nacional de Transparencia) todos los sistemas de datos que manejen, y reportar cada año en enero un informe de cumplimiento. Por último, deben informarte antes de pedir tus datos para qué los usarán y aplicar medidas de seguridad, como candados digitales o controles de acceso.
- Art. 24No importa cómo guardes o uses los datos personales de alguien, tú como responsable tienes que poner medidas para protegerlos. Estas medidas pueden ser administrativas, como reglas o procedimientos; físicas, como candados o puertas seguras; y técnicas, como contraseñas o sistemas de seguridad. Todo esto es para evitar que los datos se dañen, pierdan, cambien, borren o alguien los use sin permiso. Lo que se busca es que la información esté siempre en secreto (confidencialidad), que no se modifique por error o a propósito (integridad), y que esté disponible cuando se necesite. En pocas palabras, debes cuidar esos datos como si fueran de tu propiedad privada.
- Art. 25Imagina que la ley pide a las empresas o entidades que cuiden tus datos personales como si fueran un tesoro, y para eso deben analizar varios puntos: qué tan riesgoso es manejar esa información, qué tan delicada es (como tu salud o tu religión), qué tecnología usan para protegerla, qué pasaría si se filtran tus datos, y cuántas personas podrían verse afectadas. También deben considerar si han tenido fugas de información antes o si alguien no autorizado pudiera sacarle provecho a tus datos. Además, la ley divide la seguridad en tres niveles: el **básico** son medidas obligatorias para cualquier dato; el **medio** aplica a datos más sensibles, como tus deudas, antecedentes penales o perfiles de personalidad; y el **alto** es para datos muy íntimos, como tu religión, orientación sexual, salud o huellas digitales. Por último, la empresa solo tiene que avisarle al Instituto (el INAI) qué nivel de seguridad usa, sin dar todos los detalles.
- Art. 26Para proteger los datos que tienen de ti, las empresas deben hacer varias cosas. Primero, crear reglas internas sobre cómo usan y borran tu información, según el caso. También tienen que definir quién hace qué con tus datos y hacer una lista de toda la información que guardan. Además, deben analizar los riesgos (como fallas en su equipo o errores de su personal) y checar qué medidas de seguridad les faltan. Por último, tienen que armar un plan para corregir lo que falte, revisar seguido que todo funcione y capacitar a su equipo según lo que cada quien haga con tus datos.
- Art. 27El documento de seguridad es como el manual donde se guardan todas las reglas y pasos que una empresa o institución sigue para proteger tus datos personales. Todo lo que hagan para cuidar tu información, como poner candados digitales o restringir quién puede verla, debe estar escrito y ordenado ahí. Este documento sirve para que se sepa exactamente qué medidas tomaron, cómo y cuándo, y así evitar que alguien use tus datos sin permiso. Piensa en él como un cuaderno de bitácora obligatorio para quienes manejan información privada.
- Art. 28El responsable de proteger tus datos personales debe hacer un documento de seguridad con varios puntos importantes. Primero, necesita un listado de todos los datos que tiene guardados en sus sistemas. También debe describir qué hace cada persona que maneja esa información, como empleados o proveedores. Además, tiene que llevar un registro de cualquier problema o incidente que ocurra, cómo controlan quién entra a los datos, y cómo hacen copias de respaldo por si algo falla. Por último, debe incluir un análisis de los riesgos, un plan de trabajo para mejorar la seguridad, y un programa para capacitar a su personal.
- Art. 29El artículo 29 dice que la persona o empresa que maneja tus datos personales tiene que actualizar su plan de seguridad cuando pase algo que cambie cómo te cuida. Por ejemplo, si modifican la forma en que usan tu información y eso hace que aumente el riesgo de que la pierdan o la roben. También tienen que actualizarlo si, al revisar sus sistemas, ven que pueden mejorar, o si después de un ataque o fuga de datos aplican medidas para que no vuelva a pasar. Igual si el Instituto Nacional de Transparencia (INAI) se los pide, deben hacerlo sin falta.
- Art. 30Si alguien se mete a la información personal que tienes guardada, la empresa o persona encargada de cuidar tus datos tiene que investigar por qué pasó. Después, debe hacer cambios en su forma de trabajar para que no vuelva a ocurrir. Esto incluye poner medidas de seguridad más fuertes o cambiar cómo maneja tus datos. Todo es para protegerte y evitar que el problema se repita.
- Art. 31Este artículo dice que hay cuatro cosas principales que cuentan como violaciones de seguridad cuando se manejan tus datos personales. La primera es que pierdan o destruyan tu información sin tener permiso. La segunda, que te roben, pierdan o copien tus datos sin autorización. La tercera, que alguien use, acceda o procese tu información sin derecho a hacerlo. Y la cuarta, que dañen, cambien o modifiquen tus datos sin que esté permitido.
- Art. 32La persona o empresa que maneja tus datos personales tiene que llevar un registro detallado de cualquier accidente o filtración de seguridad que ponga en riesgo tu información. Ahí debe anotar qué pasó, en qué fecha ocurrió, por qué sucedió y qué medidas tomó para arreglarlo por completo. Es como si hicieran una bitácora diaria de lo que salió mal y cómo lo resolvieron, para que quede todo por escrito.
- Art. 33Si una empresa pierde o expone tus datos personales por error, debe avisarte a ti y al Instituto Nacional de Transparencia (INA) en cuanto se dé cuenta. También tiene que revisar a fondo qué tan grave fue el problema, para que tú puedas protegerte, como cambiar contraseñas. El Instituto checará si la empresa está haciendo lo correcto para arreglarlo y evitar que vuelva a pasar, y puede darle consejos para cuidar mejor tu información.
- Art. 34Si ocurre un problema con tus datos personales, la empresa debe avisarte y decirte al menos esto: qué pasó, qué información tuya se vio afectada, qué puedes hacer para protegerte, qué medidas tomaron de inmediato para arreglarlo y dónde puedes pedir más detalles. Todo esto no quita que el Instituto pueda investigar lo que hicieron y darles recomendaciones que deben cumplir en un plazo fijado.
- Art. 35El responsable (la persona o empresa que maneja tus datos) tiene que poner reglas o medidas para que todos los que trabajen con tu información personal la mantengan en secreto. Esto aplica a cualquiera que vea, use o guarde tus datos, incluso si ya no trabajan con esa empresa. La obligación de no divulgar tu información continúa aunque su relación laboral termine.
- Art. 36El jefe de una oficina del gobierno o empresa (el "responsable del tratamiento") decide si se crea, cambia o elimina un sistema donde se guardan tus datos personales. Eso lo hace según lo que le toca hacer en su trabajo. Estos sistemas sirven para que el manejo de tu información sea transparente, con responsabilidad y dentro de la ley.
- Art. 37Cada oficina del gobierno de la Ciudad de México debe avisar cuando cree, cambie o elimine un sistema que guarda datos personales. Este aviso se publicará en la Gaceta Oficial e incluirá ligas de internet donde la gente pueda ver los acuerdos detallados. Además, esos acuerdos y los sistemas deben enviarse al Instituto tanto en papel con firma original como en versión digital para que los resguarden y publiquen en un registro electrónico. Cuando se creen o modifiquen estos sistemas, se tiene que explicar para qué se usarán los datos, quiénes serán las personas afectadas, qué tipo de información se guardará, quién es el responsable del sistema y a qué áreas puede acudir la gente para ejercer sus derechos, como pedir que corrijan o borren sus datos. También deben decir el nivel de seguridad que tendrá la información. Si se elimina un sistema, hay que planear cómo se borrarán los datos, tomando en cuenta el tiempo que deben conservarse, para qué sirvieron y qué pasará con ellos. Sin embargo, algunos datos pueden no destruirse si se usan para fines estadísticos, históricos o científicos, siempre que ya no tengan relación con alguna persona en específico.
- Art. 38El Instituto va a crear un registro especial donde todas las dependencias públicas deberán anotar cada sistema que tenga datos personales bajo su cuidado. En ese registro tienen que poner, por lo menos: quién es el encargado (nombre y puesto), para qué se usan esos datos, qué tipo de datos son (como nombre, domicilio, etc.), cómo los obtuvieron, si los comparten con otros, cómo se relacionan los datos entre sí, cuánto tiempo los guardan y qué medidas de seguridad usan para protegerlos.
- Art. 39Está prohibido crear bases de datos solo para guardar información personal delicada, como tu origen étnico, tus ideas políticas, tu religión o tu preferencia sexual. Solo se pueden usar estos datos si hay una ley que lo ordene, si tú das permiso de forma clara y sin engaños, o para estadísticas o historia. En esos casos, deben quitar tu nombre y datos que te identifiquen. Para estudios científicos o de salud pública, no es necesario quitar tu identidad.
- Art. 40Cuando dependencias del gobierno, policías, fiscalías o juzgados crean archivos con tu información personal para hacer su trabajo, tienen que proteger esos datos siguiendo las reglas de esta ley. Eso significa que no pueden usar tu información como se les antoje, sino que deben cuidarla y respetar tu privacidad. Además, como dueño de esos datos, tú tienes derecho a pedirles ver qué información tienen tuya, que la corrijan si está mal, que la borren o que dejen de usarla si no estás de acuerdo.
- Art. 41Con este artículo, tú puedes decidir qué pasa con tus datos personales que están en manos del gobierno o empresas. Tienes cuatro derechos separados: pedir verlos (Acceso), corregirlos si están mal (Rectificación), borrarlos (Cancelación) o negarte a que los usen (Oposición). Lo importante es que cada uno funciona por su cuenta; no necesitas pedir uno antes de pedir otro, ni que usar uno te quite el derecho de usar los demás. Así que si, por ejemplo, pides ver tus datos y están mal, puedes luego exigir que los corrijan sin problema.
- Art. 42El Artículo 42 dice que tú o alguien que tú autorices (como un abogado o familiar) puedes pedir y ver toda la información sobre cómo se usan tus datos personales. Esto incluye desde cómo los guardan, para qué los ocupan, si los comparten con otros, hasta cómo los eliminan. En pocas palabras, tienes derecho a saber todo lo que hagan con tu información personal, sin que te quiten detalles.
- Art. 43Tienes derecho a pedir, tú mismo o con ayuda de alguien, que corrijan tus datos personales si están mal, incompletos, tienen errores o no están actualizados. Pero si esos datos vienen de un trámite administrativo o de un juicio, se consideran correctos siempre y cuando coincidan con lo que dice ese trámite o juicio. O sea, no puedes pedir que cambien información oficial si ya está bien asentada en algún procedimiento legal.
- Art. 44Tienes derecho a pedirle a la empresa o institución que tiene tus datos personales que los borre de todos sus archivos y sistemas. Esto significa que ya no podrán tener tu información ni usarla para nada. Para ejercer este derecho, solo necesitas hacer una solicitud formal.
- Art. 45Este artículo te da derecho a decir "ya no quiero que uses mis datos" o "deja de procesarlos" en dos casos: primero, aunque sea legal que usen tu información, puedes pedir que paren si te está causando algún daño o perjuicio. Segundo, si tus datos los está procesando una computadora o sistema automático (sin que una persona intervenga) y eso te está generando consecuencias legales que no querías, o está afectando tus intereses, derechos o libertades, como por ejemplo evaluar tu rendimiento en el trabajo, tu situación económica, tu salud, preferencias sexuales o comportamiento. En pocas palabras, puedes oponerte cuando el uso automático de tus datos te perjudique de manera importante.
- Art. 46Cuando pidas a una autoridad u organismo público que te dé tu información personal, la corrija, la borre o dejes de usarla (derechos ARCO), ellos tienen que seguir un proceso ya establecido por la ley para atender tu solicitud. Ese proceso está detallado en este capítulo de la ley y en otras reglas relacionadas. En corto, no pueden inventar su propio procedimiento; deben cumplir con lo que ya está escrito.
- Art. 47Para ejercer tus derechos ARCO (que son Acceder, Rectificar, Cancelar u Oponerte al uso de tus datos personales), tienes que demostrar quién eres mostrando una identificación oficial. Si alguien más lo hace por ti, debe presentar una carta poder firmada ante dos testigos, con copias de sus identificaciones. Solo en casos especiales, como una orden de un juez o una ley que lo permita, otra persona puede hacerlo sin ser tu representante. Si eres menor de edad, lo hacen tus papás o tutores; y si alguien ha fallecido, sus herederos o albaceas pueden ejercer estos derechos siempre que acrediten tener interés legal.
- Art. 48Ejercer tus derechos ARCO (que son pedir acceso, rectificar, cancelar u oponerte al uso de tus datos personales) es totalmente gratis. Solo te pueden cobrar si pides copias, certificaciones o que te envíen la información, pero ese cobro debe ser solo para recuperar los costos reales. Si tú llevas tu propio USB, disco o cualquier medio para que te pasen tus datos, no te pueden cobrar nada por ello. Tampoco te pueden cobrar si la información que te dan son hasta 60 hojas simples; y si tienes problemas económicos, la unidad de transparencia puede exonerarte del pago. Además, la empresa o institución no puede obligarte a usar un servicio o medio que te cueste dinero solo para presentar tu solicitud.
- Art. 49Las empresas o instituciones (sujetos obligados) deben tener un proceso fácil y rápido para que tú puedas ejercer tus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición a tus datos personales). Cuando pidas ejercer alguno de estos derechos, te tienen que responder en máximo 15 días hábiles desde que recibieron tu solicitud. Solo en casos especiales y con una razón bien justificada, pueden tardar otros 15 días más, pero deben avisarte antes de que se cumpla el primer plazo. Si tu solicitud es aceptada, tienen que cumplirla en máximo 10 días hábiles después de notificarte su respuesta.
- Art. 50Artículo 50. Cuando quieras pedir acceso, rectificación, cancelación u oposición (los derechos ARCO) sobre tus datos personales, la única información que te pueden exigir es: tu nombre y cómo contactarte (domicilio, correo, etc.), una identificación tuya o de tu representante si alguien más hace el trámite, el área que maneja tus datos (si sabes cuál es), una descripción clara de los datos que quieres cambiar o ver, qué derecho ARCO estás pidiendo, y cualquier otro dato que ayude a localizar tu información. Si estás pidiendo acceso a tus datos, debes decir cómo quieres recibirlos (por ejemplo, copia simple, correo electrónico). La empresa debe darlos en ese formato, pero si no puede por alguna razón legal o física, te ofrecerá otras opciones explicando por qué. Para rectificar (corregir) tus datos, solo aplica si la información es falsa, incompleta, inapropiada o excesiva, siempre y cuando no sea imposible o demasiado complicado hacerlo. Para cancelar tus datos, debes explicar por qué quieres que los borren de sus archivos o bases de datos. Para oponerte a que usen tus datos, tienes que decir la razón específica por la que no quieres que los traten, el daño que te causaría que sigan usándolos, o para qué fines en particular te opones. Todas estas solicitudes se presentan en la Unidad de Transparencia de la empresa, ya sea por escrito, en formularios, por internet o cualquier otro medio que el Instituto establezca. La empresa debe recibir tu solicitud y darte un acuse de recibo. El Instituto puede crear formatos y sistemas fáciles
- Art. 51Cuando una persona pide ejercer sus derechos ARCO (Acceder, Rectificar, Cancelar u Oponerse al uso de sus datos personales), la institución que recibe la solicitud tiene tres días para avisarle si no es la adecuada para atenderla. En ese aviso debe explicar por qué no puede ayudarle y, de ser posible, decirle a qué otra institución debe acudir. Si la institución dice que no tiene tus datos en ningún archivo o sistema, esa respuesta debe ser aprobada por su Comité de Transparencia (un grupo interno que revisa estos casos). Así se asegura que realmente no existe la información. Por último, si la institución se da cuenta de que lo que pediste no es un derecho ARCO, sino otra cosa (como queja o trámite distinto), debe orientarte para que lo canalices correctamente.
- Art. 52Cuando pidas ejercer tus derechos ARCO (acceder, rectificar, cancelar u oponerte al uso de tus datos personales), la empresa o institución debe avisarte, en máximo 5 días después de tu solicitud, si existe un trámite especial para hacerlo. Ese aviso es para que tú decidas si usas ese trámite especial o el procedimiento normal que ellos ya tienen. Así, tú eliges cómo quieres manejar tu solicitud.
- Art. 53Si el Instituto Nacional de Transparencia (INA) te da una respuesta a tu solicitud de derechos ARCO y no estás de acuerdo con ella, puedes pedirle al mismo Instituto que revise su decisión. Eso se llama "recurso de revisión". Básicamente, es como una queja formal para que analicen otra vez tu caso. Solo aplica si eres la persona que hizo la solicitud, no cualquier otro.
- Art. 54Si una empresa guarda tus datos personales en un archivo digital ordenado y fácil de usar, puedes pedirle que te dé una copia de esa información en un formato que puedas seguir ocupando, como un Excel o un PDF. Si además tú mismo le diste tus datos y la empresa los usa porque aceptaste o porque firmaste un contrato, tienes derecho a pasarlos a otro sistema (como otra aplicación o servicio) sin que la empresa te ponga trabas. Eso significa que puedes llevarte tus datos a donde quieras, siempre que estén en un formato digital común y que el sistema los maneje de forma automática.
- Art. 55Si alguien más maneja tus datos personales por encargo de una dependencia (como el gobierno), esa persona solo puede usarlos para lo que le pidieron, nada más. No puede cambiarlo ni decidir por su cuenta cómo ocuparlos. Solo hace lo que le dijeron y hasta donde le indicaron.
- Art. 56Cuando una persona o empresa (el responsable) contrata a otra (el encargado) para que maneje datos personales, deben firmar un contrato o algún otro documento legal donde quede claro qué va a hacer el encargado con esos datos. En ese contrato, el encargado debe aceptar solo usar los datos como el responsable le indique, no usarlos para otros fines, protegerlos con medidas de seguridad y avisar si hay una filtración o pérdida de datos. También tiene que mantener la información en secreto y, al terminar el servicio, borrar o devolver los datos al responsable, a menos que una ley diga que los debe conservar por más tiempo. Todo lo que acuerden debe cumplir con la Ley de Protección de Datos.
- Art. 57Si una empresa o persona que maneja tus datos personales contrata servicios externos, como almacenamiento en la nube o aplicaciones, el proveedor de esos servicios también tiene la obligación de proteger tus datos siguiendo las mismas reglas que marca la ley. Además, quien te pidió tus datos debe dejar por escrito, en un contrato o documento legal, los límites de cómo el proveedor externo puede usar o tratar esa información. En pocas palabras, no pueden lavarse las manos si contratan a alguien más; todos deben cuidar tus datos.
- Art. 58Si una empresa o persona (llamada "responsable") quiere guardar información personal de clientes en servicios de la nube, el proveedor de ese servicio debe cumplir con reglas claras para proteger esos datos. Por ejemplo, debe tener políticas de privacidad, no subcontratar sin avisar, no quedarse con la propiedad de la información, y mantenerla confidencial. Además, el proveedor debe avisar si cambia sus políticas, permitir que el responsable limite el uso de los datos, tener medidas de seguridad, borrar la información al terminar el servicio, y evitar que personas no autorizadas accedan a ella. El responsable no puede contratar servicios que no garanticen la protección de los datos según la ley.
- Art. 59Para que alguien pueda compartir tus datos personales, como tu nombre o teléfono, con otra persona o empresa (ya sea en México o en otro país), necesita pedir tu permiso primero. Esto aplica tanto si los datos se quedan aquí como si se van al extranjero. Solamente no se necesita tu permiso en los casos especiales que ya están marcados en esta misma ley.
- Art. 60Cada vez que una empresa o persona (el responsable) quiera pasar tus datos personales a otro, tiene que firmar un contrato o acuerdo por escrito que deje bien claro para qué van a usar tu información y qué obligaciones tiene cada quien. Esto aplica tanto si los datos se quedan en México como si se van al extranjero. Pero hay dos casos en los que no se necesita firmar ese papel: primero, cuando la ley ya obliga a pasar los datos entre empresas mexicanas para cumplir con algo legal. Segundo, cuando los datos se envían a otro país porque así lo pide una ley mexicana, un tratado internacional firmado por México, o una autoridad de otro país que tenga facultades similares a las de la empresa que envía los datos.
- Art. 61Cuando te pasan tus datos personales de una empresa a otra dentro de México, la empresa que los recibe tiene que cuidarlos igual que la primera. Eso significa que debe mantenerlos en secreto y solo usarlos para lo que acordaron en el aviso de privacidad que le dio la empresa que los envió. No puede usarlos para otras cosas sin tu permiso.
- Art. 62El artículo 62 dice que una empresa o persona que maneja tus datos solo puede enviarlos al extranjero si quien los recibe se compromete a cuidarlos igual que manda la ley mexicana. Esto significa que deben aplicar las mismas reglas de protección que tenemos en México. Es como pedirle a alguien que te preste un favor pero con la condición de que trate bien tus cosas. Así, tus datos personales siguen protegidos aunque se vayan a otro país.
- Art. 63Cuando alguien te da tus datos personales a otra persona o empresa, el que los entregó debe decirle al que los recibe para qué se van a usar esos datos. Esa información sobre el uso tiene que ser la misma que te dieron a ti, como dueño de los datos. Así, el nuevo encargado sabe exactamente qué puede hacer con tu información y no puede usarla para otras cosas.
- Art. 64Este artículo dice que una empresa o institución (el "responsable") puede compartir tus datos personales con otra persona o empresa sin pedirte permiso, pero solo en situaciones muy específicas. Por ejemplo, cuando una ley lo exige o cuando es necesario para investigar un delito, para defender un derecho ante una autoridad, o en casos de emergencias médicas. También aplica si la transferencia está dentro de un contrato que te beneficie, o si los datos se usan para algo muy parecido a lo que originalmente aceptaste. En resumen, solo pueden pasarlos sin tu consentimiento en casos que ya están previstos por la ley o cuando sea realmente necesario.
- Art. 65Este artículo dice que las empresas o personas que manejan tus datos personales (como tu nombre, dirección o correo) pueden crear o adoptar formas de trabajo voluntarias para proteger mejor esa información. Estas formas pueden hacerse solos o en equipo con otras empresas o grupos. El objetivo es mejorar la seguridad de tus datos, hacer más fácil que puedas acceder, corregir, cancelar u oponerte al uso de tu información (derechos ARCO), y demostrar a la autoridad (el Instituto) que están cumpliendo con las leyes de protección de datos.
- Art. 66El artículo 66 dice que si una empresa o persona quiere que el Instituto (el INAI, que vigila la protección de datos) les dé un sello de aprobación por tener buenas prácticas con los datos personales, primero deben cumplir con las reglas que el propio Instituto publique, siguiendo el Programa Nacional de Protección de Datos. Después, tienen que avisar al Instituto siguiendo esas mismas reglas para que revisen sus prácticas; si todo está bien, las validan y las anotan en un registro especial. Luego, el Instituto debe publicar cómo va a funcionar ese registro donde se apuntarán los esquemas aprobados. Finalmente, el Instituto puede anotar esos esquemas en un registro más grande que maneja el Instituto Nacional, pero siguiendo las reglas de este último.
- Art. 67Si tú o tu empresa manejan información personal de muchas personas o de forma importante (como datos de clientes), y quieren usar un nuevo sistema, app o programa, antes tienen que avisarle al Instituto y mostrarle un análisis de cómo van a cuidar esos datos. Ese análisis se llama "evaluación de impacto" y sirve para que el Instituto les dé recomendaciones profesionales sobre cómo proteger mejor la información. Todo esto es para asegurarse de que no se violen los derechos de las personas al usar tecnologías nuevas.
- Art. 68Cuando se manejan muchos datos personales de clientes, usuarios o cualquier persona, la ley pide que se haga un estudio especial llamado "manifestación de impacto". Este estudio es obligatorio si, por ejemplo, se usan muchos datos (como nombres y direcciones de miles de personas) o si se usan tecnologías nuevas o riesgosas. También aplica si los datos son "sensibles", como información de salud, religión o preferencias sexuales, o si se comparten esos datos con otras empresas. Básicamente, si el manejo de datos puede afectar la privacidad de mucha gente o generar riesgos, hay que hacer ese análisis de impacto.
- Art. 69Si una empresa, gobierno u organización va a usar o modificar un sistema, programa o política que maneje tus datos personales, primero debe hacer un estudio para ver si se respeta tu privacidad. Ese estudio tiene que entregarlo al INAI (el Instituto que cuida los datos personales) al menos 30 días antes de empezar a usar el sistema o hacerle cambios. El INAI revisará ese estudio y dará su opinión sobre si está bien o no. Así se busca evitar que tus datos terminen mal usados o expuestos.
- Art. 70El Instituto tiene 30 días, contando a partir del día siguiente de que recibió tu evaluación, para darte una respuesta por escrito sobre si está bien o mal. En ese documento, que se llama dictamen, te va a decir qué cambios o acciones puedes hacer para reducir los riesgos y problemas con tus datos personales. Básicamente, si encuentras algo que pueda poner en peligro la privacidad de la gente, el Instituto te dirá cómo solucionarlo.
- Art. 71Si la persona o institución encargada cree que poner en marcha un sistema nuevo que usa muchos datos personales, o hacer cambios urgentes, podría afectar lo que se busca lograr, entonces puede presentar la Evaluación de Impacto hasta 20 días después de haberlo puesto a funcionar. Esto aplica también en casos de emergencia o urgencia. La regla normal sería hacer la evaluación antes, pero aquí se permite hacerla después por lo delicado de la situación.
- Art. 72La policía o los jueces pueden recoger tus datos personales sin pedirte permiso, pero solo cuando sea estrictamente necesario para prevenir un delito o investigarlo. Solo pueden usar los datos que tengan relación directa con el asunto y que sean útiles para proteger a la gente o atrapar a los culpables. Además, deben guardar esos datos en sistemas especiales creados solo para eso. Si alguna autoridad revisa datos que empresas o personas tienen guardados por ley, también tiene que seguir las reglas de esta misma ley.
- Art. 73El artículo 73 dice que nadie puede espiar tus llamadas, mensajes o conversaciones privadas, ni violar tu privacidad. Solo un juez puede dar permiso para intervenir o grabar esas comunicaciones, y solo en casos específicos que la ley permite. Esto protege tu derecho a que lo que hables o escribas en privado no sea revisado sin una orden legal.
- Art. 74Los encargados de manejar bases de datos personales en temas de seguridad, administración y justicia tienen que poner candados muy fuertes para proteger esa información. Estos candados deben evitar que los datos se dañen, se pierdan, se modifiquen o los use alguien sin permiso. También tienen que asegurarse de que la información esté completa, disponible cuando se necesite y solo la vean quienes están autorizados. En resumen, deben cuidar muy bien los datos para que no les pase nada malo.
- Art. 75El Comité de Transparencia es como un equipo encargado de cuidar tu información personal. Entre sus tareas está asegurarse de que nadie use tus datos sin permiso, resolver dudas sobre tus derechos ARCO (que son los de acceder, corregir, cancelar u oponerte al uso de tus datos) y verificar que se sigan las reglas de seguridad. También debe capacitar a los empleados del gobierno para que manejen bien los datos personales. Si alguien dice que no tiene tus datos cuando sí debería tenerlos, el Comité puede decir si eso es correcto o no. Y si descubre que alguien está haciendo algo sospechoso con tu información, debe reportarlo al área de control interno para que investigue.
- Art. 76La Unidad de Transparencia es como la oficina encargada de ayudarte a proteger tus datos personales. Su trabajo incluye orientarte sobre tus derechos, gestionar solicitudes para ver, corregir o borrar tu información, y asegurarse de que solo tú o alguien que autorices reciba tus datos. También te informan cuánto cuesta sacar copias o enviar tu información, y proponen mejoras para que el proceso sea más rápido y seguro. Además, si una dependencia maneja muchos datos personales, puede nombrar a un especialista en protección de datos para que haga estas tareas, y deben buscar acuerdos con otras instituciones para atender solicitudes en lenguas indígenas o formatos accesibles.
- Art. 77El que maneje tus datos personales tiene la obligación de asegurarse de que las personas con discapacidad o en situación vulnerable puedan ejercer su privacidad en las mismas condiciones que cualquier otra persona. Esto significa que debe poner medidas para que no haya obstáculos, como que todos puedan entender cómo se van a usar sus datos o cómo pedir que los borren. Por ejemplo, si alguien tiene una discapacidad visual, tendrían que darle la información en un formato que pueda leer, como en audio o braille. La idea es que nadie quede fuera solo por su condición.
- Art. 78El Instituto de Transparencia (INFO CDMX) es la autoridad que se asegura de que se cumpla esta ley y todas las reglas que salgan de ella. También es el encargado de proteger tus datos personales y de vigilar que se usen de manera correcta y legal.
- Art. 79El Instituto tiene varias tareas importantes para proteger tus datos personales. Por ejemplo, puede recibir y resolver tu queja si una autoridad o empresa no respeta tu derecho a la información o a la privacidad. También puede pedir ayuda al Instituto Nacional cuando un caso sea muy importante, o aplicar medidas como multas para obligar a que se cumplan sus decisiones. Además, el Instituto debe promover que conozcas y uses tu derecho a la protección de datos, incluso si hablas una lengua indígena o tienes alguna discapacidad. También supervisa que las empresas y autoridades manejen correctamente tu información, publica estudios sobre el tema, y capacita a quienes manejan datos para que lo hagan bien.
- Art. 80Los jefes o encargados de cualquier dependencia tienen la obligación de trabajar con el Instituto Nacional de Transparencia para dar cursos y talleres a todos sus empleados sobre cómo cuidar los datos personales. Esto significa que deben enseñarles las reglas para proteger la información privada de la gente, y tienen que hacerlo seguido, no nada más una vez. Pueden usar pláticas, seminarios o cualquier otro método que sirva para que los trabajadores aprendan bien.
- Art. 81El Instituto debe asegurarse de que, desde la escuela primaria hasta la universidad, se enseñe qué son los datos personales, cómo protegerlos y por qué es importante respetar los de los demás. También tiene que trabajar con universidades para crear centros donde se investigue, enseñe y difunda este tema, ayudando al Instituto a hacer su labor. Además, debe promover espacios donde la gente común, las autoridades y los representantes ciudadanos puedan platicar e intercambiar ideas sobre la protección de datos.
- Art. 82Si no estás de acuerdo con la respuesta que te dio una dependencia pública sobre tus datos personales, puedes quejarte presentando un *recurso de revisión* (que es un derecho para impugnar su respuesta). Puedes hacerlo de tres maneras: directamente en el Instituto Nacional de Transparencia (INAI), por correo certificado o por internet (correo electrónico o plataforma). También puedes entregarlo en la *Unidad de Transparencia* (oficina encargada de atender estos temas) de la dependencia que te respondió. Esa Unidad de Transparencia, cuando te da su respuesta, debe explicarte que tienes derecho a presentar el recurso y cómo hacerlo. Si entregas el recurso en la Unidad de Transparencia, ellos tienen que mandarlo al INAI al día siguiente de haberlo recibido, sin excusas. Para saber si presentaste tu queja a tiempo, se toma en cuenta la fecha en que la entregaste en la Unidad de Transparencia o la enviaste por correo certificado, no la fecha en que llegue al INAI.
- Art. 83Cualquier persona puede quejarse contra una respuesta del Instituto (o si no recibió respuesta) sobre sus datos personales, ya sea por escrito libre, en los formatos oficiales o por internet. Tienes 15 días hábiles para hacerlo, contados desde que te notificaron la respuesta o desde que se venció el plazo para que te respondieran. Puedes hacer el trámite tú mismo o alguien con permiso tuyo (tu representante legal). En pocas palabras, es el derecho a impugnar decisiones sobre tu privacidad.
- Art. 84Este artículo dice que una persona (el titular) puede comprobar quién es de tres formas: con una identificación oficial (como la credencial del INE o el pasaporte), con su firma electrónica avanzada (como la e.firma) o con algún método que el Instituto autorice y publique en la Gaceta Oficial de la Ciudad de México. Si usas la firma electrónica avanzada, ya no tendrás que entregar una copia de tu identificación.
- Art. 85Si eres una persona y quieres que alguien más haga un trámite por ti, necesitas darle un permiso por escrito. Puedes hacerlo con una carta firmada ante dos testigos, donde copies sus identificaciones, o con un documento oficial ante notario, o yendo tú y tu representante en persona al Instituto. Si eres una empresa (persona moral), la persona que te represente debe llevar un documento hecho ante notario público, que es más formal.
- Art. 86El artículo 86 dice que cuando alguien fallece, sus familiares o personas cercanas pueden pedir revisar los datos personales que dejó el difunto. Esto lo puede hacer quien demuestre tener un interés legal (por ejemplo, un heredero), el albacea (la persona encargada de cumplir la voluntad del fallecido en su testamento), o si un juez lo ordena. Para que te acepten el trámite, necesitas comprobar tu derecho con documentos oficiales según la ley. En pocas palabras, no cualquiera puede acceder a esa información, solo quienes tengan una razón válida y legal.
- Art. 87Cuando el Instituto hace una notificación en un proceso de revisión, esa notificación empieza a contar desde el día siguiente al que se entrega. Hay varias formas de hacerlas: personalmente para cosas importantes como la primera notificación, cuando te piden que hagas algo o la resolución final del asunto. También pueden llegar por correo certificado (con acuse de recibo) o por medios digitales autorizados, especialmente para requerimientos o resoluciones que puedas impugnar. Para cosas menos importantes, las pueden mandar por correo postal o correo electrónico común. Y si no te encuentran en tu domicilio o no saben dónde estás, pegan un aviso en los estrados (que son los tableros de anuncios oficiales) para que te des por notificado.
- Art. 88Los plazos que menciona esta ley empiezan a contarse un día después de que te notifiquen algo oficialmente. Por ejemplo, si te avisan un lunes, el plazo corre a partir del martes. No cuenta el mismo día en que te dan la notificación. Esto aplica solo para los tiempos que se indican en esta sección de la ley.
- Art. 89El titular (la persona que pidió la información) y el sujeto obligado (la autoridad o institución que tiene los datos) tienen que responder a los pedidos de información en los tiempos y formas que diga el Instituto. El Instituto es como el jefe que pone las reglas sobre cuándo y cómo se debe dar esa información. Así que ambos deben seguir esas instrucciones al pie de la letra.
- Art. 90El artículo 90 dice que puedes presentar una queja formal (llamada recurso de revisión) cuando una autoridad o empresa no te respete tus derechos sobre tus datos personales. Esto aplica si no encuentran tus datos, si te dicen que no son los indicados para atenderte, si te entregan información incompleta o equivocada, o si te niegan directamente el acceso, corregir, borrar u oponerte al uso de tus datos. También puedes quejarte si no te responden a tiempo, si te dan los datos en un formato que no pediste o que no entiendes, si te cobran de más o tardan mucho, o si te ponen trabas a pesar de que ya te habían dicho que sí podías ejercer esos derechos.
- Art. 91Cuando hablamos de "falta de respuesta" significa que la autoridad no te contestó como debía en los siguientes casos: primero, si ya se cumplió el plazo que tenía para atender tu solicitud de ver, corregir, cancelar o negarte a que usen tus datos personales y no te dijo nada. Segundo, si te dijo que ya te mandó la respuesta o la información que pediste, pero no lo puede comprobar. Tercero, cuando en lugar de darte una respuesta clara, solo te pide más requisitos (eso es una "prevención") o te dice que necesita más tiempo sin justificarlo bien. Cuarto, si te avienta la excusa de que tiene mucho trabajo broncas internas y por eso no puede contestar tu solicitud. En todos estos casos, la ley considera que la autoridad no te respondió como debía.
- Art. 92El Artículo 92 explica qué datos debe incluir una queja formal (llamada "recurso de revisión") cuando no estás de acuerdo con la respuesta que te dio una institución sobre tus derechos ARCO (acceder, rectificar, cancelar u oponerte al uso de tus datos personales). Tienes que poner: a qué institución le pediste la información, tu nombre o el de tu representante, y un domicilio o medio donde te puedan avisar. También debes indicar la fecha en que te respondieron (o si nunca respondieron, la fecha en que hiciste la solicitud), explicar qué fue lo que te molestó y por qué, y adjuntar copia de la respuesta que te dieron. Además, necesitas incluir documentos que comprueben quién eres tú o quién es tu representante. Puedes agregar pruebas extra si crees que ayudan a tu caso. Por último, no tienes que ir a firmar de nuevo la queja (ratificarla) para que sea válida.
- Art. 93Si presentas un recurso de revisión y te faltó algún papel o dato, el Instituto te pedirá una sola vez que lo corrijas en máximo 3 días desde que entregaste tu escrito. Tienes 5 días para arreglarlo después de que te avisen, y si no lo haces, tu recurso será rechazado. Mientras tanto, el plazo que tiene el Instituto para resolver se detiene y se reanuda hasta que entregues lo que falta. Por último, si tu recurso se presentó después del tiempo permitido, lo desecharán de inmediato y te avisarán en menos de 5 días hábiles.
- Art. 94Cuando alguien presenta una queja o recurso ante el Instituto, ellos pueden intentar que tú y la otra persona (el responsable) lleguen a un arreglo. Si se ponen de acuerdo, ese arreglo se escribe en un documento y ambas partes están obligadas a cumplirlo. Como ya se resolvió el problema, el recurso o queja ya no se necesita y se da por terminado. El Instituto va a revisar que efectivamente se cumpla con lo que acordaron.
- Art. 95Cuando alguien pone una queja (llamada "recurso de revisión") ante el Instituto de Transparencia, primero se les da chance a las dos partes (la persona que se queja y la empresa o autoridad señalada) de arreglar el problema por la vía amistosa. El Instituto les pide, en un plazo de 7 días, que digan si quieren conciliar, y les explica en qué consiste el asunto. Si ambas aceptan, se agenda una reunión (presencial o por llamada/videollamada) dentro de los 10 días siguientes, donde un conciliador ayuda a buscar un acuerdo. El conciliador puede pedir pruebas a las partes y hasta suspender la reunión una sola vez si hace falta. Si alguien no va a la primera cita, tiene 3 días para justificarse; si no lo hace o falta a la segunda cita, el proceso sigue sin conciliación. Si llegan a un acuerdo, se escribe y es obligatorio cumplirlo. Si no, el trámite de queja continúa como si nada. Hay una excepción: cuando el afectado es un menor de edad y se violaron sus derechos de niños o adolescentes, no se aplica esta etapa de conciliación, a menos que el menor tenga un representante legal que lo respalde.
- Art. 96El Instituto tiene hasta 30 días para dar una respuesta a tu queja o inconformidad, contados desde que la aceptaron formalmente. Ese tiempo puede alargarse solo una vez por un máximo de 10 días más. Si pasa más de 40 días desde que admitieron tu recurso sin que te respondan, ya estarían fuera del plazo permitido. Es como cuando pides una aclaración y te dicen "te contestamos en 30 días, pero si se complica, te pedimos 10 días extra". Así de simple: no pueden tardarse más de lo que dice la ley.
- Art. 97El Instituto debe ayudarte a corregir tu queja si cometiste un error al escribirla, siempre y cuando no cambie lo que realmente pasó ni los motivos de tu reclamo. También tiene que asegurarse de que tú y la otra parte puedan presentar pruebas y explicar por qué tienen la razón. En pocas palabras, si te equivocas al redactar tu queja, el Instituto te echa la mano, pero sin inventar ni modificar los hechos.
- Art. 98Cuando alguien presenta un recurso de revisión (una queja formal contra una autoridad), el Comisionado Presidente del Instituto lo asigna a otros Comisionados para que lo resuelvan. En los primeros tres días, esos Comisionados deciden si aceptan la queja, piden más información o la rechazan. Si la aceptan, abren un expediente y avisan a las partes involucradas, quienes tienen siete días para dar su versión y, si quieren, proponer un acuerdo amistoso (conciliación). Durante ese plazo, pueden ofrecer pruebas o argumentos, pero los sujetos obligados (autoridades) no pueden presentar pruebas de tipo confesional (declaración bajo protesta). Después, el Instituto revisa las pruebas, celebra audiencias si es necesario, y cierra la etapa de investigación. Una vez cerrada, ya no acepta más información de la autoridad, y en un máximo de diez días, el Comisionado encargado prepara una propuesta de resolución final para que el Pleno del Instituto la vote.
- Art. 99El Instituto puede decidir de cuatro formas cuando alguien se queja. Puede: 1) cerrar el caso sin resolverlo o rechazar tu queja; 2) decir que la respuesta que te dieron fue correcta; 3) cambiar o anular esa respuesta; o 4) obligar a la dependencia a que atienda tu solicitud (de ver tus datos, corregirlos, cancelarlos o negarte a que los usen) si no te respondió. En su decisión, el Instituto fija fechas y pasos para cumplirla, y la dependencia tiene que avisarle que ya lo hizo. Además, si el Instituto ve que pudieron haber violado la ley, se lo reporta a la autoridad que revisa a esa dependencia para que inicie una investigación.
- Art. 100El "recurso de revisión" es un derecho que tienes para impugnar una decisión, pero te lo pueden rechazar si cumples con alguna de estas situaciones: si lo presentas fuera del tiempo que marca la ley (plazo), si tú o tu representante no comprueban bien su identidad (por ejemplo, con una identificación oficial y un poder notarial), si el motivo de tu queja no está contemplado en la ley, o si no resuelves los requisitos que te pidieron a tiempo. También lo desecharán si en el recurso cambias o agregas cosas nuevas a tu solicitud original, o si ya iniciaste otro juicio o defensa legal sobre el mismo asunto ante un juez o tribunal.
- Art. 101El artículo 101 dice cuándo se cancela un recurso de revisión (que es como un reclamo formal para pedir que revisen una decisión). Esto pasa si tú, como persona que lo pide, decides retirarlo por tu cuenta. También se cancela si falleces, o si después de aceptarlo resulta que no debía proceder según la ley. Por último, se da por terminado si el asunto deja de tener sentido, como cuando el problema que lo motivó ya se solucionó o desapareció.
- Art. 102El Instituto tiene que avisarle a todas las personas involucradas y también publicar las resoluciones, pero sin datos personales, a más tardar tres días después de que las aprueben. Esto significa que si un jueves se aprueba algo, a más tardar el domingo ya debe estar disponible para todos. La versión pública es como un documento donde se borra información privada, como nombres o domicilios, para que cualquiera pueda leerlo sin problemas. Así la gente común puede enterarse de lo que se decidió sin tener que ir a preguntar.
- Art. 103Si pones una queja por falta de respuesta de una autoridad, el Instituto le avisará al organismo responsable para que dé su versión en máximo 5 días. Cuando el organismo conteste, el Instituto tiene otros 5 días para decidir si le ordena atender tu solicitud de ver, corregir, borrar o negarte al uso de tus datos personales. Si te dan la razón, el organismo debe resolver tu trámite en 3 días y cubrir los gastos de copiar la información. Los plazos son días hábiles, es decir, sin contar fines de semana ni días festivos.
- Art. 104Las decisiones que toma el Instituto son obligatorias, es decir, los sujetos obligados (las autoridades o entidades que deben cumplir la ley) no pueden negarse a seguirlas. Además, una vez que se emiten, son definitivas y no se pueden impugnar o pelear ante otra instancia. O sea, no hay manera de echar para atrás lo que el Instituto resolvió.
- Art. 105Si el Instituto te da una resolución que no te parece, tienes derecho a reclamarla. Puedes hacerlo ante el Instituto Nacional o directamente ante un juez federal, pero eso sí: no puedes usar las dos opciones al mismo tiempo, tienes que elegir una sola.
- Art. 106Las dependencias y oficinas de gobierno tienen que obedecer al pie de la letra lo que les ordene el Instituto Nacional de Transparencia (INAI). Para lograrlo, todas las áreas y empleados deben ayudar al área de transparencia a cumplir con las resoluciones a tiempo. Solo en casos muy especiales, pueden pedir una prórroga al INAI, pero deben explicar bien por qué la necesitan. Ese plazo extra se solicita dentro de los primeros tres días del plazo original, y el INAI tiene cinco días para decidir si la concede o no. Si el INAI dice que no, la dependencia debe cumplir en el tiempo que le dieron desde el principio.
- Art. 107El artículo dice que una vez que se acabe el tiempo para cumplir con lo que pidió el Instituto (por ejemplo, dar información), la persona o institución que tenía que hacerlo debe avisar al Instituto que ya cumplió. Luego, el Instituto revisa por su cuenta si la información que entregaron es correcta y, al día siguiente de recibir el aviso, le informa a la persona que hizo la queja (el recurrente) para que, en 5 días, diga si está conforme o no. Si la persona que se quejó dice que no cumplieron bien, debe explicar con detalles por qué cree que no se hizo lo que el Instituto ordenó.
- Art. 108El Instituto tiene máximo 5 días para revisar todas las razones que tú diste y lo que verificaron. Si ven que ya cumpliste con lo que ordenaron, te avisan con un documento y cierran el asunto. Pero si no cumpliste, entonces te notifican el incumplimiento, le avisan a tu jefe para que en 5 días corrija la situación, y además deciden si aplicarte una multa, sanción o alguna otra medida para obligarte a cumplir.
- Art. 109Si el Instituto (como el INAI) te da una respuesta que no te parece sobre tus datos personales, puedes presentar un recurso de inconformidad para reclamar. Por ejemplo, si te clasificaron tus datos como “personales” sin seguir la ley, si te dijeron que no existen cuando deberían, o si te negaron la información. También aplica si te entregaron datos incompletos, en un formato que no entiendes, o si te cobraron de más por copias o envío. Básicamente, es un derecho para defenderte cuando el Instituto no maneja bien tu información según las reglas.
- Art. 110El artículo 110 dice que, si presentas un recurso de inconformidad —que es un medio para impugnar una decisión que te parece injusta—, el proceso para resolverlo seguirá lo que marca la Ley General, es decir, una norma federal. En pocas palabras, no hay reglas locales o especiales; todo se hace conforme a esa ley general. Esto aplica en el Título Décimo, que habla sobre la verificación, que es cuando una autoridad revisa que estés cumpliendo con ciertas obligaciones.
- Art. 111El Instituto tiene el trabajo de checar que se cumplan las reglas de esta ley y las que salgan de ella. Cuando revisen algo, los empleados del Instituto deben guardar el secreto de toda información que vean durante esa revisión. Si alguien está siendo verificado, no puede negarse a entregar los papeles, bases de datos o sistemas que le pidan. Tampoco puede decir que la información es privada o confidencial para no mostrarla.
- Art. 112El Instituto puede empezar una auditoría cuando tenga sospechas de que alguien está violando la ley, aunque nadie se haya quejado. Si tú crees que una empresa o persona está usando tus datos personales de manera incorrecta, puedes denunciarlo. Cualquier persona también puede reportar posibles incumplimientos a la ley de protección de datos. La denuncia solo se puede presentar durante un año después de que ocurrieron los hechos, pero si es un problema que se repite, el plazo empieza a contar desde el último incidente. El Instituto debe publicar cada año, en los primeros tres meses, un plan con los puntos que va a revisar.
- Art. 113Cuando quieras denunciar algo, necesitas dar estos datos: tu nombre completo (o el de quien te represente legalmente), una dirección o medio (como correo electrónico) donde te puedan avisar qué pasa con tu denuncia, una explicación clara de los hechos y cualquier prueba que tengas, el nombre y domicilio de la persona a la que estás denunciando (o datos para localizarla), y tu firma. Si no sabes firmar, basta con que pongas tu huella digital. Puedes presentar la denuncia por escrito, en formatos especiales, por internet o por cualquier otro medio que acepte el Instituto. Cuando el Instituto reciba tu denuncia, te dará un comprobante de que la recibió y te notificará la respuesta.
- Art. 114El Instituto puede iniciar una revisión si sospecha que alguien está violando las reglas de protección de datos personales. Para eso, primero debe entregar un documento por escrito donde explique por qué va a investigar y qué ley lo respalda. Durante la revisión, puede pedir documentos o incluso ir a las oficinas del responsable para revisar dónde guardan los datos. Todo el proceso debe terminar en máximo 50 días. Si durante la revisión ven que hay riesgo de un daño grave que no se pueda reparar, el Instituto puede ordenar medidas temporales para evitar el problema, pero sin afectar las funciones normales del responsable ni sus bases de datos. Esas medidas solo buscan corregir la situación y duran hasta que el responsable siga las recomendaciones del Instituto.
- Art. 115El Instituto va a revisar si se cumplió con la ley y, al final, te dirá qué pasó en un documento oficial. En ese documento te va a señalar las cosas que tienes que hacer para arreglar el problema. También te va a dar un tiempo específico para que cumplas con todo lo que te pide.
- Art. 116Este artículo dice que las empresas o personas que manejan datos personales (los "responsables") pueden pedir voluntariamente una auditoría al Instituto (el INAI). El propósito es revisar si las medidas de seguridad y control que tienen para proteger datos están funcionando bien y cumplen con la ley. Al final de la auditoría, el Instituto debe entregar un informe que diga si todo está correcto, señale los fallos que encontró y proponga soluciones o mejoras. Es como invitar a un experto a que revise tu casa para ver si tienes buenos candados y, si falta algo, que te diga cómo arreglarlo.
- Art. 117El Instituto puede usar dos tipos de castigos para obligarte a cumplir sus órdenes: primero, hacer una llamada de atención pública, o segundo, ponerte una multa que va de 150 a 1,500 veces el valor diario de la Unidad de Medida y Actualización (UMA), que es una referencia para calcular pagos en México. Si no cumples, el Instituto va a publicar tu nombre en su portal de transparencia y te tomará en cuenta en sus evaluaciones. Si tu falta resulta ser un delito o algo prohibido por esta ley, el Instituto tiene que denunciarlo ante las autoridades. Las multas que te pongan no se pueden pagar con dinero del gobierno.
- Art. 118Si un juez ordena algo y la persona encargada no lo cumple, aunque ya se le haya presionado con multas o castigos (que son las "medidas de apremio"), entonces se le avisará a su jefe directo para que, en un plazo de 5 días, lo obligue a hacer lo que se le pidió sin tardanza. Si pasan esos 5 días y todavía no se cumple, el caso se turna a la autoridad que revisa si alguien cometió una falta por no hacer su trabajo.
- Art. 119El Instituto puede aplicar medidas para obligar a alguien a cumplir, como multas o usar la fuerza pública. Puede hacerlo directamente o pedir ayuda a otra autoridad que tenga facultades para eso. Todo tiene que hacerse siguiendo los pasos que marcan las leyes correspondientes.
- Art. 120Si el Instituto te impone una multa, quien se encargará de cobrarla será la Secretaría de Finanzas de la Ciudad de México. Ellos usarán los pasos legales que ya están definidos para cobrarla. Esto quiere decir que no te la cobrará el mismo Instituto, sino otra dependencia del gobierno. Todo el proceso se hará conforme a lo que dicen las leyes aplicables.
- Art. 121El Instituto va a decidir qué tan fuerte debe ser el castigo (medida de apremio) que te van a poner por no cumplir con lo que te ordenó. Para eso, tomará en cuenta tres cosas: primero, qué tan grave fue tu falta, viendo si causaste daño, si lo hiciste a propósito, cuánto tiempo te tardaste en cumplir y si le estorbaste al Instituto para hacer su trabajo. Segundo, tu situación económica, para no ponerte una multa imposible de pagar. Y tercero, si ya habías incumplido antes. Además, el Instituto va a definir reglas claras sobre quiénes y cómo van a medir la gravedad de tus faltas y cómo te notificarán y aplicarán esos castigos.
- Art. 122Si cometes la misma falta otra vez, el Instituto te puede multar con hasta el doble de lo que te cobraron la primera vez. Por ejemplo, si ya te multaron por no pagar algo y vuelves a hacerlo, te consideran "reincidente". Esto aplica solo si la segunda infracción es del mismo tipo que la primera. O sea, no es lo mismo si cometes una falta diferente. La autoridad decide si te aplica la multa más alta o no.
- Art. 123El artículo 123 dice que las autoridades tienen máximo 15 días para aplicar una medida de apremio, que es una forma de obligar a alguien a cumplir con la ley (como una multa o un arresto). El plazo empieza a correr desde el momento en que te notifican, o sea, cuando te avisan oficialmente que tienes esa medida en tu contra. Si ya te notificaron, no pueden esperar más de 15 días para hacerla efectiva.
- Art. 124El Instituto te va a decir que te ganaste una amonestación pública, que es como un llamado de atención en voz alta para que todos sepan que cometiste una falta. Quien te la va a aplicar va a ser tu jefe directo, la persona que está por encima de ti en el trabajo. No te la va a dar cualquier persona, sino justo el que manda sobre ti. Así que prepárate porque va a ser algo público y frente a los demás.
- Art. 125El Instituto puede pedirte información sobre tu situación económica si cometiste una infracción. Te advierten que, si no la entregas, calcularán la multa con lo que tengan a la mano, como datos de registros públicos, internet, o cualquier cosa que muestre cuánto ganas o tienes. También tienen derecho a solicitar documentos que necesiten a otras autoridades para hacer ese cálculo.
- Art. 126Si el SAT o cualquier autoridad fiscal te impone una multa o te obliga a hacer algo contra tu voluntad, puedes inconformarte y pedir que un juez revise esa decisión. Para eso, debes presentar un recurso ante el Poder Judicial de la Ciudad de México, que son los tribunales donde se resuelven este tipo de conflictos. No te quedes callado: tienes derecho a defenderte si crees que la medida es injusta.
- Art. 127El artículo 127 dice que te pueden sancionar si no cumples con la ley de protección de datos personales. Por ejemplo, te pueden multar si eres descuidado o actúas de mala fe al atender solicitudes de acceso, rectificación, cancelación u oposición de datos (derechos ARCO), o si no respondes a tiempo. También te castigan si usas, compartes o destruyes datos personales sin permiso, si no pides el consentimiento del dueño de los datos, si no pones medidas de seguridad o si sufres una filtración por no proteger la información. Las faltas más graves son, entre otras, la negligencia, no cumplir plazos, tratar datos sin consentimiento, transferirlos sin autorización, crear bases de datos prohibidas o no entregar informes; si un miembro de un partido político comete la falta, lo investiga y sanciona la autoridad electoral, y las multas no se pueden pagar con dinero público.
- Art. 128Cuando alguien comete una de las acciones que dice el artículo anterior, se le avisará a la autoridad que tenga la facultad para aplicar el castigo correspondiente. Esa autoridad será la encargada de decidir la sanción o de hacer que se cumpla. En pocas palabras, no es la misma persona o institución la que detecta la falta la que castiga, sino otra que sí tiene ese poder.
- Art. 129Si alguien viola el artículo 127 de esta Ley, puede enfrentar consecuencias por varias vías distintas. Las sanciones administrativas (las que aplica una autoridad del gobierno) no reemplazan a las que puedan venir de un juicio civil, penal o de otro tipo. Cada tipo de responsabilidad se revisa por separado, con sus propias reglas y autoridades. El Instituto puede denunciar lo que pasó ante quien corresponda y entregar pruebas para que se investigue. En pocas palabras: que te castiguen por una cosa no significa que no puedan hacerlo por otra.
- Art. 130Si un trabajador del gobierno es acusado de hacer algo malo relacionado con su chamba, la institución encargada debe armar un expediente con todas las pruebas y mandarlo, junto con una queja formal, a su jefe directo (la contraloría). Ese jefe tiene que informar al final cómo terminó el asunto y si le aplicaron un castigo al trabajador. Para hacer la queja, se necesita una denuncia por escrito que describa bien qué hizo mal el servidor público y cómo eso afecta la ley. También deben incluir todas las pruebas que demuestren que sí hay una relación entre lo que pasó y lo que se acusa. Todo esto se debe entregar en un plazo de 15 días después de que la institución se entere de los hechos.