Artículo 23 de la LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DE LA CIUDAD DE MÉXICO
Explicado en lenguaje simple
En palabras simples
Las empresas u organismos que manejen tus datos personales tienen obligaciones claras. Deben destinar presupuesto para proteger tu información, crear políticas internas de seguridad y capacitar a su personal en estos temas. También tienen que revisar periódicamente sus medidas de seguridad, hacer auditorías para verificar que cumplen y garantizar que puedas ejercer tus derechos de acceso, corrección, cancelación u oposición al uso de tus datos. Además, cuando desarrollen sistemas o aplicaciones que usen datos personales, deben diseñarlos desde el principio con protección de privacidad. Están obligados a registrar ante el INAI (Instituto Nacional de Transparencia) todos los sistemas de datos que manejen, y reportar cada año en enero un informe de cumplimiento. Por último, deben informarte antes de pedir tus datos para qué los usarán y aplicar medidas de seguridad, como candados digitales o controles de acceso.
Texto oficial
Artículo 23. El responsable para cumplir con el tratamiento lícito, transparente y responsable de los datos personales, tendrá al menos los siguientes deberes: I. Destinar recursos autorizados para la instrumentación de programas y políticas de protección de datos personales; II. Elaborar políticas y programas de protección de datos personales, obligatorios y exigibles al interior del sujeto obligado; III. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones y demás deberes en materia de protección de datos personales; IV. Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran; V. Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales; VI. Garantizar a las personas, el ejercicio de los derechos de Acceso, Rectificación, Cancelación y Oposición; VII. Diseñar, desarrollar e implementar políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, de conformidad con las disposiciones previstas en la presente Ley y las demás que resulten aplicables en la materia; VIII. Garantizar que sus políticas públicas, programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos personales, cumplan con la protección de datos personales y las obligaciones previstas en la presente Ley y las demás que resulten aplicables en la materia; IX. Cumplir con las políticas y lineamientos, así como las normas y principios aplicables para el tratamiento lícito y la protección de los datos personales; X. Adoptar las medidas de seguridad necesarias para la protección de datos personales y los sistemas de datos personales, así como comunicarlas al Instituto para su registro, en los términos de la presente Ley; XI. Elaborar y presentar al Instituto un Informe correspondiente sobre las obligaciones previstas en la presente Ley, a más tardar en la segunda semana del mes de enero de cada año. La omisión de dicho informe será motivo de responsabilidad; XII. Informar al titular previo a recabar sus datos personales, la existencia y finalidad de los sistemas de datos personales; XIII. Registrar ante el Instituto los Sistemas de Datos Personales, así como la modificación o supresión de los mismos; XIV. Establecer los criterios específicos sobre el manejo, mantenimiento, seguridad y protección de los sistemas de datos personales; y XV. Coordinar y supervisar la adopción de medidas de seguridad a que se encuentren sometidos los sistemas de datos personales.
Esta explicación es informativa y no constituye asesoría legal. Consulta siempre el texto oficial y, si lo necesitas, a un profesional.