Versión en proceso de prueba · la información puede contener errores y no constituye asesoría legal.

Artículo 25 de la LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DE LA CIUDAD DE MÉXICO

Explicado en lenguaje simple

Texto

En palabras simples

Imagina que la ley pide a las empresas o entidades que cuiden tus datos personales como si fueran un tesoro, y para eso deben analizar varios puntos: qué tan riesgoso es manejar esa información, qué tan delicada es (como tu salud o tu religión), qué tecnología usan para protegerla, qué pasaría si se filtran tus datos, y cuántas personas podrían verse afectadas. También deben considerar si han tenido fugas de información antes o si alguien no autorizado pudiera sacarle provecho a tus datos. Además, la ley divide la seguridad en tres niveles: el **básico** son medidas obligatorias para cualquier dato; el **medio** aplica a datos más sensibles, como tus deudas, antecedentes penales o perfiles de personalidad; y el **alto** es para datos muy íntimos, como tu religión, orientación sexual, salud o huellas digitales. Por último, la empresa solo tiene que avisarle al Instituto (el INAI) qué nivel de seguridad usa, sin dar todos los detalles.

Texto oficial

Artículo 25. Las medidas de seguridad adoptadas por el responsable deberán considerar: I. El riesgo inherente a los datos personales tratados; II. La sensibilidad de los datos personales tratados; III. El desarrollo tecnológico; IV. Las posibles consecuencias de una vulneración para los titulares; V. Las transferencias de datos personales que se realicen; VI. El número de titulares; VII. Las vulneraciones previas ocurridas en los sistemas de datos; y VIII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión. Estas medidas tendrán al menos los siguientes niveles de seguridad: I. Básico: relativas a las medidas generales de seguridad cuya aplicación será obligatoria para el tratamiento y protección de todos los sistemas de datos personales en posesión de los sujetos obligados. II. Medio: se refiere a las medidas de seguridad requeridas para aquellos sistemas de datos relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales, así como los sistemas que contengan datos con los que se permita obtener evaluación de personalidad o perfiles de cualquier tipo en el presente pasado o futuro. III. Alto: corresponde a las medidas de seguridad aplicables a sistemas de datos concernientes a ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que contengan datos recabados para fines policiales, de seguridad, prevención, investigación y persecución de delitos. Las medidas de seguridad que adopten los sujetos obligados para mayores garantías en la protección y resguardo de los sistemas de datos personales, únicamente se comunicarán al Instituto, para su registro, el nivel de seguridad aplicable.

Ver ley oficial en el DOF (pág. 8) ↗

Esta explicación es informativa y no constituye asesoría legal. Consulta siempre el texto oficial y, si lo necesitas, a un profesional.