Artículo 37 de la LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DE LA CIUDAD DE MÉXICO
Explicado en lenguaje simple
En palabras simples
Cada oficina del gobierno de la Ciudad de México debe avisar cuando cree, cambie o elimine un sistema que guarda datos personales. Este aviso se publicará en la Gaceta Oficial e incluirá ligas de internet donde la gente pueda ver los acuerdos detallados. Además, esos acuerdos y los sistemas deben enviarse al Instituto tanto en papel con firma original como en versión digital para que los resguarden y publiquen en un registro electrónico. Cuando se creen o modifiquen estos sistemas, se tiene que explicar para qué se usarán los datos, quiénes serán las personas afectadas, qué tipo de información se guardará, quién es el responsable del sistema y a qué áreas puede acudir la gente para ejercer sus derechos, como pedir que corrijan o borren sus datos. También deben decir el nivel de seguridad que tendrá la información. Si se elimina un sistema, hay que planear cómo se borrarán los datos, tomando en cuenta el tiempo que deben conservarse, para qué sirvieron y qué pasará con ellos. Sin embargo, algunos datos pueden no destruirse si se usan para fines estadísticos, históricos o científicos, siempre que ya no tengan relación con alguna persona en específico.
Texto oficial
Artículo 37. La integración, tratamiento y protección de los datos personales se realizará con base en lo siguiente: I. Cada sujeto obligado publicará en la Gaceta Oficial de la Ciudad de México el Aviso relativo a la creación, modificación o supresión de sus sistemas de datos personales. Dicho Aviso deberá indicar las ligas electrónicas donde se podrán consultar los Acuerdos de creación, modificación o supresión correspondientes, los requisitos señalados en la fracción II del presente artículo, así como los lineamientos que, en su caso, determine el Instituto. Asimismo, dichos Acuerdos y los propios sistemas serán enviados en versión física con firma autógrafa en original y una versión digitalizada de los mismos al Instituto a efecto de su resguardo y su publicación en el Registro Electrónico de Sistemas de Datos Personales; II. En caso de creación o modificación de los sistemas de datos personales, se deberá indicar al menos lo siguiente: a) La finalidad o finalidades de los sistemas de datos personales; así como los usos y transferencias previstos; b) Las personas físicas o grupos de personas sobre las que se recaben o traten datos personales; c) La estructura básica del sistema de datos personales y la descripción de los tipos de datos incluidos; d) Las instancias responsables del tratamiento del sistema de datos personales: titular del sujeto obligado, usuarios y encargados, si los hubiera; e) Las áreas ante las que podrán ejercerse los derechos de acceso, rectificación, cancelación y oposición; f) El procedimiento a través del cual se podrán ejercerse los derechos de acceso, rectificación, cancelación y oposición; y g) El nivel de seguridad y los mecanismos de protección exigibles. III. Las disposiciones que se dicten para la supresión de los sistemas de datos personales, considerando el ciclo vital del dato personal, la finalidad, y los destinos de los datos contenidos en el mismo o, en su caso, las previsiones adoptadas para su destrucción. IV. De la destrucción de los datos personales podrán ser excluidos aquellos que no se opongan a las finalidades originales como son los procesos de disociación, las finalidades ulteriores estadísticas, históricas o científicas, entre otras.
Esta explicación es informativa y no constituye asesoría legal. Consulta siempre el texto oficial y, si lo necesitas, a un profesional.