Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de México y Municipios
Artículos explicados en lenguaje simple
- Art. 1Esta ley aplica en todo el Estado de México y sus municipios, y es obligatoria para todos. Su función principal es proteger tus datos personales (como tu nombre, dirección o teléfono) cuando están en manos del gobierno o de autoridades públicas. La ley te ayuda a tener control sobre esa información y a evitar que la usen sin tu permiso. Así, se asegura de que se respete tu privacidad según lo que marca la Constitución del Estado de México.
- Art. 2Esta ley existe para que tú puedas ejercer tu derecho a decidir qué pasa con tus datos personales, como tu nombre, dirección o teléfono. Las oficinas del gobierno del Estado de México y sus municipios deben cuidar esos datos y solo usarlos para lo que tú autorices. La ley también establece pasos sencillos para que puedas pedir ver tus datos (acceso), corregirlos (rectificación), borrarlos (cancelación) o negarte a que los usen (oposición). Además, obliga a esas oficinas a aplicar medidas de seguridad para que tu información no se pierda, se robe o se use sin permiso. Por último, el Instituto de Transparencia del Estado de México es la autoridad encargada de resolver tus quejas si alguien no respeta esta ley.
- Art. 3El artículo dice que todos los que manejan dinero del pueblo o toman decisiones oficiales tienen que cumplir con esta ley. Esto incluye al Presidente y su equipo, a los diputados y senadores, a los jueces, a los presidentes municipales, a los organismos como el INE, a los tribunales que resuelven asuntos del gobierno, a los partidos políticos y a los fondos públicos. También aplica para sindicatos, candidatos independientes o cualquier empresa o persona que use recursos del gobierno o tenga poder de autoridad. Si alguien recibe dinero público, tiene la obligación de cuidar los datos personales de la gente como lo marca la ley.
- Art. 4En esta ley, las definiciones importantes son: el **Administrador** es la persona (funcionario público o empleado) que el jefe o responsable elige para manejar tus datos personales y cuidar los sistemas donde se guardan. La **Anonimización** es un proceso para borrar o modificar datos de modo que ya no se pueda saber quién eres. El **Aviso de Privacidad** es un documento (físico o digital) que te entregan para explicarte para qué usarán tu información. **Datos personales** son cualquier dato tuyo (como nombre, dirección o fotos) que permita identificarte, ya sea directa o indirectamente. El **Consentimiento** es tu autorización, que debe ser libre, específica y sin confusiones, para que usen tus datos.
- Art. 5Esta ley aplica para toda la información personal que tengan las autoridades o instituciones del gobierno, como oficinas públicas, dependencias o cualquier entidad que maneje tus datos. Su objetivo es proteger tu privacidad y controlar cómo usan tu información. Sin embargo, hay límites: si hay razones importantes, como seguridad nacional o investigaciones legales, pueden compartir tus datos sin pedirte permiso. Básicamente, la ley te protege, pero no es absoluta cuando hay intereses mayores de por medio.
- Art. 6El gobierno tiene la obligación de cuidar tu privacidad y evitar que alguien te la viole sin una razón válida. Las empresas o instituciones que manejen tus datos deben seguir las reglas de esta ley para proteger tu información personal y tu dignidad. Solo en casos muy especiales, como por seguridad pública, salud o para proteger los derechos de otras personas, podrían usar tus datos sin tu permiso, pero siempre siguiendo la ley. Los datos sensibles (como tu salud, religión u orientación sexual) están aún más protegidos.
- Art. 7Básicamente, la ley dice que, por lo general, no se puede usar ni compartir información muy privada tuya, como tu religión, salud u orientación sexual. Para que alguien pueda hacerlo, necesita que tú le des un permiso bien claro y sin rodeos, o que sea un caso especial que ya viene en la ley. Además, estos datos tan delicados deben estar súper protegidos, como con candados muy fuertes. Y si se trata de información de niñas, niños o adolescentes, aplican medidas de seguridad aún más estrictas para cuidarlos.
- Art. 8Cuando se manejen datos personales de niñas, niños o adolescentes, lo más importante es proteger su bienestar por encima de todo, como lo marca la ley de derechos de la niñez. Para usar su información, los papás o tutores deben dar su permiso por escrito, y la empresa o institución que los pide tiene que asegurarse de que ese permiso sea válido. No está permitido publicar los datos de los menores, a menos que el representante autorice y eso no vaya contra lo mejor para el niño o adolescente. Si se requiere hacer pública alguna información por transparencia, solo se puede poner el nombre del tutor y un apodo o seudónimo del menor, sin revelar su identidad. Además, el responsable puede limitar el acceso del tutor a datos sensibles del adolescente si eso protege sus derechos, siempre que no perjudique su bienestar.
- Art. 9Este artículo define qué son las "fuentes de acceso público", es decir, lugares o medios donde cualquier persona puede buscar información sin restricciones, como los portales de internet abiertos a todo el público, los directorios telefónicos, los boletines oficiales del gobierno, los medios de comunicación (como la tele o el radio) y los registros públicos (como el Registro Civil o el de la Propiedad). Cualquier persona puede consultar estas fuentes, a menos que una ley lo prohíba o se tenga que pagar una cuota para acceder. Eso sí, si la información que contienen se obtuvo de manera ilegal, entonces ya no se considera una fuente de acceso público.
- Art. 10Este artículo dice que esta ley se va a aplicar e interpretar siguiendo lo que marca la Constitución de México, los tratados internacionales que México haya firmado y la Constitución del Estado de México. También se tienen que tomar en cuenta las decisiones importantes de tribunales nacionales e internacionales especializados en el tema. Todo esto se hace para proteger al máximo tu derecho a la privacidad y a la protección de tus datos personales, dándote siempre la protección más amplia posible. Además, para entender mejor la ley, se pueden usar las opiniones y criterios de organismos expertos en protección de datos.
- Art. 11Si esta Ley no dice nada sobre un tema en específico, se van a usar otras leyes para llenar esos vacíos. Las leyes que aplican son la Ley General de Transparencia, la Ley de Transparencia del Estado de México, el Código de Procedimientos Administrativos, el Código de Procedimientos Civiles y el Código Civil, todos del Estado de México. Esto significa que, por ejemplo, si no encuentras una regla aquí, vas a buscar en esas otras leyes cómo proceder. En pocas palabras, estas leyes son como un "comodín" para resolver lo que no esté escrito en esta.
- Art. 12El Instituto se encargará de coordinar y revisar cómo se aplican las reglas de protección de datos personales en el gobierno del estado y en los municipios. Su trabajo es asegurarse de que se cumpla lo que dice la ley general sobre cuidar tu información privada. Básicamente, supervisa que todas las autoridades locales respeten y protejan tus datos personales.
- Art. 13El Instituto se encarga de que en el gobierno del estado y de los municipios se respete tu derecho a que tus datos personales estén protegidos. Para lograrlo, trabajarán en equipo con otras autoridades para crear, poner en marcha y revisar las reglas y acciones (política pública) sobre este tema. Todo esto se hará siguiendo al pie de la letra las leyes que ya existen. La idea es que puedas ejercer tu derecho a la privacidad sin problemas y que además se promueva entre todos una cultura de cuidar los datos personales, haciéndola fácil de entender y de usar. Esto forma parte de un programa estatal.
- Art. 14El Instituto debe crear y poner en marcha un plan para cuidar tus datos personales en el Estado de México. Ese plan incluye, por ejemplo, enseñarle a la gente que tiene derecho a proteger su información, promover una cultura de cuidado de datos y ayudar a que puedas acceder, corregir, cancelar u oponerte al uso de tus datos. También deben capacitar a las dependencias y certificar a quien dé cursos sobre el tema. El plan se revisará cada año para ver si funciona y se ajustará si hace falta.
- Art. 16La empresa o persona que guarda tus datos (el "responsable") tiene que asegurarse de que la información que tiene sobre ti esté siempre correcta, completa y actualizada. Si tú mismo le diste tus datos y no les dices que algo está mal, se asume que todo está bien. Cuando ya no necesiten tus datos para lo que te explicaron en su aviso de privacidad, deben borrarlos después de cierto tiempo, pero primero los bloquean para no usarlos. Ese tiempo de guardado no puede ser más largo de lo necesario, tomando en cuenta leyes de impuestos, contabilidad o historia. Además, deben llevar un registro de los cambios que hagan a tus datos, y hasta pueden conservar la información vieja o equivocada solo para aclarar responsabilidades si alguien se mete sin permiso.
- Art. 17Quien maneje tus datos personales debe tener reglas claras por escrito sobre cómo guardarlos, cuándo bloquearlos y cuándo borrarlos. También debe definir por cuánto tiempo los va a conservar, siguiendo lo que dice la ley. Además, tiene que poner mecanismos para eliminar tus datos cuando se cumpla el plazo, y limitar su uso solo a lo necesario. Por último, debe revisar periódicamente si sigue siendo necesario guardarlos, siempre con tu consentimiento.
- Art. 18Antes de usar tus datos personales, la autoridad o institución debe pedirte permiso, a menos que haya una excepción legal. Ellos tienen la obligación de comprobar que tú sí diste tu consentimiento. Puedes cancelar tu permiso en cualquier momento, pero eso no borra lo que ya hicieron con tus datos antes de que te echaras para atrás. Para que puedas revocar tu permiso, la institución tiene que explicarte cómo hacerlo en su aviso de privacidad.
- Art. 19El artículo 19 dice que, para que alguien pueda usar tus datos personales, necesitas dar tu permiso de una manera muy clara y específica. Ese permiso debe ser libre (sin que te hayan engañado, presionado o amenazado), específico (solo para un propósito legal y bien definido), informado (debes saber exactamente qué van a hacer con tus datos antes de que los usen) e inequívoco (sin lugar a dudas o confusiones). Si se trata de un niño, niña o adolescente, o de una persona que un juez haya declarado incapaz de tomar decisiones, entonces el permiso se maneja según lo que dice el Código Civil del Estado de México. En pocas palabras, nadie puede usar tus datos si no te explicaron bien y tú aceptaste sin presiones ni confusiones.
- Art. 20El artículo 20 habla sobre cómo das tu permiso para que usen tus datos personales. Tu permiso puede ser **expreso** (lo dices claramente) o **tácito** (lo das sin decir nada, al no oponerte). Se considera que diste permiso **tácito** cuando la empresa o persona te entrega su aviso de privacidad y tú no dices que no quieres. En general, este permiso tácito es válido, a menos que la ley exija que digas "sí" de forma clara. El permiso es **expreso** cuando dices "sí" de manera obvia: de palabra, por escrito, por correo electrónico, con un clic, o con cualquier otra señal clara. Si son datos muy personales (como tu salud o religión), el permiso debe ser expreso y por escrito, con tu firma de puño y letra, firma electrónica o un método que demuestre que realmente eres tú. La persona o empresa que usa tus datos debe pedirte ese permiso expreso y escrito, excepto en los casos que la misma ley señala.
- Art. 21Hay situaciones donde la empresa o el gobierno que tiene tus datos (el "responsable") **no necesita pedirte permiso** para usarlos. Estas son: 1. Cuando una ley (como esta) lo ordena. 2. Cuando pasan tus datos a otra empresa para el mismo propósito (por ejemplo, tu banco a la aseguradora para un trámite). 3. Si un juez o autoridad lo exige (con orden por escrito y explicada). 4. Para que tú puedas defender tus derechos (ejemplo: en un juicio laboral). 5. Para cumplir con un contrato que firmaste (como tu crédito hipotecario). 6. En una emergencia que ponga en riesgo tu vida o tus cosas. 7. Para darte atención médica urgente, como en un hospital. 8. Si tus datos ya son públicos (como en el directorio telefónico). 9. Para convertir tus datos en anónimos o sin tu rostro (como al hacer estudios de salud). 10. Si te reportaron como persona desaparecida.
- Art. 22La empresa o persona que maneje tus datos (el responsable) solo puede usarlos para cumplir con un propósito claro, legal y específico que tenga que ver con su trabajo o funciones. Si quieren usar tus datos para algo diferente a lo que te dijeron en el aviso de privacidad, solo pueden hacerlo en dos casos: primero, si una ley los autoriza y además tú les das tu permiso expreso; segundo, si se trata de buscar a alguien reportado como desaparecido. En resumen, no pueden inventarse usos para tus datos personales, todo debe estar justificado y relacionado con lo que permite la ley.
- Art. 23Una persona o empresa que use tus datos personales está obligada a explicarte, con un aviso de privacidad claro y sin rodeos, qué información tuya recaba y para qué la va a usar. Todo debe estar escrito en lenguaje sencillo y fácil de entender, y lo tienen que mostrar tanto en internet como en papel si es necesario. Si es imposible darte el aviso de manera directa, deben poner medidas como anuncios masivos para que te enteres. Así puedes decidir si estás de acuerdo o no con que usen tus datos.
- Art. 24Básicamente, las empresas o personas que manejen tus datos (el "responsable") tienen prohibido obtenerlos por medios tramposos o ilegales. No te pueden engañar, usar fraudes, actuar de manera desleal o violar la ley para conseguir tu información personal. La regla principal es que siempre deben priorizar tu privacidad y hacer todo de manera honesta y legal.
- Art. 25La ley dice que quien maneje tus datos personales debe tener una razón legal para hacerlo, es decir, solo puede usarlos si la ley se lo permite. Por ejemplo, puede usarlos si tú le das permiso por escrito, si es necesario para cumplir un contrato contigo, o si una obligación legal se lo exige. También puede usarlos para proteger tu vida o la de alguien más, por interés público, o si es un beneficio legítimo que no afecte tus derechos. Pero si la autoridad pública usa tus datos, no puede aplicar esa última excusa que es el "interés legítimo". Esto se llama principio de proporcionalidad: solo pueden tratar tus datos para fines claros y necesarios.
- Art. 26Cuando una empresa o persona guarda tus datos (como tu nombre, dirección o teléfono), solo puede usar los que realmente necesita para el trámite que le pediste, ni más ni menos. Por ejemplo, si solo vas a comprar algo, no tiene por qué pedirte tu estado de salud o tu religión. Además, quien tenga tus datos debe hacerse responsable de cuidarlos bien y de borrarlos cuando ya no los necesite.
- Art. 27Si tienes datos de alguien, tú eres el responsable de cuidarlos y cumplir con lo que dice la ley. Esto aplica también cuando le pides a otra persona o empresa que maneje esos datos por ti. Debes asegurarte de que el aviso de privacidad que le diste a la persona se respete siempre, incluso por los terceros con los que tengas algún acuerdo legal. Además, tienes que implementar formas para demostrar que estás cumpliendo con todas las reglas, como lo pide la ley, y rendir cuentas tanto a la persona dueña de los datos como al Instituto. Para lograrlo, puedes usar estándares o buenas prácticas nacionales o internacionales, siempre y cuando no vayan contra la Constitución ni los tratados firmados por México.
- Art. 28El artículo 28 dice que cualquier empresa o institución que tenga tus datos personales debe cumplir con al menos 8 obligaciones para protegerlos. Tienen que destinar presupuesto especial para programas de protección, crear reglas internas obligatorias sobre el tema y capacitar a todo su personal para que sepa cómo manejar tu información. También deben revisar periódicamente sus medidas de seguridad, tener un sistema de vigilancia (como auditorías) para verificar que todo se cumpla, y establecer un proceso para atender tus dudas y quejas. Además, desde que diseñan cualquier sistema o aplicación que use tus datos, deben incluir la protección por defecto y asegurarse de que todo esté apegado a la ley.
- Art. 29Las empresas o personas que manejen tus datos personales tienen que darte a conocer su aviso de privacidad tanto en una versión resumida (simplificado) como en una completa (integral). Pueden entregártelo en papel, en digital, con imágenes, audio o cualquier otro formato que exista. La idea es que tengas acceso a la información de forma clara, sin importar si la ves en una pantalla, la escuchas o la lees en un documento físico.
- Art. 30Cuando una empresa o persona te pide tus datos personales directamente (por ejemplo, en un formulario), debe darte en ese mismo momento un aviso de privacidad completo, escrito de forma clara y que sirva como comprobante. Si ya te lo habían dado antes, solo basta con que te pongan un aviso o señal visible para recordarte que ya conoces la información. En cambio, si consiguen tus datos de otra fuente sin que tú se los des directamente, ellos deben buscar la manera de que puedas ver ese aviso completo, a menos que ya tengan prueba de que antes te lo mostraron o te enteraste de su contenido.
- Art. 31Este artículo dice que cuando una empresa o institución te pide tus datos personales, debe entregarte un aviso de privacidad completo que incluya 19 puntos clave. Entre ellos, debe decir quién es el responsable de tus datos, cuáles datos van a usar (y si son delicados, como tu salud), para qué los necesitan y si estás obligado a darlos o no. También te debe explicar cómo ejercer tus derechos ARCO (acceder, corregir, cancelar u oponerte al uso de tus datos), cómo cancelar tu permiso si cambias de opinión, y a quién contactar si tienes dudas. Todo esto es para que sepas exactamente qué pasa con tu información y puedas decidir si la compartes.
- Art. 32Cuando una empresa o persona (el responsable) te pide tus datos personales directamente, ya sea por internet, videollamada, audio o cualquier tecnología, debe ponerte en un lugar visible un aviso de privacidad simplificado, y también darte la forma de leer el aviso completo si lo pides. Que te pongan ese aviso visible no significa que ya cumplieron: igual tienen que asegurarse de que puedas acceder al aviso completo. El aviso simplificado debe incluir lo básico, como qué datos recaban, para qué los usarán y cómo ejercer tus derechos. Así, aunque sea corto, tienes manera de enterarte de todo.
- Art. 33El artículo 33 dice que el aviso de privacidad simplificado (el resumen corto que te dan sobre cómo usan tus datos personales) debe incluir, como mínimo, cuatro puntos clave: quién es el responsable de tus datos, cómo ejercer tus derechos (como pedir que borren tu información), si pueden compartir tus datos y cómo obtener el aviso completo. Esto aplica en lugar de tener que darte antes toda la información larga y detallada. En pocas palabras, el aviso simplificado solo necesita tener lo más importante para que entiendas rápido.
- Art. 34El Artículo 34 dice que en algunos casos no es obligatorio avisarle a la persona antes de usar sus datos personales. Esto pasa cuando: (1) una ley ya lo permite, (2) los datos se obtienen de otra fuente y no directamente de la persona (como cuando compras una lista de contactos), (3) hay una emergencia médica o de seguridad donde está en riesgo la vida o la libertad de alguien, o (4) es imposible avisarle directamente o sería demasiado difícil y caro. En este último caso, la empresa o institución que maneje los datos debe usar medidas como anuncios públicos para informar. Si los datos se obtuvieron de manera indirecta y se van a usar para algo diferente a lo original, la empresa tiene hasta tres meses desde que registra los datos para avisarte, a menos que ya te haya informado quien te los vendió o pasó. Si se usan para un propósito parecido al original, aplica la misma regla de los tres meses para darte el aviso.
- Art. 35Cada oficina o institución del gobierno (llamada "sujeto obligado") tiene la responsabilidad de decidir si crea, cambia o elimina sus propias bases de datos donde guarda información personal de la gente. Para tomar esa decisión, lo tienen que hacer a través de su jefe, el área encargada o el Comité de Transparencia (el grupo que vigila el manejo de datos). Además, cuando creen una nueva base de datos, deben emitir un documento oficial que explique qué información es confidencial (privada) y cuál no, siguiendo las reglas de la Ley de Transparencia. Ese documento solo se puede modificar si el administrador de la base propone cambios por razones de corrección o prevención.
- Art. 36Este artículo dice cómo se deben manejar los sistemas de datos personales (archivos con información tuya). La institución que guarde tus datos debe avisarle al Instituto Nacional de Transparencia (INAI) si crea, cambia o borra esos archivos. Si se eliminan, deben decir qué pasa con tu información o cómo la destruirán. Se pueden guardar algunos datos si se quita tu identidad (disociación) para usarlos en estadísticas o historia. Tienen un plazo máximo de seis meses para registrar estos sistemas después de empezar a usar tus datos.
- Art. 37Las oficinas o dependencias del gobierno (llamadas "sujetos obligados") deben avisarle al Instituto sobre cualquier base de datos personales que tengan. Al hacerlo, tienen que dar detalles bien específicos, como quién es el responsable, cómo se llama el sistema, para qué van a usar tus datos, de dónde los sacaron y cuánto tiempo los guardarán. También deben decir a quién se los pasan si los comparten, cómo se relaciona la información, dónde puedes ir a pedir ver, corregir o borrar tus datos (derechos ARCO), y si hubo alguna filtración o accidente. Toda esa información se publica en el portal del Instituto y se actualiza dos veces al año, en enero y en julio.
- Art. 38Este artículo dice que cualquier persona o empresa que tenga tus datos personales está obligada a cuidarlos. Sin importar cómo los guarde o los use, debe tener medidas de seguridad para que tu información no se pierda, se dañe o sea robada. También debe evitar que alguien no autorizado los vea, los use o los comparta. Todo esto lo tiene que hacer siguiendo las reglas que indiquen las autoridades.
- Art. 39Tienes que cuidar los datos de las personas que te los dan, como si fueran un secreto. Para eso, debes usar herramientas (como programas de computadora) y reglas internas que los protejan de riesgos como robos o pérdidas. Por ejemplo, debes asegurarte de que nadie los vea sin permiso (confidencialidad), que no los modifiquen (integridad) y que estén disponibles cuando se necesiten (disponibilidad). También puedes borrar datos que identifiquen a la persona (anonimizarlos) o codificarlos (cifrarlos) para mayor seguridad. Además, tienes que tener un plan para recuperar rápido la información si algo sale mal, y revisar periódicamente que todas tus medidas de protección funcionen bien.
- Art. 40Este artículo dice que los datos personales que guardan las autoridades o empresas solo pueden ser vistos o usados por personas autorizadas para hacerlo. Nadie más tiene derecho a conocerlos, ni siquiera después de que ya se haya cumplido el motivo por el que se pidieron. Quienes tienen acceso a esta información deben guardar el secreto absoluto y no pueden compartirla. Si alguien viola esta regla, puede enfrentar sanciones administrativas, y también demandas penales o civiles. La autoridad debe poner controles para asegurarse de que todos los que manejan los datos cumplan con esta obligación de confidencialidad.
- Art. 41El deber de integridad significa que nadie puede cambiar tus datos personales sin permiso, como si alguien modificara tu dirección en un archivo sin que tú lo sepas. La disponibilidad quiere decir que tú o las personas autorizadas puedan ver y usar esos datos cuando los necesiten, como acceder a tu historial médico en una cita. Las medidas de seguridad para proteger tus datos se combinan con las reglas que ya existen para cuidar documentos y archivos importantes. También se establece que los datos deben ser auténticos (que sean reales), que no se pueda negar su uso (no repudio), y que sean confiables (que puedas confiar en que están correctos).
- Art. 42El artículo dice que los datos personales deben cumplir con tres cualidades. La *autenticidad* significa que la información es verdadera y no está alterada. El *no repudio* es que puedas comprobar que alguien o algún sistema realizó una acción con tus datos (como pedirlos o modificarlos). La *confiabilidad* es que los datos funcionen bien y den los resultados que se esperan. Además, para aplicar estas medidas se deben seguir las reglas de la Ley de Gobierno Digital del Estado de México.
- Art. 43Este artículo dice que las reglas básicas de seguridad para proteger tus datos personales son solo el punto de partida mínimo. La empresa o dependencia que tenga tu información (el "sujeto obligado") tiene que poner medidas extra si cree que son necesarias para cuidar mejor tus datos. Además, todo lo que hagan para protegerlos se mantiene en secreto, y solo le avisarán al Instituto que revisa esto (el Instituto de Transparencia) qué tan fuerte es su seguridad. También debe haber un encargado o administrador responsable directo de cuidar esa base de datos, y si algo cambia en esa información de seguridad, tienen que avisar al Instituto dentro de los 30 días hábiles siguientes.
- Art. 44El artículo 44 habla sobre cómo una persona o empresa que maneje tus datos personales (llamada "responsable") debe protegerlos. Básicamente, dice que tienen que poner medidas de seguridad, que se dividen en dos grupos: los **tipos de seguridad** (física, lógica, de desarrollo, de cifrado y de comunicaciones) y los **niveles de seguridad** (básico, medio y alto). Las medidas **físicas** son para cuidar los lugares y equipos donde guardan tus datos (como cerrar con llave los servidores). Las **lógicas** son para que solo el personal autorizado pueda acceder a tu información, con contraseñas o claves. Las **de desarrollo** son los permisos que se dan al crear sistemas con datos personales, asegurándose de que se haga de forma correcta y controlada. Las de **cifrado** usan códigos secretos (como contraseñas especiales) para que la información no se entienda si alguien no autorizado la ve. Y las de **comunicaciones y redes** son reglas técnicas para que nadie entre a los sistemas por internet sin permiso. En cuanto a los **niveles**, el **básico** aplica para todos los datos y obliga a tener cosas como un documento de seguridad y respaldos de la información. El **medio** se usa para datos más delicados (como deudas o problemas administrativos) y pide tener un encargado de seguridad y auditorías. El **alto** es para datos muy sensibles, como tu religión, salud o creencias políticas, y exige las medidas más estrictas para protegerlos.
- Art. 45Cuando una empresa o institución cuida tus datos personales, tiene que pensar en varios factores para protegerlos. Primero, debe considerar qué tan riesgosos son esos datos y si son sensibles, como tu salud o tu información financiera. También tiene que tomar en cuenta la tecnología más reciente que pueda usar para resguardarlos, y qué pasaría si alguien no autorizado los obtiene. Además, debe evaluar cuántas personas están involucradas, si se comparten los datos con otros, y si ha habido problemas de seguridad antes. Todo esto ayuda a decidir qué medidas tomar para que tu información no caiga en malas manos.
- Art. 46Este artículo dice que las empresas o personas que manejan tus datos personales tienen la obligación de hacer varias cosas para protegerlos. Primero, deben crear reglas internas claras sobre cómo usarán tu información, desde que la obtienen hasta que la borran. También tienen que definir qué empleados pueden acceder a tus datos, hacer una lista de toda la información que tienen sobre ti y analizar los riesgos de que alguien la robe o la pierda. Además, deben revisar si les faltan medidas de seguridad, hacer un plan para mejorar, capacitar a su personal y monitorear constantemente que todo esté protegido. En pocas palabras, la ley exige que quien tiene tus datos los cuide como si fueran suyos, con planes y supervisiones continuas.
- Art. 47El artículo 47 dice que todas las acciones que se tomen para proteger tus datos personales deben estar anotadas y organizadas en un sistema de gestión. Ese sistema no es más que un conjunto de pasos y herramientas que la empresa o institución usa para planear, poner en práctica, revisar y mejorar cómo cuida tu información, siempre siguiendo la ley. Además, esto significa que tienen la obligación de crear y mantener un Documento de Seguridad, que es como un manual donde se registra todo lo que hacen para proteger tus datos.
- Art. 48Los gobiernos y oficinas públicas tienen que hacer un documento con las medidas de seguridad para proteger tus datos personales. Ese documento debe seguir las leyes locales y estándares internacionales. Todos los que manejen tu información, ya sean empleados o responsables, están obligados a cumplirlo. Pueden hacer un solo documento para todos sus sistemas de datos, uno por área, o una combinación.
- Art. 49Este artículo dice que cualquier empresa o institución que tenga tus datos personales debe tener un documento llamado "documento de seguridad". En ese documento, tiene que anotar, por lo menos, el nombre de cada sistema donde guarda tus datos, quién es el encargado de cuidarlos y qué obligaciones tiene cada persona que los maneja. También debe incluir un inventario detallado de qué tipo de datos tuyos tiene, cómo están guardados (en papel, en computadora) y en qué lugar físico los resguarda. Además, debe describir todas las medidas de seguridad que usa para proteger tu información. Eso incluye desde cómo controla quién entra a las instalaciones, cómo hace respaldos de tus datos, qué plan tiene para emergencias, hasta cómo capacita a su personal y cómo borra tus datos de forma segura cuando ya no los necesita. Todo esto debe estar por escrito y actualizarse cada cierto tiempo.
- Art. 50Este artículo dice que la persona o empresa encargada de tus datos (el "responsable") debe checar y actualizar su documento de seguridad cada cierto tiempo o cuando pase algo como: 1. Si cambia la forma en que usan tus datos personales y eso hace que el riesgo para tu privacidad sea mayor. 2. Cuando, por mejorar su sistema de protección de datos, se den cuenta de que hay cosas que ajustar. 3. Después de que haya ocurrido un accidente o fuga de datos para evitar que vuelva a pasar. 4. Cuando tengan que aplicar medidas para arreglar o prevenir una violación a la seguridad de tus datos.
- Art. 51Si alguien vulnera o se mete sin permiso a los datos personales que tienes guardados, la persona o empresa responsable (el "responsable") debe activar su plan de emergencia para tapar el problema. Después del incidente y mientras se siguen viendo los efectos, el responsable tiene que investigar por qué pasó y tomar medidas para que no vuelva a ocurrir, como mejorar la seguridad o cambiar cómo maneja tus datos. Esto aplica cuando hay accesos no autorizados, robos, pérdidas o usos indebidos de tu información personal.
- Art. 52Este artículo dice que hay varias formas en las que se considera que tus datos personales están en peligro, sin importar en qué parte del proceso se encuentren (cuando los guardan, usan o borran). Las principales situaciones de riesgo son: que pierdan o roben tus datos (como una computadora con tu información), que los copien o destruyan sin permiso, que los usen para algo que no autorizaste, o que los modifiquen sin tu consentimiento. Todas estas acciones son ilegales y quien esté a cargo de tus datos debe llevar un registro de estos incidentes, llamado bitácora de violaciones de seguridad. Esto aplica para cualquier institución del gobierno del Estado de México y sus municipios que tenga tu información.
- Art. 53El artículo dice que la persona o empresa que maneja tus datos personales (el "responsable") tiene que llevar un registro o diario (una "bitácora") de cuando alguien viole la seguridad de esa información. En ese registro debe anotar qué pasó, en qué fecha ocurrió, por qué sucedió y qué medidas tomó para arreglarlo de inmediato y para siempre. Puede llevar ese registro junto con el de otros incidentes o por separado. Básicamente, es como llevar un cuaderno de apuntes para no perder detalle de cualquier problema de seguridad con tus datos.
- Art. 54Si alguien se mete a la base de datos de una empresa o institución y se roba o expone tus datos personales de manera grave (por ejemplo, que afecte tu dinero o tu privacidad), esa empresa debe avisarte a ti y al INAI (el Instituto que vigila esto) lo más rápido posible, en un máximo de 72 horas después de confirmar el problema. Además, la empresa tiene que hacer una revisión completa para ver qué tan grave fue el daño, para que tú puedas defender tus derechos. Si el que manejaba tus datos era un proveedor externo y no la empresa directamente, ese proveedor debe avisar a la empresa de inmediato para que ella sea quien te notifique a ti. En otros casos menos graves, la empresa solo tiene que anotar el incidente en su bitácora para aprender de él y mejorar sus medidas de seguridad.
- Art. 55Si una empresa pierde o expone tus datos personales (como tu nombre, dirección o número de teléfono), está obligada a avisarte. En ese aviso debe decirte qué fue lo que pasó, qué datos tuyos se vieron afectados y cómo puedes protegerte (por ejemplo, cambiando contraseñas). También tiene que contarte qué medidas tomó para arreglar el problema y dónde puedes pedir más información.
- Art. 56El encargado de manejar tus datos personales solo puede hacer lo que le ordene la persona o empresa responsable de ellos, sin poder tomar decisiones por su cuenta. Su trabajo se limita a seguir las instrucciones exactas que le dé el responsable, como en qué términos y de qué manera debe informar sobre el tratamiento de esa información. Si el encargado no cumple con las reglas, él mismo tendrá que asumir la responsabilidad por los problemas que genere.
- Art. 57Imagina que le pides a un amigo que guarde tus cosas y te promete seguir tus instrucciones. Si él decide hacer lo que quiera con tus datos sin preguntarte, entonces se vuelve el jefe de esos datos, como si fueran suyos, y tiene que responder ante la ley por cualquier problema que cause. Además, si hay un escape de información o alguien vulnera la seguridad porque él no siguió tus indicaciones, él es el único responsable de ese desastre. Todo esto significa que la relación entre tú y quien maneja tus datos debe quedar por escrito, con reglas claras, para que no haya confusiones.
- Art. 58El artículo 58 dice que, cuando una empresa (el responsable) contrata a alguien más (el encargado) para manejar datos personales de clientes, deben firmar un contrato donde se dejen claras las reglas. Ese contrato tiene que incluir, por lo menos, estos puntos: el encargado solo usará los datos para lo que el responsable le indique, no para otros fines; debe cuidar los datos según su nivel de importancia; tiene que aplicar medidas de seguridad; si hay una filtración o problema, debe avisar al responsable de inmediato; debe guardar secreto sobre los datos; al terminar el servicio, debe borrar o devolver los datos, a menos que una ley diga lo contrario; no puede compartir los datos con otros sin permiso del responsable, excepto si una autoridad se lo exige; y deben acordar quién paga las consecuencias si se usan mal los datos. Además, todo lo que acuerden debe estar dentro de lo que marca la ley de protección de datos y el aviso de privacidad que ya conocen los clientes.
- Art. 59El encargado (la persona o empresa que maneja tus datos por orden del responsable) puede contratar a alguien más para que le ayude, pero solo si el responsable (quien decide para qué se usan tus datos) le da permiso por escrito. Ese tercero también tendrá las mismas obligaciones de proteger tus datos. Si desde el principio el contrato entre el responsable y el encargado ya dice que se puede subcontratar, ese permiso ya está dado. El subcontratado debe tener experiencia y capacidad para hacer bien su trabajo. Una vez que el responsable dé el sí, el encargado debe firmar un contrato con el subcontratado y avisarle al responsable, entregándole una copia de ese acuerdo.
- Art. 60Si tú manejas datos personales, puedes contratar servicios en la nube siempre que la empresa que los ofrezca cumpla con las mismas reglas de protección de datos que marca esta ley. Para asegurarte, debes poner por escrito, en un contrato o documento legal, qué puede hacer ese proveedor con la información de las personas. El objetivo es que tus datos queden igual de protegidos que si los manejara tu propio negocio.
- Art. 61Este artículo aplica cuando una empresa o institución (el responsable) guarda tus datos en servicios de internet, como el almacenamiento en la nube. Solo puede contratar un proveedor que cumpla con estas reglas: debe tener políticas claras para proteger tu información, ser transparente si contrata a otras empresas para manejar tus datos, no puede quedarse con la propiedad de tu información y debe mantenerla en secreto. Además, el proveedor debe avisar si cambia sus condiciones, permitir limitar cómo se usan tus datos, tener medidas de seguridad, borrar tu información cuando termine el servicio y evitar que personas no autorizadas la vean. En resumen, el responsable no puede usar servicios que no protejan tus datos como lo marca la ley.
- Art. 62Este artículo habla sobre cómo se pueden compartir tus datos personales (como tu nombre, dirección o correo) entre diferentes personas u organizaciones. En general, para que alguien pueda pasar tus datos a otra persona o empresa, necesita tu permiso explícito, que puedes dar con tu firma de puño y letra, con una firma electrónica o con un sello digital. Hay algunas excepciones donde no se necesita tu permiso, por ejemplo, cuando los datos se comparten entre diferentes áreas de una misma institución para hacer su trabajo. Si se comparten tus datos sin pedirte permiso, la organización que los entrega debe avisarte para que puedas exigir tus derechos (como corregir o borrar tu información) ante quien los recibe. Tampoco se considera como compartir tus datos cuando una autoridad solo "remite" o envía información a otra, como parte de sus funciones, y en esos casos no te tienen que avisar ni pedir tu consentimiento. Finalmente, la institución que maneja tus datos puede poner medidas de seguridad para saber quién usó la información y en caso de algún problema, poder demostrar quién fue el responsable.
- Art. 63Cuando una empresa o institución quiera compartir tus datos personales con otra, debe firmar un contrato o acuerdo donde se explique claramente para qué usará tu información y quién se hace responsable si algo sale mal. Pero hay dos casos donde no necesitan hacer ese trámite: Primero, si el intercambio de datos es dentro de México y está ordenado por una ley, o si es parte de las funciones que ya tiene esa institución. Segundo, si es un intercambio con otro país y está previsto en un tratado firmado por México, o si lo pide una autoridad extranjera con facultades similares.
- Art. 64El responsable de tus datos (la persona o empresa que los guarda) solo puede enviarlos a otro país si sigue las reglas de la Ley General. Además, quien recibe tus datos en el extranjero tiene que aceptar el aviso de privacidad, es decir, debe estar de acuerdo en cuidarlos igual que aquí. Esto asegura que tu información esté protegida incluso si sale de México.
- Art. 65Cuando una empresa o persona (el "responsable") pase tus datos personales a otra empresa (el "destinatario"), debe primero darle a esa otra empresa una copia del aviso de privacidad que te entregó a ti. El aviso de privacidad es ese documento que te dice para qué van a usar tus datos y cómo los cuidan. Si la transferencia de tus datos es dentro de México, la empresa que los recibe tiene que comprometerse por escrito a mantenerlos en secreto y solo usarlos para lo que se acordó en el aviso de privacidad. La empresa que te pidió tus datos debe poder comprobar que le pasó ese aviso a la otra empresa; si lo hace, se da por hecho que la receptora ya sabe y acepta las reglas. En algunos casos no se necesita pedir tu permiso expreso (como cuando la ley lo exige o es para tu salud), pero eso no significa que puedan hacer lo que quieran: igual deben cuidar tus datos.
- Art. 66La empresa o persona que tiene tus datos (el "responsable") puede compartirlos con otros sin pedirte permiso en estos casos: 1. Cuando una ley, tratado internacional o acuerdo lo exija. 2. Si lo usan para el mismo propósito que tú diste tus datos, o uno parecido. 3. Para investigar delitos o ayudar a la justicia (como cuando una autoridad lo pide legalmente). 4. Si una autoridad lo necesita para que puedas defender tus derechos. 5. Para emergencias médicas, diagnóstico o tratamiento, si se comprueba que es necesario. 6. Cuando sea necesario para cumplir un contrato o relación legal que tengas con ellos. 7. Si un contrato hecho a tu favor (como un seguro) necesita compartir tus datos. 8. En los casos donde la ley ya permite tratar tus datos sin tu consentimiento, como los que están en otro artículo. 9. Por razones de seguridad pública, como prevenir delitos graves. Aunque no te pidan permiso, siguen obligados a cuidar tus datos y cumplir con las reglas de protección.
- Art. 67Este artículo habla de cuando una autoridad (como un juez o un ministerio) te pide tus datos personales de forma urgente o para aplicarte una multa o sanción. La persona o empresa que cuida tus datos (el "responsable") tiene que checar que la autoridad que los pide realmente tenga derecho a pedirlos; si no, la autoridad es la que se hace responsable si tus datos se filtran o se usan mal. Si los datos son "sensibles" (como tu salud, religión o ideas políticas), el responsable debe avisarte en un plazo de 5 días después de haberlos entregado. Cuando los datos se mandan a personas o instituciones de otros estados o países, quien los transfiere debe seguir las leyes correspondientes y asegurarse de que el destino tenga la misma protección. Para evaluar si el otro país o entidad es seguro, se toma en cuenta cosas como: que respete los derechos humanos, que tenga leyes de protección de datos, que te dé derecho a defenderte si algo sale mal, que haya una autoridad que vigile el cumplimiento, y los acuerdos internacionales que haya firmado.
- Art. 68El artículo 68 dice que las empresas o personas que manejan tus datos personales (como tu nombre, dirección o correo) pueden crear o adoptar sus propias reglas o métodos para proteger mejor esa información. Pueden hacerlo solos o en equipo con otras empresas, organizaciones o proveedores de servicios. El objetivo es que esos métodos ayuden a cuidar más tus datos, que sea más fácil para ti ejercer tus derechos ARCO (acceder, corregir, cancelar u oponerte al uso de tus datos), y que cumplan con lo que dice la ley. También pueden usar estos esquemas para demostrarle al Instituto Nacional de Transparencia (INAI) que están cumpliendo con las reglas de protección de datos. En pocas palabras, es como una guía voluntaria que pueden seguir para hacer las cosas bien y de manera más segura con tu información.
- Art. 69Si quieres que el Instituto reconozca un plan de buenas prácticas que propones, primero debes cumplir con las reglas que el Instituto indique (según los criterios del Sistema Nacional). Además, tienes que avisar formalmente al Instituto para que lo evalúe y, si todo está bien, lo apruebe y lo anote en un registro especial. El Instituto va a publicar las reglas para manejar esos registros donde se guardan los planes aprobados. También puede inscribir tu plan en otro registro que maneja el Instituto Nacional, siguiendo las reglas que este último ponga.
- Art. 70Si una persona o autoridad responsable quiere poner en marcha o cambiar un programa, sistema informático, aplicación o tecnología que maneje muchos datos personales de la gente, primero debe hacer un estudio de riesgos, llamado Evaluación de Impacto, para ver cómo esos datos podrían verse afectados. Después de hacer ese estudio, debe entregarlo al Instituto de Transparencia, que puede dar consejos sobre cómo proteger mejor los datos, aunque esos consejos no son obligatorios. El Instituto decide cómo debe ser ese estudio, siguiendo las reglas que ponga el Sistema Nacional de Transparencia. Esto aplica cuando el tratamiento de datos personales es muy fuerte o importante, como usar información de mucha gente o datos sensibles.
- Art. 71El artículo dice que, según esta ley, un uso de tus datos personales se considera "intensivo o importante" si ocurre cualquiera de estas tres cosas: primero, que haya riesgos por el tipo de datos que se manejan; segundo, que se usen datos sensibles (como tu salud, religión o preferencias sexuales); y tercero, que se compartan tus datos con otras empresas o personas. También pueden entrar en esta categoría otros casos que se definan después en reglas extra.
- Art. 72El Sistema Nacional (el grupo que vigila cómo se manejan tus datos personales) puede sacar nuevas reglas basadas en cosas medibles para decidir si un uso de tus datos es muy intenso o importante. Estas reglas toman en cuenta el número de personas afectadas, a quién va dirigido el tratamiento, el tipo de tecnología que usan y qué tan relevante es ese uso para la sociedad, la economía o el interés público. Si entras en estos casos, ellos pueden pedirte que solicites una evaluación sobre cómo protegen tus datos, aunque aquí no se dice el plazo exacto para hacerlo.
- Art. 73Cuando uses datos de otras personas en un proyecto nuevo, como una app o un sistema, debes avisarle al Instituto antes de lanzarlo. Tienes que entregarles un análisis de riesgos llamado Evaluación de Impacto, con 30 días de anticipación. El Instituto revisará tu documento y te dará sugerencias, pero no está obligado a que las sigas al pie de la letra.
- Art. 74El Instituto (que es la autoridad encargada de proteger tus datos personales) puede darte sugerencias sobre el estudio que hiciste para evaluar los riesgos de usar datos personales, pero esas sugerencias no te obligan a seguirlas. Tiene hasta 30 días después de que entregues ese estudio para darte sus recomendaciones. Si no tienes que hacer ese estudio porque aplica alguna excepción, entonces el Instituto tampoco tiene que darte sugerencias. En pocas palabras: si presentas un análisis de privacidad, el Instituto puede opinar sin obligarte, y si no lo necesitas, todo queda más simple.
- Art. 75Este artículo dice que cuando una dependencia de gobierno esté por poner en marcha o cambiar algún sistema, aplicación o política que maneje muchos datos personales, normalmente tendría que hacer primero un análisis de riesgos, llamado evaluación de impacto. Pero si esa evaluación pudiera echar a perder los resultados que se buscan, o si se trata de una emergencia o algo urgente, entonces ya no es obligatorio hacer ese análisis. O sea, se pueden saltar ese paso para no entorpecer el trabajo, sobre todo en temas de seguridad pública o justicia.
- Art. 76Este artículo dice que las autoridades de seguridad, policías, fiscales y jueces pueden usar tus datos personales sin pedirte permiso, pero solo cuando sea estrictamente necesario para hacer su trabajo, como prevenir o investigar delitos. Tampoco pueden agarrar cualquier información, solo la que sea útil y no exagerada para lo que necesitan. Además, esos datos deben guardarse en sistemas especiales y seguros que ya están designados para eso. Si una empresa o persona particular te pide datos por obligación de la ley y las autoridades los usan, también tienen que seguir las mismas reglas de protección que aquí se mencionan.
- Art. 77Los policías, fiscales y jueces que manejen tus datos personales deben cuidarlos siguiendo las reglas de esta ley. Tus comunicaciones privadas (llamadas, mensajes, correos) no pueden ser espiadas, solo un juez federal puede autorizarlo si un ministerio público o autoridad federal lo pide. Esto aplica solo para investigaciones muy específicas que permite la ley.
- Art. 78Las personas o instituciones de seguridad pública que manejan tus datos personales deben poner candados muy fuertes para cuidar tu información. Es decir, tienen que asegurarse de que tus datos no se pierdan, se dañen, los borren, los cambien o alguien los use sin permiso. También deben garantizar que los datos estén completos, disponibles cuando se necesiten y que solo los vean quienes tienen autorización. En pocas palabras, deben proteger tu información como si fuera un tesoro.
- Art. 79Las autoridades de seguridad pública del Estado de México tienen bases de datos con información personal de la gente, como nombre o domicilio. Esa información no es libre ni secreta, sino que debe protegerse igual que cualquier otro dato personal que esté en manos del gobierno. Esto significa que deben cumplir con las reglas de protección de datos que marca la ley mexicana y la del Estado de México. En pocas palabras, aunque sea información de seguridad pública, tus datos personales siguen estando protegidos por la ley.
- Art. 80El Sistema Nacional funciona como lo dice la Ley General de Transparencia, que es la regla principal sobre acceso a la información. El Instituto (que es la autoridad encargada de vigilar esto) es parte de ese Sistema, pero solo en los asuntos que le tocan según su trabajo. Todo lo que haga debe seguir lo que marcan tanto la Ley General como esta Ley del Estado de México. En otras palabras, el Instituto no actúa solo, sino coordinado con el sistema más grande, pero respetando sus límites.
- Art. 81El Instituto es la oficina del gobierno que se encarga de cuidar que tus datos personales estén seguros cuando están en manos de instituciones públicas. Su trabajo es asegurarse de que se cumpla la ley para proteger tu información. Para lograrlo, tiene la autoridad para aplicar las reglas y normas que ya existen sobre el tema. En pocas palabras, es como el vigilante que revisa que nadie use mal tus datos.
- Art. 82El Instituto (que es la autoridad encargada de proteger tus datos personales) tiene varias facultades importantes. Puede aclarar dudas sobre cómo se aplica esta ley, y también orientarte y asesorarte si quieres hacer una solicitud relacionada con tus datos. Si presentas una queja porque no te resolvieron bien tu solicitud, el Instituto puede revisarla y tomar una decisión al respecto. Además, puede pedir apoyo al Instituto Nacional cuando el caso sea muy importante, y firmar acuerdos de colaboración con otras autoridades. También se encarga de crear los formatos para que puedas solicitar acceso, corregir, cancelar u oponerte al uso de tus datos personales, y de vigilar que las dependencias y municipios cumplan con la ley.
- Art. 83Si tú trabajas con datos personales (por ejemplo, como responsable o encargado), tienes la obligación de dejar que los inspectores del Instituto de Transparencia entren a revisar tus documentos técnicos y administrativos. Esto lo hacen para verificar que estás cumpliendo con la ley de protección de datos. Es como cuando un auditor revisa tus papeles para asegurarse de que todo está en orden. También deben informar de esto al Congreso del Estado de México.
- Art. 84El Instituto debe entregar cada año un informe detallado sobre cómo se protegen los datos personales en el Estado de México. Ese informe tiene que incluir cuántas solicitudes de acceso a datos personales recibieron las dependencias, cuánto tardaron en responder, y qué pasó con cada una. También debe reportar las visitas de verificación que hizo, las actividades que realizó, y los problemas que encontró para que se cumpla la ley. Para esto, el Instituto puede crear las reglas que hagan falta.
- Art. 85El Instituto (que es el organismo encargado de proteger los datos personales) puede hacer equipo con otras autoridades parecidas, tanto de México como del extranjero, y también con grupos de expertos en el tema. Esto lo hace para compartir información, consejos, experiencias y las mejores formas de trabajar, además de ponerse de acuerdo en cómo ayudar a proteger los datos de los mexicanos. Pero solo puede hacerlo si no pone en riesgo la seguridad del país ni afecta sus tratos con otras naciones. También, el Instituto debe participar en el Programa Nacional y sumarse al Programa de Cultura sobre este tema.
- Art. 86El Instituto tiene que participar en las fechas y condiciones que ponga el Sistema Nacional en el Programa Nacional. El Programa de Cultura debe incluir los puntos necesarios, aunque aquí no se dicen cuáles son.
- Art. 87El Instituto encargado de proteger tus datos personales debe incluir en su programa principal acciones como enseñar a la gente del Estado de México sobre el cuidado de su información, y motivar a que ejerzan sus derechos a ver, corregir, cancelar u oponerse al uso de sus datos. También tiene que capacitar a las autoridades y escuelas para que incluyan estos temas en planes de estudio, libros y actividades, desde primaria hasta universidad, y así todos aprendan a respetar la privacidad. Además, debe promover talleres y pláticas en coordinación con otros gobiernos, bibliotecas y centros comunitarios, especialmente para sectores vulnerables, y ayudar a que cualquier persona entienda cómo pedir cambios o eliminar sus datos según su contexto.
- Art. 88Cuando un tribunal ya no puede cambiar su decisión sobre una queja o recurso, el Instituto puede publicar una explicación de cómo se debe interpretar la ley en casos parecidos. Esta explicación solo puede basarse en lo que ya resolvieron, y debe seguir lo que dice la Ley General, la Ley de Transparencia y otras reglas aplicables. En pocas palabras, el Instituto puede aclarar cómo aplicar la ley después de tener un caso firme.
- Art. 89El Instituto tiene la obligación de darte asesoría y orientación sobre cómo proteger tus datos personales cuando estén en manos de dependencias del gobierno estatal o municipal. Puedes pedir esta ayuda por teléfono, a través del Centro de Atención Telefónica, o por cualquier otro medio que establezca la Ley de Transparencia. En pocas palabras, si tienes dudas sobre el manejo de tu información personal por parte de alguna autoridad, puedes llamar para que te expliquen cómo defender tus derechos.
- Art. 90Cada dependencia u organismo debe tener una Unidad de Transparencia, que es como la ventanilla única encargada de atender todo lo relacionado con tu privacidad. Esta unidad te ayuda a ejercer tus derechos ARCO (Acceder, Rectificar, Cancelar u Oponerte al uso de tus datos) y solo entrega tu información a ti o a alguien que autorices. También te avisa cuánto cuesta sacar copias o enviar tus datos si aplica, y propone mejoras para que el trámite sea más rápido. Además, puede hacer convenios para atenderte en lenguas indígenas, braille u otros formatos accesibles. El encargado de esta unidad se nombra según lo que marca la Ley de Transparencia.
- Art. 91Las empresas o instituciones que manejen muchos datos personales de la gente, como nombres, direcciones o información sensible, deben nombrar a un encargado especial llamado Oficial de Protección de Datos Personales. Este oficial debe ser un experto en el tema y se encargará de vigilar que se cuide bien la privacidad de la información. Además, formará parte del equipo que atiende las solicitudes de los ciudadanos sobre sus datos, como la Unidad de Transparencia. Si una empresa no maneja muchos datos, puede decidir por su cuenta si necesita o no tener a este oficial.
- Art. 92La persona encargada de proteger tus datos personales en el gobierno debe tener estudios y preparación para hacer bien su chamba. Necesita tener un puesto lo suficientemente alto dentro de la organización para crear reglas que se apliquen en toda la institución. Además, debe tener un certificado oficial del Instituto que lo acredite como experto en el tema y al menos un año de experiencia comprobable en protección de datos personales.
- Art. 93El responsable (la persona o empresa que usa tus datos) debe asegurarse de que las personas con alguna discapacidad o que estén en situaciones difíciles puedan proteger su información personal igual que los demás. Para lograrlo, el responsable tiene que hacer cambios necesarios y accesibles, como explicar las cosas de forma más clara o adaptar los trámites. Estos ajustes deben seguir lo que dice la Ley de Transparencia. Además, el Comité de Transparencia es el grupo encargado de vigilar que todo esto se cumpla.
- Art. 94Todas las dependencias del gobierno, empresas públicas y otras organizaciones que manejan tu información personal deben formar un equipo especial llamado Comité de Transparencia. Este comité es el jefe máximo en todo lo relacionado con proteger tus datos personales, como tu nombre, dirección o salud. Sus funciones principales son: asegurarse de que cuiden bien tu información, resolver si aceptan o no tus solicitudes para ver, corregir, cancelar u oponerte al uso de tus datos (los llamados derechos ARCO), y supervisar que se cumplan las medidas de seguridad. También ayudan a capacitar a los empleados públicos en estos temas. Si este comité descubre que alguien está usando tus datos de manera incorrecta o ilegal, debe reportarlo al área de control interno de la misma organización para que investiguen. Además, pueden proponer ideas para que todos aprendamos más sobre la importancia de proteger nuestra información privada.
- Art. 95El artículo dice que, por lo general, el administrador es el principal encargado de cumplir con la ley de protección de datos personales. Sin embargo, si los jefes de áreas, los encargados del manejo de datos o cualquier otra autoridad toman decisiones sobre cómo se usan esos datos, también pueden ser considerados responsables. Esto significa que todos pueden compartir la culpa si algo sale mal, así que no solo le toca al administrador. En corto, todos los que meten mano en los datos personales tienen que cuidarlos o pueden meterse en problemas juntos.
- Art. 96El artículo dice que la persona o área encargada de la seguridad de tus datos debe hacer varias cosas para protegerlos, como vigilar que se cumplan las medidas que ya existen, establecer reglas para el manejo de la información y capacitar al personal. También tiene que llevar un control de quién accede a los datos, hacer copias de respaldo y reportar cualquier incidente de seguridad al instituto correspondiente y a los dueños de los datos (los titulares). Para ser designado en este puesto, lo ideal es que la persona tenga experiencia en temas como administración, seguridad de la información o gestión de documentos. Derechos ARCO significa que tú puedes pedir que te digan qué datos tienen tuyos (Acceso), que los corrijan si están mal (Rectificación), que los borren (Cancelación) o que dejen de usarlos (Oposición).
- Art. 97Tienes derecho a pedir que te muestren los datos personales que tienen sobre ti, y a corregirlos, borrarlos o rechazar que los usen. Cada uno de estos derechos funciona por su cuenta, no necesitas hacer uno para poder hacer otro. Para ejercerlos, solo necesitas comprobar quién eres, tú o la persona que te representa legalmente. Si pides ver tus datos, eso no puede afectar los derechos de otras personas. Estos derechos son una herramienta básica para proteger tu información personal.
- Art. 98Tienes derecho a saber qué información tuya tiene el gobierno o cualquier institución, y a pedir que te expliquen de dónde la sacaron, para qué la usan, con quién la comparten y cuáles son las reglas bajo las que la manejan. También puedes exigir que te muestren el aviso de privacidad que aplican a tus datos. La institución está obligada a responderte aunque no tenga datos tuyos, solo para confirmarte que no tiene nada. Además, si los datos que tienen sobre ti son incorrectos o están desactualizados, puedes pedir que los corrijan o actualicen.
- Art. 99Tienes derecho a pedir que corrijan tus datos personales si están mal, incompletos, viejos, no son adecuados o son demasiados. Quien maneja tu información decide si es imposible o muy difícil hacer el cambio, siguiendo las reglas del Instituto de Transparencia. Ellos también pueden corregir los datos de oficio, o sea, sin que se los pidas, si ya tienen documentos que comprueben el error. Si antes de la corrección ya habían pasado tu información a otra persona o empresa, deben avisarles para que también la arreglen.
- Art. 100Tienes el derecho de pedir que borren tus datos personales de los archivos de quien los tenga, para que ya no los use ni los guarde. Cuando pidas la cancelación, esa persona o empresa no borrará tus datos de inmediato; primero los bloqueará, es decir, los dejará guardados pero sin poder usarlos, por el tiempo que marquen las reglas de archivo. Si antes de que tú pidieras la cancelación ya habían compartido tus datos con otra persona o empresa, tendrán que avisarle a esa otra parte para que también los borre. El bloqueo significa que tus datos se ponen en un tiempo de espera antes de eliminarlos por completo, solo por obligaciones legales.
- Art. 101Cuando tú pides cancelar tus datos personales, la dependencia ya no los puede usar, pero los guarda por si surge alguna responsabilidad, hasta que pase el tiempo que marca la ley o el contrato. Durante ese tiempo, esos datos no se pueden usar para nada. Una vez que pasa el plazo, entonces sí se borran por completo. También la autoridad puede cancelarlos por su cuenta si los datos ya no sirven, son muchos o ya se cumplió el motivo por el que los pidieron. Hay casos especiales donde no se puede ejercer el derecho a cancelar tus datos.
- Art. 102Este artículo dice que hay casos en los que una empresa o institución no está obligada a borrar tus datos personales aunque tú se los pidas. Esto pasa cuando la ley les exige conservarlos, cuando son necesarios para cumplir un contrato contigo, o cuando borrarlos podría estorbar investigaciones de delitos o procesos judiciales. Tampoco tienen que eliminarlos si son necesarios para proteger tu seguridad, la de otras personas, o para cumplir con obligaciones legales que tú mismo aceptaste. En resumen, solo puedes exigir que borren tus datos si ninguna de estas situaciones aplica.
- Art. 103Tú tienes derecho, en cualquier momento y por razones válidas, a decir "ya no quiero que usen mis datos" para uno o varios propósitos. Esto aplica en estos casos: primero, si consiguieron tus datos sin tu permiso y la ley decía que sí lo necesitaban. Segundo, aunque el uso de tus datos sea legal, puedes exigir que paren si te está causando algún daño o perjuicio. Tercero, si usan tus datos con un sistema automático (sin que intervenga una persona) y eso te genera consecuencias legales que no querías o afecta tus intereses, derechos o libertades, por ejemplo, para evaluar tu trabajo, dinero, salud, gustos, confiabilidad o comportamiento. Cuarto, si notas que tus datos están mal asociados a un registro que no es tuyo o te metieron en un sistema donde no deberías estar. Y quinto, cuando tengas razones bien justificadas y la ley no diga lo contrario.
- Art. 104Si guardan tus datos personales en un formato electrónico fácil de usar (como Excel o PDF), puedes pedir una copia de esos datos y seguir usándolos en ese mismo formato. Si además tú mismo diste esos datos porque firmaste un contrato o diste tu permiso, puedes ordenar que los transfieran a otro sistema o empresa sin que te pongan trabas. El gobierno definirá, mediante reglas claras, qué formatos se consideran comunes y cómo hacer la transferencia. La empresa o institución debe explicar en su aviso de privacidad cómo puedes ejercer este derecho. Básicamente, tienes el control para mover y reutilizar tus datos personales cuando están en formato digital.
- Art. 105Tienes derecho a pedirle a la empresa o persona que maneja tus datos (el "responsable") que solo los guarde y no los use, en estos casos: si dices que tus datos son incorrectos y ellos los están revisando; si están usando tus datos ilegalmente y prefieres que no los borren, solo que los limiten; si ellos ya no necesitan tus datos, pero tú los ocupas para defenderte en un juicio; o si te opusiste al uso de tus datos y todavía están checando si los motivos de ellos son más importantes que los tuyos. Cuando la limitación se deba a que te opusiste al tratamiento, los datos solo se podrán usar de nuevo si tú das permiso, para defender tus derechos, para proteger a otra persona o por razones de interés público. Además, antes de que te quiten esa limitación, ellos deben avisarte. Si tus datos se compartieron con alguien más, el responsable debe notificar a cada persona o empresa que los recibió sobre cualquier cambio, a menos que sea imposible o muy caro hacerlo.
- Art. 106Para pedir acceso, corregir o eliminar tus datos personales (derechos ARCO), debes seguir el proceso que marca esta ley. Tú o tu representante legal pueden hacer la solicitud ante la Unidad de Transparencia, pero necesitan mostrar una identificación oficial para comprobar quién eres. Si la persona dueña de los datos ya falleció, solo alguien con un interés legal (como un familiar autorizado en el testamento) puede ejercer esos derechos. En el caso de menores de edad o personas que no puedan valerse por sí mismas (como un hijo o alguien con discapacidad), aplican las reglas normales de representación legal. Todo esto es gratuito, no te pueden cobrar por hacer estos trámites.
- Art. 107El artículo 107 dice que pedir al gobierno ver, corregir, cancelar u oponerte al uso de tus datos personales no te debe costar nada. Solo te pueden cobrar si te piden fotocopias, que te manden la información por correo o un certificado, y nunca más de lo que cueste ese servicio. Si tú llevas tu propio disco o USB para que te guarden los datos, te los deben dar gratis. También es gratis si la información te la dan en 20 hojas o menos, y si no tienes dinero para pagar, la oficina de transparencia puede perdonarte el cobro. Quien maneja tus datos no te puede pedir que pagues para presentar tu solicitud.
- Art. 108La empresa o institución que tenga tus datos personales (el responsable) está obligada a tener un proceso fácil para que puedas ejercer tus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Cuando les pidas algo, deben responderte en máximo 20 días hábiles después de que recibieron tu solicitud. En casos especiales, pueden tardar 10 días más, pero solo una vez y siempre avisándote antes de que se cumpla el primer plazo. Si te dicen que sí a tu petición, tienen hasta 15 días para hacerla efectiva desde que te notificaron su respuesta. Si no te responden, se entiende que tu solicitud fue rechazada automáticamente.
- Art. 109Puedes pedir que una empresa o institución te muestre, corrija, borre o deje de usar tus datos personales (esto se llama derechos ARCO) de tres maneras: primero, escribiendo a mano o en un formato, y entregándolo tú o alguien autorizado en persona, por correo normal o por mensajería; segundo, diciéndolo de palabra en la oficina de transparencia, donde ellos mismos llenarán el formato; o tercero, usando un sistema en línea que haya sido aprobado por el Instituto de Transparencia. Quien recibe tu solicitud (el responsable) está obligado a atenderla y darte un comprobante de que la recibió, además de usar medios fáciles para ti, como formularios o sistemas simples, que se adapten a cómo te comunicas normalmente con ellos.
- Art. 110Cuando quieras ejercer tus derechos ARCO (acceder, rectificar, cancelar u oponerte al uso de tus datos personales), tu solicitud debe incluir cierta información. Primero, pon tu nombre completo y un domicilio o medio de contacto donde puedas recibir avisos (como un correo o teléfono); si no vives en el Estado de México, las notificaciones se publicarán en un lugar llamado "estrados" (un tablero oficial). Segundo, adjunta documentos que comprueben quién eres (como tu INE) y, si alguien te representa, los papeles que acrediten su identidad y facultades. Tercero, si sabes qué área de la institución tiene tus datos y a quién le entregas el escrito, menciónalo. Cuarto, describe de forma clara los datos personales que quieres manejar, a menos que solo pidas acceso a ellos. Quinto, di exactamente qué derecho ARCO quieres ejercer (por ejemplo, "quiero que borren mi dirección") o explica lo que necesitas. Sexto, agrega cualquier otro documento o pista que ayude a localizar tus datos. Si solo pides acceder a ellos, puedes elegir cómo prefieres recibirlos: viéndolos directamente, en copias simples, certificadas, digitales u otro formato; la institución debe cumplir tu preferencia, a menos que sea imposible por razones físicas o legales (ahí te ofrecerá otras opciones y te explicará por qué).
- Art. 111Si llenaste un formato para ejercer tus derechos ARCO (Acceso, Rectificación, Cancelación u Oposición sobre tus datos personales) y te faltó algún requisito que la empresa no pueda corregir por sí misma, esa empresa te avisará del error en un plazo de 5 días después de que entregaste tu solicitud. Solo te lo puede decir una vez, y te dará 10 días para que arregles lo que falte, contando desde que recibes el aviso. Si no corriges el problema en esos 10 días, se considera que nunca hiciste tu solicitud. Ese aviso también detiene el reloj del tiempo que la empresa tiene para darte una respuesta final.
- Art. 112Imagina que pides a una empresa ver tus datos personales, pero esa empresa no es la correcta para atenderte. En ese caso, la empresa tiene máximo 3 días para decírtelo, y si sabe a quién le toca resolver, debe orientarte hacia la persona o empresa indicada. Si la empresa se da cuenta de que pediste un derecho que no existe en la ley (por ejemplo, pedir algo que no es "acceso, rectificación, cancelación u oposición", los famosos derechos ARCO), también debe avisarte dentro de esos 3 días y decirte cuál es el procedimiento correcto. Además, si la empresa no tiene la información que pides, te tiene que notificar que los datos no existen. En pocas palabras: no te pueden dejar colgado, siempre deben responderte en 3 días, aunque sea para decirte que no te corresponde a ellos o que lo que pides no aplica.
- Art. 113Cuando alguien te pide ejercer tus derechos ARCO (acceder, rectificar, cancelar u oponerte al uso de tus datos personales), la persona o empresa responsable de manejar esos datos tiene que revisar si los tiene o no. Si esa persona o empresa dice que no tiene tus datos en sus archivos, no puede solo decirlo de palabra, sino que debe emitir una resolución oficial del Comité de Transparencia confirmando que realmente no existen. Esto aplica solo si hay un trámite específico ya establecido para ese caso. En pocas palabras, no pueden negar que tienen tus datos sin antes acreditarlo formalmente por escrito.
- Art. 114Si una empresa o institución tiene su propio procedimiento especial para que le pidas ver, corregir, borrar o limitar el uso de tus datos personales (los llamados derechos ARCO), ellos deben informarte en máximo 5 días desde que hiciste tu solicitud. Así puedes decidir si usas ese trámite especial o el proceso general que marca la ley. Además, cuando pidas acceso a tus datos, la empresa solo está obligada a mostrarte la información tal como la tiene en sus archivos, sin hacer cálculos, análisis o generar datos nuevos. El derecho de acceso es solo para que veas lo que ya existe.
- Art. 115Las empresas o dependencias que manejen tus datos personales tienen la obligación de explicarte de manera clara y sencilla cómo puedes ejercer tus derechos ARCO, que son los de Acceso, Rectificación, Cancelación y Oposición a tus datos. También deben decirte cómo llenar los formularios y a qué autoridades puedes acudir si tienes dudas, quejas o reclamos. Además, el Instituto de Transparencia debe tener un servicio telefónico para orientarte sobre estos derechos. Todo esto es para que puedas entender sin complicaciones los pasos a seguir y presentar tus quejas o consultas fácilmente.
- Art. 116Cuando entregues un escrito pidiendo información, se entiende que aceptas que te notifiquemos de la misma forma en que lo enviaste, a menos que digas otro medio para recibir avisos. Puedes recibir notificaciones por correo electrónico, por un sistema en línea del Instituto, o en persona en tu casa o en la Unidad de Transparencia. Si no das tu domicilio, o está fuera del Estado de México, o no proporcionas un medio para avisarte, publicaremos la respuesta en una lista en los estrados del Módulo de Acceso del sujeto obligado. Esto aplica especialmente cuando tu solicitud sobre derechos ARCO no procede.
- Art. 117El artículo 117 dice cuándo NO puedes ejercer tus derechos ARCO (que son Acceder, Rectificar, Cancelar u Oponerte al uso de tus datos personales). Las razones son: si no compruebas quién eres o quién te representa, si la empresa o el gobierno no tiene tus datos, si una ley lo prohíbe, si afectas los derechos de otra persona, si obstaculizas un juicio o trámite oficial, si una autoridad ya lo negó, si ya pediste cancelar tus datos antes, si quien los maneja no es el encargado legal, si tus datos son necesarios para proteger tus propios intereses, o si los necesitas para cumplir obligaciones que tú mismo aceptaste. Si solo una parte de lo que pides está en estas situaciones, te pueden dar acceso al resto. Cuando te nieguen tu solicitud, deben explicarte por escrito por qué y decirte que tienes derecho a inconformarte dentro de un plazo.
- Art. 118Cuando pidas tus derechos ARCO (Acceso, Rectificación, Cancelación u Oposición a tus datos personales), la empresa te debe entregar la información en el formato que elegiste (como copia simple o certificada), pero solo después de que compruebes quién eres. Si no puedes demostrar tu identidad o tu solicitud no procede, te avisarán que no es posible cumplirla. Si tu solicitud sí es aceptada y te notifican que la información ya está lista para recoger, tienes 60 días para ir por ella. Si no la recoges en ese tiempo, la empresa dará por atendida tu petición, aunque tú no hayas ido.
- Art. 119Si tú o quien te represente no están de acuerdo con la respuesta que les dieron sobre una solicitud de información, pueden presentar una queja formal (llamada recurso de revisión). Esto lo puedes hacer ante el Instituto de Transparencia o directamente en la Unidad de Transparencia de la dependencia que te atendió. Para presentar tu queja, puedes usar cualquiera de estas opciones: llevar un escrito por tu cuenta a las oficinas del Instituto o a las oficinas autorizadas, enviarlo por correo certificado con acuse de recibo, usar los formatos oficiales que el Instituto publique, hacerlo por internet si hay un sistema habilitado, o cualquier otro medio que el Instituto permita. Cuando entregues tu escrito, se entiende que aceptas recibir las respuestas por el mismo medio que usaste (por ejemplo, si lo hiciste por internet, te contestarán por internet), a menos que avises que quieres que te notifiquen de otra forma y compruebes que así lo pediste. Para acreditar quién eres al presentar tu queja, debes usar los medios que el Instituto indique para comprobar tu identidad.
- Art. 120El artículo 120 dice que para comprobar quién eres al hacer trámites de protección de datos personales, puedes usar tu credencial oficial (como el INE o pasaporte), tu firma electrónica avanzada (como la e.firma del SAT) o cualquier otro método que el Instituto de Transparencia del Estado de México o el Instituto Nacional autoricen en el periódico oficial. Si usas tu firma electrónica, no necesitas entregar una copia de tu identificación. Esto aplica tanto para trámites personales como cuando alguien te representa legalmente.
- Art. 121Si actúas por medio de otra persona (tu representante), esa persona debe comprobar que realmente tiene permiso para hacerlo. Si es una persona común (física), puede mostrar una carta poder simple firmada por ti y dos testigos, con copias de sus identificaciones, o un documento legal como una escritura, o presentarse contigo ante el Instituto. Si es una empresa o grupo de personas (jurídica colectiva), debe usar un documento legal público, como una escritura notarial. Esto aplica también para manejar datos de personas que ya fallecieron.
- Art. 122Si presentas una queja o recurso porque alguien usó mal los datos personales de una persona fallecida, solo lo puede hacer quien demuestre que tiene un interés legal o un motivo válido relacionado con el difunto. Por "interés jurídico" se entiende que tengas un derecho directo sobre esos datos (como ser el albacea de la herencia). "Interés legítimo" significa que tengas una razón válida, como un vínculo familiar muy cercano. Las notificaciones sobre este tipo de trámites se harán conforme a las reglas normales del proceso legal.
- Art. 123Cuando el Instituto tiene que avisarte algo sobre tu queja o recurso, las notificaciones se consideran válidas desde el mismo día en que las hacen, sin importar si te llegan después. Hay varias formas de notificarte. Te entregarán el aviso en persona solo si es la primera vez que te contactan, si te piden que hagas algo, si te piden documentos, si es la decisión final del caso, o en otros casos que marque la ley. Si no es de los casos anteriores, pueden mandarte el aviso por correo certificado (con firma de recibido) o por medios digitales autorizados, sobre todo si es para pedirte algo, citarte, solicitar documentos o darte una resolución que puedas impugnar. Para avisos más simples, como informarte de algo que no requiere tu respuesta, pueden usar correo postal normal o correo electrónico común. Si no te encuentran en tu domicilio, o si no saben dónde vives, publicarán el aviso en los estrados (tableros oficiales del Instituto) para que te des por enterado.
- Art. 124El artículo habla de los tiempos que tienes para hacer algo en un trámite legal. Los plazos empiezan a contar desde el día siguiente de que recibas una notificación oficial, no el mismo día. Si no cumples con lo que te piden dentro del tiempo señalado, pierdes automáticamente el derecho que tenías para hacerlo, sin que el Instituto tenga que decirte que ya te pasaste. Además, estás obligado a responder a los requerimientos que te haga el Instituto, es decir, no puedes ignorarlos.
- Art. 125El artículo dice que si tú, como la persona dueña de los datos, su representante, el encargado de la información o alguna autoridad, recibes un pedido de datos del Instituto, estás obligado a responder en los tiempos y formas que te indiquen. Si te niegas a dar la información o a cooperar con las visitas o citaciones del Instituto, pierdes el derecho a reclamar o defenderte después. Además, el Instituto va a dar por ciertos los datos que ya tiene y resolverá el asunto con lo que tenga, aunque tú no hayas participado. Esto aplica también para las pruebas que quieras presentar si impugnas alguna decisión.
- Art. 126Cuando alguien presenta una queja o recurso (llamado "revisión"), puede usar diferentes tipos de pruebas para apoyar su caso. Estas pruebas incluyen documentos oficiales (como actas o constancias), documentos privados (como contratos o recibos), inspecciones de lugares o cosas, opiniones de expertos (peritos), declaraciones de testigos, y declaraciones de la otra parte (menos si esa parte es una autoridad). También se pueden usar fotos, páginas de internet, escritos y cualquier elemento moderno de ciencia o tecnología, además de suposiciones que la ley o el sentido común permitan. El Instituto (la autoridad encargada) puede pedir pruebas extra si es necesario, siempre y cuando no estén prohibidas por la ley.
- Art. 127Cuando esta ley no diga exactamente cómo se debe hacer un recurso de revisión (que es un trámite para quejarte si no te dan información o no te protegen tus datos personales), entonces se usan las mismas reglas, tiempos y requisitos que marca la Ley de Transparencia del Estado de México. Es decir, si el procedimiento no está detallado aquí, tienes que seguir lo que dice esa otra ley.
- Art. 128Si presentaste una solicitud para ejercer tus derechos ARCO (acceder, corregir, actualizar o borrar tus datos personales), y no estás de acuerdo con la respuesta que te dieron, puedes pedir una revisión. Tú mismo o alguien que te represente debe hacerlo ante el Instituto o la Unidad de Transparencia de la empresa que manejó tu solicitud. Tienes máximo 15 días para hacerlo, contando desde el día siguiente en que te notificaron su respuesta. Si la empresa no te respondió en el plazo legal, también puedes pedir esa revisión dentro de los 15 días siguientes a que venció el plazo para que te contestaran.
- Art. 129Este artículo te explica cuándo puedes quejarte si una empresa o autoridad no maneja bien tus datos personales. Puedes presentar un recurso de revisión en casos como estos: si te dicen que tus datos son confidenciales sin razón legal, si afirman que no existen tus datos aunque tú sabes que sí, o si te niegan el acceso a ellos. También aplica cuando te entregan información incompleta, en un formato que no pediste, o no te responden a tiempo tu solicitud para ver, corregir, cancelar u oponerte al uso de tus datos (derechos ARCO). Si no estás de acuerdo con los costos que te cobran, o si te ponen trabas a pesar de que ya te habían aceptado tu petición, también puedes recurrir. En resumen, cualquier respuesta que consideres injusta o que viole tus derechos sobre tus datos personales es motivo para presentar este recurso.
- Art. 130Cuando quieras hacer un recurso (queja formal) por la respuesta que te dieron sobre tus datos personales, la carta solo necesita tener estos datos: quién es el responsable del manejo de tu información, tu nombre o el de tu representante, la fecha en que te respondieron (o la fecha que pediste el acceso a tus datos), qué es lo que estás reclamando y por qué, y una copia de la respuesta que no te gustó. También debes incluir documentos que prueben quién eres tú o tu representante. Puedes agregar pruebas si quieres, pero no te van a pedir que confirmes el recurso después de haberlo presentado.
- Art. 131El Instituto puede intentar poner de acuerdo a la persona que se quejó y a la empresa o persona que usó sus datos. Si llegan a un arreglo, lo escriben en un papel y ese acuerdo es obligatorio de cumplir. En ese caso, el proceso de queja ya no sigue adelante. El Instituto se encarga de checar que ambas partes cumplan lo que pactaron.
- Art. 132Cuando alguien presenta un recurso de revisión (una queja formal), el Instituto encargado intentará que las dos partes lleguen a un acuerdo sin necesidad de seguir con el pleito. Primero, el Instituto les pide a ambas partes que digan si quieren conciliar (arreglar las cosas) en un plazo máximo de 7 días desde que se les avise; después de aceptar, en máximo 10 días se programa una junta para buscar un arreglo. Si una de las partes no va a la junta y no da una excusa válida, el Instituto sigue adelante con el proceso como si nada. En el caso de que la persona afectada sea un menor de edad y se hayan violado sus derechos según la ley estatal, no se puede hacer esta conciliación, a menos que tenga un representante legal.
- Art. 133El Instituto tiene hasta cuarenta días para dar una respuesta a tu queja o recurso. Si necesita más tiempo, puede pedir una sola prórroga de veinte días más, pero no puede alargarlo más de eso. Además, si no presentaste bien tu queja, el Instituto tiene la obligación de ayudar a corregirla para que se entienda lo que pides.
- Art. 134El Instituto (la autoridad que revisa el caso) tiene que ayudar al ciudadano a completar o corregir su queja, pero sin cambiar lo que el ciudadano dijo ni inventar cosas nuevas. Además, debe asegurarse de que tanto tú como la otra parte puedan presentar pruebas o razones para defender su punto. También puede buscar pruebas por su cuenta si lo necesita, sin que nadie se las pida.
- Art. 135El Instituto (que es la autoridad encargada de proteger tus datos) puede revisar información privada guardada por empresas o personas que manejan tus datos, pero solo si es necesario para resolver una queja tuya. Esa información debe mantenerse en secreto y no se incluirá en el expediente del caso. Si al presentar tu queja faltan datos o documentos, te avisarán para que los corrijas.
- Art. 136Si pides una revisión (recurso de revisión) al Instituto de Transparencia por un problema con tus datos personales, y tu escrito no cumple con todos los requisitos, el Instituto te pedirá que corrijas los errores en un plazo máximo de 5 días hábiles contados desde que entregaste el documento. Ellos solo te lo pueden pedir una vez, y si no lo arreglas a tiempo, tu solicitud será rechazada. Mientras esperas tu respuesta, el plazo que tiene el Instituto para resolver se pausa y vuelve a correr hasta que tú entregues la información faltante.
- Art. 137El Instituto (que es como el juez en temas de datos personales) puede tomar cuatro decisiones cuando revisa tu queja: cancelar el proceso si no procede, darle la razón a la empresa o persona que te negó algo, cambiar su respuesta, u obligarlos a darte acceso, corregir, borrar u oponerte al uso de tus datos si no te hicieron caso. Cuando deciden algo, te dicen en qué plazo deben cumplirlo y cómo asegurarse de que se haga; además, el responsable (quien tiene tus datos) tiene máximo tres días hábiles para avisar al Instituto que ya cumplió. Si el Instituto no responde a tu queja, se considera que la decisión original de la empresa fue correcta. Si durante la investigación descubren que alguien pudo haber violado la ley, deben reportarlo al área de control interno para que inicien un proceso de responsabilidad.
- Art. 138Este artículo explica las razones por las que el Instituto puede rechazar de inmediato tu queja o recurso de revisión (sin revisarlo a fondo). Las causas son: lo presentaste después del plazo permitido; no comprobaste quién eres o que el representante tiene permiso para actuar; el Instituto ya resolvió el mismo asunto de manera definitiva; tu queja no encaja en los motivos válidos previstos en la ley; hay un juicio o un recurso pendiente en los tribunales sobre lo mismo; modificaste o añadiste cosas nuevas a tu solicitud; o no demostraste que tienes un derecho o interés directo en el caso. Si el recurso es rechazado por estas razones, aún puedes presentar uno nuevo si corriges el error, porque el rechazo no te cierra la puerta para siempre.
- Art. 139El artículo 139 dice cuándo se puede cerrar un recurso de revisión sin resolverlo de fondo. El recurso de revisión es cuando vas a reclamar porque una autoridad no te dio la información que pediste. Este recurso se puede cerrar antes de tiempo si: te retiras voluntariamente; si falleces; si después de que lo aceptan resulta que no procedía según la ley; si la autoridad te da la información que pedías, así el asunto ya no tiene razón de ser; o si por cualquier otro motivo el recurso ya no tiene propósito. Cuando el recurso se cierra por alguna de estas razones, la autoridad debe notificarte su decisión.
- Art. 140El Instituto tiene que avisarle a todas las personas involucradas sobre su decisión y también debe hacer públicas las versiones donde se borren los datos personales. Esto lo tiene que hacer a más tardar tres días después de que se apruebe la resolución. Una vez que el Instituto toma una decisión, los Sujetos Obligados (como oficinas de gobierno o empresas que manejan información pública) no pueden pelearle ni cambiarla. En otras palabras, esa resolución es definitiva para ellos y ya no hay modo de que la impugnen.
- Art. 141Las decisiones que dé el Instituto sobre transparencia, acceso a la información o protección de datos no se pueden echar para atrás ni impugnar por parte de las dependencias o autoridades obligadas a cumplirlas; es decir, para ellas son definitivas y tienen que acatarlas sin chistar. Sin embargo, si tú como persona común o ciudadano no estás de acuerdo con alguna resolución del Instituto, sí puedes impugnarla (cuestionarla legalmente) por medio de un juicio federal, como el amparo, para defender tus derechos. En pocas palabras, las autoridades sí deben cumplir al pie de la letra, pero tú tienes derecho a inconformarte.
- Art. 142Si el Instituto te niega o rechaza tu solicitud de información, puedes inconformarte. Primero, tú o alguien que te represente pueden pedirle al Instituto Nacional (el INAI) que revise esa decisión, presentando un recurso de inconformidad, como dice la Ley General. Otra opción es ir directamente al Poder Judicial de la Federación con un Juicio de Amparo para impugnar la resolución. El recurso de inconformidad es como una queja formal que haces ante el INAI para que analicen si el Instituto actuó mal.
- Art. 143El artículo 143 habla de un recurso llamado "inconformidad", que es como un reclamo formal que haces cuando no estás de acuerdo con lo que resolvió el Instituto (el organismo de transparencia). Ese reclamo se tramita y se resuelve siguiendo las reglas que marca la Ley General de Transparencia. Si al final se cambia o se anula la decisión del Instituto, eso significa que los efectos de ese cambio o anulación también se aplican según lo que diga esa misma ley.
- Art. 144Si el Instituto cambió su decisión por una queja llamada “inconformidad”, tiene 15 días para dar un nuevo fallo, contando desde el día siguiente de cuando le avisaron o supo de esa resolución. Al hacerlo, debe seguir los pasos o reglas que se le indicaron al resolver la queja. Esto es para que el Instituto cumpla bien con lo que se ordenó.
- Art. 145El Instituto (que es la autoridad encargada de vigilar la protección de tus datos personales) tiene la obligación de revisar que se cumpla la nueva resolución que se emitió después de que alguien presentó una queja por inconformidad. Esto significa que si una empresa o institución no respeta la nueva decisión, el Instituto debe supervisar y asegurarse de que la cumpla. En pocas palabras, el Instituto no solo da una nueva orden, sino que también le da seguimiento para que se haga válida.
- Art. 146El Pleno del Instituto (que es la reunión de todos los Comisionados) puede pedirle al Instituto Nacional que revise casos pendientes sobre datos personales, pero solo si la mayoría de los Comisionados está de acuerdo. Esto aplica para aquellos casos que sean muy importantes o tengan un gran impacto, según lo que dice la Ley General. Es como si el equipo decidiera en grupo si un asunto especial necesita que lo vea una autoridad más alta. Todo esto debe hacerse siguiendo los plazos y reglas establecidas en la ley.
- Art. 147El Instituto tiene la facultad de revisar y asegurarse de que se cumplan las reglas de esta ley y las que salgan de ella. Cuando el personal del Instituto haga esas revisiones, debe mantener en secreto toda la información que conozca por ese motivo. La persona o empresa que esté siendo revisada no puede negarse a mostrar los documentos, sistemas o bases de datos que le pidan, ni tampoco puede usar excusas como decir que la información es secreta o privada. Las revisiones pueden empezar de diferentes maneras, por ejemplo, por denuncias o por decisión del propio Instituto.
- Art. 148Este artículo explica cuándo y cómo el Instituto de Transparencia puede investigar si alguien está violando la ley de protección de datos personales. La investigación puede empezar de dos formas: por iniciativa del propio Instituto, si tiene sospechas o pruebas de que algo anda mal, o cuando alguien presenta una queja o denuncia. Si tú crees que una empresa o autoridad está usando mal tus datos personales, puedes presentar una denuncia, pero tienes solo un año a partir de que ocurrió el problema para hacerlo. En caso de que los malos tratos sean algo que pasa seguido (como cobros indebidos cada mes), el año se empieza a contar desde la última vez que ocurrió. Antes de lanzar la investigación, el Instituto puede hacer averiguaciones previas para asegurarse de que realmente hay motivos para actuar, y si al investigar descubre que también se están violando otros derechos humanos, puede pedir ayuda a otras autoridades para protegerlos.
- Art. 149Las autoridades del gobierno deben hacer caso a lo que pida el Instituto y ayudar en las investigaciones, pero sin contar a nadie lo que se está haciendo. Si quieres presentar una queja o denuncia, solo tienes que dar tus datos y explicar lo que pasó, sin necesidad de abogados ni trámites complicados.
- Art. 150Cuando quieras presentar una queja o denuncia oficial, solo te pueden pedir estos datos: tu nombre completo (o el de quien te represente), una dirección en el Estado de México o un medio para recibir avisos, la explicación de lo que pasó y cualquier prueba que tengas, y el nombre y domicilio de la persona a la que acusas. Si no sabes firmar, basta con que pongas tu huella digital. Puedes entregar la denuncia por escrito libre, en los formatos oficiales, por internet o por cualquier otro medio que el Instituto indique. Una vez que la reciban, el Instituto debe darte un acuse de recibo y notificarte su respuesta. Esto aplica también para las visitas de verificación que hagan las autoridades.
- Art. 151El Instituto puede checar si una empresa o autoridad está cuidando bien tus datos personales. Para eso, primero te llega una orden por escrito que explica por qué te van a revisar, pidiendo documentos o yendo a tus oficinas. Si es un asunto de seguridad pública, los jefes del Instituto tienen que dar luz verde para esa revisión. Todo el proceso dura máximo 50 días y, si ven un riesgo grave, pueden tomar medidas temporales para proteger tus datos, como pedir cambios, pero sin detener tu trabajo.
- Art. 152El Instituto te dirá por escrito si todo está en orden o qué tienes que corregir. En ese documento te van a dar un tiempo específico para hacer los cambios que te pidan. El proceso termina cuando el Instituto emite esa resolución final. Si quieres, puedes pedir una auditoría voluntaria para revisar tus cosas por tu cuenta antes de que ellos lleguen.
- Art. 153El artículo 153 dice que las empresas o personas responsables de manejar tus datos personales pueden pedirle al Instituto que les haga una auditoría voluntaria. Esto es como una revisión para checar que realmente estén cumpliendo con las reglas de protección de datos y que sus medidas de seguridad funcionen bien. Al terminar la auditoría, el Instituto entrega un informe donde dice si todo está en orden, señala los errores que encontró y sugiere cómo corregirlos o mejorar lo que sea necesario. En resumen, es una forma de que los responsables se aseguren de que están haciendo bien su trabajo sin que los obliguen.
- Art. 154El Instituto puede exigir que cumplas con sus resoluciones usando las herramientas que marca la Ley de Transparencia. Básicamente, si el Instituto te ordena algo y no lo haces, tiene derecho a aplicar medidas de apremio, que son como multas o presiones legales para obligarte a cumplir. Todo esto está controlado por la Ley de Transparencia para asegurarse de que se haga de manera correcta y justa.
- Art. 155El Instituto puede usar estas herramientas para obligarte a cumplir lo que te pide: primero, puede hacerte una llamada de atención pública, es decir, decirle a todos que no cumpliste. Segundo, puede ponerte una multa que va de 150 a 1,500 veces lo que vale la Unidad de Medida y Actualización (UMA) al día, que es una referencia para calcular pagos. Si eres un servidor público o una institución y no obedeces, tu falta se publicará en los portales de transparencia y te afectará en tus evaluaciones. Si tu incumplimiento parece ser un delito o algo prohibido por la ley, el Instituto debe avisar a las autoridades para que investiguen. Además, las multas que te pongan no las puedes pagar con dinero del gobierno, y si tu jefe debe cumplir algo, primero le pedirán a él que lo haga.
- Art. 156Si alguien no obedece una orden de un juez o autoridad, primero se le pueden aplicar multas o castigos para forzarlo. Si aún así no cumple, entonces se le avisa a su jefe directo para que, en un plazo de 5 días, obligue a esa persona a hacer lo que se le ordenó. Si el jefe tampoco hace que se cumpla, entonces a él le aplican las mismas multas o castigos. Y si después de esos 5 días la orden sigue sin cumplirse, el caso se manda a la autoridad encargada de sancionar a los funcionarios por no hacer su trabajo.
- Art. 157El Instituto puede cobrarte las multas que te pongan como castigo, ya sea directamente o pidiendo ayuda a otra autoridad. Todo debe hacerse siguiendo las reglas que marquen las leyes correspondientes. En pocas palabras, si no pagas una multa, tienen permitido usar los medios legales para obligarte a cumplir.
- Art. 158El Instituto no te puede cobrar las multas directamente; la que se encarga de eso es la Secretaría de Finanzas del Estado de México. Ellos usarán los métodos que ya marca la ley para cobrarte, como descuentos de nómina o embargos. Las "medidas de apremio" son acciones como multas extra o hasta arrestos para obligarte a cumplir. Ojo: esto solo aplica si ya te impusieron una multa, no es algo que te llegue de repente.
- Art. 159Este artículo dice que para decidir qué multa o sanción aplicarle a alguien que no obedeció al Instituto de Transparencia, deben tomar en cuenta tres cosas. Primero, qué tan grave fue la falta, viendo si hubo mala intención, cuánto tiempo se negó a cumplir, y el daño que causó. Segundo, cuánto dinero tiene la persona o empresa que cometió la falta, para que la multa no sea imposible de pagar o demasiado ligera. Tercero, si ya había cometido la misma falta antes (eso se llama reincidencia). Además, el Instituto publicará reglas claras para que todos sepan cómo se van a calcular estas sanciones.
- Art. 160Si vuelves a cometer la misma falta después de que ya te hayan castigado por ella, el Instituto puede ponerte una multa hasta del doble de la que te pusieron la primera vez. Eso se llama "reincidencia": significa que cometes otra infracción del mismo tipo después de haber sido sancionado. El Instituto tiene un tiempo límite para aplicarte esta multa más alta, pero no se especifica cuánto es ese plazo en este artículo.
- Art. 161Si te metiste en un problema con una autoridad y te aplicaron una medida de apremio (como una multa o una sanción para obligarte a cumplir), esa medida debe ejecutarse en un plazo máximo de 15 días. El tiempo empieza a contar desde el día en que te notificaron oficialmente que te la aplicaron. Eso significa que no pueden esperar meses para cobrarte o sancionarte. La amonestación pública es un llamado de atención que hacen las autoridades para que sepas que hiciste algo mal, pero no implica cárcel ni multa económica.
- Art. 162El Instituto te va a decir que te van a llamar la atención en público, pero quien realmente te la aplica es tu jefe directo. Es como cuando en el trabajo te regañan frente a todos por algo que hiciste mal, solo que aquí es por una falta relacionada con las reglas del Instituto. No hay multas ni castigos más graves, solo ese llamado de atención público.
- Art. 163El Instituto (la autoridad que vigila la ley) te puede pedir que le muestres tu situación económica, como tus ingresos o bienes, para saber cuánto te va a multar. Si no le das esa información, te advierten que la multa la van a calcular con lo que puedan conseguir, por ejemplo, datos de registros públicos (como el SAT o el buró de crédito), lo que aparezca en internet, en redes sociales o en otras páginas tuyas. También tienen derecho a pedir esa información a otras autoridades, como el gobierno o los bancos, si hace falta. Si estás en desacuerdo con alguna medida que te apliquen, puedes impugnarla, es decir, presentar un recurso para que revisen si fue correcta.
- Art. 164Si un juez o autoridad te impone una multa o una orden para obligarte a cumplir, puedes inconformarte y pedirle a un tribunal federal que revise esa decisión. Eso se llama "recurso", y es como un derecho que tienes para que un juez más grande analice si la medida fue correcta o no. Todo esto se hace ante el Poder Judicial de la Federación, que son los jueces y tribunales del gobierno federal. En pocas palabras, no tienes que aguantarte si te castigan con una medida de presión; puedes pelear legalmente.
- Art. 165Los servidores públicos (personas que trabajan en el gobierno del Estado de México) pueden meterse en problemas si no cumplen con la ley de protección de datos personales. Algunas de las faltas graves son: ser descuidados o actuar de mala fe al atender solicitudes sobre datos personales, no tener el aviso de privacidad (el documento que explica cómo se usarán tus datos) o que esté incompleto, y no registrar los sistemas donde guardan datos personales. También es falta declarar a propósito que no existen datos cuando sí los hay, no responder a tus solicitudes una y otra vez, o entregarte información incompleta a sabiendas. Otras faltas incluyen pasar tus datos a otros sin tu permiso (cuando la ley lo exige), no cuidar la información con medidas de seguridad, y usar tus datos para sacar provecho económico ilegalmente.
- Art. 166Si alguien viola la ley, puede meterse en problemas por distintas razones al mismo tiempo. Por ejemplo, puede recibir una multa de un Instituto, pero también una demanda civil o hasta una denuncia penal por lo mismo. Cada tipo de responsabilidad se maneja por separado y con sus propias reglas, sin que una anule a la otra. El Instituto puede denunciar ante las autoridades correspondientes cualquier falta e incluso presentar pruebas, sin importar que ya haya otros procesos abiertos. En el caso de los partidos políticos, aplica exactamente igual: si incumplen, les toca enfrentar cada consecuencia por su cuenta.
- Art. 167Si un partido político incumple sus obligaciones, el Instituto se lo reportará al Instituto Electoral del Estado de México para que ese organismo decida qué hacer. Esto no quita que el partido pueda recibir otras sanciones que ya estén en la ley. En el caso de que haya fallos con fideicomisos (fondos para un fin específico) o dinero público, y que estén metidos servidores públicos, el Instituto se lo notificará al órgano de control interno de esa dependencia. Ese órgano será el encargado de iniciar los procedimientos administrativos que correspondan.
- Art. 168Cuando un servidor público (como un funcionario del gobierno) comete una falta relacionada con la protección de datos personales, el Instituto debe mandar a la autoridad que investiga el caso (como la Contraloría) un informe con todas las pruebas que tenga. Además, tiene que demostrar claramente que esas pruebas están conectadas directamente con lo que pasó, para que se pueda probar su responsabilidad. La autoridad que recibe esa información debe avisarle al Instituto cómo terminó el asunto y si se aplicó algún castigo. Todo este proceso debe hacerse en máximo 15 días después de que el Instituto se entere de los hechos.
- Art. 169El artículo 169 dice que si el Instituto de Transparencia descubre que alguien no cumplió sus reglas y eso parece ser un delito, tiene la obligación de avisarle al Ministerio Público para que investigue. Es como cuando en una escuela ven que alguien cometió una falta grave y lo reportan a la policía. Los artículos siguientes son solo sobre cómo se aplicará esta ley: cuándo empieza a funcionar, que reemplaza a una ley anterior, y los plazos que tienen las autoridades para ajustar sus sistemas y presupuestos. En pocas palabras, solo el primer artículo habla de sanciones; el resto son instrucciones administrativas para que la ley entre en vigor.