Artículo 37 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de México y Municipios
Explicado en lenguaje simple
En palabras simples
Las oficinas o dependencias del gobierno (llamadas "sujetos obligados") deben avisarle al Instituto sobre cualquier base de datos personales que tengan. Al hacerlo, tienen que dar detalles bien específicos, como quién es el responsable, cómo se llama el sistema, para qué van a usar tus datos, de dónde los sacaron y cuánto tiempo los guardarán. También deben decir a quién se los pasan si los comparten, cómo se relaciona la información, dónde puedes ir a pedir ver, corregir o borrar tus datos (derechos ARCO), y si hubo alguna filtración o accidente. Toda esa información se publica en el portal del Instituto y se actualiza dos veces al año, en enero y en julio.
Texto oficial
Artículo 37. Los sujetos obligados registrarán ante el Instituto los sistemas de datos personales que posean. El registro deberá indicar por lo menos los datos siguientes: I. El sujeto obligado que tiene a su cargo el sistema de datos personales. II. La denominación del sistema de datos personales, la base de datos y el tipo de datos personales objeto de tratamiento. III. El nombre y cargo del administrador, así como el área o unidad administrativa a la que se encuentra adscrito. IV. El nombre y cargo del encargado. V. La normatividad aplicable que dé fundamento al tratamiento en términos de los principios de finalidad y licitud. VI. La finalidad del tratamiento. VII. El origen, la forma de recolección y actualización de datos. VIII. Datos transferidos, lugar de destino e identidad de los destinatarios, en el caso de que se registren transferencias. Publicada en el Periódico Oficial “Gaceta del Gobierno” el 30 de mayo de 2017. Sin reforma. LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO DE MÉXICO Y MUNICIPIOS 18 IX. El modo de interrelacionar la información registrada, o en su caso, la trazabilidad de los datos en el sistema de datos personales. X. El domicilio de la Unidad de Transparencia, así como de las áreas o unidades administrativas ante las que podrán ejercitarse de manera directa los derechos ARCO. XI. El tiempo de conservación de los datos. XII. El nivel de seguridad. XIII. En caso de que se hubiera presentado una violación de la seguridad de los datos personales se indicará la fecha de ocurrencia, la de detección y la de atención. Dicha información deberá permanecer en el registro un año calendario posterior a la fecha de su atención. Dicha información será publicada en el portal informativo del Instituto y se actualizará por la Unidad de Transparencia en el primer y séptimo mes de cada año. TÍTULO TERCERO DE LOS DEBERES Y LAS MEDIDAS DE SEGURIDAD CAPÍTULO PRIMERO DE LOS DEBERES Medidas de seguridad administrativas, físicas y técnicas
Esta explicación es informativa y no constituye asesoría legal. Consulta siempre el texto oficial y, si lo necesitas, a un profesional.