Artículo 4 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de México y Municipios
Explicado en lenguaje simple
En palabras simples
En esta ley, las definiciones importantes son: el **Administrador** es la persona (funcionario público o empleado) que el jefe o responsable elige para manejar tus datos personales y cuidar los sistemas donde se guardan. La **Anonimización** es un proceso para borrar o modificar datos de modo que ya no se pueda saber quién eres. El **Aviso de Privacidad** es un documento (físico o digital) que te entregan para explicarte para qué usarán tu información. **Datos personales** son cualquier dato tuyo (como nombre, dirección o fotos) que permita identificarte, ya sea directa o indirectamente. El **Consentimiento** es tu autorización, que debe ser libre, específica y sin confusiones, para que usen tus datos.
Texto oficial
Artículo 4. Para los efectos de esta Ley se entenderá por: I. Administrador: a la servidora o el servidor público o persona física facultada y nombrada por el Responsable para llevar a cabo tratamiento de datos personales y que tiene bajo su responsabilidad los sistemas y bases de datos personales. II. Anonimización: al tratamiento que permite evitar la identificación de la o el titular a través de sus datos personales. III. Archivo: al conjunto de documentos en cualquier soporte, producidos o recibidos por los sujetos Publicada en el Periódico Oficial “Gaceta del Gobierno” el 30 de mayo de 2017. Sin reforma. LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO DE MÉXICO Y MUNICIPIOS 3 obligados en el ejercicio de sus atribuciones o desarrollo de sus actividades. IV. Áreas o Unidades Administrativas: a las instancias que pertenecen los sujetos obligados que cuenten o puedan contar, dar tratamiento y ser responsables o encargados, usuarias o usuarios de los sistemas y bases de datos personales previstos en las disposiciones legales aplicables. V. Aviso de Privacidad: al documento físico, electrónico o en cualquier formato generado por el responsable que es puesto a disposición del Titular con el objeto de informarle los propósitos del tratamiento al que serán sometidos sus datos personales. VI. Base de Datos: al conjunto de archivos, registros, ficheros, condicionados a criterios determinados con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento, organización y acceso. VII. Bloqueo: a la identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual, transcurrido este se procederá a su cancelación en los sistemas y bases de datos que corresponda. VIII. Cómputo en la nube: al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o programa informático, distribuido de modo flexible, mediante procedimientos virtuales, en recursos compartidos dinámicamente. IX. Consejo Nacional: al Consejo Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. X. Consentimiento: a la manifestación de la voluntad libre, específica, informada e inequívoca de la o el titular de los datos personales para aceptar el tratamiento de su información. XI. Datos personales: a la información concerniente a una persona física o jurídica colectiva identificada o identificable, establecida en cualquier formato o modalidad, y que esté almacenada en los sistemas y bases de datos, se considerará que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier documento informativo físico o electrónico. XII. Datos personales sensibles: a las referentes de la esfera de su titular cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud física o mental, presente o futura, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual. XIII. Derechos ARCO: a los derechos de Acceso, Rectificación, Cancelación y Oposición al tratamiento de datos personales. XIV. Destinatario: a la persona física o jurídica colectiva pública o privada a quien el responsable transfiere datos personales. XV. Días: a los días hábiles. XVI. Disociación: al procedimiento por el que los datos personales no pueden asociarse a la o el titular, ni permitir por su estructura, contenido o grado de desagregación, la identificación individual del mismo. Publicada en el Periódico Oficial “Gaceta del Gobierno” el 30 de mayo de 2017. Sin reforma. LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO DE MÉXICO Y MUNICIPIOS 4 XVII. Documentos: a los expedientes, reportes, estudios, actas, resoluciones, oficios, correspondencia, acuerdos, directivas, directrices, circulares, convenios, contratos, instructivos, notas, memorándums, estadísticas, o bien, cualquier otro registro que documente el ejercicio de las facultades o la actividad de los sujetos obligados y sus servidores públicos, sin importar su fuente o fecha de elaboración. Los documentos podrán estar en formato escrito, sonoro, visual, electrónico, informático, holográfico o de tecnología de información existente. XVIII. Documento de seguridad: al instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de la información contenida en los sistemas y bases de datos personales. XIX. Encargado: a la persona física o jurídica colectiva, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras trate datos personales a nombre y por cuenta del responsable. XX. Evaluación de impacto en la protección de datos personales: al documento por el que los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas, bases o plataformas informáticas, aplicaciones electrónicas, cualquier otra tecnología o procedimiento que implique el tratamiento intensivo o relevante de datos personales, valoran y establecen con parámetros cualitativos y/o cuantitativos los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos relacionados con los principios y deberes aplicables al tratamiento y derechos de las y los titulares, así como los deberes de los responsables y encargados, previstos en esta Ley y demás disposiciones legales aplicables. XXI. Fuentes de acceso público: a los sistemas y bases de datos que por disposición de Ley puedan ser consultadas públicamente, cuando no exista impedimento por una norma limitativa y sin más exigencia en su caso, el pago de una contraprestación, tarifa o contribución. No se considerará fuente de acceso público cuando la información contenida en la misma sea obtenida o tenga una procedencia ilícita. XXII. Instituto: al Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios. XXIII. Instituto Nacional: al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. XXIV. Ley: a la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de México y Municipios. XXV. Ley de Transparencia: a la Ley de Transparencia y Acceso a la Información Pública del Estado de México y Municipios. XXVI. Ley General: a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. XXVII. Lineamientos: a las disposiciones emitidas por el Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios, que contienen las políticas, criterios y procedimientos, para garantizar a las y los titulares la protección de sus datos personales, con el propósito de asegurar su adecuado tratamiento e impedir su transferencia ilícita. Publicada en el Periódico Oficial “Gaceta del Gobierno” el 30 de mayo de 2017. Sin reforma. LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO DE MÉXICO Y MUNICIPIOS 5 XXVIII. Limitación del tratamiento: al marcado de datos de carácter personal conservados con el fin de limitar su uso en el futuro. XXIX. Medidas compensatorias: a los mecanismos alternos para dar a conocer a los titulares el aviso de privacidad, a través de su difusión por medios masivos de comunicación u otros de amplio alcance. XXX. Medidas de seguridad: a las acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger los datos personales. XXXI. Medidas de seguridad administrativas: a las políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización, y capacitación del personal, en materia de protección de datos personales. XXXII. Medidas de seguridad físicas: a las acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se considerarán las actividades siguientes: a) Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información. b) Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, recursos e información. c) Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización. d) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz que asegure su disponibilidad e integridad. XXXIII. Medidas de seguridad técnicas: a las acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se considerarán las actividades siguientes: a) Prevenir que el acceso a los sistemas y bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados. b) Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones. c) Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware. d) Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales. XXXIV. Órganos Autónomos: al Instituto Electoral del Estado de México, el Tribunal Electoral del Estado de México, la Comisión de Derechos Humanos del Estado de México, el Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios, la Fiscalía General de Justicia del Estado de México, las Universidades e Instituciones de Educación Superior dotadas de autonomía, y cualquier otro establecido en la Constitución Política del Publicada en el Periódico Oficial “Gaceta del Gobierno” el 30 de mayo de 2017. Sin reforma. LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO DE MÉXICO Y MUNICIPIOS 6 Estado Libre y Soberano de México. XXXV. Plataforma Nacional: a la Plataforma Nacional de Transparencia a que hace referencia el artículo 49 de la Ley General de Transparencia y Acceso a la Información Pública, que en términos del mismo, también comprenden los sistemas desarrollados, administrados, implementados y puestos en funcionamiento por el Instituto que le permitan cumplir con los procedimientos, obligaciones y disposiciones señaladas en la presente Ley. XXXVI. Programa Nacional: al Programa Nacional de Protección de Datos Personales. XXXVII. Programa Estatal: al Programa Estatal de Protección de Datos Personales. XXXVIII. Programa de Cultura: al Programa de la Cultura de la Transparencia y de Protección de Datos Personales a que se refiere la Ley de Transparencia y Acceso a la Información Pública del Estado de México y sus Municipios. XXXIX. Prueba de interés público: al proceso de ponderación entre el beneficio que reporta dar a conocer la información confidencial solicitada contra el daño que su divulgación genera en los derechos de las personas, llevado a cabo por el Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios, en el ámbito de sus respectivas competencias, fundarán y motivarán la orden de publicidad de los datos personales por motivos de interés público. XL. Remisión: a la comunicación de datos personales realizada exclusivamente entre el responsable y encargado, dentro o fuera del territorio mexicano. XLI. Responsable: a los sujetos obligados a que se refiere la presente Ley que deciden sobre el tratamiento de los datos personales. XLII. Seudonimización: al tratamiento de datos personales que no puedan atribuirse a un titular sin utilizar información adicional, cuando la información adicional figure por separado sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. XLIII. Sistema de datos personales: a los datos personales contenidos en los archivos de un sujeto obligado que puede comprender el tratamiento de una o diversas bases de datos para el cumplimiento de una o diversas finalidades. XLIV. Sistema Nacional: al Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. XLV. Supresión: a la baja archivística de los datos personales, que resulte en la eliminación, borrado o destrucción de los datos personales bajo las medidas de seguridad previamente establecidas por el responsable. XLVI. Titular: a la persona física o jurídica colectiva que corresponden los datos personales que sean objeto de tratamiento. XLVII. Tercero: a la persona física o jurídica colectiva, autoridad pública, servicio u organismo distinto de la o el titular, responsable, encargado, usuaria o usuario, destinataria o destinatario y las personas autorizadas para tratar los datos personales. Publicada en el Periódico Oficial “Gaceta del Gobierno” el 30 de mayo de 2017. Sin reforma. LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO DE MÉXICO Y MUNICIPIOS 7 XLVIII. Transferencia: a la comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta de la o el titular, responsable o encargado. XLIX. Transferente: al sujeto obligado que posee los datos personales objeto de la transferencia. L. Tratamiento: a las operaciones efectuadas por los procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales. LI. Usuarias o Usuarios: a las servidoras y los servidores públicos o personas físicas autorizadas para tratar los datos personales, distintos al responsable, al encargado y al administrador de los datos. LII. Violación de la seguridad de los datos personales: a la violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transferidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, o cualquier otra que afecte la confidencialidad, integridad y disponibilidad de los datos personales. Se encuentran comprendidas dentro de este concepto las vulneraciones a las que hace referencia la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. Aplicación de la Ley
Esta explicación es informativa y no constituye asesoría legal. Consulta siempre el texto oficial y, si lo necesitas, a un profesional.