Artículo 58 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de México y Municipios
Explicado en lenguaje simple
En palabras simples
El artículo 58 dice que, cuando una empresa (el responsable) contrata a alguien más (el encargado) para manejar datos personales de clientes, deben firmar un contrato donde se dejen claras las reglas. Ese contrato tiene que incluir, por lo menos, estos puntos: el encargado solo usará los datos para lo que el responsable le indique, no para otros fines; debe cuidar los datos según su nivel de importancia; tiene que aplicar medidas de seguridad; si hay una filtración o problema, debe avisar al responsable de inmediato; debe guardar secreto sobre los datos; al terminar el servicio, debe borrar o devolver los datos, a menos que una ley diga lo contrario; no puede compartir los datos con otros sin permiso del responsable, excepto si una autoridad se lo exige; y deben acordar quién paga las consecuencias si se usan mal los datos. Además, todo lo que acuerden debe estar dentro de lo que marca la ley de protección de datos y el aviso de privacidad que ya conocen los clientes.
Texto oficial
Artículo 58. La relación entre el responsable y el encargado deberá estar formalizada a través de contrato o cualquier otro instrumento jurídico que decida el responsable, de conformidad con la normativa que le resulte aplicable y que permita acreditar su existencia, alcance y contenido. En el contrato o instrumento jurídico que decida el responsable se deberá prever al menos, que las cláusulas generales relacionadas con los servicios que preste el encargado sean las siguientes: I. Realizar el tratamiento de los datos personales conforme a las instrucciones del responsable. II. Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable. III. El nivel de protección requerido para los datos de acuerdo con su naturaleza. IV. La implementación de las medidas de seguridad conforme a los instrumentos jurídicos aplicables. V. Informar al responsable cuando ocurra una vulneración a los datos personales que trata por sus instrucciones. VI. Guardar confidencialidad respecto de los datos personales tratados. VII. Suprimir o devolver los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales. VIII. Abstenerse de transferir los datos personales salvo en el caso que el responsable así lo determine, o la comunicación derive de una subcontratación o por mandato expreso de la autoridad competente. IX. Las responsabilidades y penalizaciones que correspondan por el uso inadecuado de los datos. Los acuerdos entre el responsable y el encargado relacionados con el tratamiento de datos personales no deberán contravenir la presente Ley y demás disposiciones legales aplicables, así como lo establecido en el aviso de privacidad correspondiente. Subcontratación de servicios por encargados
Esta explicación es informativa y no constituye asesoría legal. Consulta siempre el texto oficial y, si lo necesitas, a un profesional.