LEY Federal de Protección de Datos Personales en Posesión de los Particulares
Artículos explicados en lenguaje simple
- Art. 1Esta ley aplica en todo México y su objetivo es proteger tus datos personales cuando están en manos de empresas o personas particulares. Quiere asegurarse de que tu información solo se use de manera legal, avisándote y con tu control, para cuidar tu privacidad y que tú decidas quién sabe qué de ti. Sin embargo, hay dos excepciones: no aplica para los burós de crédito cuando actúan según su propia ley, ni para personas que junten datos solo para su uso personal, sin compartirlos o venderlos.
- Art. 2El Aviso de Privacidad es un documento que te entregan las empresas cuando te piden tus datos, ya sea en papel, en internet o en otro formato, para que sepas para qué van a usar tu información. Las Bases de datos son listas ordenadas con información tuya, como tu nombre o dirección, sin importar si están guardadas en una computadora o en un archivo físico. El Bloqueo significa que, cuando una empresa ya usó tus datos para lo que necesitaba, los guarda sin usarlos por un tiempo para ver si hay algún problema legal, y después los borra. El Consentimiento es cuando tú decides libremente y con toda la información que te dieron, permitir que usen tus datos personales. Los Datos personales sensibles son información muy privada, como tu salud, religión u orientación sexual, que si se usa mal puede causarte discriminación o daño grave.
- Art. 3Los derechos que te da esta ley tienen un límite: no puedes usarlos si pones en riesgo la seguridad nacional, el orden o la salud de todos, o si afectas los derechos de otras personas. Por ejemplo, no puedes usar la libertad de expresión para amenazar a alguien o poner en peligro a la comunidad. Básicamente, tus derechos terminan donde empiezan los de los demás o el bienestar de todo el país.
- Art. 4Este artículo dice que, si en esta ley no está claro cómo resolver algo, se usarán otras leyes como apoyo, en específico el Código Nacional de Procedimientos Civiles y Familiares y la Ley Federal de Procedimiento Administrativo. Además, para los trámites de proteger derechos, revisar cosas o poner castigos, se debe seguir lo que dice la Ley Federal de Procedimiento Administrativo. En otras palabras, esa ley es la guía para esos procesos.
- Art. 5Quien maneje tus datos personales (como nombre, teléfono o dirección) debe seguir unas reglas básicas. Solo puede usar tu información si tiene una razón legal y clara, siempre con tu consentimiento y sin engañarte. Además, debe usar solo los datos necesarios, mantenerlos actualizados y protegerlos. Por último, tiene que informarte cómo los usa y hacerse responsable si algo sale mal.
- Art. 6Cuando alguien recolecta o usa tus datos personales, debe hacerlo siguiendo lo que marca esta ley y otras reglas legales, siempre de manera correcta y sin trampas. La empresa o persona que obtiene tus datos no puede hacerlo mediante engaños o fraudes, como mentirte para que des tu información. Además, tiene la obligación de cuidar tus intereses y lo que tú esperas razonablemente sobre tu privacidad. Esto último significa que, cuando le confías tus datos a alguien, confías en que los va a usar solo para lo que acordaron, como lo dice la ley.
- Art. 7Este artículo dice que, por lo general, cualquier empresa o persona que use tus datos personales necesita tu permiso (consentimiento). Hay dos maneras de dar permiso: de forma *expresa* (dices "sí" claramente, ya sea por teléfono, por escrito, en un formulario o con un clic) o de forma *tácita* (cuando te muestran el aviso de privacidad y tú no dices "no" ni te opones). La regla común es que el permiso tácito es válido, a menos que la ley pida que digas "sí" de manera explícita, como pasa con tus datos financieros o patrimoniales, donde sí es obligatorio tu permiso expreso. Además, puedes cancelar tu permiso cuando quieras, pero eso no borra lo que ya hicieron con tus datos antes de que lo cancelaras. La empresa debe explicarte en el aviso de privacidad cómo hacer para revocar tu permiso.
- Art. 8Si tienes datos personales sensibles (como tu salud, religión o ideología), las empresas o instituciones deben pedirte permiso por escrito y de forma clara antes de usarlos. Ese permiso puede ser con tu firma de puño y letra, con firma electrónica o con otro método para verificar que realmente fuiste tú quien dio el visto bueno. Además, no pueden juntar este tipo de datos en archivos o bases a menos que haya una razón legítima, específica y relacionada con lo que hacen. En pocas palabras: sin tu autorización directa, no pueden tocar tu información delicada, ni guardarla porque sí.
- Art. 9El artículo 9 dice que una empresa o persona que maneje tus datos no necesita pedirte permiso en estos casos: si una ley ya lo obliga a usarlos, si los datos están en lugares públicos como el directorio telefónico, si los datos ya fueron cambiados para que no te identifiquen, o si es necesario para cumplir un contrato o derecho que tengas con quien los usa. Tampoco necesita permiso si hay una emergencia que pueda dañarte a ti o a tus cosas, si son indispensables para darte atención médica y no puedes dar tu autorización, o si un juez o autoridad se lo ordena por escrito.
- Art. 10La empresa o persona que tenga tus datos (el "responsable") debe asegurarse de que sean correctos, completos y estén al día para el uso que te indicaron. Cuando ya no necesiten tus datos para lo que dijeron en el aviso de privacidad, tienen que borrarlos (primero bloquearlos y luego eliminarlos). Además, si tienes una deuda o incumpliste un contrato, la empresa solo puede guardar esos datos por 72 meses (6 años) desde que fallaste.
- Art. 11El artículo 11 dice que cuando una empresa o institución usa tus datos personales, solo puede hacerlo para lo que te avisó en su aviso de privacidad. Si después quiere usar tus datos para otra cosa diferente, tiene que pedirte permiso otra vez y tú debes aceptar o negarte. En pocas palabras, no pueden cambiarle el uso a tu información sin decirte y sin tu autorización. Esto aplica siempre, sin excepciones.
- Art. 12El artículo 12 dice que solo puedes usar los datos personales de alguien si realmente los necesitas para el propósito que le dijiste en el aviso de privacidad, que es el documento donde explicas para qué vas a ocupar su información. Si son datos sensibles, como los de salud o creencias, debes esforzarte para guardarlos o usarlos el menor tiempo posible, solo lo indispensable. En pocas palabras, no vale la pena quedarte con datos de más o por más tiempo del necesario.
- Art. 13El responsable, que es quien maneja tus datos personales, debe asegurarse de cumplir con las reglas de protección que marca esta ley. Para eso, tiene que tomar todas las medidas necesarias para aplicarlas y también para que el aviso de privacidad que te entregó se respete siempre, tanto por él como por otras empresas o personas con las que tenga algún acuerdo legal. En pocas palabras, si te dan un aviso de privacidad, están obligados a cumplirlo al pie de la letra.
- Art. 14El responsable que tenga tus datos debe decirte, mediante un aviso de privacidad, cómo y para qué los va a usar. Ese aviso te explica todo sobre el manejo de tu información, para que sepas bien qué pasará con ella. Así puedes decidir con confianza si estás de acuerdo o no. Es como que te den la letra chiquita, pero en fácil y antes de que entregues tus datos.
- Art. 15El aviso de privacidad debe tener por lo menos estos datos: quién es la empresa o persona que usa tus datos y dónde está ubicada; qué información tuya van a guardar, señalando cuáles son datos personales delicados (como tu salud o religión); para qué fin van a usar tus datos, indicando cuándo necesitan tu permiso explícito; cómo puedes limitar que usen o compartan tu información; el procedimiento para ejercer tus derechos ARCO (acceder, rectificar, cancelar u oponerte al uso de tus datos); y cómo te avisarán si cambian el aviso de privacidad.
- Art. 16Si una empresa o persona tiene tus datos personales, debe darte un aviso de privacidad. Si te los pide en persona, con un formulario de papel, el aviso te lo debe dar en ese momento (a menos que ya te lo hubiera dado antes). Si te los pide por internet, correo, teléfono o cualquier tecnología, debe darte una versión simplificada del aviso con información básica, como para qué usa tus datos y cómo contactarlos, además de decirte dónde encontrar el aviso completo.
- Art. 17Si alguien consiguió tus datos personales sin preguntarte directamente a ti, esa persona o empresa debe avisarte que cambió el aviso de privacidad. Pero esta regla no aplica si usan tus datos solo para estudios históricos, estadísticos o científicos. Si es imposible avisarte o hacerlo te costaría mucho trabajo, pueden usar otras formas de aviso que marca el reglamento de la ley.
- Art. 18Si tienes un negocio o manejas datos de otras personas, estás obligado a cuidar esa información con candados digitales, como contraseñas, y medidas físicas, como tener los archivos bajo llave. No puedes poner menos seguridad de la que usas para tu propia información; si cuidas tus cosas, también debes cuidar las de los demás. Además, tienes que considerar qué tan delicados son los datos (por ejemplo, si hablan de salud o finanzas) y qué tecnología tienes disponible. Todo esto es para evitar que los datos se pierdan, los modifiquen o los usen personas no autorizadas.
- Art. 19Si hay un descuido o error en el manejo de tus datos personales, por ejemplo que se filtren o los pierdan, y eso te cause un daño grave en tu dinero o en tu honor, la persona o empresa que los cuida debe avisarte de inmediato. Así tú podrás tomar cartas en el asunto para defender tus derechos, como demandar o pedir que se arregle el problema.
- Art. 20La empresa o persona que maneje tus datos personales tiene la obligación de hacer que todos sus empleados o colaboradores guarden secreto sobre esa información. Esa obligación de mantener la confidencialidad sigue vigente incluso después de que esos empleados dejen de trabajar para la empresa.
- Art. 21Cualquier persona que tenga sus datos guardados, o su representante legal, tiene derecho a pedir acceso, corrección, cancelación u oposición al uso de esos datos (los derechos ARCO: Acceso, Rectificación, Cancelación y Oposición). No necesitas haber pedido uno de estos derechos para pedir otro, ni uno te impide usar el otro. Además, quien guarda tus datos debe tenerlos organizados de forma que puedas ejercer estos derechos rápido y sin demoras.
- Art. 22Tienes derecho a ver tus datos personales que tenga una empresa o institución (el responsable). También puedes saber cómo los usa y para qué, gracias al aviso de privacidad, que te explica todo eso de forma clara. Es como pedir que te enseñen tu información y entender qué hacen con ella.
- Art. 23Si tus datos personales (como tu nombre, dirección o teléfono) están mal, incompletos o desactualizados, tú puedes pedir que los corrijan o arreglen. Eso significa que la persona o empresa que tiene tu información debe modificarla para que sea correcta y esté al día. Tienes todo el derecho a hacer este reclamo cuando notes que algo no está bien.
- Art. 24Tienes derecho a pedir en cualquier momento que borren tus datos personales de los archivos de quien los tenga, para que ya no los usen ni los guarden. Cuando pidas la cancelación, tus datos no se eliminan de inmediato, sino que entran en un "periodo de bloqueo" donde solo pueden guardarlos por si hay algún problema legal o responsabilidad pendiente. Ese periodo de bloqueo dura lo mismo que el tiempo que tienes para reclamar o demandar según la ley que aplica al caso, y una vez que pasa, los borran y te avisan. Si antes de cancelarlos tus datos ya se los habían pasado a otras personas o empresas, quien los tenía debe informarles de tu solicitud para que también los borren.
- Art. 25El artículo 25 dice que hay casos en los que una empresa o institución no tiene por qué borrar tus datos personales aunque tú lo pidas. Por ejemplo, si tus datos son parte de un contrato que sigue vigente, o si una ley obliga a guardarlos, entonces no pueden eliminarlos. Tampoco pueden borrarlos si eso detuviera una investigación judicial o fiscal, o si se necesitan para proteger tus propios derechos. Igual aplica si los datos son necesarios por razones de interés público, para cumplir con una obligación legal tuya, o para temas médicos manejados por un profesional con secreto profesional. En esos casos, la empresa no está obligada a cancelarlos.
- Art. 26Tienes derecho a decir que ya no quieren que usen tus datos personales, siempre y cuando tengas una razón válida y puedas explicar por qué te causaría un daño o perjuicio que sigan usándolos, aunque al principio fuera legal. También puedes oponerte si una computadora o sistema trata tus datos automáticamente para evaluarte, por ejemplo, sobre tu trabajo, salud, preferencias sexuales o situación económica, y eso te afecta de manera negativa en tus derechos o intereses. Sin embargo, no puedes oponerte si la ley obliga a la persona o empresa dueña de tus datos a usarlos.
- Art. 27Puedes pedir en cualquier momento a la empresa o persona que tiene tus datos personales que ejerza tus derechos ARCO. Esos derechos son: Acceder a tus datos, Rectificarlos si están mal, Cancelarlos (borrarlos) y Oponerte a que los usen. Tú o tu representante legal pueden hacer la solicitud cuando quieran, sin necesidad de esperar un plazo especial. La empresa está obligada a atender tu petición según lo que marca la ley.
- Art. 28Si quieres ejercer tus derechos ARCO (que son los derechos para acceder, rectificar, cancelar u oponerte al uso de tus datos personales), tu solicitud debe incluir: Tu nombre completo, y un domicilio, correo electrónico o teléfono donde te puedan avisar. También tienes que anexar una copia de tu identificación oficial, como tu INE o pasaporte; si alguien más hace el trámite por ti, debe llevar un poder notarial y también su identificación. Además, debes explicar claramente qué datos personales quieres revisar o modificar, y decir exactamente qué derecho quieres usar: si es para verlos, corregirlos, borrarlos o negarte a que los usen. Por último, puedes agregar cualquier documento que ayude a encontrar más rápido tu información.
- Art. 29Tienes que promover el cuidado de los datos de tus clientes dentro de tu empresa. Para eso, debes nombrar a una persona o un equipo de trabajo que se encargue de atender las peticiones de las personas sobre su información. Por ejemplo, si alguien te pide que borres sus datos o que le digas qué tienes guardado de ella, ese responsable debe resolver su solicitud.
- Art. 30Si quieres corregir tus datos personales (como un nombre, dirección o fecha de nacimiento que esté mal), tienes que pedirlo por escrito. Además de dar tu nombre y explicar qué información quieres arreglar, debes decir claramente cuáles son los cambios que necesitas. También tienes que presentar documentos que demuestren por qué los datos están incorrectos, como un acta de nacimiento o una identificación. Básicamente, no basta con que digas "esto está mal"; necesitas pruebas para respaldar tu solicitud.
- Art. 31La empresa o persona que tiene tus datos (el responsable) tiene hasta 20 días para decirte si te va a dar, corregir, cancelar u oponerte al uso de tu información (derechos ARCO). Si te dicen que sí, deben hacerlo efectivo en los 15 días siguientes a que te avisen. Para el caso de que solo quieras ver tus datos (acceso), primero tienes que comprobar que eres tú, presentando tu identificación. Si el asunto es complicado, pueden pedir una sola prórroga de otros 20 días, pero deben explicar por qué.
- Art. 32Cuando pides acceso a tus datos personales, la empresa o persona encargada (el responsable) cumple con darte esa información de manera directa. También puede darte copias en papel, archivos electrónicos o como se haya acordado en el aviso de privacidad. Si pides tus datos a alguien que crees que es el responsable, pero en realidad no lo es, ese alguien solo tiene que decirte que no es el encargado. Debe decírtelo de la misma forma (como las copias o documentos electrónicos) y con eso se da por atendida tu solicitud.
- Art. 33Este artículo dice cuándo una empresa o institución (el responsable) puede negarse a darte tus datos personales o hacer cambios en ellos (derechos ARCO: Acceso, Rectificación, Cancelación y Oposición). Solo pueden negarse si tú o quien te representa no están bien identificados, si ellos no tienen tus datos, si al darlos se afectan los derechos de otra persona, si hay una ley o una orden de una autoridad que lo impida, o si ya habías pedido antes el mismo cambio y ya se hizo. Si solo una parte de tu solicitud está en estos casos, la empresa debe cumplir con lo que sí puede hacer, por ejemplo, darte acceso a tus datos aunque no pueda borrarlos. En cualquier negativa, la empresa debe explicarte por qué y darte pruebas, en el mismo tiempo y por el mismo medio que hiciste tu solicitud.
- Art. 34Los derechos ARCO (que son los de Acceder, Rectificar, Cancelar u Oponerte al uso de tus datos personales) no te cuestan nada. Solo te pueden cobrar si pides copias en papel, un disco o el envío por paquetería. Si tú llevas tu propia USB o dispositivo para copiar la información, te la deben dar sin cobrarte un peso. Si tú o alguien que te representa pide lo mismo otra vez antes de que pasen doce meses, el cobro máximo es de tres veces la Unidad de Medida y Actualización (UMA), a menos que hayan cambiado mucho el aviso de privacidad y por eso necesites preguntar de nuevo.
- Art. 35Si una empresa quiere pasar tus datos personales a otra persona o empresa (que no sea la que los está manejando por ellos), primero tiene que darle a esa persona o empresa una copia del aviso de privacidad y explicarle para qué usas tú tus datos. Además, todo el manejo de tus datos debe hacerse exactamente como se acordó en ese aviso. En el aviso de privacidad debe venir una parte donde tú digas si estás de acuerdo o no en que pasen tus datos. Por último, quien recibe tus datos tiene las mismas obligaciones de cuidarlos que tenía la empresa que te los pidió primero.
- Art. 36El artículo dice que tus datos personales pueden ser compartidos en México o al extranjero sin pedirte permiso en estos casos: cuando lo ordene una ley o un tratado que México haya firmado, para atender tu salud (como diagnósticos o tratamientos médicos), entre empresas del mismo grupo que sigan las mismas reglas internas, o para cumplir un contrato que te beneficie a ti. También aplica si es necesario para proteger el interés público o para asuntos de justicia, para defender tus derechos en un juicio, o para mantener una relación legal entre tú y quien maneja tus datos (por ejemplo, un contrato vigente). Es decir, en estas situaciones, pueden mover tu información sin avisarte.
- Art. 37Las personas o empresas (llamadas "físicas o morales") pueden crear sus propias reglas para proteger datos personales, ya sea entre ellas o con grupos civiles o del gobierno, de México o del extranjero. Estas reglas deben incluir formas de medir si realmente protegen los datos y qué consecuencias o correctivos habrá si alguien las incumple. Esas reglas voluntarias pueden convertirse en códigos de buena conducta, sellos de confianza o algo similar, y deben tener estándares claros para que todos los que las sigan traten los datos de manera uniforme y sea más fácil para las personas ejercer sus derechos. Además, cuando alguien cree estas reglas, debe avisar al mismo tiempo a las autoridades correspondientes y a la Secretaría encargada del tema. Todo esto está explicado en el Capítulo VII, que habla justo de las funciones de esa Secretaría.
- Art. 38La Secretaría (que es la autoridad encargada de este tema) tiene la misión de hacerle saber a toda la gente en México cuáles son sus derechos sobre la protección de sus datos personales, y cómo puede ejercerlos. También se encarga de asegurarse de que las empresas y organizaciones (los "sujetos regulados") cumplan con las reglas de esta ley. En pocas palabras, su trabajo es informar, promover y vigilar que nadie haga mal uso de tu información personal.
- Art. 39El artículo 39 dice cuáles son las tareas de la Secretaría (la autoridad encargada de proteger tus datos personales). Estas incluyen: vigilar que se cumpla la ley, explicar cómo aplicarla, ayudar a quienes manejan tus datos con consejos técnicos, y dar recomendaciones para que todo funcione bien. También tiene que dar a conocer estándares internacionales de seguridad, resolver quejas o denuncias sobre violaciones a tus derechos, y aplicar multas si alguien no cumple. Además, puede trabajar con otras autoridades de México y del extranjero, asistir a reuniones internacionales, hacer estudios para evitar riesgos a tu privacidad, y capacitar a empresas o instituciones sobre cómo proteger tus datos.
- Art. 40Este artículo explica cómo pedirle ayuda a la Secretaría si alguien usa tus datos personales sin respetar la ley. Tú o un representante legal pueden iniciar el trámite dentro de 15 días después de que la empresa te responda. Si la empresa no te responde, puedes acudir a la Secretaría desde que se venció el plazo que tenía para contestarte. También puedes quejarte si la empresa no te da tus datos, te los da en un formato que no entiendes, se niega a corregirlos o te da información incompleta. La Secretaría le pedirá a la empresa que responda en 15 días, revisará las pruebas, y luego te notificará para que puedas dar tus últimos argumentos antes de que resuelvan.
- Art. 41Para pedir protección de tus datos personales, puedes hacerlo con un escrito libre (un documento simple sin formato especial), usando formatos oficiales o mediante el sistema electrónico que la Secretaría ponga a tu disposición. Tu solicitud debe incluir: tu nombre completo (o el de tu representante legal, si aplica), el nombre de la persona o empresa que manejó tus datos, una dirección para recibir notificaciones, la fecha en que te respondieron (o si no te respondieron), los motivos por los que pides protección y cualquier otra información que quieras agregar. Además, debes anexar la solicitud original que hiciste y la respuesta que te dieron (si es que te respondieron); si nunca te respondieron, solo necesitas presentar tu primera solicitud. Si entregas todo en papel y no por medio electrónico, debes incluir suficientes copias para que le lleguen a todas las partes involucradas.
- Art. 42El Instituto (la autoridad encargada de proteger tus datos) tiene hasta 50 días para darte una respuesta sobre tu queja. Ese tiempo empieza a contar desde el día que entregaste tu solicitud de protección de datos. Si hay una razón válida (como que el caso sea muy complicado), pueden pedir una prórroga de otros 50 días máximo, pero solo una vez. Al final, la autoridad debe resolver si se respetaron tus derechos.
- Art. 43Si una autoridad resuelve a tu favor después de que pediste proteger tus datos personales, la ley obliga a la empresa o persona que los tiene (el responsable) a cumplir con lo que pediste en un plazo de 10 días. Si el caso lo amerita, ese plazo puede ser más largo, pero la autoridad lo decide. Además, esa empresa debe avisar por escrito a la Secretaría que ya cumplió con lo que se le ordenó, también dentro de los 10 días siguientes.
- Art. 44Si llenas una solicitud para proteger tus datos personales y falta algún requisito de los que pide el artículo 41, la Secretaría te va a avisar dentro de los 20 días siguientes para que corrijas el error. Te van a dar solo 5 días para arreglarlo, y es la única oportunidad que tienes. Si no respondes en ese tiempo, van a tomar tu solicitud como si nunca la hubieras presentado. Mientras esperan tu respuesta, el plazo que tienen para resolver tu caso se pone en pausa.
- Art. 45La Secretaría puede ayudarte a arreglar tu queja si le faltan datos o está mal explicada, pero sin cambiar lo que originalmente pediste. Por ejemplo, si pusiste mal tu nombre o te faltó decir algo clave, ellos lo completan, pero no pueden inventar nuevas peticiones ni modificar los hechos que ya contaste. Esto aplica cuando solicitas acceso, corrección, cancelación o negarte a que usen tus datos personales. En otras palabras, te echan la mano para que tu trámite quede bien, siempre respetando lo que tú quisiste decir desde el principio.
- Art. 46La Secretaría puede decidir de tres maneras sobre tu queja por datos personales: primero, si no procede, la puede cancelar o rechazar desde el principio. Segundo, puede darle la razón al responsable (quien tiene tus datos) o cambiarte la respuesta que te dio. Tercero, si el responsable nunca te respondió, puede obligarlo a que te entregue tu información.
- Art. 47Si pides proteger tus datos personales y no cumples ciertos requisitos, tu solicitud será rechazada. Esto pasa cuando la autoridad no tiene facultad para atender tu caso, no puedes comprobar quién eres o quién te representa, o si ya se resolvió antes un trámite tuyo sobre el mismo asunto. También te la pueden rechazar si hay un juicio en contra de lo que estás reclamando, si tu petición es ofensiva o sin sentido, o si la entregas después del plazo que marca la ley.
- Art. 48Si pides proteger tus datos personales y la persona dueña de esos datos muere, la solicitud se cancela. También se cancela si esa persona decide retirar su queja de manera clara y por escrito. O si después de admitir tu solicitud, aparece una razón legal que impide seguir con el trámite. Y en general, si el asunto ya no tiene sentido o pierde su propósito, el proceso se cierra.
- Art. 49La Secretaría (la autoridad encargada) puede, en cualquier momento del proceso, intentar que lleguen a un acuerdo tú (la persona dueña de los datos) y la empresa o persona que los usó mal. Si logran ponerse de acuerdo, se firma un documento por escrito que los dos deben cumplir obligatoriamente. Una vez firmado, el proceso de queja se termina, y la Secretaría checa que se cumpla lo pactado. Los detalles de cómo hacer esta conciliación los dice el Reglamento de esta Ley.
- Art. 50Cuando pides que una empresa o institución corrija, muestre o elimine tus datos personales (derechos ARCO) y no recibes respuesta, puedes quejarte ante la Secretaría. Ellos le pedirán a esa empresa que en máximo 10 días demuestre que ya te respondió como debía, o que te dé una respuesta ahora. Si resulta que la empresa ya te había contestado bien antes, tu queja se descarta y se cierra el caso. Pero si la empresa te responde hasta después de la queja, la Secretaría revisará todo y decidirá si tienes razón. Si te da la razón, la empresa debe cumplir sin cobrarte nada, ni siquiera por copias o envíos.
- Art. 51Si una decisión de la Secretaría te afecta, puedes defenderte con un juicio de amparo. El amparo es como un recurso legal para revisar si esa resolución violó tus derechos. Ese juicio lo llevan jueces especializados, no cualquier juzgado. Esos jueces siguen las reglas que marca el artículo 94 de la Constitución. En pocas palabras, tienes una herramienta legal para impugnar lo que decida la Secretaría.
- Art. 52El artículo dice que la Secretaría puede dar a conocer sus decisiones, pero solo en versiones donde tapen o borren cualquier información que pueda identificar a la persona dueña de los datos. Es decir, protegen tu privacidad quitando tu nombre, dirección, o cualquier detalle que diga “esta persona es fulanito”. Así, la información se hace pública sin que nadie sepa quién eres tú.
- Art. 53Si alguien siente que le hicieron daño o le afectaron sus cosas o derechos porque una persona o empresa no cumplió con lo que dice esta ley, puede exigir que le paguen por ese daño. Para eso, tiene derecho a hacer los reclamos que necesite, según lo que marquen otras leyes. Esto aplica tanto contra el responsable directo como contra quien esté a cargo del asunto. En pocas palabras, si te perjudican por no seguir las reglas de esta ley, puedes pedir una compensación.
- Art. 54La Secretaría (la autoridad encargada de vigilar) se va a asegurar de que se cumpla esta ley de protección de datos personales y las reglas que de ella salgan. Puede empezar una revisión por su propia cuenta (de oficio) o porque alguien se lo pida (a petición de parte). La revisión por su cuenta se da cuando alguien no cumple una orden que se dio para proteger sus datos, o cuando la Secretaría tiene una sospecha seria y con razones de que se está violando la ley.
- Art. 55La Secretaría puede pedirte cualquier documento o información que necesite para hacer una revisión, pero solo con base en una resolución que justifique por qué la necesita. Los funcionarios que hagan esa revisión tienen la obligación de mantener en secreto todo lo que vean o sepan de ti. El reglamento oficial va a explicar con más detalle cómo se lleva a cabo este proceso, incluyendo los pasos y los tiempos. En resumen: ellos pueden pedirte papeles, pero deben cuidar tu información y seguir las reglas que ya están escritas.
- Art. 56Si la Secretaría descubre, durante una revisión o una queja sobre derechos, que alguien probablemente no cumplió con lo que dice esta ley, entonces tiene que empezar el proceso para castigar a esa persona. Es como cuando un inspector encuentra una falta en una revisión y abre un expediente para aplicar una multa o sanción.
- Art. 57Primero, la Secretaría te avisa por escrito que empezó un proceso en tu contra por alguna falta. A partir de ese aviso, tienes 15 días para dar tus pruebas y explicar por qué no deberían castigarte. Si no entregas nada, ellos deciden solo con lo que tienen. Después, te avisan que tienes 5 días para dar tus últimos argumentos, y al final, en un plazo máximo de 50 días desde que empezó el proceso, te deben notificar su decisión final. Si hay una razón de peso, ellos pueden alargar ese plazo una sola vez por el mismo tiempo.
- Art. 58El artículo 58 dice que una empresa o persona que maneje tus datos personales comete una infracción cuando no responde a tu solicitud de ver, corregir, borrar o limitar el uso de tu información (derechos ARCO) sin una razón válida. También es infracción si actúa a propósito o descuidadamente al atender tu solicitud, si miente diciendo que no tiene tus datos cuando sí los tiene, o si los usa para algo diferente a lo que aceptaste. Otros ejemplos son: no incluir toda la información en el aviso de privacidad, compartir tus datos sin permiso, no corregir información equivocada, o no proteger la seguridad de tus datos. Básicamente, cualquier falta o trampa que haga quien maneja tu información va contra la ley.
- Art. 59El artículo 59 dice que, si una empresa o persona no cumple con la ley de protección de datos personales, la autoridad (la Secretaría) te puede castigar con distintas sanciones. Primero, puede darte un "apercibimiento", que es como una advertencia formal para que arregles el problema. Si la falta es más grave, te pueden multar entre 100 y 160,000 veces la Unidad de Medida y Actualización (UMA), que es como un valor oficial que sirve para calcular multas. Para infracciones más serias, la multa sube de 200 a 320,000 veces la UMA. Y si vuelves a cometer la misma falta varias veces, te ponen una multa extra de 100 a 320,000 veces la UMA; además, si los datos mal usados son sensibles (como tu salud o religión), las multas se pueden duplicar.
- Art. 60La Secretaría (la autoridad encargada de proteger tus datos) tiene que explicar por escrito por qué toma cada decisión. Para eso, debe tomar en cuenta: 1) qué tipo de dato personal se está manejando (por ejemplo, si es sensible o no), 2) si el responsable (la empresa o persona que tiene tus datos) se negó sin razón válida a hacer lo que les pediste (como corregir o borrar tu información), 3) si la falta fue a propósito o fue un accidente, 4) cuánto dinero tiene el responsable, y 5) si ya había cometido la misma falta antes.
- Art. 61Si alguien comete un delito relacionado con el mal uso de datos personales, las autoridades pueden castigarlo con una multa o cárcel. Pero eso no quita que también tenga que responder por los daños que causó, como pagar una indemnización a la persona afectada. Además, si el delito también es un asunto penal, se le puede juzgar por ambas cosas al mismo tiempo. En pocas palabras, recibir un castigo por violar la ley de datos personales no borra la obligación de reparar el daño o enfrentar la justicia penal si aplica.
- Art. 62Si alguien tiene permitido manejar tus datos personales y, a propósito para ganar dinero, provoca que esa información se filtre o se exponga sin permiso, le pueden dar cárcel de tres meses hasta tres años. Esto aplica cuando la persona cuida bases de datos y, por querer sacar provecho económico, rompe la seguridad de las mismas. La ley castiga a quien, teniendo acceso legal a los datos, los descuida o los usa mal para ganar dinero. En pocas palabras, es un delito que protege tu información personal cuando está en manos de quien debe cuidarla.
- Art. 63El artículo dice que si alguien engaña a otra persona para obtener y usar sus datos personales con el único propósito de sacar dinero ilegalmente, se va a la cárcel de seis meses hasta cinco años. O sea, si te hacen creer algo falso para que les des tus datos y luego los usan para estafarte o ganar dinero, ese delito se castiga con prisión. También aplica si la persona que te da los datos se equivoca o está confundida, y el otro se aprovecha de eso. En pocas palabras, es un delito grave robar información personal mediante trucos o mentiras para beneficio propio.
- Art. 64Si alguien usa tus datos personales más delicados (como tu salud, religión u orientación sexual), las multas o penas por ese delito se aplican al doble. Esto quiere decir que proteger tu información sensible es aún más importante para la ley, por lo que los castigos son más fuertes.