LEY General de Protección de Datos Personales en Posesión de Sujetos Obligados
Artículos explicados en lenguaje simple
- Art. 1Esta Ley sirve para poner en práctica lo que dicen la Constitución sobre proteger tus datos personales cuando están en manos del gobierno o de cualquier autoridad pública. Es decir, aplica a toda la información tuya que tengan oficinas de gobierno, organismos públicos, o instituciones como el IMSS o el SAT. Sus reglas son obligatorias en todo México y buscan evitar que usen mal tu información o la compartan sin tu permiso. En pocas palabras, es la Ley que te protege cuando das tus datos a cualquier institución pública.
- Art. 2Esta ley sirve para que todas las personas tengan derecho a que su información personal esté protegida cuando la entreguen al gobierno o a cualquier institución pública (como dependencias federales, estatales, municipales, partidos políticos o tribunales). También define quiénes son los encargados de vigilar que se cumpla, y establece reglas claras para que puedas acceder, corregir, cancelar u oponerte al uso de tus datos personales de forma rápida y sencilla. Además, busca promover una cultura de cuidado de la información y castigar a quienes no respeten la ley.
- Art. 3El artículo lista las definiciones clave de la ley. Las "Áreas" son las oficinas en dependencias que manejan tus datos personales. "Autoridades garantes" son los órganos que vigilan que se respete la protección de datos, como las contralorías internas. El "Aviso de privacidad" es un documento que te entregan cuando te piden tus datos, explicándote para qué los usarán. "Datos personales sensibles" son los que hablan de lo más privado de tu vida, como tu salud o religión, y si se usan mal podrían discriminarte.
- Art. 4Esta ley aplica cuando alguien maneje información tuya, ya sea en papel o en electrónico. No importa si los datos los crearon a mano, con computadora, o los guarden en carpetas, discos duros o en la nube. La regla cubre cualquier forma de guardar, organizar o procesar tus datos personales. Básicamente, siempre que alguien use tu información privada, esta ley la protege.
- Art. 5Este artículo dice que hay ciertos lugares donde cualquier persona puede conseguir información personal de otros sin necesidad de un permiso especial. Por ejemplo, páginas de internet que están abiertas al público, directorios telefónicos, boletines oficiales del gobierno, medios de comunicación como la tele o el periódico, y registros públicos. Eso sí, para que cuenten como fuentes públicas, cualquier persona debe poder consultarlas sin obstáculos, aunque a veces te pidan pagar una tarifa. Si la información se obtuvo de manera ilegal, entonces ya no se considera una fuente de acceso público.
- Art. 6El gobierno tiene la obligación de cuidar tu privacidad y asegurarse de que nadie más te invente o te meta en problemas violando tu información personal sin razón válida. Tu derecho a que tus datos personales estén protegidos solo se puede limitar por causas muy específicas, como la seguridad del país, el orden público, la salud de todos o para defender los derechos de otra persona. O sea, no cualquiera puede andar husmeando en tus datos, a menos que sea por un motivo muy serio que esté marcado en la ley.
- Art. 7Este artículo dice que, por lo general, nadie puede usar ni compartir tus datos personales más delicados, como tu salud, religión o preferencias sexuales. Solo pueden hacerlo si tú les das permiso de forma clara y por escrito, o si la ley lo permite en situaciones muy especiales, como las que menciona el artículo 16 de esta misma ley. En pocas palabras, tus datos sensibles están protegidos y no pueden andar usándolos a lo loco.
- Art. 8Este artículo dice que para aplicar esta ley, se debe seguir lo que marca la Constitución de México, los tratados internacionales firmados por México y las decisiones importantes de tribunales mexicanos o internacionales especializados. Siempre se debe dar prioridad a proteger tu privacidad, tus datos personales y tus derechos de la manera más amplia posible. Además, cuando se necesite aclarar el significado de la ley, se pueden usar las opiniones y criterios de organismos nacionales e internacionales que sepan del tema.
- Art. 9Si una situación no está contemplada en esta ley, se usarán como reglas de apoyo el Código Nacional de Procedimientos Civiles y el de Procedimiento Administrativo Federal. Cada estado de la República, según sus propias facultades, debe decidir qué otras leyes locales pueden servir de apoyo a las autoridades encargadas de aplicar esta ley. En pocas palabras, es como tener un "plan B" legal: si esta ley no dice algo, se busca en otros códigos para llenar ese hueco. Esto aplica tanto a nivel federal como en cada estado de México.
- Art. 10El responsable de manejar tus datos personales tiene que seguir reglas muy claras. Solo puede usarlos para un propósito específico y legal, no para cualquier cosa que se le ocurra. Además, siempre debe pedirte permiso antes de usar tu información y solo recabar lo estrictamente necesario. También está obligado a decirte cómo y para qué usará tus datos, y hacerse responsable si algo sale mal.
- Art. 11El responsable de tus datos (la persona o empresa que los guarda y usa) solo puede usarlos para lo que la ley le permita específicamente. Si una ley no le da permiso de hacer algo con tu información, no lo puede hacer. Es como si tuviera una lista de tareas autorizadas y no puede salirse de ahí. Así cuidan que no abusen de tus datos personales.
- Art. 12La persona o empresa que usa tus datos solo puede hacerlo por razones específicas, legales y claras, que tén que ver con lo que dice la ley. Si quieren usar tu información para algo diferente a lo que te dijeron en el aviso de privacidad, necesitan tu permiso, a menos que tengas una ley que los autorice a hacerlo sin preguntarte. La única excepción es si tú estás reportado como persona desaparecida, porque ahí aplican reglas especiales de esta Ley. En pocas palabras: no pueden usar tus datos para lo que sea, solo para lo que está justificado y con tu consentimiento.
- Art. 13Quien usa tus datos personales (el responsable) tiene prohibido obtenerlos o usarlos con mentiras o trucos. Debe siempre cuidar que tú quedes protegido y respetar lo que normalmente esperarías de tu privacidad. Simple: no vale sacar tus datos engañándote ni usarlos a escondidas.
- Art. 14Si no aplica ninguna de las excepciones del artículo 16, quien maneja tus datos (el responsable) debe pedirte permiso antes de usarlos. Ese permiso tiene que darse sin que te engañen, te presionen o te den información falsa (libre). También debe ser para un propósito específico y legal, no para cualquier cosa (específica). Además, debes saber bien qué van a hacer con tus datos gracias al aviso de privacidad que te dan antes (informada). Cuando se trata de niños o personas que no pueden tomar decisiones por sí mismas (como alguien con una incapacidad legal declarada), el permiso lo debe dar su tutor o representante legal.
- Art. 15Este artículo dice que cuando te piden usar tus datos personales, tú puedes dar tu permiso de dos maneras: de forma clara y directa (expresa) o sin decir nada (tácita). El permiso es expreso si lo dices con palabras, por escrito, por correo, con un clic en una casilla o con cualquier acción que deje claro que estás de acuerdo. El permiso es tácito cuando te muestran el aviso de privacidad y tú no dices que no, así que al no oponerte, se entiende que aceptas. Normalmente el permiso tácito es válido, excepto cuando la ley exige que digas "sí" de forma explícita. Para tus datos más personales y delicados (como tu salud o creencias), la empresa debe pedirte un permiso expreso y por escrito, con tu firma de puño y letra, firma electrónica o algún otro método que pruebe que realmente aceptaste, a menos que el artículo 16 de esta ley diga otra cosa.
- Art. 16La ley dice que hay situaciones donde una empresa o autoridad puede usar tus datos personales sin pedirte permiso. Por ejemplo, si otra ley ya lo autoriza, si hay una orden de un juez, o si es para defender tus propios derechos ante una autoridad. También aplica en emergencias, para atención médica, si los datos ya son públicos, o si la persona dueña de los datos está reportada como desaparecida. En esos casos, no necesitan tu consentimiento, pero siempre deben seguir las reglas de esta ley.
- Art. 17Quien tiene tus datos personales (como una empresa o el gobierno) debe mantenerlos bien actualizados y sin errores, para que no se pierda la información verdadera sobre ti. Si tú mismo les diste tus datos, se asume que están correctos, a menos que tú demuestres que no es así. Cuando ya no necesiten tu información para lo que acordaron en el aviso de privacidad, deben eliminarla, pero primero guardarla bloqueada por un tiempo y luego borrarla definitivamente. Ese tiempo de guardado solo puede ser el necesario para cumplir con lo que acordaron, tomando en cuenta cosas como temas legales, de impuestos o de archivos históricos.
- Art. 18La empresa o institución que tenga tus datos personales debe crear reglas claras y por escrito sobre cómo guardarlos, por cuánto tiempo, y qué hacer cuando ya no los necesiten (bloquearlos o borrarlos). También tiene que incluir medidas para asegurarse de borrar tu información a tiempo y revisar seguido si todavía hace falta conservarla. Todo esto lo hacen siguiendo lo que dice el artículo anterior de la ley.
- Art. 19La persona o empresa que guarda tus datos solo puede usar aquellos que sean realmente necesarios para el propósito que te dijo cuando los pidió. No debe pedirte información de más, solo lo justo y que tenga que ver directamente con el motivo por el que los necesita. Por ejemplo, si te piden tus datos para comprar en línea, no pueden pedirte tu estado de salud o tu religión. En resumen, solo pueden usar lo que sea útil y necesario, sin excederse.
- Art. 20La empresa o persona que guarde tus datos debe decirte, mediante un aviso de privacidad, qué va a hacer con ellos y para qué los usará, para que puedas decidir si estás de acuerdo. Ese aviso debe mostrarse tanto en internet como en papel, y también debe haber una versión más corta y sencilla llamada "simplificada". El aviso tiene que estar escrito bien claro y fácil de entender. Si por alguna razón no pueden darte el aviso directamente o les sale muy caro hacerlo, pueden usar otras formas de avisarle a la gente, siempre siguiendo las reglas que ponga la Secretaría.
- Art. 21El aviso de privacidad es el documento que te dice qué van a hacer con tus datos personales. Por ley, debe incluir: el nombre y dirección de la empresa o persona que los usa (el responsable), qué datos tuyos van a recoger (marcando los más delicados, como salud o religión), para qué los necesitan, y si hay algún motivo legal para hacerlo. También debe explicarte cómo puedes ejercer tus derechos ARCO (acceder, corregir, cancelar u oponerte al uso de tus datos), y decirte dónde está la Unidad de Transparencia para que puedas ir. Si van a compartir tus datos con otras personas o gobiernos, deben decirte con quién y para qué. Además, debe explicarte cómo puedes decir que NO quieres que usen tus datos para ciertos fines, antes de que lo hagan. Por último, debe decirte cómo te van a avisar si cambian el aviso de privacidad en el futuro.
- Art. 22El aviso de privacidad simplificado es una versión más corta que debe incluir tu nombre, para qué usan tus datos, cómo limitar su uso y cómo ejercer tus derechos. También debe decirte dónde encontrar el aviso completo. Aunque te den el aviso corto, la empresa o persona que usa tus datos sigue obligada a darte acceso al aviso completo cuando lo pidas. En resumen, no te pueden dejar sin la información detallada solo por darte un resumen.
- Art. 23La persona o empresa que tiene tus datos personales debe usar las reglas que se mencionan en el artículo 24 para demostrar que está cumpliendo con todo lo que la ley le pide: cuidar tu información, usarla solo para lo que acordaron y proteger tu privacidad. También tiene que rendirte cuentas a ti, explicarte cómo trata tus datos, y si lo piden, dar explicaciones a la Secretaría o a las Autoridades garantes (que son como los supervisores de la ley). Para hacer todo esto, debe seguir la Constitución y los tratados internacionales firmados por México, pero si no contradicen la ley mexicana, puede usar estándares o buenas prácticas de México o del extranjero.
- Art. 24El artículo 24 dice que cualquier persona o empresa que tenga tus datos personales está obligada a hacer varias cosas para protegerlos. Primero, debe destinar dinero y recursos para crear programas de protección. También tiene que tener reglas internas que todo su personal debe seguir, y capacitar a sus empleados para que sepan cómo manejar tus datos de forma correcta. Además, debe revisar seguido sus medidas de seguridad y checar que estén funcionando, ya sea por su cuenta o con ayuda externa. Por último, debe tener un sistema para atender tus dudas o quejas, y asegurarse de que cualquier sistema, aplicación o tecnología nueva que use con tus datos cumpla con las reglas de protección desde el inicio.
- Art. 25El responsable de tus datos personales (quien los guarda o usa) tiene que poner medidas de seguridad para protegerlos, sin importar si están en un sistema digital, en papel o cómo los maneje. Estas medidas pueden ser desde reglas internas (administrativas), candados o archiveros seguros (físicas), o contraseñas y programas de protección (técnicas). El chiste es evitar que se dañen, pierdan, cambien, destruyan o que alguien los use, vea o los toque sin permiso. También debe asegurarse de que solo las personas autorizadas tengan acceso a ellos, que no se modifiquen sin razón, y que estén disponibles cuando los necesites.
- Art. 26Quien maneje tus datos personales debe poner medidas de seguridad tomando en cuenta varios puntos. Por ejemplo, qué tan riesgosos son tus datos, si son sensibles (como tu salud o tu vida íntima) y qué pasa si se filtran. También debe considerar la tecnología disponible, cuántas personas están afectadas, si ha habido fugas de datos antes, y si tus datos podrían ser valiosos para algún desconocido que quiera usarlos sin permiso. Todo esto es para protegerte mejor.
- Art. 27La empresa o institución que guarda tus datos personales debe hacer varias cosas para protegerlos. Primero, tiene que crear reglas internas claras sobre cómo manejar tu información desde que la obtienen hasta que la borran. También debe asignar responsabilidades específicas a sus empleados y hacer una lista detallada de todos los datos y sistemas que usan. Además, tiene que analizar los riesgos de seguridad y comparar sus medidas actuales con las que aún faltan para mejorar. Por último, debe capacitar a su personal según lo que cada uno haga con tus datos, y revisar periódicamente que todo esté funcionando bien.
- Art. 28Tienes que guardar un registro de todas las medidas de seguridad que tomes para proteger los datos personales, y ese registro debe estar organizado en un sistema de gestión. Ese sistema no es más que un conjunto de pasos y actividades que están conectados entre sí, que te sirven para planear, poner en práctica, revisar y mejorar cómo cuidas la información, tal como lo pide esta ley y otras reglas que aplican. En palabras más sencillas, es como tener un manual o un plan documentado de todo lo que haces para que los datos no se filtren ni se usen mal.
- Art. 29El artículo 29 dice que la persona o empresa que maneja tus datos personales debe hacer un documento de seguridad. Ese documento tiene que incluir, como mínimo, un listado de todos los datos que tienen y cómo los procesan, quiénes son los empleados autorizados para ver esa información, un análisis de los posibles riesgos y de las fallas de seguridad, un plan de trabajo, formas de revisar que las medidas de seguridad funcionen, y un programa de capacitación para el personal. En pocas palabras, deben tener todo por escrito para proteger tu información.
- Art. 30El artículo 30 dice que la empresa o persona que maneja tus datos debe actualizar su plan de seguridad cuando pase algo como: si cambia la forma en que usa tus datos y eso aumenta el riesgo de que se pierdan o los roben, o si, al revisar cómo protege la información, encuentra que puede hacerlo mejor. También debe actualizarlo si hubo un ataque o fuga de datos y necesita mejorar para que no vuelva a pasar, o si aplica medidas para arreglar o prevenir problemas de seguridad. En pocas palabras, cada vez que algo importante cambie o haya un riesgo nuevo, el responsable tiene que poner al día ese documento de protección.
- Art. 31Si alguien se mete a tus datos personales sin permiso o pasa un accidente con ellos, la persona o empresa que los guarda tiene que averiguar por qué pasó. Luego debe poner medidas para arreglar el problema y evitar que vuelva a ocurrir. Esto incluye ajustar cómo manejan tus datos si es necesario. En pocas palabras, si hay un error, tienen que corregirlo para que no se repita.
- Art. 32Este artículo dice que hay cuatro tipos de problemas de seguridad con tus datos personales. Primero, que los pierdan o los destruyan sin permiso. Segundo, que te los roben, se te pierdan o los copien sin autorización. Tercero, que alguien los use, los vea o los maneje sin derecho. Cuarto, que los dañen, los cambien o los modifiquen sin que tú autorices.
- Art. 33Quien maneje tus datos personales tiene que llevar un registro de cualquier incidente de seguridad, como un robo de información. En ese registro debe anotar qué pasó, cuándo ocurrió, por qué sucedió y qué medidas rápidas y permanentes tomó para arreglarlo. Es como un cuaderno donde se apuntan los detalles del problema y cómo lo solucionaron para que no vuelva a pasar. Esto aplica a empresas, escuelas, consultorios o cualquier persona que guarde tus datos.
- Art. 34Si una empresa o persona que tiene tus datos personales sufre un ataque o fuga de información que afecte mucho tu dinero o tu reputación, debe avisarte de inmediato. También tiene que reportarlo a la Secretaría y a las autoridades que vigilan la protección de datos. Este aviso se da apenas confirmen que pasó el problema y empiecen a revisar a fondo qué tan grave fue. El objetivo es que tú puedas actuar rápido para defender tus derechos.
- Art. 35Si hay un incidente de seguridad con tus datos personales, la empresa o persona encargada de cuidarlos debe avisarte. Tiene que decirte qué pasó, qué información tuya se vio afectada y darte consejos para protegerte. También debe explicarte qué medidas tomó para solucionarlo de inmediato y decirte dónde puedes pedir más detalles.
- Art. 36La empresa o persona que maneje tus datos personales debe asegurarse de que todos sus empleados o colaboradores guarden secreto sobre esa información. Esa obligación de mantener la confidencialidad sigue vigente incluso después de que un trabajador deje de laborar ahí. Esto no afecta tu derecho a pedir información pública cuando aplique la ley.
- Art. 37Tú o la persona que te represente legalmente pueden pedirle en cualquier momento a la empresa o institución que tiene tus datos personales que te los muestre (acceso), los corrija (rectificación), los elimine (cancelación) o que deje de usarlos (oposición). Estos son los derechos ARCO. Puedes ejercer uno o varios de estos derechos sin que sea necesario hacer uno primero para poder pedir otro, todos son independientes.
- Art. 38Tienes derecho a pedirle a la empresa o persona que tiene tus datos (el "responsable") que te muestre toda la información personal que guarda de ti. También puedes saber cómo, por qué y para qué usan tus datos, por ejemplo, si los comparten, los borran o los archivan. Esto significa que no solo ves lo que tienen, sino también las condiciones en que manejan tu información. Es como cuando pides tu historial en el consultorio del doctor y además te explican qué hacen con él. En pocas palabras, puedes exigir transparencia sobre tus datos personales.
- Art. 39Tienes derecho a pedirle a la persona o empresa que guarda tus datos que los corrija si están mal, incompletos o desactualizados. Por ejemplo, si tu dirección o teléfono ya no son correctos, puedes solicitar que los arreglen. Este artículo aplica a cualquier organización que maneje información tuya, como bancos, escuelas o redes sociales. No necesitas un abogado para hacer esta solicitud, solo explicar por qué la información está incorrecta.
- Art. 40El artículo dice que tienes derecho a pedir que borren tus datos personales de los archivos, registros y sistemas de la empresa o institución que los tenga. Esto significa que puedes solicitar que ya no guarden ni usen tu información para nada. El responsable debe dejar de tener tus datos y de hacer cualquier cosa con ellos.
- Art. 41Según este artículo, tú puedes negarte a que usen tus datos personales o pedir que dejen de hacerlo en dos casos. El primero: aunque el uso de tus datos sea legal, puedes pedir que lo detengan si seguir usándolos te causa un daño o perjuicio. El segundo: si tus datos se procesan automáticamente (con sistemas y sin que una persona intervenga) para evaluar o predecir cosas como tu rendimiento en el trabajo, tu salud, tu economía, tus preferencias sexuales o tu comportamiento, y eso te genera efectos legales que no quieres o afecta tus derechos e intereses.
- Art. 42Cuando pidas al dueño de tus datos personales (como una empresa o institución) que ejercer tus derechos ARCO (acceder, rectificar, cancelar u oponerte al uso de tu información), ellos tienen que seguir un proceso específico que está marcado en esta ley. Ese proceso incluye cómo recibir tu solicitud y darle seguimiento, sin que puedan inventar reglas a su antojo.
- Art. 43Para pedir que borren, corrijan o te den tus datos personales (los derechos ARCO), primero debes comprobar quién eres tú. Si alguien más lo hace por ti, ese representante también tiene que demostrar su identidad y que tiene permiso para actuar en tu lugar. Solo en casos especiales, como cuando una ley o un juez lo autorizan, otra persona puede hacer ese trámite sin ser el dueño de los datos o su representante. Si se trata de un menor de edad o alguien que no puede tomar decisiones por sí mismo, aplican las reglas de representación que marca la ley civil. En el caso de datos de una persona fallecida, solo alguien que demuestre tener un interés legal puede ejercer esos derechos, pero solo si el difunto lo dejó claro antes de morir o si un juez lo ordena.
- Art. 44El artículo dice que pedir tus derechos ARCO (como ver o corregir tus datos personales) es gratis, no te pueden cobrar por recibir tu solicitud. Solo te pueden cobrar si pides copias, certificados o que te envíen la información por correo, pero los costos deben ser bajos para que puedas ejercer tus derechos. Si tú llevas tu propio USB, disco o cualquier cosa para copiar tus datos, te deben entregar la información sin cobrarte nada. También es gratis si te dan hasta 20 hojas impresas. Además, si no tienes dinero, las oficinas encargadas pueden perdonarte el pago.
- Art. 45La empresa o persona que tenga tus datos está obligada a atender tus solicitudes sobre tus derechos ARCO (acceso, rectificación, cancelación u oposición al uso de tu información). Debe responderte en un máximo de 20 días hábiles desde que recibió tu petición. Si necesita más tiempo, puede extender el plazo solo una vez hasta por 10 días hábiles, pero debe avisarte dentro de los primeros 20 días. Si tu solicitud es aprobada, tiene hasta 15 días hábiles después de notificarte para hacer efectivo el cambio.
- Art. 46Cuando pidas tus derechos ARCO (Acceso, Rectificación, Cancelación u Oposición sobre tus datos personales), solo te pueden exigir estos requisitos: dar tu nombre y un medio para contactarte (como un domicilio o correo), presentar una identificación oficial (y si vas con un representante, también sus papeles), indicar, si sabes, qué área de la empresa o institución tiene tus datos, explicar claramente qué datos quieres modificar o eliminar (excepto si solo pides acceso), decir cuál derecho ARCO estás usando (acceder, corregir, cancelar u oponerte), y agregar cualquier documento que ayude a localizar tu información. Si pides acceso, debes elegir cómo quieres recibir tus datos (en copia, digital, etc.), y ellos deben respetar tu elección, a menos que sea imposible; entonces te ofrecerán otra opción explicando por qué. Si tu solicitud no cumple con estos requisitos y la autoridad no puede arreglarla, la empresa o institución tendrá 5 días hábiles para avisarte y darte 10 días para corregirla. Si no respondes en ese tiempo, se dará por no presentada. Ese aviso detiene el plazo que ellos tienen para resolver tu solicitud. Si pides cancelar tus datos, debes explicar por qué quieres que los borren. Si pides oponerte al uso de tus datos, tienes que decir las razones legítimas o la situación específica que te causa un daño, y por qué quieres que dejen de usarlos o para qué fines específicos.
- Art. 47Si la persona o empresa a la que le pediste ver, corregir, borrar o bloquear tus datos personales (derechos ARCO) no es la indicada para atenderte, tiene máximo 3 días para decírtelo y, si sabe quién sí puede ayudarte, orientarte. Si te dicen que no tienen tus datos, eso debe estar respaldado por un documento oficial del Comité de Transparencia confirmándolo. Y si detectan que lo que solicitas no es uno de esos derechos ARCO, deben informarte para que tu petición se canalice al trámite correcto.
- Art. 48Si una empresa o institución tiene un trámite especial para que revises, corrijas, borres o te opongas al uso de tus datos personales (los derechos ARCO), debe avisarte que existe ese trámite en un máximo de 5 días después de que tú hagas tu solicitud. Así tú puedes elegir si usas ese trámite especial o si prefieres usar el procedimiento normal que esa empresa ya tiene para atender estos casos.
- Art. 49El artículo explica cuándo una empresa o institución (el "responsable") puede negarse a darte tus Derechos ARCO (acceder, rectificar, cancelar u oponerte al uso de tus datos personales). Esto solo pasa en casos específicos, como cuando no demuestres bien quién eres, si tus datos no están en su poder, si la ley lo impide, o si al hacerlo se afectan derechos de otra persona o se obstaculiza un juicio. También aplica si ya cancelaste tus datos antes, si la autoridad lo prohibió, o si los datos son necesarios para protegerte a ti mismo, cumplir obligaciones legales tuyas, o mantener la seguridad del país. En cualquier caso, la empresa debe explicarte por escrito por qué te niega el derecho, en un plazo de hasta 20 días, usando el mismo medio en que hiciste tu solicitud (correo, página web, etc.) y acompañando pruebas si es necesario.
- Art. 50Si una empresa o institución a la que le pediste ver, corregir, eliminar o limitar el uso de tus datos personales no responde o te dice que no, puedes quejarte formalmente. Esa queja se llama "recurso de revisión" y está explicada en el artículo 86 de esta ley. Básicamente, si te ignoran o te niegan el trámite, tienes derecho a reclamar ante la autoridad encargada de la protección de datos. Ese recurso es tu herramienta para exigir que se respeten tus derechos sobre tu información personal.
- Art. 51Cuando guardan tus datos personales en formatos electrónicos como Excel o PDF fáciles de usar, tienes derecho a pedir una copia de esa información en ese mismo formato para seguir usándola donde quieras. Si tú mismo proporcionaste los datos y estos se usan porque diste tu permiso o por un contrato, también puedes pedir que los transfieran directamente a otro sistema o servicio, sin que la empresa o persona que los tiene te ponga trabas. Esto aplica solo para información que esté en un sistema automatizado, como una computadora o base de datos. En pocas palabras, puedes llevarte tus datos fácilmente a donde necesites.
- Art. 52El artículo dice que la persona que maneja tus datos personales solo puede hacer lo que el responsable le indique, sin poder decidir por su cuenta cómo usarlos. Esto significa que debe seguir al pie de la letra las instrucciones del dueño de los datos y no puede cambiar ni ampliar lo que se le pidió. En otras palabras, no tiene libertad para tomar decisiones sobre la información que procesa, solo puede actuar dentro de lo acordado.
- Art. 53El artículo dice que cuando una empresa o institución (el responsable) contrata a alguien más (la persona encargada) para manejar tus datos personales, debe haber un contrato por escrito. Ese contrato tiene que dejar claras cosas como: que solo usen tus datos para lo que se les pidió, que los cuiden con medidas de seguridad, que avisen si hay un problema de seguridad, que guarden el secreto de tu información y que la borren o devuelvan cuando terminen el trabajo. También dice que no pueden pasar tus datos a nadie más, a menos que el responsable lo autorice o que una autoridad se los pida. Finalmente, este contrato no debe ir en contra de la ley ni del aviso de privacidad que te dieron.
- Art. 54Si la persona que cuida tus datos (el encargado) no sigue las órdenes de quien los recolectó (el responsable) y empieza a decidir por su cuenta cómo usarlos, entonces esa persona se vuelve responsable ante la ley. O sea, le tocará pagar las consecuencias legales como si ella hubiera sido la dueña de los datos desde el principio.
- Art. 55Imagínate que le encargas a alguien (la persona encargada) manejar los datos personales de tu negocio. Este artículo dice que esa persona puede contratar a otra empresa para que le ayude, pero **solo si tú, como responsable, le das permiso de forma clara y por escrito**. Si le dices que sí, la nueva empresa también tendrá que cumplir con las mismas reglas de protección de datos. Además, si desde el principio en tu contrato ya le autorizaste a subcontratar, no necesitas dar otro permiso cada vez, porque ese acuerdo inicial ya cuenta.
- Art. 56El artículo 56 dice que, cuando el responsable da permiso de manera clara y directa, la persona encargada tiene que hacer un contrato con la empresa o persona que va a hacer el trabajo por fuera (subcontratada). Ese contrato puede ser un documento legal cualquiera, siempre que sea válido según las reglas que le toquen. Lo importante es que ese papel sirva para demostrar que el servicio existe, hasta dónde llega y qué incluye, tal como lo pide esta sección de la ley.
- Art. 57El artículo 57 dice que cuando una empresa o persona (el responsable) quiera contratar servicios de computación en la nube o cualquier otro servicio donde otra compañía maneje datos personales de los clientes, tiene que asegurarse de que esa compañía externa cumpla con las mismas reglas de protección de datos que marca la ley. Es decir, el responsable debe verificar que el proveedor cuide la información igual que lo haría él. Además, si se hace el contrato, el responsable debe poner por escrito, en cláusulas del contrato, cómo y para qué puede usar los datos ese proveedor externo. Así se evita que usen la información para otros fines.
- Art. 58Si usas servicios en la nube o aplicaciones para guardar datos personales, la empresa que los maneja debe cumplir con varias reglas básicas. Por ejemplo, debe tener políticas claras para proteger tu información, decirte si contrata a otras empresas para ayudarle, y no puede quedarse con la propiedad de tus datos. También está obligada a mantenerlos seguros, borrarlos cuando ya no los necesites, y evitar que personas no autorizadas los vean. Si una autoridad pide acceso a tus datos, la empresa debe avisarte. Como responsable, tú no puedes usar un servicio que no garantice todo esto.
- Art. 59Si alguien quiere compartir tus datos personales con otra persona o empresa, ya sea dentro o fuera de México, necesita pedirte permiso y tú debes estar de acuerdo. La única excepción es cuando la ley lo permite sin tu consentimiento, como en situaciones muy específicas que están detalladas en otros artículos de esta misma ley. Básicamente, sin tu “sí”, no pueden andar regalando tu información.
- Art. 60Cuando alguien pasa tus datos personales a otra persona o empresa (como un外包), tiene que hacer un contrato por escrito donde se explique para qué se usarán tus datos y quién se hace responsable de cuidarlos. Pero hay dos casos donde no se necesita ese contrato: 1. Si la transferencia es dentro de México y la ley obliga a compartir los datos o es parte de las funciones de una autoridad. 2. Si la transferencia es a otro país y está permitida por una ley o tratado que México haya firmado, o si una autoridad extranjera la pide y tiene el mismo poder o un propósito parecido al que originalmente justificó usar tus datos. En esos casos, no necesitas firmar nada extra, porque ya hay una ley o autoridad que lo respalda.
- Art. 61Cuando alguien te transfiere tus datos personales dentro del país, la persona o empresa que los recibe tiene que cuidarlos como si fueran secretos. Solo puede usarlos para el propósito específico que se acordó en el aviso de privacidad, que es el documento donde se explica qué harán con tu información. La empresa que te pidió tus datos al principio debe pasarle ese aviso a quien los va a recibir, para que todo quede claro y no los usen para otra cosa.
- Art. 62El artículo dice que una empresa o persona que tenga tus datos solo puede mandarlos a otro país si quien los va a recibir se compromete por escrito a cuidarlos igual que aquí en México. Es decir, tiene que prometer que cumplirá con las mismas reglas de protección que marca esta ley. Así tus datos no quedan desprotegidos solo porque los envían al extranjero.
- Art. 63Cuando alguien te da tus datos personales a otra persona o empresa, quien los entregó debe decirle al que los recibe cuál es el aviso de privacidad que usas para manejar esa información. El aviso de privacidad es el documento que te explica qué hacen con tus datos y para qué los usan. Así, aunque los datos cambien de manos, se siguen tratando según las reglas que ya conoces. Esto protege tu información incluso cuando pasa a otro lado.
- Art. 64El artículo 64 dice que una empresa o institución (llamada "el responsable") puede compartir tus datos personales con otra sin pedirte permiso, pero solo en ciertos casos muy específicos. Por ejemplo, cuando lo exija una ley, para investigar delitos, por razones de salud o seguridad nacional, o si es parte de un contrato que te beneficia a ti. También aplica si los datos se usan para cumplir con obligaciones legales o defender tus derechos ante una autoridad. Aunque no te pidan tu consentimiento, el responsable sigue teniendo la obligación de cuidar tus datos como marca la ley.
- Art. 65Este artículo dice que cuando una empresa (el responsable) le pasa tus datos a otra compañía que los va a procesar (el encargado), no necesita avisarte ni pedir tu permiso, siempre y cuando sea dentro o fuera de México. Esto aplica solo cuando el responsable y el encargado tienen un acuerdo de por medio, no cuando le regalan tus datos a cualquiera.
- Art. 66Este artículo dice que las empresas o instituciones que manejan tus datos personales pueden crear o adoptar prácticas voluntarias, solas o con otras empresas, para cuidar mejor tu información. Por ejemplo, pueden hacer acuerdos para proteger más tus datos, para que sea más fácil que tú ejerzas tus derechos ARCO (Acceder, Rectificar, Cancelar u Oponerte al uso de tus datos), o para facilitar que compartan información entre ellas de forma segura. También les sirve para demostrarle a la autoridad que cumplen con la ley de protección de datos. En pocas palabras, son buenas prácticas que ellas eligen seguir para mejorar cómo manejan tu privacidad.
- Art. 67Si quieres que la Secretaría o las Autoridades garantes aprueben tu plan de buenas prácticas para proteger datos personales, primero debes cumplir con las reglas que ellas mismas pongan. Después, tienes que avisarles oficialmente para que revisen tu plan y, si todo está bien, lo aprueben y lo anoten en un registro especial. Cada autoridad tiene su propio ámbito, así que debes fijarte bien a quién le toca revisar tu caso.
- Art. 68Este artículo dice que si una institución o empresa (llamada "responsable") quiere usar una nueva tecnología o modificar algo existente que maneje muchos datos personales, primero debe hacer un estudio especial llamado "evaluación de impacto". Ese estudio sirve para revisar si la forma en que se usarán los datos puede poner en riesgo tu privacidad. Los resultados se deben entregar a la Secretaría o a las autoridades encargadas de proteger los datos, según quién tenga la facultad de revisarlo. Estas autoridades pueden darte sugerencias sobre cómo mejorar la protección de los datos, pero esas sugerencias no son obligatorias, solo son recomendaciones. El contenido exacto del estudio lo define la misma autoridad que lo revisa.
- Art. 69El artículo 69 dice que, según esta ley, se habla de un "tratamiento intensivo o relevante" de datos personales cuando ocurre cualquiera de estas tres situaciones: primero, si hay riesgos propios de los datos que se van a manejar; segundo, si se usan datos personales sensibles, como tu salud o creencias; y tercero, si se transfieren tus datos a otra persona o empresa. En resumen, cuando se den estos casos, la ley considera que el manejo de tu información es más importante o delicado de lo normal.
- Art. 70La Secretaría o la Autoridad encargada de proteger tus datos personales puede crear reglas adicionales para decidir cuándo se está usando tu información de forma intensiva o relevante. Para hacerlo, tomarán en cuenta aspectos como cuántas personas están involucradas, a quién van dirigidos los datos, qué tan avanzada es la tecnología que se usa y qué tan importante es ese uso para la sociedad o la economía, o si hay un interés público de por medio. Esto ayuda a saber si se necesita más cuidado al manejar tu información personal.
- Art. 71Si vas a usar datos personales de otras personas en un nuevo programa, app o sistema, primero debes hacer un "estudio de impacto", es decir, un análisis para ver si los datos corren peligro. Ese estudio lo tienes que entregar a la Secretaría o a la autoridad que vigila esto en tu zona, por lo menos 30 días antes de echar a andar el proyecto. Ellos van a revisar tu estudio y te van a dar sugerencias, pero ojo: no están obligadas a seguirlas al pie de la letra, solo son recomendaciones.
- Art. 72La Secretaría o las autoridades encargadas de proteger tus datos (como el INAI) pueden darte sugerencias sobre el estudio de riesgos que entregaste para manejar información personal. Pero esas sugerencias **no son obligatorias**, o sea que tú decides si las sigues o no. Tienen hasta **30 días después de que entregaste tu estudio** para darte esas recomendaciones. Si no las dan en ese tiempo, ya no pueden hacerlo después.
- Art. 73Si la autoridad que maneja tus datos personales cree que hacer un estudio de riesgos (llamado evaluación de impacto) podría echar a perder o retrasar algo importante, como poner en marcha un nuevo sistema tecnológico que usa muchos datos, o si hay una emergencia o urgencia, entonces no está obligada a hacer ese estudio. O sea, si andan muy apurados o es un asunto delicado, se saltan ese paso para no entorpecer el asunto.
- Art. 74Este artículo dice que las autoridades de seguridad, policías y jueces solo pueden recopilar y usar tus datos personales cuando sea estrictamente necesario para hacer su trabajo, como proteger el país, la seguridad pública o investigar delitos. No pueden agarrar cualquier información, solo la que sea justa y necesaria para cada caso. Esa información la deben guardar en bases de datos especiales, no en cualquier lado. Además, si esas autoridades reciben tus datos de empresas o personas particulares, igual tienen que seguir todas las reglas de protección que marca esta ley.
- Art. 75Este artículo dice que cuando las autoridades de seguridad y justicia manejen tus datos personales, deben seguir las reglas del Título Segundo de esta ley. Además, tus comunicaciones privadas (como llamadas o mensajes) no pueden ser intervenidas, solo un juez federal puede autorizarlo si una autoridad se lo pide. Nadie más tiene permitido espiar tus conversaciones privadas sin una orden judicial.
- Art. 76Si tienes una base de datos con información de otras personas, tienes que ponerle candados bien seguros para que nadie la pueda ver, usar o modificar sin permiso. Esto significa que debes evitar que los datos se dañen, se pierdan, se cambien o los borren. También tienes que asegurarte de que la información esté completa y disponible cuando se necesite, pero solo para quienes tengan derecho a verla. En pocas palabras, es tu obligación proteger esos datos como si fueran tuyos.
- Art. 77Cada institución u organización que maneje tus datos personales debe tener un Comité de Transparencia. Este comité se encarga de resolver cualquier asunto relacionado con tu información privada y es la autoridad más importante en ese tema. Su funcionamiento se rige por una ley general que aplica en todo el país.
- Art. 78El Comité de Transparencia es un grupo dentro de cada dependencia que se encarga de cuidar tus datos personales. Sus funciones principales son: coordinar las acciones para proteger tu privacidad, crear procedimientos internos para atender rápido tus solicitudes de acceso, corrección, cancelación u oposición al uso de tus datos (conocidos como derechos ARCO), y resolver si te niegan el acceso a tu información. También debe capacitar a los servidores públicos en el manejo correcto de datos personales, supervisar que se cumplan las medidas de seguridad, y avisar al área de control interno si detecta algún posible mal uso de tu información.
- Art. 79Cada empresa o institución que maneje tus datos personales debe tener una Unidad de Transparencia, que es como la oficina encargada de ayudarte con tus datos. Ellos te orientan si quieres saber qué información tienen sobre ti, pedir que la corrijan, la borren o se opongan a que la usen (esto son los derechos ARCO). También se aseguran de que solo a ti o a alguien que autorices les entreguen tus datos, y te informan si hay algún costo por sacar copias o enviarlos. Además, pueden sugerir mejoras para que todo sea más rápido y eficiente, y si la empresa maneja muchos datos personales, puede nombrar a un especialista en protección de datos para que se encargue de esto.
- Art. 80El artículo dice que la persona o empresa que maneje tus datos personales debe asegurarse de que las personas con discapacidad y los grupos que necesitan atención especial (como adultos mayores, niños o mujeres embarazadas) puedan defender su privacidad y controlar su información igual que cualquier otra persona. Esto significa que, si tienes alguna dificultad para leer o entender los avisos de privacidad, por ejemplo, quien tiene tus datos debe darte las facilidades necesarias para que puedas ejercer tus derechos. En pocas palabras, la ley exige que nadie quede fuera por tener una discapacidad o pertenecer a un grupo vulnerable.
- Art. 81La Secretaría (la autoridad encargada de proteger tus datos) tiene varias funciones importantes. Debe asegurarse de que las instituciones públicas cuiden tu información personal y resolver cualquier queja que presentes si sientes que no respetaron tus derechos. También puede investigar a las oficinas que incumplan la ley y, si es necesario, obligarlas a cumplir con medidas como multas. Además, debe difundir información para que entiendas mejor cómo proteger tus datos y apoyar técnicamente a las instituciones para que lo hagan bien.
- Art. 82El artículo 82 dice que para crear, nombrar a los miembros y hacer funcionar a las autoridades que vigilan la transparencia (como el INAI), hay que seguir lo que marcan la Ley General de Transparencia y otras leyes que le correspondan. En otras palabras, no se pueden inventar reglas diferentes; todo se debe hacer conforme a lo que ya está escrito en esas leyes. Esto aplica también para su designación y cómo van a trabajar. Así que cualquier paso que den debe basarse en esas reglas ya establecidas.
- Art. 83Las autoridades que se encargan de proteger tus datos personales tienen varias tareas. Pueden recibir y resolver quejas si alguien pide revisar una decisión sobre su privacidad. También pueden pedir ayuda a la Secretaría para casos muy importantes, y obligar a las instituciones a cumplir sus órdenes. Además, deben promover tu derecho a la privacidad y asegurarse de que, si hablas una lengua indígena, puedas hacer tus trámites en ese idioma. También tienen que garantizar que personas con discapacidad o de grupos vulnerables puedan ejercer sus derechos sin problemas. Pueden hacer estudios, firmar acuerdos con otras autoridades y vigilar que se cumplan las leyes de protección de datos. Asimismo, capacitan a las instituciones, revisan cómo les va en proteger la información y, si es necesario, hacen recomendaciones para mejorar.
- Art. 84El artículo dice que las personas o empresas que manejan datos personales tienen la obligación de ayudar a las autoridades correspondientes para dar cursos de capacitación continua a todos sus empleados públicos sobre cómo proteger esa información. Esto incluye dar clases, seminarios, talleres o cualquier otro tipo de entrenamiento que sea útil. Es como si tuvieras que asegurarte de que todo tu equipo sepa bien cómo cuidar los datos personales de la gente.
- Art. 85La Secretaría y las Autoridades garantes (que son las oficinas encargadas de cuidar tus datos personales) tienen que hacer tres cosas: Primero, asegurarse de que en todas las escuelas del país, desde kinder hasta universidad, se enseñe qué son los datos personales y cómo protegerlos, incluyendo esto en los planes de estudio, libros y materiales. Segundo, trabajar con universidades para crear centros donde se investigue, enseñe y difunda más sobre el derecho a la protección de datos, y que esos centros ayuden a la Secretaría y a las Autoridades en su trabajo diario. Tercero, promover espacios donde la gente como tú y las organizaciones puedan opinar e intercambiar ideas con las empresas o instituciones que manejan datos personales, para que todos participen.
- Art. 86Si pediste a una dependencia que corrija o elimine tus datos personales (lo que se conoce como derechos ARCO) y no te gustó la respuesta que te dieron, tú —como dueño de esa información— o tu representante pueden quejarse con un **recurso de revisión**. Eso es como un derecho a reclamar formalmente para que otro nivel de autoridad revise el caso. Tienes **máximo 15 días** para hacerlo desde que te notificaron la respuesta. Puedes presentar ese recurso de varias formas: por escrito en las oficinas de la dependencia, por correo certificado (con comprobante de que lo recibieron), en formatos especiales que ellas mismas saquen, por medios electrónicos autorizados, o por cualquier otro medio que ellas establezcan. Si no dices otra forma, se entiende que aceptas que te avisen por el mismo medio que usaste para presentar tu queja.
- Art. 87Para demostrar quién eres, puedes usar tu credencial del INE, pasaporte o cualquier identificación oficial. También sirve tu e.firma (antes llamada FIEL) o algún otro sistema electrónico parecido. Otra opción son los métodos de autenticación que aprueben las autoridades, siempre que aparezcan publicados en el Diario Oficial. Si usas tu e.firma, no necesitas entregar copia de tu identificación.
- Art. 88Si alguien va a hacer un trámite por ti frente a una autoridad, necesita comprobar que realmente tiene tu permiso. Si eres una persona común (física), tu representante puede probarlo con una carta poder simple firmada por ti y dos testigos, y debe incluir copias de las identificaciones de todos los que firman. También puede hacerlo con un documento legal ante notario (instrumento público) o yendo personalmente contigo a la dependencia para declararlo. Si se trata de una empresa o institución (persona moral), solo se acepta el documento legal hecho ante notario.
- Art. 89Si alguien falleció y quieres impugnar una decisión sobre sus datos personales, puedes presentar un recurso de revisión (un tipo de queja formal) si demuestras que tienes derecho a hacerlo. Ese derecho se llama "interés jurídico o legítimo", lo que significa que debes mostrar que el asunto te afecta directamente o tienes una razón válida vinculada a la persona fallecida. Por ejemplo, podrías ser un familiar o alguien con un vínculo legal. En pocas palabras, no cualquiera puede hacerlo, solo quien acredite por qué le importa el caso.
- Art. 90Cuando alguien presenta una queja o revisión, las notificaciones que mandan la Secretaría o las autoridades encargadas cuentan desde el mismo día en que se entregan. Esas notificaciones se pueden hacer de varias formas: "personalmente" (es decir, en mano) en casos como la primera vez que te notifican, cuando te piden que hagas algo, cuando te solicitan documentos, o cuando te dan la respuesta final del asunto. También pueden llegar por correo certificado o por medios digitales autorizados (como sistemas de internet) si se trata de peticiones, citatorios o decisiones que puedas impugnar. Para otros avisos menos importantes, pueden usar el correo normal o un correo electrónico común. Y si no te encuentran en tu domicilio o no saben dónde estás, publican la notificación en los estrados (que son los tableros o sitios oficiales donde se ponen los avisos).
- Art. 91Los plazos o tiempos límite que marca esta ley empiezan a contar desde el día siguiente al que recibas la notificación oficial (el aviso por escrito). Si no haces algo dentro de ese plazo, pierdes el derecho que tenías para actuar, y no hace falta que un secretario del tribunal te avise que ya se te pasó el tiempo. En corto: si te notifican un lunes, el plazo corre desde el martes, y si no cumples antes de que se acabe, ya no puedes reclamar nada.
- Art. 92Quien esté a cargo de cualquier institución o tenga información que le pida la Secretaría o las Autoridades garantes tiene la obligación de entregarla. Debe hacerlo en los tiempos y bajo las condiciones que esas autoridades le indiquen. Si no lo hace, puede haber consecuencias legales. Básicamente, nadie puede negarse a dar la información que la ley ordena.
- Art. 93Si un jefe, un encargado o cualquier autoridad se niega a responder o a cumplir con lo que pide la Secretaría o las Autoridades garantes (como dar información, documentos, o asistir a citaciones), pierde el derecho a reclamar o defenderse después. Además, esas autoridades pueden dar por ciertos los hechos que se están investigando y tomar una decisión solo con lo que tengan, aunque falten datos.
- Art. 94Cuando alguien presenta una queja o apelación (llamada "recurso de revisión"), puede usar diferentes tipos de pruebas para demostrar su punto. Por ejemplo, puede presentar documentos oficiales o privados, pedir una inspección, llamar a expertos (peritos), testigos, o incluso usar fotos, páginas de internet o cualquier cosa creada por la ciencia o la tecnología. También puede pedir que la otra parte confiese algo, pero esto aplica solo para personas, no para autoridades del gobierno. Además, la Secretaría o las autoridades encargadas pueden buscar por su cuenta cualquier prueba que necesiten, siempre y cuando no rompan las reglas de la ley.
- Art. 95Si una empresa o autoridad no te responde en el tiempo que marca la ley (según el artículo 45) a tu solicitud de derechos ARCO (acceder, rectificar, cancelar u oponerte al uso de tus datos personales), entonces tú o la persona que te representa pueden presentar una queja formal llamada “recurso de revisión”. Ese recurso lo debes meter dentro de los 15 días siguientes a cuando se acabó el plazo para que te respondieran. En pocas palabras, si no te contestaron a tiempo, tienes 15 días para reclamar.
- Art. 96El artículo 96 dice cuándo puedes quejarte (presentar un recurso de revisión) si un organismo o empresa no maneja bien tus datos personales. Por ejemplo, si clasifican tu información como confidencial sin razón válida, si dicen que no tienen tus datos cuando sí deberían, o si te los entregan incompletos o en un formato que no pediste. También aplica si no responden a tu solicitud en el tiempo que marca la ley, si te niegan el acceso, corregir, cancelar u oponerte al uso de tus datos, o si te cobran de más por la copia o el envío. En resumen, puedes recurrir siempre que alguna autoridad o empresa te ponga trabas para ejercer tus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).
- Art. 97Cuando quieras presentar un recurso de revisión (que es un reclamo formal porque no estás de acuerdo con la respuesta que te dieron sobre tus derechos ARCO, que son los de acceder, corregir, cancelar o eliminar tus datos personales), el documento que entregues solo debe incluir seis cosas: 1. El área o departamento que atendió tu solicitud inicial. 2. Tu nombre completo (o el de tu representante, si alguien te ayuda) y un domicilio o medio (como correo electrónico) para recibir avisos. 3. La fecha en que te notificaron la respuesta, o si nunca te respondieron, la fecha en que hiciste la solicitud. 4. Explicar qué respuesta o acción estás impugnando, qué pides con el recurso y por qué no estás de acuerdo. 5. Si tienes la respuesta que te dieron y su notificación, debes incluir una copia. 6. Los documentos que prueben quién eres (y si tienes representante, su identidad y autorización). Además, puedes añadir las pruebas que consideres útiles para apoyar tu caso. Y lo más importante: no necesitas volver a firmar o ratificar el recurso después de presentarlo, ya queda válido.
- Art. 98Cuando alguien presenta un recurso de revisión (que es como una queja formal para impugnar una decisión), la Secretaría o las Autoridades garantes pueden intentar que ambas partes lleguen a un arreglo mediante conciliación, es decir, platicando y negociando para resolver el problema. Si llegan a un acuerdo, ese pacto se escribe y es obligatorio para todos, así que ambas partes deben cumplirlo. Una vez que firman el acuerdo, el recurso de revisión ya no tiene razón de ser, por lo que se da por terminado. La Secretaría o las Autoridades garantes se encargan de revisar que lo acordado se cumpla al pie de la letra.
- Art. 99Cuando alguien presenta un recurso de revisión (que es como una queja formal por un problema con tus datos personales), la autoridad encargada (Secretaría o Autoridad garante) primero va a intentar que tú y la otra parte lleguen a un acuerdo, antes de seguir con el proceso legal. Te van a preguntar, por cualquier medio, si quieres conciliar (es decir, platicar para resolver el asunto) y tienes hasta 7 días para responder, contados desde que te notifican. Si ambos están de acuerdo, se programa una cita (audiencia) donde la autoridad ayuda a que se pongan de acuerdo, y esa cita debe ser dentro de los 10 días siguientes. Si alguien no va a la cita sin una buena excusa, el proceso sigue como si nada; si justifica su falta, le dan otra oportunidad para juntarse, pero si vuelve a fallar, se retoma el recurso de revisión. Esto no aplica si el afectado es un niño o adolescente, a menos que tenga un representante legal.
- Art. 100Cuando presentes una queja o solicitud de revisión, la Secretaría o las Autoridades garantes tienen hasta 40 días para darte una respuesta. Si el caso es complicado, pueden pedir una extensión de 20 días más, pero solo una vez. Si durante el proceso tú y la otra parte llegan a un acuerdo para resolverlo, ese tiempo de los 40 días se pone en pausa mientras se cumple lo acordado.
- Art. 101Este artículo dice que, durante un proceso de revisión, la autoridad debe ayudar a la persona que presentó una queja para corregir errores o mejorar su escrito, pero sin cambiar lo que realmente pidió ni los hechos que contó. También, la autoridad tiene que asegurarse de que todas las partes puedan dar sus razones y pruebas para apoyar lo que están pidiendo. En pocas palabras, te echan la mano para que tu queja quede bien redactada, pero sin inventar ni modificar lo que tú ya dijiste.
- Art. 102Si presentas un recurso de revisión y te falta algún requisito legal, la autoridad te pedirá que corrijas el error en un plazo máximo de 5 días. Solo te lo pedirán una vez. Si no lo corriges en ese tiempo, tu recurso será rechazado. Mientras tanto, se pausa el tiempo que tiene la autoridad para resolver tu caso, y ese plazo se reanuda hasta que tú entregues la información completa.
- Art. 103Cuando presentas una queja formal porque no te dieron tus datos personales o no te respondieron como debían, la autoridad encargada (como el INAI) puede resolver de varias formas. Puede rechazar tu queja si no cumple con los requisitos, confirmar que la respuesta que te dieron está bien, cambiar esa respuesta, o exigir que te entreguen la información si se negaron a dártela. Si la autoridad no responde en el tiempo establecido, se da por hecho que la respuesta original está correcta. Además, si durante el proceso ven que alguien pudo haber violado la ley, deben avisar al área de control interno para que investiguen y, si corresponde, inicien un procedimiento de responsabilidad.
- Art. 104El artículo 104 dice que pueden rechazar tu queja (recurso de revisión) si presentaste fuera del plazo legal, no acreditas bien tu identidad o la de tu representante, si ya resolvieron antes el mismo asunto, si no cumples con las causas del artículo 96, si ya hay un juicio pendiente en tribunales sobre lo mismo, si modificas tu petición solo en lo nuevo que agregues, o si no demuestras que tienes un interés legítimo en el caso. Que te rechacen la queja no significa que pierdas para siempre tu derecho a meter una nueva queja ante la misma autoridad.
- Art. 105El recurso de revisión (que es como un reclamo formal que haces cuando no estás de acuerdo con una respuesta de una autoridad) solo se puede cancelar o terminar antes de tiempo en estos casos: cuando tú mismo dices que ya no quieres seguir con el reclamo; si falleces; si después de que lo aceptaron resulta que no debió haber sido admitido según la ley; cuando la autoridad cambia o quita su respuesta anterior y ya no hay motivo para seguir peleando; o si por cualquier otra razón el asunto ya no tiene sentido.
- Art. 106La Secretaría y las Autoridades garantes tienen que avisarles a las partes involucradas y también publicar las resoluciones, pero sin datos personales (versión pública). Esto lo deben hacer a más tardar tres días después de que se tome la decisión. Es decir, no pueden tardar más de tres días hábiles para que tú o cualquier persona pueda ver el resultado del caso.
- Art. 107Las decisiones de la Secretaría y las Autoridades garantes son obligatorias, finales y no se pueden pelear para los responsables. Pero las personas que estén a cargo pueden inconformarse ante jueces especializados en datos personales usando el juicio de amparo.
- Art. 108La persona encargada de la Consejería Jurídica del Ejecutivo Federal (el principal asesor legal del gobierno) puede presentar una queja directa ante la Suprema Corte si cree que una decisión de la Secretaría (como una dependencia del gobierno) pone en riesgo la seguridad nacional. Esta queja debe meterse máximo 7 días después de que la autoridad encargada de la transparencia (como el INAI) le avise al gobierno de esa resolución. La Suprema Corte decide de inmediato si detiene esa resolución mientras revisa el caso, y en los siguientes 5 días debe resolver si acepta la queja o no.
- Art. 109Para empezar un recurso legal de este tipo, el encargado de la Consejería Jurídica (el principal abogado del gobierno federal) debe escribir un documento donde diga exactamente qué resolución o decisión está peleando. También tiene que explicar por qué cree que esa resolución pone en riesgo la seguridad de todo el país, dando sus razones y fundamentos. Además, debe incluir las pruebas que tenga para respaldar lo que está diciendo.
- Art. 110Si la Suprema Corte de Justicia te pide información que es confidencial o secreta porque la necesita para resolver un caso, esa información se queda como secreta y no la puedes ver en el expediente del caso. Solo hay algunas situaciones especiales, que están explicadas en otra ley, donde sí podría ser pública. Los ministros de la Corte sí pueden ver esa información secreta para decidir si realmente es necesaria, pero siempre siguiendo las reglas de protección de datos.
- Art. 111La Suprema Corte va a decidir un caso de una vez por todas, sin que nadie más pueda revisarlo después. "Plenitud de jurisdicción" significa que la Corte tiene toda la autoridad para resolver todos los aspectos del asunto. "Reenvío" es cuando un tribunal le pide a otro juez que vuelva a ver el caso; aquí la ley dice que eso no está permitido. Así que, en pocas palabras, lo que diga la Suprema Corte es definitivo y ya no hay más vueltas.
- Art. 112Si la Suprema Corte de Justicia decide que tienes razón y confirma la resolución que impugnaste, la persona o autoridad que te negó la información tiene que cumplir con lo que dice la Ley de Transparencia. Pero si la Corte le da la razón al que te negó la información y revoca la resolución, entonces la Secretaría encargada del caso debe hacer lo que la Corte le ordene. En pocas palabras, lo que diga la Suprema Corte es lo que se tiene que hacer.
- Art. 113Cuando ya no se pueda pelear una decisión legal (porque se hayan acabado todos los recursos), la Secretaría puede publicar su interpretación de cómo se debe entender la ley en esos casos. Además, si resuelve tres casos parecidos seguidos de la misma forma, puede emitir criterios que sirvan de guía para las autoridades. Estos criterios solo orientan, no obligan, pero ayudan a que todas las autoridades apliquen la ley de manera parecida.
- Art. 114Las reglas de la Secretaría deben tener tres partes: un título que las identifique, el texto con la regla en sí, y los casos anteriores que las inspiraron (si es que existen). Además, a cada regla se le asigna una clave especial, como un código único, para que se pueda encontrar fácilmente. Todo esto ayuda a que quede claro de qué trata y de dónde viene.
- Art. 115La Secretaría y las Autoridades garantes tienen la obligación de checar que se cumpla lo que dice esta ley y las reglas que de ella salgan. Cuando hagan esas revisiones, los empleados de estas dependencias deben guardar secreto absoluto sobre cualquier información que vean. La persona o empresa que esté siendo revisada no puede negarse a mostrar los documentos o datos personales que le pidan, ni tampoco decir que esa información es confidencial o reservada para evitar mostrarla.
- Art. 116Este artículo explica cómo pueden empezar las inspecciones para ver si se están violando las leyes de protección de datos personales. La inspección puede arrancar de dos maneras: la primera, por iniciativa de la autoridad (como la Secretaría o las Autoridades garantes) si tienen indicios claros de que algo anda mal; la segunda, por una queja de la persona afectada o de cualquier persona que sepa de posibles incumplimientos. Eso sí, tienes derecho a presentar esa queja solo durante un año después de que ocurrieron los hechos, y si los hechos son seguidos (como algo que pasa varias veces), el plazo empieza a contar desde el último día hábil en que ocurrió. Además, no se puede iniciar una inspección si ya existe un recurso de revisión sobre el mismo caso, y antes de la inspección las autoridades pueden hacer investigaciones previas para asegurarse de que tienen razones válidas para empezar.
- Art. 117Cuando vayas a presentar una denuncia, solo te pueden pedir estos datos: tu nombre completo (o el de quien te represente), un domicilio o forma de recibir avisos, una explicación clara de lo que pasó y las pruebas que tengas, los datos del responsable (nombre y dirección o algo que ayude a localizarlo), y tu firma. Si no sabes firmar, basta con que pongas tu huella digital. Puedes hacer la denuncia por escrito, en formatos oficiales, por medios electrónicos o como indique la autoridad. Cuando la reciban, están obligados a darte un acuse de recibo y notificarte su respuesta.
- Art. 118Cuando la Secretaría o las autoridades de protección de datos quieran revisar si alguien está cumpliendo con las reglas, primero deben darte una orden por escrito donde expliquen claramente por qué van a hacer esa revisión. En esa revisión, pueden pedirte documentos o incluso ir a tus oficinas o al lugar donde guardas información personal para verificar todo. Si la revisión es por temas de seguridad nacional o seguridad pública, las autoridades tienen que justificar aún más por qué la están haciendo, y solo ellas pueden usar la información que obtengan. Todo el proceso de revisión no puede durar más de 50 días. Si durante la revisión se dan cuenta de que hay un riesgo grave de que se dañe o pierdan tus datos personales de manera que no tenga remedio, pueden tomar medidas temporales para evitar que pase eso, siempre sin detener tus funciones normales ni bloquear tus bases de datos. Esas medidas solo sirven para corregir el problema, y durarán hasta que cumplas con las recomendaciones que te hagan las autoridades.
- Art. 119Cuando termina la revisión que hace la Secretaría o las Autoridades garantes sobre cómo una empresa o persona maneja tus datos personales, ellos emiten una resolución (una decisión oficial por escrito). En esa resolución, te dicen exactamente qué medidas debes tomar para corregir lo que está mal y en cuánto tiempo tienes que hacerlo. Básicamente, es como cuando un profesor te dice: "esto está mal, haz esto para arreglarlo y tienes 15 días para entregarlo".
- Art. 120Si una empresa o institución está obligada a cumplir con la ley de protección de datos, puede pedir voluntariamente que la Secretaría o la Autoridad garante le haga una auditoría. El objetivo de esa auditoría es revisar si las medidas de seguridad que tiene funcionan bien y sí están actualizadas. Al final, los auditores deben entregar un informe donde digan si las medidas son adecuadas, señalen los errores o fallas, y propongan cómo corregirlos o qué recomendaciones seguir.
- Art. 121Para que se cumplan las decisiones que saquen la Secretaría o las Autoridades garantes, tienes que seguir lo que dice el Capítulo V del Título Octavo de la Ley General de Transparencia. Ese capítulo explica el procedimiento que deben usar para obligar a las autoridades a cumplir, como los plazos y las sanciones. Básicamente, no es un capricho: hay reglas ya escritas que indican cómo hacer válida esa resolución. Así que si eres ciudadano o funcionario, las autoridades encargadas deben aferrarse a ese capítulo para que la orden se ejecute.
- Art. 122Este artículo habla de las sanciones que puede aplicar la Secretaría o las Autoridades garantes cuando alguien no cumple con lo que ellas ordenan. Las sanciones pueden ser: una llamada de atención pública, o una multa que va de 150 a 1,500 veces el valor diario de la UMA (una medida que se usa para calcular montos oficiales). Además, si no obedeces, tu nombre se publica en los portales de transparencia para que todos lo sepan, y eso afecta tus evaluaciones. Y si el incumplimiento es tan grave que parece delito, las autoridades deben denunciarlo ante quien corresponde; además, ninguna de estas multas se puede pagar con dinero del gobierno.
- Art. 123Si el jefe o la persona a la que se le ordenó algo no obedece, aunque ya le hayan aplicado multas o sanciones, entonces el juez le va a hablar a su superior directo (su jefe) para que en un plazo de 5 días lo obligue a cumplir. Si pasan esos 5 días y todavía no se hace lo ordenado, el juez le avisará al área de responsabilidades administrativas para que investigue y sancione al que no obedeció.
- Art. 124El artículo dice que la Secretaría y las Autoridades garantes (las que vigilan que se cumplan las leyes) pueden aplicar las medidas de apremio, que son acciones como multas o arrestos para obligar a alguien a cumplir una orden. Pueden hacerlo directamente o pidiendo ayuda a otra autoridad que tenga la facultad legal para apoyarlas. Básicamente, no necesitan siempre hacerlo solas; pueden pedir refuerzos si lo requieren.
- Art. 125El artículo dice que cuando la Secretaría o las Autoridades garantes pongan una multa, el cobro lo hará el SAT (Servicio de Administración Tributaria) o las Secretarías de Finanzas de cada estado, dependiendo de quién tenga la facultad. Para cobrarla, van a seguir los pasos que marca la ley correspondiente. En otras palabras, si te multan, no le pagas directamente a quien te multó, sino que el cobro lo maneja Hacienda o la autoridad fiscal de tu estado.
- Art. 126Para decidir si aplicarte una multa o sanción, la Secretaría o las autoridades deben tomar en cuenta tres cosas: 1) qué tan grave fue tu falta, viendo si hubo mala intención, cuánto daño causaste y por cuánto tiempo desobedeciste; 2) tu situación económica, para que la multa no te deje en la ruina; y 3) si ya habías cometido la misma falta antes. Si vuelves a hacer lo mismo, te puede ir peor. Estas autoridades también tienen que publicar reglas claras para que todos sepamos cómo se mide la gravedad de una falta y cómo se aplican estas sanciones.
- Art. 127Si vuelves a cometer la misma falta después de que ya te hayan castigado por ella, las autoridades pueden multarte hasta con el doble de lo que pagaste la primera vez. Te consideran reincidente cuando, después de que te sancionaron por una infracción, cometes otra del mismo tipo.
- Art. 128Si una autoridad te impone una medida para obligarte a cumplir (como una multa o un arresto), tiene 15 días para aplicarla desde que te avisan por escrito. El plazo empieza a contar justo cuando recibes la notificación oficial. Después de esos 15 días, ya no podrían ponerte la medida.
- Art. 129La amonestación pública es un llamado de atención en público que te da la Secretaría o las Autoridades garantes. Quien te la aplica es tu jefe directo, es decir, la persona que está arriba de ti en el trabajo. Básicamente, si cometes una falta, tu jefe es el encargado de hacer el reclamo frente a los demás. No es un castigo económico, sino un jalón de orejas formal.
- Art. 130La Secretaría o las autoridades encargadas de proteger tus datos personales pueden pedirte información sobre tu situación económica si cometiste una infracción. Si no entregas esa información, te advierten que la multa se calculará con lo que ellos ya tengan a la mano, como datos de registros públicos, internet o cualquier cosa que muestre tu situación económica. Además, pueden solicitar documentos importantes a otras autoridades para saber cuánto puedes pagar.
- Art. 131Si te imponen una multa o una medida para obligarte a cumplir con algo relacionado con tus datos personales (como una amonestación o el uso de la fuerza pública), puedes quejarte ante un juez experto en el tema. Esos jueces son los que trabajan en tribunales especializados del gobierno federal o de tu estado, según el caso. Básicamente, tienes derecho a defenderte si sientes que la medida es injusta.
- Art. 132Las personas o empresas que manejen tus datos personales pueden ser castigadas si hacen cosas como: atender con descuido o mala fe tus solicitudes para ver, corregir, cancelar u oponerte al uso de tus datos (derechos ARCO), si no responden en los plazos marcados, o si usan, comparten o destruyen tu información sin permiso. También se considera falta grave el no tener un aviso de privacidad claro, no proteger tus datos con medidas de seguridad, o no acatar lo que ordene la autoridad. Algunas de estas faltas, como actuar con mala fe o no cumplir los plazos, son consideradas graves y ameritan multas que no pueden pagarse con dinero del gobierno. Si quien comete la falta es alguien de un partido político, será investigado por la autoridad electoral.
- Art. 133Si alguien comete una de las faltas que se mencionan en el artículo anterior, se le avisará a la autoridad indicada para que decida el castigo o lo aplique. Es como si tú hicieras algo malo y tu jefe se entera, pero él no te puede sancionar directamente, así que le pasa el caso al área de Recursos Humanos para que ellos pongan la multa o el correctivo. La autoridad que tenga la facultad para sancionar es la que se encarga de todo el proceso.
- Art. 134Este artículo dice que si alguien comete una falta administrativa (como un servidor público), la sanción que le pongan por eso no tiene nada que ver con otras consecuencias que pueda tener, como demandas civiles (por ejemplo, pagar daños) o penales (como ir a la cárcel). Cada tipo de responsabilidad se revisa por separado, en su propio juicio o procedimiento, y las autoridades encargadas pueden imponer las multas o castigos que correspondan sin esperar a los otros casos. Además, la Secretaría o las Autoridades garantes tienen el derecho de reportar cualquier violación a la ley a las autoridades competentes (como un ministerio público) y mostrar las pruebas que tengan. En pocas palabras, lo que pase en un proceso no afecta a los otros, y todo se maneja de manera independiente.
- Art. 135Si un partido político no cumple con sus obligaciones, la Secretaría o la Autoridad encargada debe avisar al INE o a los organismos electorales locales para que ellos decidan qué hacer. Esto no quita que el partido pueda recibir otras sanciones que ya estén en la ley. En el caso de que haya sospechas de mal uso de fideicomisos o dinero público, se debe notificar al órgano de control interno del partido para que ellos inicien los trámites necesarios.
- Art. 136Si un servidor público (como un funcionario del gobierno) es sospechoso de violar la ley, la Secretaría o la Autoridad garante (la institución encargada de vigilar la transparencia) debe mandar una queja formal y un expediente (un paquete con todas las pruebas) a la autoridad que investiga, como la contraloría (oficina que revisa a los funcionarios). Esa autoridad tiene que avisarles cómo terminó el proceso y si se aplicó algún castigo. Para armar el caso, deben incluir una denuncia clara de lo que pasó y todas las pruebas que demuestren la relación entre los hechos y la posible falta. Tienen 15 días para enviar todo desde que se enteran de los hechos.
- Art. 137La Autoridad garante (el organismo encargado de vigilar el cumplimiento) tiene la obligación de reportar a las autoridades correspondientes cuando alguien no cumpla con las decisiones que ella misma tomó, si ese incumplimiento parece ser un delito. En otras palabras, si una persona o institución desobedece una orden de esta autoridad y eso podría ser ilegal, la autoridad debe avisarle al ministerio público o al juez para que investiguen.