Artículo 53 de la LEY General de Protección de Datos Personales en Posesión de Sujetos Obligados
Explicado en lenguaje simple
En palabras simples
El artículo dice que cuando una empresa o institución (el responsable) contrata a alguien más (la persona encargada) para manejar tus datos personales, debe haber un contrato por escrito. Ese contrato tiene que dejar claras cosas como: que solo usen tus datos para lo que se les pidió, que los cuiden con medidas de seguridad, que avisen si hay un problema de seguridad, que guarden el secreto de tu información y que la borren o devuelvan cuando terminen el trabajo. También dice que no pueden pasar tus datos a nadie más, a menos que el responsable lo autorice o que una autoridad se los pida. Finalmente, este contrato no debe ir en contra de la ley ni del aviso de privacidad que te dieron.
Texto oficial
Artículo 53. La relación entre el responsable y la persona encargada deberá estar formalizada mediante contrato o cualquier otro instrumento jurídico que decida el responsable, de conformidad con las disposiciones jurídicas aplicables, y que permita acreditar su existencia, alcance y contenido. LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS CÁMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIÓN Secretaría General Secretaría de Servicios Parlamentarios Última Reforma DOF 14-11-2025 14 de 37 En el contrato o instrumento jurídico que decida el responsable se deberán prever, al menos, las siguientes cláusulas generales relacionadas con los servicios que preste la persona encargada: I. Realizar el tratamiento de los datos personales conforme a las instrucciones del responsable; II. Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable; III. Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables; IV. Informar al responsable cuando ocurra una vulneración a los datos personales que trata por sus instrucciones; V. Guardar confidencialidad respecto de los datos personales tratados; VI. Suprimir o devolver los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el responsable, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales, y VII. Abstenerse de transferir los datos personales salvo en el caso de que el responsable así lo determine, o la comunicación derive de una subcontratación, o por mandato expreso de la autoridad competente. Los acuerdos entre el responsable y la persona encargada relacionados con el tratamiento de datos personales no deberán contravenir la presente Ley y demás disposiciones aplicables, así como lo establecido en el aviso de privacidad correspondiente.
Esta explicación es informativa y no constituye asesoría legal. Consulta siempre el texto oficial y, si lo necesitas, a un profesional.