REGLAMENTO de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares
Artículos explicados en lenguaje simple
- Art. 1Este artículo dice que estas reglas explican cómo se aplica la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Es como el manual que detalla paso a paso cómo deben protegerse tus datos cuando están en manos de empresas o personas físicas. Además, ahí vienen las definiciones de términos importantes para que entiendas bien de qué están hablando.
- Art. 2Este artículo define varios términos clave que se usan en la ley de protección de datos personales. Por ejemplo, los **Derechos ARCO** son tus facultades para pedir acceso, corregir, borrar o negarte a que se usen tus datos. Un **Listado de exclusión** es un registro gratis para decir que no quieres que nadie use tu información. También se explican las diferentes **medidas de seguridad** que deben aplicar las empresas: las **administrativas** son reglas y capacitación para el personal, las **físicas** protegen equipos y lugares, y las **técnicas** usan tecnología para controlar quién accede a tus datos. Finalmente, una **persona física identificable** eres tú si alguien puede saber quién eres con tu información, aunque no dé directo tu nombre.
- Art. 3Este reglamento aplica cuando una empresa o persona guarda tus datos en archivos físicos (papeles) o electrónicos (en computadoras), siempre y cuando esos datos puedan buscarse y encontrarse fácilmente. No importa cómo se hayan creado, en qué formato estén o cómo estén organizados. La regla es la misma. Pero si para encontrar tus datos se necesita demasiado tiempo o esfuerzo, como revisar pilas de papeles sin orden o archivos revueltos, entonces las reglas de protección de este reglamento no aplican. Además, la ley considera como “datos personales” cualquier información tuya que permita identificarte, como tu nombre, fotos, huellas digitales, grabaciones de voz, números de teléfono o cualquier cosa que te describa, sin importar si está escrita, dibujada o en audio. Esto aplica para toda la República Mexicana.
- Art. 4Este artículo explica cuándo una empresa o persona está obligada a cumplir con las reglas de protección de datos personales en México. Básicamente, tienes que seguir la ley si guardas o usas datos personales desde un local en México, aunque trabajes para una empresa extranjera. También aplica si la empresa no está en México pero usa un contrato o medios (como un sitio web) para operar aquí, como cuando pides algo en línea y te piden tus datos. Si la empresa está fuera del país pero contrata a un servicio en México para manejar la información, ese servicio sí debe cuidar la seguridad de los datos. Para personas físicas, su "local" puede ser su casa o negocio; para empresas, es su oficina principal en México.
- Art. 5Este artículo dice que hay cierta información que no está protegida por las reglas de este reglamento. En palabras simples, no aplica para datos de empresas o negocios (personas morales), ni para datos de personas físicas que actúan como comerciantes o profesionistas, como un abogado o un contador. Tampoco aplica para datos de empleados, como su nombre, puesto, correo o teléfono, si esa información se usa solo para representar a la empresa donde trabajan. Es decir, estos datos pueden ser tratados sin las mismas protecciones que aplican a tu información personal común.
- Art. 6Si tienes que dar información personal por una obligación legal (como un contrato de trabajo, un crédito o un trámite), esa información ya no se considera de uso exclusivamente personal. O sea, si la compartes porque la ley o un documento legal te obliga, no vale la excusa de que es "solo para tus asuntos privados". Además, los datos que están en fuentes públicas (como registros, padrones o directorios oficiales) tampoco entran en esa categoría de uso personal.
- Art. 7Este artículo dice que hay lugares donde puedes encontrar información de personas que se considera pública, como directorios telefónicos, páginas de internet abiertas a todos, boletines oficiales del gobierno o medios de comunicación como la tele o el periódico. Para que cuente como información pública, cualquier persona debe poder consultarla sin problemas, aunque a veces te pidan pagar una cuota o membresía. Si los datos se obtuvieron de manera ilegal, ya no se consideran de acceso público. Y aunque puedas ver esos datos, debes respetar la privacidad de la gente; no vale usarlos para molestar o para cosas que no sean razonables.
- Art. 8Si eres parte de un grupo que no tiene un registro legal formal, como una asociación de vecinos sin papeles, y juntan datos personales para cosas del grupo —por ejemplo, listas de teléfonos para coordinarse—, entonces cada miembro del grupo es responsable legalmente de cuidar esos datos, igual que lo sería una empresa o una persona con registro.
- Art. 9Las empresas o personas que manejen tus datos personales solo pueden obtenerlos y usarlos si la ley se los permite. No pueden hacerlo de manera oculta o ilegal. Además, siempre deben decirte para qué los van a ocupar, obtener tu permiso y tratar tu información con honestidad. También están obligados a cuidar tus datos con medidas de seguridad y a mantenerlos en secreto, como dice la ley.
- Art. 10El principio de licitud significa que cualquier persona o empresa que maneje tus datos personales debe hacerlo siguiendo al pie de la letra las leyes mexicanas y los tratados internacionales. No puede usar tu información de manera chueca o al margen de lo que marca la ley. El principio de consentimiento quiere decir que necesitan pedirte permiso y tú debes aceptar de forma libre y clara antes de que toquen tus datos. Si no te avisan o no dices que sí, no pueden hacer nada con tu información.
- Art. 11Quien maneje tus datos personales debe pedirte permiso antes de usarlos, a menos que la ley le permita hacerlo sin tu autorización. Cuando te pida ese permiso, debe decirte para qué los va a usar, tal como lo especifica en su aviso de privacidad. Si te pide tus datos en persona, primero debe pedirte autorización y luego procesarlos. Tu consentimiento debe ser libre, específico para cada fin, informado y no puede usarse para cosas distintas a las que acordaste.
- Art. 12Cuando le pides permiso a alguien para usar sus datos personales, ese permiso debe cumplir tres condiciones. Primero, **libre**: que la persona lo dé por su propia voluntad, sin que la engañes, la presiones o la confundas a propósito. Segundo, **específico**: debes decirle para qué exactamente vas a usar sus datos, no pedirle un "permiso para todo". Tercero, **informado**: la persona debe haber leído o escuchado el aviso de privacidad antes de aceptar, y entender qué pasará con su información. Si el permiso es **escrito o dicho claramente** (consentimiento expreso), tiene que ser tan claro que no quede duda de que la persona lo dio; no vale decir "como que sí" o dar a entenderlo a medias. El permiso **tácito** (el que se da sin decir nada, por ejemplo, al no negarse) solo aplica si se cumplen las tres condiciones anteriores.
- Art. 13El artículo 13 dice que, a menos que una ley pida que el dueño de los datos dé un "sí" por escrito o de forma clara, se puede usar el consentimiento tácito, que es cuando la persona no se opone o realiza alguna acción que dé a entender que acepta. Esto funciona siguiendo lo que marcan los artículos 11 y 12 de este reglamento. Para pedir este consentimiento tácito, se debe informar claramente a la persona y darle la oportunidad de decir que no, sin que eso la perjudique. En pocas palabras, si no dices que no, se entiende que aceptas, pero solo cuando la ley no exija un "sí" explícito.
- Art. 14Las empresas o personas que manejen tus datos personales tienen que darte un aviso de privacidad antes de pedírtelos directamente. Ese aviso debe incluir cómo puedes decir que NO autorizas que usen tu información para cosas que no sean necesarias para el servicio que te ofrecen. Si consiguen tus datos de otra forma (no directamente de ti) y quieren usarlos para algo diferente a lo acordado, también deben darte el aviso de privacidad antes de usarlos. Si no te lo dan en persona, tienes 5 días para decir que no aceptas que usen tus datos para esos fines nuevos. Si no dices nada en esos 5 días, ellos entienden que aceptaste. Cuando usen herramientas tecnológicas (como páginas web o aplicaciones) que recojan tus datos automáticamente mientras navegas, deben informarte en ese momento que están usando esas tecnologías, qué datos obtienen y cómo puedes desactivarlas.
- Art. 15Cuando una empresa o persona use tus datos personales, necesita pedirte permiso de forma clara y directa en estos casos: si la ley lo exige, si son datos financieros o de tu dinero, si son datos sensibles como tu salud o religión, o si ellos mismos te piden ese permiso para demostrar algo. También aplica si tú y la empresa acuerdan hacerlo así. En resumen, el permiso expreso es cuando tú dices "sí" de manera específica y sin dudas.
- Art. 16Cuando una ley o reglamento diga que para usar tus datos personales necesitan tu permiso, la empresa o persona que los maneje debe darte una forma fácil y sin costo para que digas que sí. Esto aplica, por ejemplo, cuando te piden firmar o marcar una casilla en un formulario. No vale que te compliquen o te cobren por dar tu consentimiento. Así, siempre tienes el control para decidir si autorizas o no el uso de tu información.
- Art. 17Este artículo habla sobre cuándo se necesita tu permiso para usar tus datos personales. Si tienes una relación con una empresa o institución (como un contrato de servicios), ellos pueden usar tus datos sin pedirte permiso, siempre y cuando sea para lo necesario de esa relación. Pero si quieren usar tus datos para otro motivo diferente, ahí sí deben pedirte tu autorización. Para datos normales, basta con que aceptes de forma tácita (por ejemplo, al no decir que no), pero para datos delicados (como tu salud o tu dinero) necesitan tu permiso expreso, ya sea verbal o por escrito, según lo que marque la ley.
- Art. 18El artículo 18 dice que el consentimiento expreso se da de forma verbal cuando tú lo dices en persona o por algún medio que permita hablar de ida y vuelta, como una llamada telefónica o una videollamada. Consentimiento expreso significa que aceptas algo de manera clara y directa, sin dejar dudas. Así que, si dices "sí" con tu voz, ya cuenta como autorización.
- Art. 19Este artículo explica cómo una persona puede dar su permiso por escrito para que usen sus datos personales. En el mundo físico, se considera que diste tu permiso si firmas un documento con tu puño y letra, pones tu huella digital o usas cualquier otro método que la ley acepte. En el mundo digital (como internet o aplicaciones), se vale usar una firma electrónica o cualquier otro sistema que permita identificar quién eres y que demuestre que aceptaste. La ley pide que quede un registro de que realmente diste tu consentimiento.
- Art. 20El artículo dice que, para comprobar que una persona dio su permiso para usar sus datos, la empresa o persona que los maneja es la que tiene que demostrarlo, no tú. O sea, si alguien dice que sí autorizaste algo, él debe tener la prueba, como un documento o un mensaje. En cualquier situación, la responsabilidad de mostrar ese permiso siempre es de quien usa tus datos. También habla de que puedes retirar ese permiso cuando quieras, pero no da más detalles aquí.
- Art. 21Puedes cancelar tu permiso para que usen tus datos personales cuando quieras. La empresa o persona que los tiene debe darte una forma fácil y sin costo de hacerlo, idealmente por el mismo medio por el que diste el permiso (como un correo o un formulario), a menos que una ley diga lo contrario. Si pides que confirmen que ya dejaron de usar tus datos, ellos deben responderte claramente. Además, si antes de que cancelaras el permiso ya habían compartido tus datos con alguien más, la empresa debe avisarles para que también dejen de usarlos. Si se niegan a dejar de procesar tus datos, puedes seguir un procedimiento para reclamar.
- Art. 22Si el responsable de tus datos no deja de usarlos cuando tú revocas tu consentimiento, puedes presentar una queja formal ante el INAI (Instituto Nacional de Transparencia), siguiendo el procedimiento que se explica en el Capítulo IX del Reglamento. Eso significa que no tienes que quedarte con el problema: la autoridad puede intervenir.
- Art. 23El artículo dice que la empresa o persona que usa tus datos debe informarte, desde el principio, si va a tratar tu información personal y cómo lo va a hacer. Eso lo hacen a través de un aviso de privacidad, que es un documento donde explican qué datos tuyos van a usar, para qué y con quién los compartirán. El aviso debe cumplir con lo que marca la Ley y el Reglamento, así que no puede ser cualquier cosa. En pocas palabras, tienes derecho a saber todo sobre el uso de tus datos antes de que empiecen a usarlos.
- Art. 24El aviso de privacidad (el documento que te dice qué datos tuyos van a guardar y para qué) debe ser fácil de entender, con lo justo y necesario, sin rodeos ni palabras complicadas. También tiene que tener un diseño y orden que te dejen claro de inmediato qué está pasando con tu información. Además, la empresa o persona que lo publique debe difundirlo por medios donde realmente puedas verlo y entenderlo, no escondido en letras chiquitas.
- Art. 25El aviso de privacidad es el documento donde una empresa te dice qué datos tuyos va a usar y para qué. Según este artículo, quien maneja tu información puede compartir ese aviso en papel, por internet, hablándote directamente o por cualquier otro medio. Lo importante es que siempre te informe de manera clara, sin importar cómo lo haga. Es como cuando te explican las reglas de un juego: puede ser por escrito o de palabra, pero siempre debes entenderlas bien.
- Art. 26El aviso de privacidad es un documento que te deben dar cuando te pidan tus datos personales directamente, como al llenar un formulario o registrarte en un servicio. Ese aviso debe incluir la información que marcan otros artículos de la Ley, como quién usará tus datos, para qué, cómo puedes cambiar o cancelarlos, y si los compartirán con terceros. También debe seguir las reglas específicas que la autoridad encargada de proteger los datos personales publique después. En pocas palabras, tienes derecho a saber todo sobre el uso de tu información desde el momento en que la das.
- Art. 27Este artículo dice que cuando una empresa o persona (el "responsable") pide tus datos personales directamente a ti, debe darte de inmediato tres cosas: quién es y dónde está, para qué usará tus datos, y cómo puedes leer su aviso de privacidad. Eso no significa que ya cumplió con todo: aunque te dé esa información rápida, todavía tiene la obligación de mostrarte el aviso de privacidad completo de la manera que marca la ley. En pocas palabras, tienes derecho a saber desde el primer momento con quién tratas y para qué ocuparán tu información, pero también a que te expliquen a detalle cómo la manejarán.
- Art. 28Cuando una empresa o persona (el "responsable") te pide tus datos en un formulario impreso muy pequeño, como una tarjeta o una hoja chiquita, no está obligada a darte el aviso de privacidad completo en ese momento. Solo tiene que asegurarse de que los datos que te pide sean los mínimos necesarios. Pero igual debe tener el aviso disponible para que tú lo puedas consultar en otro lado, por ejemplo en su página de internet. En pocas palabras: si el espacio para escribir es reducido, te pueden pedir solo lo básico sin darte el aviso en ese instante, pero siempre debes poder leerlo después.
- Art. 29Este artículo dice que cuando una empresa o persona (el "responsable") consigue tus datos sin que tú se los hayas dado directamente, debe avisarte y decirte cómo los va a usar. Si ya tenían permiso para usar tus datos o los sacaron de una fuente pública (como un directorio telefónico), deben darte ese aviso en la primera oportunidad en que tengan contacto contigo. Pero si quieren usar tus datos para algo diferente a lo que originalmente aceptaste, tienen que informarte ANTES de empezar a usarlos para esa nueva finalidad. Esto aplica también si quieren usar tus datos para hacerte publicidad, ofrecerte productos o investigar qué te gusta comprar.
- Art. 30Este artículo dice que si una empresa usa tus datos personales para hacerte publicidad, enviarte ofertas o investigar qué te gusta (prospección comercial), debe decírtelo claramente en su aviso de privacidad. Además, si hay otra ley que protege mejor tus datos que esta regla, se aplica esa ley más estricta. Por último, la empresa tiene la obligación de guardar pruebas de que te entregó el aviso de privacidad.
- Art. 31Si una empresa o persona maneja tus datos personales y tiene que informarte a través de un aviso de privacidad, es ella quien debe comprobar que sí te lo mostró. Es decir, si hay una queja o un problema, el responsable tiene la obligación de demostrar que cumplió con informarte, no al revés. Tú no tienes que probar que no te avisaron, ellos tienen que probar que sí lo hicieron. Esto aplica siempre, en cualquier situación.
- Art. 32Si una empresa no puede avisarte directamente sobre el uso de tus datos personales porque hay mucha gente o los datos son muy viejos, puede usar otras formas de avisarte, como anuncios en internet. Esas formas deben seguir las reglas que publique el Instituto Nacional de Transparencia. Si el caso no encaja en esas reglas generales, la empresa necesita pedir permiso especial al Instituto antes de usar cualquier otra medida.
- Art. 33Si una empresa no puede dar a conocer su aviso de privacidad a los dueños de los datos personales (como por ejemplo, si no tiene forma de contactarlos), puede pedirle al Instituto (el INAI) permiso para usar otra forma de informarlos, como un anuncio en radio o redes sociales. Todo el trámite lo inicia la empresa por su cuenta, presentando una solicitud directa al Instituto o por los medios que el Instituto tenga disponibles. En esa solicitud, la empresa debe incluir sus datos completos, quién la representa, y copias de identificaciones oficiales y documentos que acrediten al representante. También tiene que explicar para qué usa los datos personales, por qué no puede dar el aviso de privacidad normal, cuántas personas afecta, y qué tipo de medida compensatoria quiere usar (por ejemplo, un anuncio en TV) y por cuánto tiempo. Finalmente, debe presentar el texto exacto de esa medida y cualquier otro documento que considere útil para justificar su petición.
- Art. 34El Instituto tiene 10 días después de recibir tu solicitud para darte una respuesta. Si no contesta en ese tiempo, se considera que tu solicitud está autorizada automáticamente. Cuando presentes la solicitud, el Instituto revisará si sería un esfuerzo muy grande o complicado para ti informar a los titulares sobre el aviso de privacidad. Para eso, tomará en cuenta cuántas personas están involucradas, qué tan viejos son los datos, tu situación económica, en qué zonas y sectores trabajas, y el tipo de medida que propones. Si el Instituto cree que tu medida no cumple con informar bien a los titulares, puede sugerirte otra opción diferente. Te avisará su propuesta y tú tendrás 5 días para responder lo que consideres; si no lo haces, el Instituto decidirá con la información que ya tiene. Si el Instituto determina que sí podías dar el aviso de privacidad o que el esfuerzo no era tan grande, no te autorizará usar medidas compensatorias. Y si te autoriza una, esa autorización será válida mientras las condiciones sigan igual.
- Art. 35Si una empresa o autoridad cometió un error con tus datos personales y tiene que avisarte a un montón de personas, debe publicar una disculpa o aviso en lugares donde mucha gente lo vea. Ese aviso debe incluir la misma información que el artículo 27 (como explicar qué pasó y qué van a hacer para arreglarlo). Los lugares donde lo pueden poner son: periódicos nacionales o locales, revistas especializadas, su página de internet, en la página del Instituto que los regula (si ellos no tienen página), carteles en lugares visibles, cápsulas en la radio, o cualquier otro medio que llegue a mucha gente. La idea es que el aviso sea claro y llegue a todos los afectados, según dónde vivan o a qué se dediquen.
- Art. 36Este artículo habla de que las empresas o personas que guarden tus datos (como tu nombre, dirección o teléfono) tienen la obligación de mantenerlos correctos, completos y actualizados. Si tú mismo les diste la información, se asume que es correcta, a menos que tú les digas lo contrario o ellos tengan pruebas de que no lo es. Si ellos consiguieron tus datos de otro lado (no directamente de ti), deben hacer todo lo posible para verificar que la información sea cierta de acuerdo al tipo de dato. El chiste es que no alteren la verdad ni te perjudiquen por tener información incorrecta.
- Art. 37La regla es simple: las empresas o instituciones solo pueden guardar tus datos personales (como tu nombre, dirección o teléfono) el tiempo necesario para el fin para el que los pidieron. Por ejemplo, si te inscribiste a un curso, solo pueden tener tus datos mientras lo necesiten para darlo, o por razones de impuestos o cuestiones legales. Cuando ya no ocupen tus datos para nada (y no haya una ley que los obligue a guardarlos más tiempo), deben borrarlos definitivamente. Antes de borrarlos, primero los bloquean, que es como ponerlos en un "congelador" temporal para asegurarse de que ya no los usen, y después sí los eliminan por completo.
- Art. 38La empresa o persona que tenga tus datos personales tiene la obligación de hacer procedimientos escritos donde decida por cuánto tiempo va a guardarlos y, en su momento, borrarlos o bloquearlos para que nadie más los use. Esto lo debe hacer siguiendo lo que dice el artículo anterior de esta ley. Además, la empresa debe tener pruebas que demuestren que respetó esos tiempos de guardado. En pocas palabras, no pueden conservar tu información por siempre ni sin tener un plan claro de cuándo eliminarla.
- Art. 39El artículo 39 dice que cuando haya una duda, la persona o empresa que guarda tus datos personales tiene que probar que los está eliminando o guardando correctamente, siguiendo los tiempos que marca la ley. Si tú pides que borren tus datos porque ya no los necesitan para lo que los dieron, ellos deben demostrar que lo hicieron bien. La responsabilidad de explicar y comprobar esto es de ellos, no tuya. Es como cuando te deben un reembolso: ellos tienen que mostrar el comprobante, no tú.
- Art. 40La ley dice que tus datos solo se pueden usar para lo que la empresa o institución te explicó claramente en el aviso de privacidad, no para otra cosa. Eso significa que deben decirte de forma bien clara, sin rodeos ni confusiones, para qué van a usar tu información personal. Si te prometieron usarlos para una cosa, no pueden cambiarlo después sin avisarte y pedirte permiso de nuevo.
- Art. 41Quien maneja tus datos (el responsable) tiene que separar en el aviso de privacidad dos tipos de usos: los necesarios para el servicio o trato que tienes con él, y los que no son necesarios. También debes poder negarte (oponerte) a que usen tu información para esos fines que no son indispensables. O sea, si no quieres que compartan tus datos para publicidad o estudios de mercado, tienes derecho a decir que no.
- Art. 42Tú tienes el derecho de decir "no" o cambiar de opinión sobre el uso de tus datos personales para cosas que no sean estrictamente necesarias para el servicio o trámite que estás haciendo con una empresa o institución. Por ejemplo, si una tienda te pide tu correo para enviarte publicidad, puedes negarte o después decir que ya no quieres, y eso no afecta que te sigan atendiendo bien. Lo único es que no puedes negarte a dar los datos que sí son obligatorios para que te den el servicio, como tu nombre y dirección para un envío.
- Art. 43El artículo dice que quien maneja tus datos personales solo puede usarlos para lo que te informó desde el principio. No puede cambiarlos a otro propósito que no tenga relación con lo acordado ni que no parezca lógico, a menos que una ley lo obligue o que tú le des permiso otra vez para ese nuevo uso.
- Art. 44El artículo 44 dice que cuando una empresa o persona maneje tus datos (como tu nombre, dirección o teléfono), debe respetar el principio de lealtad. Esto significa que tiene la obligación de cuidar tus intereses y tu privacidad, tal como se explica en el artículo 7 de esa misma ley. Además, no puede usar trucos o mentiras para obtener tus datos, y si lo hace, se considera un fraude o engaño. Por ejemplo, es ilegal si te oculta información a propósito, si te hace perder tu privacidad de manera injusta o si usa tus datos para algo diferente a lo que te dijo en el aviso de privacidad. En pocas palabras, siempre deben ser honestos contigo y proteger tu información personal.
- Art. 45Solo pueden usar tus datos personales si son estrictamente necesarios para el asunto para el que los entregaste. Por ejemplo, si compras algo en línea, no pueden pedirte tu estado civil, solo lo indispensable (como tu dirección y forma de pago). Esto se llama "criterio de minimización": la empresa o institución debe agarrar la menor cantidad de tu información posible. O sea, no pueden recolectar datos de más solo porque sí, ni guardarlos para otro fin que no sea el original. Así protegen tu privacidad y evitan que usen tu información para cosas que no autorizaste.
- Art. 46El responsable de tus datos (la persona o empresa que los usa) tiene que procurar que solo pida la información personal estrictamente necesaria para el objetivo que tiene. Por ejemplo, si solo necesita saber tu edad, no debe pedir también tu dirección. Esto se llama "principio de responsabilidad", y significa que debe hacer un esfuerzo consciente para no acumular datos de más.
- Art. 47El responsable (la persona o empresa que decide cómo usar tus datos) tiene que cuidarlos y hacerse responsable si algo sale mal, incluso si se los pasa a otra empresa para que los maneje, esté esta en México o en el extranjero. Para cumplir, puede usar reglas reconocidas, como buenas prácticas internacionales o políticas internas que le ayuden a proteger tu información.
- Art. 48Este artículo dice que cualquier empresa o persona que maneje tus datos personales debe priorizar tu privacidad y tus derechos por encima de sus propios intereses. Para lograrlo, tienen que cumplir con al menos estas 10 obligaciones: crear reglas internas de privacidad que todo el personal deba seguir, capacitar a sus empleados para que cuiden tus datos, hacer auditorías para verificar que cumplen, y poner dinero y recursos para que todo funcione. También deben revisar y actualizar sus medidas de seguridad cada cierto tiempo, atender tus dudas o quejas cuando se las presentes, y tener sanciones para quien no respete las políticas. Además, deben poder rastrear quién, cómo y cuándo usó tus datos, y tomar acciones técnicas para garantizar que tu información esté protegida en todo momento.
- Art. 49El encargado es cualquier persona o empresa que no trabaja directamente para la organización que tiene tus datos, pero que los usa porque le pidieron un servicio. Puede ser una persona física o una compañía, y actúa siguiendo un contrato o acuerdo legal que le dice exactamente qué puede hacer con tu información. Por ejemplo, si un banco contrata a una empresa externa para mandarte mensajes, esa empresa es el encargado. Su obligación principal es tratar tus datos solo para lo que le pidieron, sin usarlos para otros fines ni compartirlos sin permiso.
- Art. 50Imagina que eres un negocio (el responsable) y contratas a alguien (el encargado) para que guarde o trabaje con los datos de tus clientes. Este artículo dice que esa persona solo puede usar los datos para lo que tú le pediste, ni para otras cosas. También debe cuidarlos con medidas de seguridad, mantenerlos en secreto y borrarlos cuando ya no los necesite, a menos que una ley diga que los guarde. Y no puede pasarlos a nadie más, solo si tú se lo ordenas, si contrató a otro para ayudarle, o si una autoridad como un juez los pide. Todo lo que acuerden debe cumplir con el aviso de privacidad que le diste a tus clientes.
- Art. 51Si alguien maneja tus datos personales (como tu nombre o dirección), debe haber un contrato o un documento legal que lo autorice. Ese documento explica qué datos se usan, para qué y hasta cuándo. El responsable (quien decide usar tus datos) es quien elige la forma de ese acuerdo, pero debe quedar por escrito. Así, si hay un problema, se puede demostrar quién hizo qué con tu información.
- Art. 52Este artículo te dice qué revisar antes de usar un servicio de "nube", como Google Drive o iCloud, para guardar información de tus clientes o empleados. Si contratas uno de estos servicios (por ejemplo, con un contrato que solo te pide aceptar términos y condiciones), el proveedor debe cumplir reglas estrictas para proteger los datos. Por ejemplo, debe tener políticas de privacidad claras, no puede quedarse con la propiedad de tu información y tiene que borrar los datos cuando termines de usarlos. También debe asegurarse de que solo personas autorizadas vean la información y, si una autoridad se la pide, debe notificártelo. Tú, como responsable, solo puedes contratar servicios que realmente garanticen esa protección.
- Art. 53Cuando una empresa (el responsable) le pasa tus datos a otra que le ayuda a procesarlos (el encargado), no necesita avisarte ni pedir tu permiso, aunque esa otra empresa esté en otro país. El encargado se vuelve responsable y debe cumplir con todas las obligaciones legales si: 1) usa tus datos para algo diferente a lo que le ordenaron, o 2) los comparte con alguien más sin seguir las instrucciones de la empresa original. Pero no hay bronca si el encargado, por orden expresa de la empresa principal, manda tus datos a otro encargado que esta última eligió para un servicio, o se los pasa a otra empresa responsable siguiendo lo que dice la ley.
- Art. 54Si alguien maneja tus datos personales (el encargado) y quiere contratar a otra persona o empresa para que también los maneje (subcontratado), primero debe pedirte permiso a ti como responsable de los datos. Una vez que autorices, debe firmar un contrato o acuerdo donde quede claro qué se va a hacer y hasta dónde llega. La persona o empresa subcontratada tendrá las mismas obligaciones de cuidar tus datos que las que ya tenía el encargado. Y el encargado es quien debe demostrar que tenía tu permiso para hacer esa subcontratación.
- Art. 55Este artículo dice que, si en un contrato entre la empresa que maneja tus datos (el responsable) y la que los procesa (el encargado) ya se menciona que este último puede contratar a otras empresas para hacer el trabajo, no hace falta pedir permiso otra vez. Pero si el contrato no lo dice, el encargado debe pedir autorización por escrito al responsable antes de subcontratar. En los dos casos, se deben seguir las reglas del artículo anterior sobre protección de datos. La sección siguiente habla de los requisitos para crear bases de datos con información sensible, como tu salud o creencias.
- Art. 56Este artículo dice que solo se pueden crear archivos con información privada muy delicada, como datos de salud o creencias, en tres casos: primero, si una ley te obliga a tenerlos; segundo, si está justificado por el artículo 4 de la misma ley; y tercero, si quien maneja los datos necesita la información para cumplir con objetivos claros y legales relacionados con su trabajo. En pocas palabras, no puedes guardar datos sensibles de otras personas solo porque sí, necesitas una razón fuerte y permitida por la ley.
- Art. 57Tanto la empresa o persona que usa tus datos (el responsable) como la que los procesa por su cuenta (el encargado) tienen que poner candados de seguridad de todo tipo, como barreras físicas (ej. oficinas cerradas), medidas administrativas (ej. políticas internas) y, si aplica, medidas técnicas (ej. contraseñas). Esto aplica sin importar si manejan tu información en papel o en computadora, y deben cumplir con lo que marca la ley. Esas medidas son simplemente los controles que usan para evitar que tus datos se pierdan, roben o usen mal. Pero ojo: si hay otras reglas oficiales del gobierno para su sector que protejan más tus datos, esas se aplican antes que la ley general. Si no cumplen, las multas pueden reducirse si demuestran que sí tenían medidas de seguridad mínimas.
- Art. 58El Artículo 58 dice que, si se viola la seguridad de tus datos personales, el Instituto (que es quien los protege) puede ponerte una multa o sanción. Pero si tú sigues las recomendaciones que el Instituto te dio para arreglar el problema, eso puede hacer que la sanción sea más leve. En otras palabras, si haces caso a lo que te piden después del accidente, te pueden castigar menos fuerte. Esto aplica cuando ya ocurrió la vulneración, no antes.
- Art. 59El artículo dice que la persona o empresa que maneja tus datos (el "responsable") puede encargarse de protegerlos ella misma o contratar a alguien más para que lo haga. También establece que hay ciertos factores que se deben considerar para decidir qué tan estrictas deben ser esas medidas de seguridad. Esto significa que no hay una regla única para todos, sino que se toman en cuenta cosas como el tipo de datos que se tienen y los riesgos que puedan existir.
- Art. 60Según este artículo, la empresa o persona que maneja tus datos (el "responsable") debe poner medidas de seguridad para protegerlos. Para decidir qué tan fuertes deben ser esas medidas, tiene que tomar en cuenta cosas como: qué tan riesgoso es el tipo de dato (por ejemplo, tu nombre vs. tu salud), qué tan sensible es, qué tecnología existe y qué consecuencias tendría para ti si se filtran. Además, también debe considerar otros factores como cuántas personas están afectadas, si antes ya hubo filtraciones o robos de datos, qué tanto valor podrían tener tus datos para un extraño que quiera usarlos, y cualquier otra cosa que aumente el riesgo. En pocas palabras, quien maneja tu información tiene la obligación de pensar bien en todos estos puntos para elegir las medidas de seguridad adecuadas y evitar que te afecten.
- Art. 61El artículo 61 dice que cualquier empresa o persona (llamado "responsable") que guarde tus datos personales debe tomar ciertas acciones para protegerlos. Primero, tiene que hacer una lista de todos los datos que tiene y los sistemas donde los maneja. También debe asignar a quién le toca hacer qué con esa información y revisar los riesgos para saber qué puede salir mal. Además, necesita analizar si las medidas de seguridad que ya tiene son suficientes, y si faltan, hacer un plan para agregarlas. Por último, debe capacitar a su personal, hacer auditorías y llevar un registro de dónde guarda los datos.
- Art. 62Si eres responsable de manejar datos personales, debes actualizar tus medidas de seguridad cuando pase cualquiera de estas situaciones: 1) Cambies tus procesos de seguridad para mejorarlos; 2) Modifiques de forma importante cómo usas los datos y eso aumente el riesgo; 3) Sufras un ataque o fuga de información (vulneración); o 4) tus datos personales se vean afectados de otra manera. Si manejas datos sensibles (como salud o religión), checa tus medidas al menos una vez al año y actualízalas si es necesario.
- Art. 63Este artículo explica en qué situaciones se considera que hubo una "fuga" o problema de seguridad con tus datos personales. Pasa cuando alguien, sin permiso, los pierde, los destruye, los roba, los extravía, los copia, los usa, los consulta o los modifica en cualquier momento del proceso. También cuenta si los dañan o alteran sin autorización. En pocas palabras, cualquier cosa que hagan con tu información sin que tú o la empresa hayan dado permiso es una vulneración de seguridad.
- Art. 64Si alguien usa tus datos personales sin permiso o se filtran, la empresa o persona responsable debe avisarte sin demora, apenas confirme que pasó y que ya empezó a revisar qué tan grave fue el problema. Este aviso es para que tú puedas hacer algo, como cambiar contraseñas o reportar el asunto. En la notificación te tienen que decir, por ejemplo, qué datos se vieron afectados, cuándo ocurrió y qué están haciendo para solucionarlo. La ley busca que no te enteres hasta después, sino que te protejas rápido.
- Art. 65Si ocurre un incidente de seguridad (como una filtración o robo de tus datos), la empresa o persona que los maneja tiene que avisarte. Debe decirte qué pasó, qué datos tuyos se vieron afectados, y darte consejos para protegerte (por ejemplo, cambiar contraseñas). También tiene que contarte qué medidas tomó para arreglar el problema de inmediato, y decirte dónde puedes pedir más información.
- Art. 66Si se te filtran tus datos personales, la empresa o persona que los maneja (el responsable) tiene la obligación de investigar por qué pasó. Después, debe aplicar medidas para arreglar el problema, prevenir que vuelva a suceder y mejorar su seguridad. Todo esto para que no se repita otra vez una situación así.
- Art. 67La transferencia ocurre cuando tus datos personales se comparten con alguien que no eres tú, ni la empresa o persona que los guarda o los usa. Puede ser dentro de México o hacia otro país. Para que sea válida, quien los tenga solo puede pasarlos si cumple con ciertas reglas que marca esta ley. En términos simples, no pueden regalar ni vender tu información sin seguir lo que dice el artículo.
- Art. 68Si alguien quiere compartir tus datos personales (como tu nombre, teléfono o dirección) con otra persona o empresa, necesita pedirte permiso primero. Eso aplica tanto si la transferencia es dentro de México como si es a otro país, a menos que sea uno de los casos especiales que dice la ley. Además, tienen que avisarte claramente mediante el aviso de privacidad para qué van a usar tu información, y solo pueden usarla para ese fin específico. Si no cumplen con esto, la empresa debe poder demostrar que pidió tu consentimiento y siguió las reglas.
- Art. 69Si alguien transfiere tus datos personales (como tu nombre o dirección) a otra empresa, tanto el que los envía como el que los recibe tienen que demostrar que lo hicieron siguiendo las reglas de la ley. Esto aplica aunque los datos se queden en México o se vayan al extranjero. También aplica cuando la transferencia es entre empresas del mismo grupo, como dos compañías que son primas o filiales de la misma empresa grande. En todos los casos, la responsabilidad de comprobarlo es de ambas partes.
- Art. 70Cuando una empresa comparte tus datos personales con otra empresa del mismo grupo (como su empresa matriz o una filial), no necesita pedirte permiso otra vez. En lugar de eso, puede usar sus propias reglas internas de protección de datos para asegurar que la empresa que recibe la información va a cuidarla igual que la ley lo pide. Pero esas reglas internas sí deben cumplir con todo lo que dice la ley de protección de datos y su reglamento. Básicamente, si las empresas del mismo grupo tienen políticas claras y obligatorias sobre cómo manejar tus datos, con eso es suficiente para que la transferencia sea válida.
- Art. 71Para que alguien pueda pasar tus datos personales (como tu nombre, dirección o teléfono) a otra persona o empresa dentro de México, la compañía que los tiene (el responsable) debe cumplir con las reglas de los artículos 36 de la Ley y 68 del Reglamento. El receptor es quien va a recibir y usar esos datos. En pocas palabras, no pueden compartir tu información así nomás; tienen que seguir ciertos pasos legales para protegerla.
- Art. 72Cuando alguien te da tus datos personales para que los uses, esa persona se vuelve responsable de cuidarlos igual que quien te los pasó. Tiene que tratarlos exactamente como se acordó en el aviso de privacidad que le informó quien te los compartió. En pocas palabras, si recibes datos de alguien, debes seguir las reglas que te dijeron al recibirlos.
- Art. 73Si una empresa o persona va a pasar tus datos personales a alguien en otro país, tiene que darle a esa persona un comprobante de que te explicó bien cómo usarlos y que aceptaste. Ese comprobante puede ser un correo, un documento o cualquier cosa que demuestre que cumplió con informarte.
- Art. 74El artículo dice que si alguien en México envía tus datos personales a otro país, la empresa o persona que los recibe afuera debe cumplir con las mismas reglas de protección que tiene quien te los pidió aquí. Para que esto sea legal, ambas partes (la de México y la del extranjero) tienen que firmar un acuerdo donde el receptor se comprometa a cuidar tus datos igual que se hace en México. Así, aunque tu información salga del país, sigue protegida como si estuviera aquí. Esto aplica siempre y cuando no haya una regla diferente en otro artículo de la ley.
- Art. 75Cuando alguien pase tus datos personales a otra persona o empresa, debe asegurarse de que esa persona o empresa se comprometa a cuidarlos igual que él. Para eso, puede usar contratos o documentos legales donde se pongan las mismas reglas que él tiene que cumplir, además de las condiciones que aceptaste cuando diste tu permiso para usar tus datos. El Instituto puede dar su opinión sobre si esas transferencias están bien hechas o no.
- Art. 76Si una empresa o persona maneja datos personales y planea enviarlos a otro país, puede pedirle al Instituto (el organismo que vigila el cumplimiento de la ley) que le dé su opinión. Esto sirve para confirmar si su transferencia internacional cumple con lo que dice la ley. No es obligatorio pedir esta opinión, solo si ellos lo creen necesario. Así se evitan problemas y se aseguran de hacerlo bien.
- Art. 77Si una dependencia del gobierno (como una secretaría) se da cuenta de que necesita hacer reglas sobre cómo las empresas o personas cuidan tus datos personales, puede crear o cambiar esas reglas, pero siempre trabajando junto con el Instituto que vigila la protección de datos. También, si ese Instituto nota que hace falta una regla especial para un sector (por ejemplo, para los hospitales o bancos), puede sugerirle a la dependencia que elabore un borrador de esa nueva norma. En pocas palabras, tanto el gobierno como el Instituto pueden proponer reglas más específicas para proteger tus datos, pero siempre en equipo.
- Art. 78Para hacer y publicar las reglas sobre protección de datos personales de las que habla el artículo 40 de la Ley, la dependencia (la Secretaría de Economía) y el Instituto (el INAI) se pondrán de acuerdo y trabajarán juntos. En cualquier situación, tanto la dependencia como el INAI, cada quien dentro de lo que le toca, decidirán las reglas que todas las empresas y organizaciones de ese sector deben seguir para manejar tus datos personales. Esto es parte de lo que se llama "autorregulación vinculante", que son reglas que las propias empresas se ponen a sí mismas, pero que tienen que cumplir obligatoriamente.
- Art. 79El artículo 79 dice que tú o una empresa pueden ponerse de acuerdo con otras personas, organizaciones civiles o el gobierno, ya sea de México o del extranjero, para crear reglas propias sobre cómo proteger los datos personales. Estas reglas voluntarias deben cumplir con lo que ya marca la ley y los reglamentos, y sirven para que quien maneja los datos pueda demostrarle al Instituto (el INAI) que está cumpliendo con sus obligaciones. El objetivo es que todos los que sigan estas reglas traten los datos de manera uniforme y que tú, como dueño de tu información, puedas ejercer tus derechos más fácilmente. En pocas palabras, es como hacer un pacto voluntario para cuidar mejor los datos.
- Art. 80El Artículo 80 habla de los **esquemas de autorregulación**, que son reglas voluntarias que las empresas o instituciones crean por su cuenta para proteger mejor tus datos personales. Estas reglas pueden ser, por ejemplo, códigos de buena conducta, sellos de confianza o políticas de privacidad, y tienen varios objetivos importantes: ayudan a que las empresas cumplan con la ley, mejoran sus procesos de protección de datos, fomentan buenas prácticas, y les permiten mostrar compromiso contigo (el dueño de los datos). También sirven para que las empresas puedan trabajar más fácil con otras del extranjero, resolver quejas mediante mediación y asegurar que cumplen con estándares de calidad. Al final, nadie está obligado a adoptar estas reglas, pero si una empresa lo hace, debe seguirlas al pie de la letra.
- Art. 81Si una empresa o persona (el responsable) crea y sigue un plan propio de reglas para cumplir con la ley (un esquema de autorregulación), y luego resulta que comete una falta, el Instituto va a tomar en cuenta ese plan para rebajarle la multa o sanción. Además, el Instituto puede dar otros beneficios o premios a quienes adopten estos planes, y también poner reglas más sencillas para que los trámites sean más rápidos. Este tipo de plan de autorregulación debe incluir ciertos puntos básicos para ser válido.
- Art. 82El artículo 82 dice que si una empresa o grupo decide crear sus propias reglas para cuidar tus datos personales (a eso le llaman autorregulación), tiene que seguir ciertos lineamientos que saquen la Secretaría y el Instituto. Esas reglas deben incluir, por lo menos, ocho cosas: 1) el tipo de compromiso que asumen, como códigos de ética, sellos de confianza o algo que te ayude a identificar qué empresas sí cuidan tus datos; 2) a quiénes aplican esas reglas; 3) cómo van a proteger tus datos y cómo medirán si funciona; 4) sistemas para vigilarse a ellos mismos y que otros los vigilen; 5) cursos para que su personal aprenda a manejar tus datos; 6) formas para que puedas ejercer tus derechos (como pedir que borren tu información); 7) una lista pública de las empresas que cumplen con esas reglas, y 8) medidas para corregir cuando alguien falle. Al final, esto sirve para que exista una certificación que demuestre que una empresa realmente protege tus datos.
- Art. 83Este artículo dice que las empresas que manejan tus datos personales pueden certificarse (recibir un sello o aprobación) para demostrar que los protegen bien. Si deciden hacerlo, esa certificación debe darla una persona o empresa externa que sea experta en el tema, no alguien de la misma empresa. Todo debe hacerse siguiendo las reglas que fija la ley, específicamente el artículo 43, fracción V. En pocas palabras, es como un examen para asegurar que cumplen con proteger tu información.
- Art. 84Las personas o empresas que sean aprobadas como certificadores se encargarán de revisar que las políticas de privacidad de quienes manejan tus datos personales realmente protejan tu información. Para esto, pueden hacer verificaciones y auditorías. Para que una persona o empresa sea acreditada como certificador, debe seguir ciertas reglas que están en el artículo 43, fracción V de la Ley. Los certificadores deben ser imparciales (no favorecer a nadie) y cumplir con los requisitos que ahí se piden. Los parámetros de autorregulación son las reglas que ellos mismos se ponen para garantizar que hacen bien su trabajo.
- Art. 85El artículo dice que las reglas sobre cómo las empresas o personas se auto-controlan para proteger tus datos personales deben incluir: cómo aprobar o quitar el permiso a quienes certifican que se cumple la ley (esas personas o empresas certificadoras), cuáles son sus funciones, los requisitos generales para dar los certificados de protección de datos, y el proceso para avisar oficialmente cómo se van a aplicar esas reglas voluntarias. También se habla de que estos esquemas de autorregulación se tienen que registrar. En resumen, son las instrucciones claras para que los certificadores hagan bien su trabajo y tú sepas qué esperar.
- Art. 86El Instituto va a llevar un registro especial de los esquemas de autorregulación, que son como reglas voluntarias que las empresas crean para proteger tus datos personales. Solo se van a incluir en ese registro los esquemas que cumplan con ciertos requisitos que ya están establecidos en la ley. La parte que sigue habla de tus derechos como dueño de tus datos personales y de cómo puedes hacerlos valer.
- Art. 87Tus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son independientes entre sí. Esto significa que si, por ejemplo, pides acceso a tus datos, no pierdes la oportunidad de pedir después que los corrijan o los borren. Tampoco es obligatorio ejercer uno de ellos para poder usar otro; puedes saltarte el que quieras. En pocas palabras, cada uno de estos derechos funciona por su cuenta y no tienes que cumplir requisitos previos para usarlos.
- Art. 88Claro, aquí tienes la explicación en lenguaje sencillo y mexicano: Este artículo dice que tus derechos ARCO (los que te permiten Acceder, Rectificar, Cancelar u Oponerte al uso de tus datos personales) no siempre son absolutos. Pueden limitarte o negarte el ejercicio de estos derechos si hay de por medio asuntos de seguridad nacional, orden público, o para proteger la salud o los derechos de otras personas. Esto solo puede pasar en los casos que ya marca la ley, o si una autoridad competente lo ordena mediante una resolución que explique bien por qué lo está haciendo (es decir, que esté bien justificada).
- Art. 89Si quieres ejercer tus derechos ARCO (que son tus derechos a Acceder, Rectificar, Cancelar u Oponerte al uso de tus datos personales), la ley dice cómo identificarte. Si eres tú quien hace el trámite, debes presentar una copia de tu identificación oficial y mostrar el original para que lo chequen. También puedes usar tu firma electrónica avanzada o algún otro método electrónico que demuestre quién eres, y en ese caso no necesitas la copia de tu identificación. Si en lugar de ti lo hace otra persona en tu nombre (tu representante), esa persona debe demostrar quién es él, quién eres tú, y que tiene tu permiso para hacerlo. Para comprobar ese permiso, puede llevar un documento notariado, una carta poder firmada frente a dos testigos, o ir personalmente a declarar ante la autoridad. Cuando se trata de datos de menores de edad o de personas que la ley considere que no pueden tomar decisiones por sí mismas (por ejemplo, por una discapacidad mental declarada legalmente), se siguen las reglas de representación que marca el Código Civil Federal. En pocas palabras, alguien más autorizado debe hacer el trámite por ellas.
- Art. 90Tú puedes pedirle a la empresa o persona que tenga tus datos (el responsable) que los corrija, los borre, te los dé o te diga para qué los usa (derechos ARCO). Puedes hacerlo tú mismo o con alguien que te ayude (tu representante), y debes usar los medios que ellos te dijeron en su aviso de privacidad. La empresa está obligada a darte opciones para que puedas hacer tu solicitud, como por correo electrónico o en sus oficinas. También pueden hacer formatos o sistemas más fáciles para que se los pidas, y te deben avisar en el aviso de privacidad cómo usarlos.
- Art. 91Si una empresa ya tiene un servicio (como un chat o una línea telefónica) para que los clientes hagan quejas o pidan ayuda, también puede recibir por ahí tus solicitudes para ver, corregir, borrar o limitar el uso de tus datos personales (derechos ARCO). Eso sí, la empresa debe cumplir los mismos tiempos de respuesta que marca la ley, que son en general 20 días hábiles. Para usar ese servicio, la empresa puede identificarte con los mismos datos que ya te pidió cuando te atendió o te vendió algo, siempre que eso sea seguro y compruebe que eres tú.
- Art. 92Este artículo dice que si ya existe una forma especial para pedir ver, corregir, borrar o bloquear tus datos personales (derechos ARCO), se debe usar esa forma siempre que sea mejor para ti, el dueño de los datos, y no vaya en contra de lo que marca la Ley. Es decir, si hay dos caminos para hacer tu solicitud, se elige el que te proteja más. No se trata de costos; el artículo no habla de cobros.
- Art. 93Este artículo habla de los derechos ARCO, que son tus derechos para pedir que te digan qué datos tienen de ti (Acceso), corregirlos (Rectificación), borrarlos (Cancelación) u oponerte a que los usen (Oposición). Ejercer estos derechos debe ser sencillo y, en general, no te deben cobrar nada, solo pagarías por los gastos de envío, copias o certificación de documentos, si aplica. Los costos de reproducción no pueden exceder lo que la empresa gasta para sacar las copias. La empresa no puede obligarte a usar un servicio o medio que tenga costo, como un trámite de pago, para pedir estos derechos.
- Art. 94Cuando pidas acceso a tus datos personales, debes escribir tu domicilio o algún medio de contacto (como un correo electrónico) para que te avisen la respuesta. Si no pones esa información, la empresa o institución tratará tu solicitud como si nunca la hubieras hecho y dejará un reporte de eso. O sea, si no das una dirección o medio para recibir la notificación, tu trámite se cancela y no lo revisarán.
- Art. 95Cuando pidas a una empresa o institución que pueda ver, corregir, borrar o negarse a usar tus datos personales (los llamados derechos ARCO), esa persona o empresa está obligada a atender tu solicitud. El plazo para que te responda empieza a contar desde el día en que ellos reciben tu petición, y deben anotar esa fecha en el comprobante que te entreguen. Si te piden más información para procesar tu solicitud, el reloj se pausa hasta que tú les des lo que te pidieron.
- Art. 96Si entregas información incompleta, con errores o te faltan ciertos documentos al hacer tu solicitud, la persona o empresa encargada te puede pedir una sola vez que los corrijas o completes. Ese aviso de aclaración debe llegar dentro de los 5 días siguientes a que recibieron tu solicitud, y tú tienes 10 días a partir de que te llegue el aviso para responder. Si no respondes en esos 10 días, se considera que nunca hiciste la solicitud. Cuando sí entregues lo que te pidieron, el plazo que tienen para darte respuesta comenzará a contar desde el día siguiente en que tú cumpliste con el aviso. Si la persona o empresa no te pidió documentos extra para verificar quién eres o que tu representante sí tiene permiso de actuar por ti, se da por hecho que tu identidad quedó acreditada desde que presentaste tu solicitud original.
- Art. 97Si una empresa necesita más tiempo del normal para responder a tu solicitud de derechos ARCO, debe avisarte por qué. Tiene dos casos: si requiere más de los 20 días para decidir si te da la información, debe decirte los motivos antes de que se cumplan esos 20 días desde que pediste el trámite. Si ya te dijo que sí, pero necesita más de los 15 días para darte la información, debe explicarte por qué antes de que se cumplan esos 15 días desde que te avisó que procedía. En ambos casos, la empresa está obligada a notificarte sin pasarse del nuevo plazo.
- Art. 98La empresa o persona que tiene tus datos (el "responsable") siempre debe contestar cuando le pidas ejercer tus derechos ARCO (Acceder, Rectificar, Cancelar u Oponerte al uso de tu información), aunque no tenga ningún dato tuyo guardado. La respuesta solo debe hablar de la información personal que pediste, y tiene que darte la información clara, fácil de leer y sencilla de encontrar. Si usan claves o códigos, deben explicarte qué significan. También tienes derecho a revisar tus datos directamente en las oficinas de la empresa si así lo solicitas.
- Art. 99Si vas a consultar tus datos personales en persona, el responsable (la persona o empresa que los maneja) debe darte un plazo de al menos quince días para que vayas a verlos. Si no te presentas en ese tiempo, tendrás que hacer una nueva solicitud para volver a intentarlo. Además, el responsable no se puede negar sin más: si lo hace, debe explicarte por qué, normalmente por escrito.
- Art. 100La empresa o persona que tiene tus datos debe dejarte verlos si se los pides, pero también puede negarse si tiene una razón válida. Si te niega el acceso, está obligada a explicarte por qué no puede dártelos y a decirte que puedes quejarte ante el Instituto Nacional de Transparencia (INAI) para defender tu derecho. Tú tienes el derecho de saber qué información tienen sobre ti y de exigir que te la muestren. Básicamente, nadie puede ocultarte tus propios datos sin darte una explicación clara.
- Art. 101Si tienes tus datos personales guardados en algún lado, puedes pedirle a la persona o empresa que los tenga que te muestre esa información. También tienes derecho a que te digan para qué los usan y cómo los están manejando. El artículo solo habla de que debes poder ver y conocer eso; no dice que puedas cambiar ni borrar los datos. Es como pedirle a alguien que te enseñe el expediente que tiene tuyo.
- Art. 102El dueño de tus datos personales cumple con su obligación de darte acceso cuando te los pone fácil de consultar, ya sea en línea dentro del plazo que marca la ley, o dándote copias simples, en discos, USB, videos, sonidos o en formatos especiales que haya prometido en su aviso de privacidad. Siempre debe entregártelos en un formato que entiendas o puedas leer. Si él quiere, puede ponerse de acuerdo contigo para usar otra forma de copia diferente a la que anunció al principio. Esto es parte del derecho de rectificación, que es tu derecho a pedir que corrijan tus datos si están mal o incompletos.
- Art. 103Como titular de tus datos personales, puedes pedirle en cualquier momento a la empresa o persona que los tiene (el responsable) que corrija tu información si está equivocada o le falta algo. Para hacer válido este derecho, necesitas presentar una solicitud que incluya tu nombre, la dirección donde te puedan notificar la respuesta, los documentos que acrediten tu identidad, y una explicación clara de qué datos son incorrectos y cuáles son los correctos.
- Art. 104Si tienes un dato personal equivocado en algún registro (como una dirección o nombre mal escrito), puedes pedir que lo corrijan. Para eso, tienes que decir qué información está mal y qué cambio quieres hacer, además de llevar papeles que comprueben que tu petición es correcta. La persona o empresa que tiene tus datos puede darte opciones más fáciles para que hagas este trámite. Esto se llama derecho de cancelación, que es cuando pides que borren tus datos personales si ya no los necesitan.
- Art. 105Cuando pides cancelar tus datos personales, la empresa o persona que los tiene (llamado "responsable") debe dejar de usarlos de inmediato. Primero los bloquea, o sea, los aparta para que nadie pueda usarlos mientras se asegura de que todo esté en orden. Después de ese bloqueo, tiene que borrarlos por completo de sus archivos. En pocas palabras, tu derecho de cancelación significa que esa persona ya no puede tratar tu información ni tenerla guardada.
- Art. 106El dueño de los datos personales (tú, como titular) puede pedir en cualquier momento que la empresa o persona que los maneja (el responsable) los borre, si crees que no los están usando según las reglas de la ley. Puedes pedir que borren todos tus datos de una base o solo algunos, como tú digas. Una vez que pides la cancelación, se debe bloquear la información, que significa que no se puede usar ni acceder a ella por un tiempo, en lo que se completa el borrado definitivo.
- Art. 107Si la cancelación de tus datos personales es aprobada, la empresa o persona responsable de guardarlos debe seguir estos pasos: Primero, tiene que bloquear tu información por un tiempo, solo para revisar si hay alguna responsabilidad legal pendiente (como una multa o un problema legal) hasta que se cumpla el plazo que marca la ley o el contrato. Durante ese bloqueo, deben aplicar medidas de seguridad para proteger tus datos, y hacerlo en un máximo de quince días después de que te hayan respondido que aceptan la cancelación. Cuando termine el plazo del bloqueo, tienen que borrar tus datos de forma definitiva, siempre con las mismas medidas de seguridad. El bloqueo sirve para que no se pierdan pruebas si alguien cometió un error o falta al manejar tu información.
- Art. 108El artículo 108 dice que el bloqueo de tus datos personales sirve para que nadie pueda usarlos ni acceder a ellos, solo guardarlos (almacenarlos), a menos que una ley diga otra cosa. Este bloqueo dura hasta que se cumpla el plazo de prescripción, que es el tiempo máximo que la ley o un contrato permite para reclamar algo. En pocas palabras, es como congelar tus datos para que no se ocupen mientras corre ese plazo.
- Art. 109Según este artículo, tú como dueño de tus datos personales puedes, **en cualquier momento**, pedir que dejen de usar tu información o negarte a que la usen, pero solo en dos casos: primero, si tienes una razón válida y especial que demuestre que aunque el uso de tus datos sea legal, te está causando un daño; segundo, si solo quieres oponerte para que no usen tus datos con ciertos fines específicos. La única vez que **no** puedes ejercer este derecho es cuando la empresa o persona que tiene tus datos está obligada por ley a tratarlos, por ejemplo, para cumplir con una orden judicial o una regla del gobierno. En resumen, puedes decir "ya no quiero que usen mis datos" si tienes una razón de peso o si solo te opones a usos concretos, pero no si la ley los obliga a usarlos.
- Art. 110Cuando dices que ya no quieres que una empresa use tus datos personales, la empresa puede hacer su propia lista privada con tu información para recordar que ya no te molesten, ni para sus productos ni para los de otras compañías. También varias empresas del mismo giro (como bancos o tiendas) pueden ponerse de acuerdo para usar una lista común donde todas respeten tu negativa. En todos los casos, inscribirte en esas listas debe ser totalmente gratis y la empresa tiene que darte un comprobante de que ya te apuntaron.
- Art. 111El artículo 111 dice que el Registro Público de Consumidores y el Registro Público de Usuarios siguen existiendo y funcionando tal como lo marcan las leyes que los crearon, sin que esto cambie con esta nueva ley. Estos registros son listas donde se anotan personas que han tenido problemas con créditos o servicios, y cada uno se maneja según su propia ley (la de Protección al Consumidor o la de Servicios Financieros). Además, la Sección VI habla de decisiones que se toman automáticamente con tus datos personales, sin que una persona las revise o analice. Esto significa que el tratamiento de tu información puede hacerse por sistemas o programas, sin que un humano intervenga para valorarlo.
- Art. 112Este artículo habla de cuando una empresa o institución usa tus datos personales para tomar una decisión sobre ti de manera automática, sin que una persona revise el caso. Por ejemplo, si un banco te niega un crédito solo con un sistema de computadora. Ellos están obligados a avisarte que la decisión se tomó así. Además, tú tienes derecho a pedir que te enseñen qué datos usaron para decidir; si ves que algún dato está mal o incompleto, puedes pedir que lo corrijan. Finalmente, según los mecanismos que tenga la empresa, también puedes solicitar que una persona vuelva a revisar la decisión que se tomó.
- Art. 113Para pedir que te protejan tus datos personales, tú o alguien que te represente debe hacer una solicitud. Puedes hacerla por escrito libre, con un formato especial del Instituto, o por internet, todo dentro de cierto tiempo. El Instituto debe poner esos formatos en su página web y en sus oficinas para que cualquiera los use. Cuando entregues la solicitud, debes comprobar quién eres, ya sea con una identificación normal o por medios electrónicos, según lo que diga la ley. Si ya probaste tu identidad antes con la persona que tiene tus datos (el responsable), el Instituto puede aceptar eso para no pedirte lo mismo otra vez.
- Art. 114Puedes pedir que te protejan tus datos personales de cuatro maneras: yendo directamente a las oficinas del Instituto Federal de Acceso a la Información (INAI), presentando tu solicitud en una de sus oficinas regionales, enviándola por correo certificado (con acuse de recibo para que te asegures de que llegó), o usando el sistema electrónico que tiene el INAI, pero para esto necesitas tener una firma electrónica (como la e.firma del SAT). En cualquier caso, te van a dar un comprobante que muestre claramente la fecha en que entregaste tu solicitud. Si prefieres ir a una oficina regional del INAI, ellos te ayudarán a comprobar quién eres (con tu INE, por ejemplo), y pueden mandar tu solicitud por medios electrónicos al INAI, con lo cual empezará a contar el tiempo que tienen para responderte. Si envías los papeles por correo certificado, el plazo para que el INAI te conteste arranca desde la fecha que ponga el sello de la oficina de correos cuando ellos reciban tu paquete.
- Art. 115Este artículo explica cuándo puedes pedir ayuda al Instituto si no estás de acuerdo con lo que hizo o dejó de hacer una empresa o institución con tus datos personales (los llamados derechos ARCO: Acceder, Rectificar, Cancelar u Oponerte). Puedes iniciar este proceso si la empresa no te respondió, no te dio tus datos o te los dio en un formato que no entiendes, se negó a corregir información, te dio datos incompletos o te cobró de más, no quiso borrar tus datos, siguió usando tu información aunque le pidieras que no lo hiciera, o en cualquier otro caso que el Instituto considere válido. Básicamente, es un recurso para quejarte cuando una empresa no respeta tus derechos sobre tu información personal.
- Art. 116Si quieres pedir protección para tus datos personales porque una empresa no te hizo caso, debes entregar al Instituto Nacional de Transparencia (INAI) los siguientes papeles: una copia de la solicitud que ya le habías hecho a la empresa, junto con los documentos que le anexaste; un comprobante de que eres tú el dueño de los datos o que alguien más te autorizó; la respuesta que te dio la empresa (si te la dio); y si la empresa nunca te respondió, un comprobante de que sí le entregaste tu solicitud. También necesitas incluir las pruebas que tengas para demostrar lo que dices, más cualquier otro papel que creas útil para tu caso. Si la empresa se negó a recibir tu solicitud o no te dio un comprobante, solo avísale al INAI por escrito y ellos le pedirán explicaciones a la empresa para que puedas hacer valer tus derechos.
- Art. 117El Instituto (la dependencia encargada) tiene diez días como máximo para aceptar tu solicitud de protección de derechos desde que la recibe. Si la acepta, te avisará a ti (el que hizo la solicitud) y también le informará a la otra persona involucrada (el responsable), en un plazo de otros diez días. Al responsable le entregarán copias de todos los documentos que tú entregaste, para que en quince días contados desde que recibe la notificación pueda responder lo que le convenga y ofrecer pruebas que crea necesarias. Finalmente, el Instituto decidirá si acepta o rechaza esas pruebas.
- Art. 118El Instituto (la autoridad encargada) decide si acepta o rechaza las pruebas que presentaste. Si las acepta, te citará a una audiencia (una junta) y te avisará dónde, cuándo y a qué hora será, o si será por algún medio como videollamada. Te darán ese aviso a ti y a la otra persona involucrada.
- Art. 119El artículo 119 explica qué tipos de pruebas puedes presentar en un juicio o trámite. Las pruebas pueden ser documentos oficiales (como actas de nacimiento), documentos privados (como un contrato), una inspección hecha por una autoridad, suposiciones basadas en la ley o el sentido común, opiniones de expertos (peritos), testimonios de testigos, o evidencias modernas como fotos, páginas de internet o archivos electrónicos. Si quieres usar un perito o testigos, debes decir de qué van a hablar y dar sus nombres y domicilios, además de entregar las preguntas que les harás. Si no haces esto, la prueba no será aceptada y se considera que no la presentaste.
- Art. 120Cuando entregas una queja por la protección de tus datos personales, el Instituto te va a invitar a ti y a la otra persona (el responsable) a conciliar, es decir, a buscar un arreglo sin ir más allá del pleito. Te darán 10 días para decir si quieres conciliar, y la junta puede ser en persona, por videollamada o como el Instituto decida. Si llegan a un acuerdo, se levanta un acta que lo comprueba; si no, el proceso sigue. Y si eres menor de edad y te violaron tus derechos, brincan este paso de conciliación, a menos que tengas un tutor legal.
- Art. 121El Instituto va a decidir dónde y cuándo se hará una audiencia (una junta formal para tratar un asunto). Esta audiencia solo se puede posponer si hay una razón muy válida. Ahí se van a presentar y revisar las pruebas que necesiten verse en persona, y al final se levantará un acta (un documento oficial que registra todo lo que pasó). También se podrán presentar los alegatos, que son los argumentos finales de cada parte para convencer al Instituto de su versión.
- Art. 122Una vez que el juez o la autoridad diga que ya se presentaron todas las pruebas en el juicio, las partes (tú y los demás involucrados) podrán revisar todo el expediente. Si quieren, tendrán 5 días hábiles desde que les avisen oficialmente para presentar sus argumentos finales, llamados "alegatos". Cuando se acaben esos 5 días, se cierra la etapa de pruebas y el Instituto debe resolver el caso en el tiempo que marca la ley.
- Art. 123Si nadie dijo quién es la otra persona interesada, esa persona puede presentarse por su cuenta en cualquier momento antes de que acabe la etapa de recolección de pruebas. Solo necesita mandar un escrito explicando por qué el asunto le afecta directamente. Si alguien más lo representa, debe incluir un documento que demuestre que tiene permiso para actuar en su nombre. También tiene que entregar todas las pruebas escritas que quiera usar.
- Art. 124Si alguien te pide ver, corregir, eliminar o usar tus datos personales (los derechos ARCO) y la empresa no te responde, puedes quejarte ante el Instituto. El Instituto le va a pedir a la empresa que demuestre que sí te respondió, o que lo haga en un plazo de 10 días. Si la empresa demuestra que ya te respondió a tiempo y de forma correcta, el asunto se cierra porque ya no hay problema. Si la empresa responde durante el proceso, pero fuera del plazo legal, te avisarán a ti y al Instituto. Tú tienes 15 días para decir si estás de acuerdo con su respuesta; si dices que sí, el proceso se cancela. Pero si la empresa no hace caso al requerimiento del Instituto, este resolverá el caso con la información que tenga.
- Art. 125Cuando el Instituto da una orden, debes cumplirla en el tiempo y de la manera que ellos digan. Además, pueden iniciar otros procedimientos legales si es necesario. Si no estás de acuerdo con la orden, puedes presentar una queja o recurso para impugnarla, tal como lo marca la ley.
- Art. 126Si no estás de acuerdo con la decisión final que se tomó en el proceso para proteger tus derechos, puedes impugnarla mediante un juicio de nulidad. Ese juicio se lleva ante el Tribunal Federal de Justicia Fiscal y Administrativa, que es un juzgado especializado en resolver este tipo de asuntos. Además, si cometiste un error en el trámite, el procedimiento se puede "reconducir", es decir, corregir y continuar como si nada hubiera pasado.
- Art. 127Si pides protección de derechos y tu caso no encaja en las causas del artículo 115, pero sí tiene que ver con el proceso de verificación del Capítulo IX, tu solicitud se enviará al área que le toque resolver. Esto se debe hacer en máximo diez días después de que te recibieron el papeleo. El "procedimiento de verificación" es como una revisión oficial para checar si se está cumpliendo la ley.
- Art. 128El Instituto puede revisar si estás cumpliendo con la ley de protección de datos. Para hacerlo, puede pedirte documentos o ir a visitar el local donde tengas guardada la información de las personas. Esto se llama "procedimiento de verificación" y solo lo inicia si hay una razón válida.
- Art. 129Aquí tienes una explicación en lenguaje cotidiano y neutral, estilo México, sobre el Artículo 129 que me compartiste: El proceso de revisión o verificación puede comenzar por dos razones: porque el Instituto decida hacerlo por su cuenta (de oficio) o porque alguien lo solicite. Cualquier persona puede reportar o denunciar ante el Instituto si cree que se están violando las reglas de la Ley, siempre y cuando no sea un caso que deba resolverse mediante el proceso especial de protección de derechos. Cuando alguien hace esa denuncia, el Pleno (que es el grupo de personas que toman las decisiones importantes en el Instituto) va a analizar si vale la pena iniciar la verificación, y debe explicar por escrito las razones de su decisión.
- Art. 130Cuando el Instituto de verificar algo relacionado con trámites, su personal tiene autoridad para dar fe de que lo que ven es cierto (como si fueran testigos oficiales). Esto significa que pueden constatar que los hechos que revisan son reales. En pocas palabras, su palabra tiene valor legal para comprobar que todo está en orden.
- Art. 131Si vas a poner una queja (denuncia) porque alguien maltrató tus datos personales, tienes que decir: I) tu nombre completo y dónde o cómo quieres recibir avisos (puede ser tu domicilio o un correo electrónico); II) explicar bien qué pasó y con qué pruebas cuentas (como capturas de pantalla o documentos); III) el nombre de la persona o empresa a la que acusas y cómo localizarla (dirección o datos para encontrarla). Puedes presentar esta queja por los mismos medios que usa el Instituto para proteger derechos, como en línea o por escrito. Si la mandas por internet, automáticamente aceptas que te notifiquen por ese mismo sistema, a menos que pidas otro medio. El Instituto te confirmará que recibió tu queja y podrá pedirte más documentos si los necesita para investigar.
- Art. 132El proceso de revisión que hace el Instituto (INAI) dura máximo 180 días. El plazo empieza a contar desde que el Pleno (los jefes del Instituto) deciden iniciar la revisión, y debe terminar en 180 días. Los jefes pueden alargar el plazo solo una vez, por otros 180 días. El Instituto puede hacer varias visitas de verificación (ir a inspeccionar) para conseguir pruebas. Cada visita dura máximo 10 días. Antes de la visita, el Instituto debe avisar al responsable, al encargado y, si aplica, a la persona que hizo la denuncia.
- Art. 133El artículo 133 dice que los trabajadores del Instituto que hagan visitas de revisión deben llevar una orden por escrito, que explique por qué y con base en qué ley se hace la revisión. Esa orden tiene que ir firmada de puño y letra por un jefe del Instituto, y debe decir exactamente dónde está el negocio o las bases de datos que van a revisar, para qué es la visita, hasta dónde va a llegar y las leyes que la justifican. Además, los verificadores tienen que traer una identificación que demuestre quiénes son.
- Art. 134Cuando los inspectores lleguen a hacer una visita, primero tienen que mostrarte su credencial oficial con foto, que esté vigente y sea del Instituto que los autoriza. También deben enseñarte una orden por escrito que explique por qué van a hacer la visita, con las razones legales claras. Además, te tienen que dejar una copia de esa orden a ti, que eres la persona con la que están tratando en ese momento. Todo esto es para que sepas que son legales y que no te están engañando.
- Art. 135Cuando los inspectores hacen una visita para revisar tu negocio, al final deben llenar un documento que se llama acta, donde anotan todo lo que vieron y encontraron durante la revisión. Ese acta se hace enfrente de dos testigos, que puedes proponer tú mismo, o si te niegas a hacerlo, los testigos los elige el inspector. El acta se imprime por duplicado (dos copias iguales) y la firman tanto los inspectores como la persona responsable del lugar, que puede ser el dueño, el encargado o quien haya atendido la revisión. Ahí mismo, esa persona puede decir lo que le parezca conveniente para su defensa. Si te niegas a firmar el acta, los inspectores tienen que anotarlo claramente, pero eso no invalida la revisión ni el acta. Además, que firmes no significa que estés de acuerdo con lo que dice el acta, solo significa que la recibiste. Al final, te entregan una de las dos copias del acta, y la otra se queda en el expediente del caso.
- Art. 136El artículo 136 dice que cuando te hagan una revisión o inspección (llamada verificación) para ver si cumples con la ley de protección de datos personales, la autoridad tiene que levantar un acta con datos muy precisos. En esa acta deben aparecer tu nombre o el de tu empresa, la hora exacta en que empezó y terminó la revisión, la dirección completa del lugar, el número del oficio que ordenó la visita, y el nombre de la persona con quien hablaron. También deben incluir los nombres y domicilios de los testigos, lo que hicieron durante la revisión, y si tú quieres decir algo, lo pueden anotar. Al final, todos los que participaron, incluido tú, deben firmar; si te niegas a firmar, eso no hace que el acta sea inválida, solo lo anotan. Además, si no estás de acuerdo con lo que dice el acta, puedes hacer observaciones en ese momento o por escrito dentro de los 5 días siguientes.
- Art. 137El artículo 137 dice que, cuando el Instituto revisa si alguien cumplió con la ley de protección de datos, el proceso termina con una decisión del Pleno (los jefes del Instituto). En esa decisión, si es necesario, le dirán al responsable (la persona o empresa que maneja tus datos) qué medidas tiene que tomar y en qué tiempo. También, el Pleno puede ordenar que se inicie un proceso para aplicar multas o sanciones, o fijar una fecha para empezarlo, todo siguiendo las reglas de la ley. Al final, le avisan tanto al que fue revisado como a la persona que hizo la denuncia, y ambos pueden impugnar o inconformarse con la decisión.
- Art. 138Si no estás de acuerdo con la decisión final de una verificación (como una revisión fiscal o administrativa), puedes demandar esa resolución ante el Tribunal Federal de Justicia Fiscal y Administrativa. Ese tribunal es como un juzgado especializado en asuntos de impuestos y multas del gobierno. En lugar de empezar todo desde cero, el proceso se puede "reconducir", es decir, se retoma y continúa desde donde se quedó, sin necesidad de repetir pasos ya hechos.
- Art. 139Si presentas una queja o denuncia y resulta que no aplica para el proceso de sanciones de este capítulo, sino que encaja en alguna de las razones para pedir protección de tus derechos (que están en el artículo 115 de este reglamento), entonces tu denuncia se va a pasar a la oficina correcta. Eso debe hacerse en máximo diez días contados desde que recibieron tu solicitud. En pocas palabras, si tu queja no es para sancionar a alguien, sino para que te ayuden a proteger tus datos personales, la mandan al área adecuada sin esperar mucho.
- Art. 140El Instituto abre un proceso para castigar a alguien cuando, al revisar una queja o una inspección, encuentra que probablemente se cometió una falta. Después de seguir todo el proceso, se da una respuesta final. Todo comienza cuando el Instituto le avisa a la persona que presuntamente cometió la infracción. Ese aviso se entrega en su domicilio que ya tiene registrado el Instituto. Junto con el aviso, le mandan un informe que explica lo que se cree que hizo mal. También le dan quince días contados desde que recibió el aviso para que diga lo que le parezca y presente las pruebas que quiera.
- Art. 141Si te acusan de haber cometido una infracción, cuando respondas tienes que decir bien claro si los hechos que te echan en cara son ciertos, falsos, o si no sabes porque no te constan. También puedes dar tu versión de cómo ocurrió todo. Además, debes explicar por qué la culpa que te están echando no es válida y presentar pruebas que lo demuestren. Si quieres llevar testigos o peritos (expertos), tienes que decir sobre qué hechos van a hablar, dar sus nombres y dónde viven, y entregar por escrito las preguntas que les harás. Si no haces esto, esas pruebas no serán tomadas en cuenta.
- Art. 142Cuando el acusado presenta pruebas para defenderse, las autoridades tienen que decir si las aceptan o las rechazan, y luego pasar a revisarlas. Si hay pruebas que necesiten verse en persona, se fijará un día, lugar y hora para hacerlo. De todo lo que pase en esa reunión, se hará un documento escrito para que quede registro. Al final, se cierra el proceso de investigación y se da la resolución, que es la decisión final del caso.
- Art. 143Cuando ya se hayan revisado todas las pruebas, el Instituto te va a avisar por escrito que tienes 5 días para dar tus argumentos finales (lo que se llama "alegatos"). Ese plazo empieza a contar desde el día después de que recibas el aviso. En cuanto se acaben esos 5 días, se cierra la investigación y el Instituto tiene hasta 50 días, contados desde el inicio del proceso, para darte su respuesta final. Si hay una razón muy importante, el Pleno del Instituto puede alargar ese plazo una sola vez, pero no más de otros 50 días. También tienes derecho a impugnar la decisión, es decir, inconformarte legalmente si no estás de acuerdo.
- Art. 144Si te multan o te sancionan por no cumplir con las reglas de protección de datos personales, puedes inconformarte. Para eso, existe un juicio especial que se hace ante el Tribunal Federal de Justicia Fiscal y Administrativa, que es como un juez que resuelve estos conflictos. Además, las reglas nuevas aplican desde el día siguiente de que se publicaron en el periódico oficial. Si una empresa ya tenía tus datos antes de que estas reglas entraran en vigor, igual debe actualizarse y darte un aviso de privacidad, o usar otras medidas que te permitan saber cómo usan tu información. Y tú siempre puedes pedir que te expliquen, corrijan, borren o dejen de usar tus datos (los derechos ARCO).