Ejecutoria num. 3/2020 de Suprema Corte de Justicia, Pleno, 10-11-2023 (ACCIÓN DE INCONSTITUCIONALIDAD)

Sentencia

Citas 76

Citado por

Mapa de Precedentes

Juez	Alberto Pérez Dayán,Alfredo Gutiérrez Ortiz Mena,Ana Margarita Ríos Farjat,Arturo Zaldívar Lelo de Larrea,Eduardo Medina Mora I.,Javier Laynez Potisek,Jorge Mario Pardo Rebolledo,José Fernando Franco González Salas,Juan Luis González Alcántara Carrancá,Luis María Aguilar Morales,Norma Lucía Piña Hernández,Yasmín Esquivel Mossa
Emisor	Pleno
Localizador	Gaceta del Semanario Judicial de la Federación. Libro 31, Noviembre de 2023,0
Fecha de publicación	10 Noviembre 2023

ACCIÓN DE INCONSTITUCIONALIDAD 3/2020. INSTITUTO NACIONAL DE TRANSPARENCIA, ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES. 23 DE MAYO DE 2023. PONENTE: A.M.R.F.. SECRETARIO: J.J.G.V..

ÍNDICE TEMÁTICO

Acto impugnado: Diversos artículos de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León.

Ver índice temático

Ciudad de México. El Pleno de la Suprema Corte de Justicia de la Nación, en sesión correspondiente al veintitrés de mayo de dos mil veintitrés, emite la siguiente:

SENTENCIA

Mediante la cual se resuelve la acción de inconstitucionalidad 3/2020, promovida por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, en contra de diversos artículos de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León.

ANTECEDENTES

1. El veinte de julio de dos mil siete se adicionó un segundo párrafo con siete fracciones al artículo 6o. de la Constitución Política del País, con la finalidad de establecer principios para garantizar el ejercicio del derecho de acceso a la información.

2. Derivado de las reformas al artículo 6o. constitucional y ante la necesidad de que se dictara una legislación en materia de protección de datos personales en posesión de particulares cuyo ámbito material de aplicación fuera la totalidad del territorio nacional, el treinta de abril del dos mil nueve se adicionó la fracción XXIX-O del artículo 73 constitucional, para otorgar al Congreso de la Unión la facultad de legislar en materia de protección de datos personales en posesión de particulares. Posteriormente, se dotó de contenido al derecho de protección de datos personales con la reforma al artículo 16 constitucional, publicada en el Diario Oficial de la Federación el uno de junio de dos mil nueve.

3. Por lo que a este asunto interesa, el cinco de julio de dos mil diez se expidió y publicó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, cuyo objeto fue la protección de los datos personales en posesión de los particulares, no obstante, fue hasta la reforma constitucional publicada en el Diario Oficial de la Federación el siete de febrero de dos mil catorce, en la que se reconoció la necesidad de legislar en relación con el derecho a la protección de datos personales en posesión de sujetos obligados y, en ese sentido, se reformaron entre otras disposiciones, las fracciones I, IV y V del apartado A y se adicionó una fracción VIII a su artículo 6o. a fin de establecer, entre otras cosas, los sujetos obligados a transparentar su información, así como la obligación del Congreso de la Unión de emitir una ley general que unificara los criterios aplicables en materia de transparencia y acceso a la información, así como otra ley general en materia de protección de datos personales.

4. Asimismo, se adicionó la fracción XXIX-S al artículo 73 constitucional que faculta al Congreso de la Unión para expedir las leyes generales reglamentarias que desarrollen los principios y bases en materia de transparencia gubernamental, acceso a la información y protección de datos personales en posesión de las autoridades, entidades, órganos y organismos gubernamentales de todos los niveles de gobierno. En el diverso 116, fracción VIII, se previó que las Constituciones Locales deben establecer los organismos garantes en la materia, conforme a los principios y bases contenidos en el mencionado numeral 6o. y en la ley general aplicable. Finalmente, también se reformó el artículo 122 constitucional aplicable a la Ciudad de México, cuyo texto vigente dispone que ésta contará con los organismos constitucionales autónomos que la Constitución Federal prevé para las entidades federativas (apartado A, fracción VII), incluido el organismo garante del artículo 6o.

5. Con fundamento en las reformas indicadas en los puntos anteriores y, entre otras, con la finalidad de distribuir las competencias de la Federación y las entidades federativas en materia de protección de datos personales en posesión de las autoridades, entidades, órganos y organismos gubernamentales de todos los niveles de gobierno, mediante decreto publicado en el Diario Oficial de la Federación el veintiséis de enero de dos mil diecisiete, el Congreso de la Unión emitió la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

6. Posteriormente, el once de diciembre de dos mil diecinueve se publicó en la Sección Tercera del Periódico Oficial del Gobierno del Estado de Nuevo León el Decreto Número 193 por el que se expidió la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León.

7. El diez de enero de dos mil veinte, por escrito presentado en la Oficina de Certificación Judicial y Correspondencia de la Suprema Corte de Justicia de la Nación, M.N.G., en su carácter de representante legal y director general de Asuntos Jurídicos del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, promovió acción de inconstitucionalidad en su contra y, en lo particular, solicitó la invalidez de los artículos 3o., fracción XXIX, 12, 14, fracción XV, 27, 68, 90, 100, 105, fracciones XXIII y XXV, 119, fracción V, 133, 158, 170, 171, 177, 178, 179 y 181, cuyo contenido es el siguiente:

"Artículo 3. Para los efectos de la presente ley se entenderá por: ...

"XXIX. Plataforma: La Plataforma de Transparencia a que se hace referencia en el Título Tercero de la Ley de Transparencia y Acceso a la Información Pública del Estado de Nuevo León."

"Artículo 12. Además de los objetivos previstos en la Ley de Transparencia y Acceso a la Información Pública del Estado de Nuevo León, el Sistema Estatal tendrá como objetivo diseñar, ejecutar y evaluar un Programa Estatal de Protección de Datos Personales que defina la política pública y establezca, como mínimo, objetivos, estrategias, acciones y metas para:

"I. Promover la educación y una cultura de protección de datos personales entre la sociedad;

"II. Fomentar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición;

"III. Capacitar a los sujetos obligados en materia de protección de datos personales;

"IV. Impulsar la implementación y mantenimiento de un sistema de gestión de seguridad a que se refiere el artículo 40 de la presente Ley, así como promover la adopción de estándares nacionales e internacionales y buenas prácticas en la materia; y,

"V. Prever los mecanismos que permitan medir, reportar y verificar las metas establecidas.

"El Programa Estatal de Protección de Datos Personales, se constituirá como un instrumento rector para la integración y coordinación del Sistema Estatal, y deberá determinar y jerarquizar los objetivos y metas que éste debe cumplir, así como definir las líneas de acción generales que resulten necesarias.

"El Programa Estatal de Protección de Datos Personales deberá evaluarse y actualizarse al final de cada ejercicio anual y definirá el conjunto de actividades y proyectos que deberán ser ejecutados durante el siguiente ejercicio."

"Artículo 14. El Sistema Estatal, además de lo previsto en la Ley de Transparencia y Acceso a la Información Pública del Estado de Nuevo León y demás normativa aplicable, tendrá las siguientes funciones en materia de protección de datos personales: ...

"XV. Proponer acciones para vincular el Sistema Estatal con otros sistemas y programas nacionales, regionales o locales."

"Artículo 27. El responsable deberá informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

"Por regla general, el aviso de privacidad deberá ser difundido por los medios electrónicos y físicos con que cuente el responsable.

"Para que el aviso de privacidad cumpla de manera eficiente con su función de informar, deberá estar redactado y estructurado de manera clara y sencilla.

"Cuando resulte imposible dar a conocer al titular el aviso de privacidad, de manera directa o ello exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios que para tal efecto emita el Sistema Estatal."

"Artículo 68. Cuando se traten datos personales por vía electrónica en un formato estructurado y comúnmente utilizado, el titular tendrá derecho a obtener del responsable una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.

"Cuando el titular haya facilitado los datos personales y el tratamiento se base en el consentimiento o en un contrato, tendrá derecho a transmitir dichos datos personales y cualquier otra información que haya facilitado y que se conserve en un sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente utilizado, sin impedimentos por parte del responsable del tratamiento de quien se retiren los datos personales.

"El Sistema Estatal establecerá mediante lineamientos los parámetros a considerar para determinar los supuestos en los que se está en presencia de un formato estructurado y comúnmente utilizado, así como las normas técnicas, modalidades y procedimientos para la transferencia de datos personales."

"Artículo 90. El Sistema Estatal podrá emitir criterios adicionales con sustento en parámetros objetivos que determinen que se está en presencia de un tratamiento intensivo o relevante de datos personales, de conformidad con lo dispuesto en el artículo anterior."

"Artículo 100. Los responsables que en el ejercicio de sus funciones sustantivas lleven a cabo tratamientos de datos personales relevantes o intensivos, podrán designar a un oficial de protección de datos personales, especializado en la materia, quien realizará las atribuciones mencionadas en el artículo que antecede y formará parte de la Unidad de Transparencia y del Comité de Transparencia.

"La persona designada como oficial de protección de datos deberá contar con la jerarquía o posición dentro de la organización del responsable que le permita implementar políticas transversales en esta materia.

"El oficial de protección de datos personales será designado atendiendo a su experiencia y cualidades profesionales, en particular, a sus conocimientos en la materia y deberá contar con recursos suficientes para llevar a cabo sus atribuciones."

"Artículo 105. Para los efectos de la presente Ley y sin perjuicio de otras atribuciones que les sean conferidas en la normatividad que les resulte aplicable, el Pleno de la Comisión tendrá las siguientes atribuciones: ...

"XXIII. Promover e impulsar el ejercicio y tutela del derecho a la protección de datos personales a través de la implementación y administración de la Plataforma Estatal a que se refiere la Ley de Transparencia y Acceso a la Información Pública del Estado de Nuevo León y demás normativa aplicable;

"...

"XXV. Administrar, en el ámbito de sus competencias, la Plataforma Estatal de Transparencia."

"Artículo 119. Los requisitos exigibles en el escrito de interposición del recurso de revisión serán los siguientes: ...

"V. La copia de la solicitud a través de la cual ejerció sus derechos ARCO y que fue presentada ante el responsable y los documentos anexos a la misma, con su correspondiente acuse de recepción."

"Artículo 133. La Comisión podrá emitir criterios que serán de carácter orientador para los sujetos obligados, que se establecerán por reiteración al resolver tres casos análogos de manera consecutiva en el mismo sentido, por al menos dos terceras partes del Pleno de la Comisión, derivados de resoluciones que hayan causado estado.

"Todo criterio que emita la Comisión, deberá contener una clave de control para su debida identificación.

"La Comisión podrá interrumpir el criterio si estima la inaplicabilidad del razonamiento en él contenido, a fin de dejarlo sin efectos. Para proceder a la interrupción a que se refiere este artículo, se requerirá la resolución de un recurso en el que se sostenga un criterio contrario al previamente establecido.

"La aprobación de un criterio por parte de los integrantes de la Comisión, no será motivo para vincular a los nuevos integrantes que, en su caso, formen parte del propio organismo garante en lo sucesivo, por lo que el tema contenido en el criterio en cuestión podrá ser discutido bajo la nueva integración del organismo garante, mismo que podrá ser interrumpido.

"Cualquier persona podrá denunciar ante la Comisión, la contradicción de criterios."

"Artículo 158. La Comisión podrá imponer las siguientes medidas de apremio para asegurar el cumplimiento de sus determinaciones:

"I. La amonestación pública; y,

"II. La multa, equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor diario de la Unidad de Medida y Actualización.

"El incumplimiento de los sujetos obligados será difundido en los portales de obligaciones de transparencia de la Comisión y considerados en las evaluaciones que realicen éstos.

"En caso de que el incumplimiento de las determinaciones de la Comisión implique la presunta comisión de un delito, éste deberá denunciar los hechos ante la autoridad competente.

"Las medidas de apremio de carácter económico no podrán ser cubiertas con recursos públicos."

"Artículo 170. Serán causa de sanción por incumplimiento de las obligaciones establecidas en la materia de la presente Ley, las siguientes:

"I. Por omitir publicar o poner a disposición de los titulares, el aviso de privacidad, ya sea total o parcialmente, tanto el integral como el simplificado;

"II. Por no inscribir oportunamente las bases de datos personales, en el registro que para tal efecto lleva la Comisión;

"III. Por declarar con dolo, negligencia o mala fe, la inexistencia de datos personales, cuando éstos existan total o parcialmente en sus archivos;

"IV. Por no dar respuesta oportuna a las solicitudes de ejercicios de derechos ARCO, o bien, por no comunicar al titular del dato la falta de competencia del sujeto obligado;

"V. Por entregar información relativa a datos personales, de manera errónea o incompleta, requerida en una solicitud de protección de datos personales;

"VI. Por actuar con negligencia, dolo o mala fe, en la debida sustanciación de las solicitudes de derechos ARCO;

"VII. Por no rendir, en tiempo y forma, contestación a un recurso de revisión interpuesto en el ejercicio de los derechos de protección de datos personales;

"VIII. Por invocar falsas causales para la prórroga o ampliación del plazo para contestar solicitudes que supongan negligencia o descuido;

"IX. Por el incumplimiento a los principios previstos en esta Ley;

"X. Por incumplir con el deber de secreto y confidencialidad a que está obligado;

"XI. Por transgredir las medidas de protección y confidencialidad a que se refiere la presente Ley;

"XII. Por cambiar sustancialmente la finalidad originaria del tratamiento de datos personales;

"XIII. Llevar a cabo la transferencia de datos personales, en contravención a lo previsto en la presente Ley;

"XIV. Por mantener datos de carácter personal inexactos, siempre que resulte imputable a los sujetos obligados, al no efectuar las rectificaciones o cancelaciones de los mismos;

"XV. Por incumplir las medidas de seguridad y protección de las bases de datos personales determinados en la presente Ley, y en los lineamientos expedidos por la Comisión;

"XVI. Por impedir, obstaculizar o negar indebidamente el ejercicio de los derechos relativos a la protección de los datos personales;

"XVII. No atender las medidas cautelares establecidas por la Comisión;

"XVIII. Por clasificar o confirmar, como tal, indebidamente datos personales, con dolo, negligencia o mala fe, cuando no cumpla con las características que señala esta Ley, o la Ley de Transparencia y Acceso a la Información Pública del Estado. Esta causal sólo procederá cuando exista una resolución previa de la Comisión, respecto del criterio de clasificación;

"XIX. Por usar, crear, transmitir, tratar, usar, sustraer, destruir, ocultar, inutilizar, divulgar, mutilar, alterar o modificar total o parcialmente de manera indebida, datos personales a los cuales tenga acceso, o bien, se encuentren bajo su custodia o posesión;

"XX. Omitir la entrega del informe anual y demás informes a que se refiere el artículo 57, fracción VII, de la Ley de Transparencia y Acceso a la Información Pública del Estado de Nuevo León, o bien, entregar el mismo de manera extemporánea;

"XXI. Dar tratamiento, de manera intencional, a los datos personales en contravención a los principios y deberes establecidos en la presente Ley;

"XXII. Por facilitar a terceros, datos personales que obre en sus archivos o sistemas de datos personales, sin la existencia debida del contrato de transmisión;

"XXIII. Por la planeación de cualquier acto que implique la indebida comunicación de datos personales de las bases de datos personales por cualquier medio, con fines de lucro indebido;

"XXIV. Crear bases de datos personales en contravención a lo dispuesto por el artículo 7 de la presente Ley;

"XXV. Por no proporcionar oportunamente la información que solicite la Comisión, en el ejercicio de sus competencias legales;

"XXVI. Por impedir u obstaculizar de cualquier forma, el ejercicio de las facultades de protección de datos personales de la Comisión;

"XXVII. Por incumplir u obstaculizar de cualquier forma, el cumplimiento de las resoluciones emitidas por la Comisión;

"XXVIII. Por no cesar en el uso ilegitimo o ilícito de los tratamientos de datos personales, a pesar de habérsele requerido por parte de la Comisión;

"XXIX. Por la comunicación de datos personales considerados confidenciales, en el caso de archivos de seguridad pública, o de orden fiscal, judicial o de salud;

"XXX. Presentar vulneraciones a los datos personales por la falta de implementación de medidas de seguridad según los artículos 36, 37 y 38 de la presente Ley;

"XXXI. Realizar actos para intimidar o inhibir a los titulares en el ejercicio de los derechos ARCO; y,

"XXXII. No acatar las resoluciones emitidas por la Comisión."

"Artículo 171. Las causas de responsabilidad previstas en las fracciones I, II, III, V, VII, VIII, IX y X son consideradas leves; las fracciones XI, XII, XIV, XV, XVI, XVII y XIX son consideradas graves; y las fracciones IV, VI, XIII, XVIII, XX, XXI, XXII, XXIII, XXIV, XXV, XXVI, XXVII, XXVIII, XXIX, XXX, XXXI y XXXII, son consideradas muy graves para efectos de la sanción.

"En caso de que la presunta infracción hubiere sido cometida por algún integrante de un partido político, la investigación y, en su caso, sanción, corresponderá a la autoridad electoral competente.

"Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos."

"Artículo 177. La Comisión podrá imponer las siguientes sanciones económicas al responsable, de conformidad con la gravedad de la infracción que haya cometido, de la siguiente manera:

"I. Las infracciones señaladas como leves, serán sancionadas con multa de 100 a 500 veces el valor diario de la Unidad de Medida y Actualización;

"II. Las infracciones señaladas como graves, serán sancionadas con multa de 501 A 1,000 veces el valor diario de la Unidad de Medida y Actualización; y,

"III. Las infracciones señaladas como muy graves serán sancionadas con multa de 1,001 a 10, 000 veces el valor diario de la Unidad de Medida y Actualización."

"Artículo 178. Toda multa o sanción de carácter económico impuesta por la Comisión, se entenderá a cargo del patrimonio personal del servidor público sancionado, en ningún caso podrá cubrirse el importe de la misma con recursos provenientes del erario, sujetándose, en su caso, a lo siguiente:

"I. En caso de reincidencia o desacato a una resolución, la Comisión podrá solicitar al superior jerárquico del servidor público responsable o a las autoridades competentes;

"a) El inicio del procedimiento de separación temporal del responsable, hasta por seis meses;

"b) La separación definitiva del responsable; o,

"c) La inhabilitación del cargo del servidor público, hasta por cinco años, de conformidad con los procedimientos establecidos por la Ley de Responsabilidades de los Servidores Públicos del Estado y Municipios de Nuevo León. En caso de que el incumplimiento sea realizado por autoridad que goce de fuero constitucional, se procederá en los términos que señale la ley de la materia."

"Artículo 179. Las sanciones se aplicarán de conformidad con los siguientes criterios:

"I. La naturaleza del dato;

"II. La capacidad económica del responsable;

"III. La gravedad de la falta cometida;

"IV. La reincidencia;

"V. El carácter intencional o no, de la acción u omisión constitutiva de la infracción; y,

"VI. El monto del beneficio indebido, el daño o perjuicio económico derivado del incumplimiento."

"Artículo 181. La Comisión remitirá, mediante oficio dirigido a la Secretaría de Finanzas y Tesorería General del Estado, las sanciones impuestas a los sujetos obligados, las cuales tendrán el carácter de créditos fiscales, para efecto que lleve a cabo el procedimiento administrativo de ejecución, la cual estará obligada a presentar informes mensuales del estado que guarda la ejecución de las multas a la Comisión."

8. Los conceptos de invalidez que plantea el accionante son, en síntesis, los siguientes:

• De manera preliminar señala que, de conformidad con la interpretación que esta Suprema Corte de Justicia de la Nación ha realizado del artículo 6o., apartado A, en relación con los numerales 73, fracción XXIX-S y 116, fracción VIII, todos de la Constitución Política del País, para analizar la constitucionalidad de la legislación emitida por las entidades federativas en materia de transparencia, acceso a la información y protección de datos personales, debe atenderse no sólo a las disposiciones constitucionales mencionadas, sino también al contenido de las leyes generales correspondientes emitidas por el Congreso de la Unión.(1)

• En el primer concepto de invalidez argumenta que el artículo 27 de la ley impugnada es violatorio de los diversos 1o., 6o., apartado A, 16, párrafos primero y segundo, 73, fracción XXIX-S y 124, todos de la Constitución Federal, por ser invasivo de la atribución del Sistema Nacional de Transparencia para emitir criterios que regulen medidas compensatorias, prevista en el artículo 26, párrafo último, de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. Sostiene que, si bien existen facultades de configuración normativa en favor de los legisladores locales para emitir criterios en materia de medidas compensatorias, éstas deben ser acordes con aquellas emitidas por el Sistema Nacional de Transparencia.(2)

• En el segundo concepto de invalidez manifiesta que el artículo 68 de la ley impugnada es inconstitucional porque al otorgar al Sistema Estatal de Transparencia la facultad para emitir lineamientos de portabilidad, invade la atribución del Sistema Nacional de Transparencia, prevista en el diverso 57, párrafo último, de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. Precisa que de conformidad con ésta, los legisladores locales tienen la facultad de otorgar a los sistemas estatales de transparencia la atribución de emitir lineamientos de portabilidad, siempre que éstos sean acordes con los que se emitan por el Sistema Nacional de Transparencia. Luego, la inconstitucionalidad se encuentra en la omisión de establecer esta obligación, ya que de lo contrario se corre el riesgo que se expidan lineamientos contradictorios, sobre todo, tomando en cuenta que el doce de febrero de dos mil dieciocho fue publicado en el Diario Oficial de la Federación el "Acuerdo por el cual se emiten los Lineamientos que establecen los parámetros, modalidades y procedimientos para garantizar el ejercicio del derecho a la portabilidad de datos personales", aprobados por el Consejo Nacional del Sistema Nacional de Transparencia en sesión de veintitrés de enero de dos mil dieciocho.

• En el tercer concepto de invalidez, el accionante plantea que el artículo 90 impugnado, que prevé la facultad del sistema estatal de transparencia para emitir criterios en materia de evaluaciones de impacto en la protección de datos personales, es inconstitucional, al igual que el numeral impugnado en el concepto de invalidez anterior, por no prever que estos criterios deben ser acordes con los emitidos por el Sistema Nacional de Transparencia.

• En su cuarto concepto de invalidez, manifiesta que el artículo 100 de la ley impugnada es inconstitucional porque, contrario al contenido del diverso 85 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, prevé que el oficial de protección de datos personales formará parte del Comité de Transparencia. Cita como precedente la acción de inconstitucionalidad 101/2017.(3) Asimismo, añade que el artículo también es inconstitucional porque otorga facultades adicionales al referido oficial, como es la de implementar políticas transversales.

• En el quinto concepto de invalidez señala que el artículo 119 de la ley impugnada es inconstitucional al exigir requisitos adicionales a los del artículo 105 de la referida ley general para interponer el recurso de revisión, en específico, el previsto en la fracción V, relativo a acompañar al escrito de interposición del recurso copia de la solicitud a través de la cual ejerció sus derechos ARCO y sus documentos anexos, con el acuse de recibido. En apoyo a esta consideración, refiere que en ese sentido se pronunció la Suprema Corte de Justicia de la Nación, al resolver la acción de inconstitucionalidad 112/2017, en la cual determinó que el establecimiento de requisitos para interponer el recurso de revisión, adicionales a los de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, es violatorio del derecho de protección de datos personales en relación con el de seguridad jurídica, contenidos en los artículos 6o. y 16 constitucionales.(4)

• En el sexto concepto de invalidez manifiesta que el artículo 158 impugnado, en contradicción con el diverso 153, párrafo tercero, de la ley general de la materia, omite establecer la posibilidad de que las conductas sancionables en la vía administrativa puedan ser denunciadas por el organismo garante ante la autoridad competente, violando el derecho de protección de datos personales en vinculación con el de seguridad jurídica.

• En el séptimo concepto de invalidez, argumenta que el artículo 170 de la ley impugnada, que regula las causas de sanción por incumplimiento de las obligaciones de la propia ley, es inconstitucional por 2 razones: (i) excluye cuatro supuestos que sí son sancionables por la ley general (los establecidos en las fracciones II, V, VIII y XI del artículo 163); y, (ii) porque las conductas sancionables previstas en las fracciones XIX y X del precepto impugnado no fueron reguladas de manera idéntica a las previstas en las fracciones III y VII del artículo 163 de la ley general.

• En su octavo concepto de invalidez alega que el artículo 171 impugnado es inconstitucional porque distingue indebidamente entre faltas leves, graves y muy graves, cuando el diverso 163 de la ley general claramente identifica cuáles conductas deben ser consideradas como graves, así como sus consecuencias. Lo anterior, a su parecer, tiene repercusiones directas en el sistema nacional anticorrupción, ya que en la Ley General de Responsabilidades Administrativas se prevén los criterios para determinar la gravedad de las faltas administrativas y sus consecuencias, de conformidad con el artículo 109, fracción III, de la Constitución Federal.

• En el noveno concepto de invalidez sostiene que los artículos 177, 178, 179 y 181 de la ley local impugnada son inconstitucionales porque indebidamente otorgan al organismo garante local la atribución de sancionar a los responsables del tratamiento de datos personales; sin embargo, los artículos 164, 165, párrafo último; 167 y 168 de la ley general establecen que dichas funciones corresponden, en exclusiva, a la contraloría, al órgano interno de control o su equivalente.

• En el décimo concepto de invalidez señala que el legislador del Estado fue omiso en acotar, en el artículo 12 de la ley impugnada, que el Programa Estatal en Materia de Protección de Datos Personales debe ajustarse a lo previsto en el Programa Nacional.

• En el décimo primer concepto manifiesta que los artículos 3o., fracción XXIX, 14, fracción XV y 105, fracciones XXIII y XXV, son inconstitucionales porque las Legislaturas de las entidades federativas no tienen competencia para legislar y crear una plataforma estatal de transparencia. Esto, porque de la lectura de los artículos 14, fracción XVII y 89, fracción XXXI, de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y 31, fracción VI, 49 y 52 de la Ley General de Transparencia y Acceso a la Información Pública, se advierte la existencia de una Plataforma Nacional de Transparencia que funciona como una herramienta del Sistema Nacional de Transparencia (instancia de coordinación y colaboración entre todos los órganos que lo integran); cuenta con múltiples niveles de administración, siendo el INAI el administrador general, los organismos garantes los administradores estatales y debiendo existir un administrador por sujeto obligado. A partir de ello y de una lectura integral de las leyes generales es posible desprender que fue voluntad del Congreso de la Unión prever como única instancia de coordinación a la Plataforma Nacional de Transparencia, excluyendo la posibilidad de que las Legislaturas Locales crearan plataformas locales.

• Por último, en el décimo segundo concepto de invalidez sostiene que el artículo 133 impugnado es inconstitucional porque indebidamente establece que los criterios que emita la Comisión de Transparencia y Acceso a la Información del Estado de Nuevo León serán orientadores para los sujetos obligados. Esto, partiendo de que la Comisión es el órgano especializado y regulador en materia de datos personales, transparencia y acceso a la información, pues de lo contrario se restaría efectividad e imperatividad a sus resoluciones.

9. El actor señaló como preceptos constitucionales violados los artículos 1o., 6o., apartado A; 16, párrafos primero y segundo; 73, fracción XXIX-S; 109 y 124 de la Constitución Política de los Estados Unidos Mexicanos.

10. Recibida la acción de inconstitucionalidad, en acuerdo de trece de enero de dos mil veinte, dictado por el presidente de la Suprema Corte de Justicia de la Nación, se tuvo por promovida la demanda y se registró con el número de expediente 3/2020, designando como instructora a la M.A.M.R.F..

11. Al día siguiente, la Ministra instructora dictó el auto por el que admitió a trámite la acción de inconstitucionalidad y dio vista a los Poderes Legislativo y Ejecutivo del Estado de Nuevo León para que rindieran sus informes dentro del plazo de quince días hábiles contados a partir del día siguiente al cual surtiera efectos la notificación del citado acuerdo; asimismo, requirió al Poder Legislativo Local para que enviara copia certificada de los antecedentes legislativos del decreto impugnado y, a su vez, requirió al Poder Ejecutivo a exhibir un ejemplar del Periódico Oficial de la entidad en el que conste su publicación. Por último, ordenó dar vista al fiscal general de la República y a la Consejería Jurídica del Ejecutivo Federal para que, en el ámbito de sus atribuciones, manifestaran lo que a su representación corresponda.

12. El subsecretario de Asuntos Jurídicos y Atención Ciudadana de la Secretaría General de Gobierno del Estado de Nuevo León, al rendir el informe en representación del Poder Ejecutivo Local, manifestó que la intervención del gobernador únicamente se limitó a la promulgación del decreto por el que se expidió la ley, cuestión que no fue impugnada y, por ello, no se pronunció sobre los conceptos de invalidez.

13. El presidente de la LXXV Legislatura del Congreso del Estado de Nuevo León, al rendir su informe, manifestó esencialmente que:

• En materia de transparencia, acceso a la información y protección de datos personales, la facultad legislativa de los Congresos Locales no se encuentra limitada a repetir los contenidos de las leyes generales. Partiendo de lo anterior, manifiesta que el decreto impugnado fue expedido en cumplimiento de las formalidades del procedimiento legislativo. Por otro lado, considera que los conceptos de invalidez son inoperantes y que deben ser desestimados.

• Los artículos 27, 68, último párrafo y 90 de la ley impugnada, contrario a lo señalado en el escrito inicial (conceptos de invalidez primero, segundo y tercero), no invaden ninguna esfera de competencias porque fueron emitidos con base en la facultad legislativa de los Congresos Locales para regular la emisión de criterios en materias de medidas compensatorias, portabilidad de datos y de evaluaciones de impacto en la protección de datos personales, derivada de la propia ley general, procurando que su diseño no fuera contrario a ésta y que los criterios que, en su momento se emitan fueran acordes con los expedidos por el Sistema Nacional de Transparencia. Por el contrario, tienen como finalidad lograr, a través de un esfuerzo conjunto con el referido sistema nacional la generación de información de calidad y de armonización con las normas aprobadas por el Consejo Nacional.

• El artículo 100 no es inconstitucional porque de su literalidad se advierte que la existencia de un oficial de protección, como miembro de la Unidad y del Comité de Transparencia, es opcional. Además, su función se limitaría a coadyuvar y ser auxiliar de los responsables del tratamiento de los datos personales, por su naturaleza o cantidad (cuarto concepto de invalidez).

• El artículo 119, fracción V, de la ley impugnada, es constitucional, porque privilegia la simplicidad en la presentación del recurso de revisión, favoreciendo con ello a los titulares de los datos personales, al reducir los plazos y garantizando la efectiva tutela de sus derechos (quinto concepto de invalidez).

• Los artículos 158 y 170 impugnados son constitucionales porque el argumento del promovente parte de una lectura aislada de los preceptos. Contrario a lo señalado en la demanda, no existen las omisiones alegadas porque de una interpretación sistemática y armónica de toda la ley local es posible concluir que las conductas que no se encuentran específicamente sancionadas están incluidas en el amplio espectro de aquellas conductas expresamente sancionables, y que al no limitarse la posibilidad de presentar las denuncias correspondientes a determinadas conductas, es dable concluir que aun cuando no se señale la facultad de realizarlo en cada caso concreto, la autoridad responsable se encuentra en posibilidad de hacerlo. Por otro lado, en cuanto a la supuesta omisión de prever que el Programa Estatal en Materia de Protección de Datos Personales debe ajustarse al Programa Nacional de Datos, afirma que su regulación es acorde con las normas que le dan fundamento en la ley general, sin que sea necesaria una disposición que expresamente lo exija.

• En relación con el concepto de invalidez relativo a la indebida regulación de la Plataforma Estatal de Transparencia por considerar que ésta no tiene fundamento en las leyes generales de la materia, la Ley de Protección de Datos Personales del Estado de Nuevo León establece claramente los límites de la Plataforma Estatal, procurando no invadir otras esferas competenciales.

14. La Fiscalía General de la República y la Consejería Jurídica del Gobierno Federal no emitieron su opinión en el presente asunto.

15. Recibidos los informes de las autoridades, formulados los alegatos y encontrándose instruido el procedimiento, por acuerdo de cuatro de enero de dos mil veintiuno, se puso el expediente en Estado de resolución.

I. COMPETENCIA

16. Este Tribunal Pleno de la Suprema Corte de Justicia de la Nación es competente para resolver la presente acción de inconstitucionalidad, de conformidad con los artículos 105, fracción II, inciso h), de la Constitución Política de los Estados Unidos Mexicanos y 10, fracción I, de la Ley Orgánica del Poder Judicial de la Federación abrogada,(5) al plantearse la posible contradicción entre diversos artículos de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León y la Constitución Política del País.(6)

II. OPORTUNIDAD

17. El artículo 60 de la Ley Reglamentaria de las Fracciones I y II del Artículo 105 de la Constitución Política de los Estados Unidos Mexicanos dispone que el plazo para promover la acción de inconstitucionalidad es de treinta días naturales y su cómputo debe iniciarse a partir del día siguiente a la fecha en que la norma general sea publicada en el correspondiente medio oficial; si el último día del plazo es inhábil, la demanda podrá presentarse el primer día hábil siguiente.(7)

18. En el caso, la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León se publicó en el Periódico Oficial de dicha entidad el once de diciembre de dos mil diecinueve; por tanto, el plazo de treinta días naturales para promover la acción inició el doce de diciembre de dos mil diecinueve y concluyó el diez de enero de dos mil veinte.

19. La acción de inconstitucionalidad se presentó el diez de enero de dos mil veinte, según consta al reverso de la foja 15 del expediente; por lo que debe concluirse que fue presentada oportunamente.

III. LEGITIMACIÓN

20. El artículo 105, fracción II, inciso h), de la Constitución Política de los Estados Unidos Mexicanos dispone:

"Artículo 105. La Suprema Corte de Justicia de la Nación conocerá, en los términos que señale la ley reglamentaria, de los asuntos siguientes: ...

"II. De las acciones de inconstitucionalidad que tengan por objeto plantear la posible contradicción entre una norma de carácter general y esta Constitución.

"Las acciones de inconstitucionalidad podrán ejercitarse, dentro de los treinta días naturales siguientes a la fecha de publicación de la norma, por: ...

"h) El organismo garante que establece el artículo 6o. de esta Constitución en contra de leyes de carácter federal y local, así como de tratados internacionales celebrados por el Ejecutivo Federal y aprobados por el Senado de la República, que vulneren el derecho al acceso a la información pública y la protección de datos personales. Asimismo, los organismos garantes equivalentes en las entidades federativas, en contra de leyes expedidas por las Legislaturas Locales."

21. El artículo 11, párrafo primero, en relación con el 59, ambos de la ley reglamentaria de la materia, establece que las partes deben comparecer a juicio por conducto de los funcionarios que en términos de las normas que los rigen, estén facultados para representarlos:

"Artículo 11. El actor, el demandado y, en su caso, el tercero interesado deberán comparecer a juicio por conducto de los funcionarios que, en términos de las normas que los rigen, estén facultados para representarlos. En todo caso, se presumirá que quien comparezca a juicio goza de la representación legal y cuenta con la capacidad para hacerlo, salvo prueba en contrario."

"Artículo 59. En las acciones de inconstitucionalidad se aplicarán en todo aquello que no se encuentre previsto en este Título, en lo conducente, las disposiciones contenidas en el Título II."

22. En el caso, suscribe el escrito M.N.G., en su carácter de director general de Asuntos Jurídicos del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; lo que acredita con la copia certificada de su credencial, expedida por el director general de Administración de dicho instituto.(8)

23. El referido servidor público cuenta con facultades para representar al órgano, de conformidad con los artículos 12, fracción IV y 32, fracción I, del Estatuto Orgánico del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales,(9) en relación con el Acuerdo ACT-EXT-PUB/08/01/2020.02, adoptado por las comisionadas y los comisionados que integran el Pleno del instituto actor en la sesión extraordinaria de ocho de enero de dos mil veinte, para que el director general de Asuntos Jurídicos asumiera la representación legal del instituto y promoviera la presente acción de inconstitucionalidad, de manera destacada pero no limitativa, en contra de los artículos 3, 14, 27, 68, 90, 100, 105, 119, 133, 158, 170, 171, 177, 178, 179 y 181 y de las omisiones advertidas, de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León.

24. Finalmente, debe señalarse que en términos del referido artículo 105, fracción II, inciso h), constitucional, el instituto es un órgano legitimado para promover acciones de inconstitucionalidad en contra de leyes de carácter local, como la que se impugna, por estimar que viola el derecho de acceso a la información pública y la protección de datos personales, tal y como lo plantea el promovente en su escrito, en particular, los artículos 3o., fracción XXIX, 12, 14, fracción XV, 27, 68, 90, 100, 105, fracciones XXIII y XXV, 119, fracción V, 133, 158, 170, 171, 177, 178, 179 y 181 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León.

25. En consecuencia, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales está legitimado para promover la presente acción de inconstitucionalidad y quien suscribe el escrito respectivo, es en quien recae la representación legal de dicho organismo.

IV. CAUSAS DE IMPROCEDENCIA

26. No se planteó alguna causal de improcedencia ni se advierte de oficio la actualización de ninguna. Por tanto, este Tribunal Pleno procede a examinar los conceptos de invalidez planteados por la parte accionante.

V. ESTUDIO DE FONDO

27. Se procede al estudio de los conceptos de invalidez planteados por el accionante, para lo que previamente se establece el marco constitucional y legal que rige a la materia.

A.P. de control constitucional

28. El Tribunal Pleno se ha pronunciado en múltiples ocasiones sobre el derecho de protección de datos personales y el régimen competencial previsto en la Constitución Política del País para su protección y garantía, en específico, en las acciones de inconstitucionalidad 87/2017, 100/2017, 101/2017, 102/2017, 107/2017, 112/2017, 114/2017, 158/2017, 161/2017 y 47/2018.(10) Todos estos precedentes comparten, en esencia, las siguientes consideraciones:

29. Derivado de las reformas al artículo 6o. constitucional en materia de transparencia y acceso a la información, publicadas en el Diario Oficial de la Federación el veinte de julio de dos mil siete, y ante la necesidad de que se dictara una legislación en materia de protección de datos personales en posesión de particulares cuyo ámbito material de aplicación fuera la totalidad del territorio nacional, el treinta de abril de dos mil nueve se adicionó la fracción XXIX-O del artículo 73 constitucional, para otorgar al Congreso de la Unión la facultad de legislar en materia de protección de datos personales en posesión de particulares.(11)

30. Posteriormente, el derecho de protección de datos personales se dotó de contenido con la reforma al artículo 16 constitucional publicada en el Diario Oficial de la Federación el uno de junio de dos mil nueve.(12) La adición tuvo como objeto desarrollar al máximo el derecho a la protección de datos personales y, en ese sentido, además de establecerlo como nuevo derecho autónomo, también se crearon los correlativos derechos al acceso, rectificación, cancelación u oposición en torno a su manejo por parte de cualquier entidad o persona, pública o privada, que tuviera acceso o dispusiera de los datos personales de los individuos.

31. Así, el cinco de julio de dos mil diez se expidió y publicó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, cuyo objeto fue la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

32. No obstante, fue hasta la reforma constitucional publicada en el Diario Oficial de la Federación el siete de febrero de dos mil catorce, en la que se reconoció la necesidad de legislar en relación con el derecho a la protección de datos personales en posesión de sujetos obligados y, en ese sentido, se reformaron entre otras disposiciones, las fracciones I, IV y V del apartado A y se adicionó una fracción VIII a su artículo 6o. a fin de establecer, entre otras cosas, los sujetos obligados a transparentar su información, así como la obligación del Congreso de la Unión de emitir una ley general que unificara los criterios aplicables en materia de transparencia y acceso a la información, así como otra ley general en materia de protección de datos personales.

33. La finalidad principal de esta reforma fue fortalecer las atribuciones del órgano garante del derecho de acceso a la información y protección de datos personales, así como generar un sistema de coordinación entre las entidades federativas y la Federación, a efecto de lograr homogeneidad en los estándares de transparencia, acceso a la información y protección de datos personales en el país, para alcanzar los más altos niveles de tutela.

34. En ese sentido, el Constituyente estableció una serie de principios y bases en materia de transparencia, acceso a la información y protección de datos personales, con la finalidad de que el Congreso de la Unión los desarrollara en las leyes generales correspondientes, que fijaran las bases de coordinación y la distribución de competencias entre la Federación y las entidades federativas en la materia.

35. Asimismo, se adicionó la fracción XXIX-S al artículo 73 constitucional que faculta al Congreso de la Unión para expedir las leyes generales reglamentarias que desarrollen los principios y bases en materia de transparencia gubernamental, acceso a la información y protección de datos personales en posesión de las autoridades, entidades, órganos y organismos gubernamentales de todos los niveles de gobierno.(13) En el diverso 116, fracción VIII, se previó que las Constituciones Locales deben establecer los organismos garantes en la materia, conforme a los principios y bases contenidos en el mencionado artículo 6o. y en la ley general aplicable.(14)

36. Finalmente, también se reformó el artículo 122 constitucional aplicable a la Ciudad de México, cuyo texto vigente dispone que ésta contará con los organismos constitucionales autónomos que la Constitución Política del País prevé para las entidades federativas (apartado A, fracción VII), incluido el organismo garante del artículo 6o.(15)

37. Con la adición al artículo 73, fracción XXIX-S, constitucional, se buscó dotar a los ciudadanos de leyes de vanguardia que proporcionaran herramientas jurídicas útiles para limitar los actos de autoridad. Esta adición conlleva el pleno ejercicio del derecho a la protección de datos personales a través de la autodeterminación informativa que implica la libre elección sobre el uso y destino de los datos personales, teniendo en todo momento el derecho a acceder, rectificar, cancelar y oponerse legítimamente a su tratamiento.

38. Para entender la dimensión y finalidad de dicha reforma constitucional es necesario tener en cuenta que el referido proceso de modificaciones comenzó en virtud de diversas iniciativas presentadas por distintos partidos políticos en el Senado de la República.

39. En dichas iniciativas que constituyen la exposición de motivos de la reforma en comento, se enfatizó en la necesidad de facultar al Congreso de la Unión para emitir dos leyes generales cuyos objetivos incluirían homologar parámetros para todos los niveles de gobierno que permitan contar con una base sólida a fin de que los derechos de acceso a la información y protección de datos sean iguales para todos.

40. Así, en cumplimiento a esa reforma constitucional, el veintiséis de enero de dos mil diecisiete, el Congreso de la Unión emitió la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados. Ésta tiene como objetivos:

• Distribuir competencias entre los organismos garantes de la Federación y las entidades federativas.

• Establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

• Regular la organización y operación del Sistema Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, en la materia.

• Garantizar la observancia de los principios de protección de datos personales en posesión de sujetos obligados.

• Proteger los datos personales en posesión de los sujetos obligados con la finalidad de regular su debido tratamiento.

• Garantizar que toda persona pueda ejercer el derecho a la protección de los datos personales.

• Establecer los mecanismos para garantizar el cumplimiento y la efectiva aplicación de las medidas de apremio que correspondan para las conductas que contravengan las disposiciones de la ley.

• Regular los medios de impugnación y procedimientos para la interposición de acciones de inconstitucionalidad y controversias constitucionales por parte de los organismos garantes locales y de la Federación, de conformidad con sus facultades respectivas.

41. El legislador federal también estableció que dicha ley sólo sienta una base general que puede ser desarrollada por las Legislaturas, federal y de las entidades federativas, atendiendo las necesidades de cada ámbito y espacio de gobierno.

42. Al final de cuentas, el objetivo es contar con un marco legal que desenvuelva, desglose o regule los principios o conceptos generales que el ejercicio del derecho conlleva y permita su aplicación de manera uniforme, tanto por la autoridad federal como por las locales.

43. Así, la normatividad general en materia de protección de datos personales emitida por el Congreso de la Unión, al desarrollar las bases y principios aplicables, permite que las Legislaturas de las entidades federativas tengan libertad configurativa no sólo para replicar sus contenidos, sino también para adecuarla a su realidad social e, incluso, perfeccionarla o ampliarla, siempre y cuando esas modificaciones atiendan al sistema nacional implementado.

44. De esa manera, las Legislaturas de las diversas entidades federativas tienen la obligación de adecuar sus instrumentos normativos aplicables en la materia a las bases y principios reconocidos tanto en la Constitución Federal como en Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, pero a la vez tienen libertad para regular ciertos aspectos atendiendo a su específico ámbito territorial de competencia y a su realidad social.

45. En otras palabras, derivado del establecimiento del régimen de concurrencia en materia de protección de datos personales en posesión de sujetos obligados, las Legislaturas Locales dejaron de tener competencia para legislar en aspectos primarios en esa materia, quedando básicamente facultadas para armonizar y adecuar sus legislaciones conforme al contenido de la ley general, encargada de desarrollar los principios y bases materia de la reforma constitucional, de manera congruente y no contradictoria a nivel nacional.

46. En consecuencia, desde este momento se desestiman aquellas afirmaciones del instituto promovente en el sentido de que el legislador local únicamente podía replicar la ley general pues, como se explicó, si bien está vinculado a respetar las bases y aspectos mínimos aplicables, así como no introducir variaciones injustificadas en perjuicio de los titulares de datos personales, lo cierto es que tiene libertad configurativa justamente atendiendo a su realidad y a su respectivo ámbito de competencia.

47. En ese sentido, al resolver los diversos conceptos de invalidez alegados por el promovente se debe tener en cuenta, por un lado, el contexto normativo y, por otro, el parámetro de regularidad constitucional, a fin de determinar si las normas impugnadas son acordes o no al sistema diseñado tanto por el Constituyente Permanente como por el Congreso de la Unión.

B. Análisis de los conceptos de invalidez

48. Por cuestión de técnica se contestarán los conceptos de invalidez en un orden distinto al planteado por el instituto accionante, en atención a su relación con otros y a las razones en las que se sustenta su constitucionalidad o su invalidez, dependiendo del caso.

Ver orden de contestación de conceptos de invalidez

Apartado 1. Sistema Estatal de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. Inconstitucionalidad de los artículos 3o., fracción XXIX, 12, 14, fracción XV, 27, 68, 90 y 105, fracciones XXIII y XXV (conceptos de invalidez primero, segundo, tercero, décimo y décimo primero).

49. Para dar respuesta a los argumentos de invalidez planteados por el INAI respecto de la inconstitucionalidad de la regulación del sistema estatal en cuestión, se debe precisar primero que, de conformidad con la Ley General de Transparencia y Acceso a la Información Pública y otras leyes aplicables, como en el caso, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales es el conjunto orgánico y articulado de sus miembros, procedimientos, instrumentos y políticas, con la finalidad de, entre otros, coordinar y evaluar las acciones relativas a la política pública transversal de transparencia, acceso a la información y protección de datos personales, así como a establecer e implementar los criterios y lineamientos.(16)

50. El Sistema Nacional se conforma a partir de la coordinación entre las instancias que, de acuerdo con su ámbito de competencias, contribuyen a la vigencia de la transparencia a nivel nacional, esto es, en los tres órdenes de gobierno.(17) Por esta razón es que todos los organismos garantes de las entidades federativas forman parte de éste.(18)

51. Por lo anterior, ni la Constitución Política del País ni las leyes generales en la materia prevén la existencia de sistemas estatales de transparencia, acceso a la información y protección de datos personales; ni la atribución para que las entidades federativas instituyan sistemas estatales de transparencia. La participación de todos los niveles de gobierno en la coordinación y emisión de lineamientos, instrumentos, objetivos, indicadores, metas, estrategias, códigos de buenas prácticas, modelos y políticas integrales, se encuentra garantizada en la regulación que al respecto existe en la Ley General de Transparencia y Acceso a la Información Pública y en específico, con la participación directa de los organismos garantes de las entidades federativas en el Sistema Nacional, integrando el Consejo Nacional.(19)

52. No obstante, en atención a la concurrencia que en estas materias existe y, de acuerdo con una interpretación sistemática de los artículos 6o., 73, fracción XXIX-S y 116, fracción VIII, de la Constitución Política del País, este Tribunal Pleno reconoció, desde la acción de inconstitucionalidad 1/2016,(20) que las entidades federativas pueden válidamente crear sistemas estatales de acceso a la información pública y protección de datos personales, en términos similares a los previstos para el Sistema Nacional, siempre y cuando sus facultades se enmarquen en aquellas que las leyes generales otorgan a las entidades federativas y que éstos sirvan como instancia de coordinación con el Sistema Nacional, sin que tal circunstancia implique la apropiación de atribuciones; e incluso que se ponga en riesgo la finalidad de la reforma constitucional de siete de febrero de dos mil catorce, esto es, la homologación de los criterios aplicables en la materia.

53. Así, toda disposición relativa a los sistemas estatales de transparencia que contravenga alguna de las leyes generales en la materia, o bien, permita que el sistema estatal emita reglas o lineamientos que puedan contravenir los emitidos por el Sistema Nacional de Transparencia, sería inconstitucional.

54. En el caso, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales impugnó los artículos 3, fracción XXIX, 12, 14, fracción XV, 27, 68, 90 y 105, fracciones XXIII y XXV, de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León por considerar que son violatorios de los artículos 1o., 6o., apartado A, 16, párrafos primero y segundo, 73, fracción XXIX-S y 124, todos de la Constitución Política del País, porque invaden atribuciones del Sistema Nacional de Transparencia. En lo particular porque:

• El artículo 27, párrafo cuarto, que regula las facultades del Sistema Estatal de Transparencia para emitir criterios que regulen medidas compensatorias es contrario al diverso 26, último párrafo, de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

• El artículo 68, párrafo tercero, al prever la facultad del Sistema Estatal de Transparencia para emitir lineamientos de portabilidad, invade la atribución del Sistema Nacional de Transparencia, prevista en el diverso 57, último párrafo, de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

• El artículo 90 impugnado, que prevé la facultad del Sistema Estatal de Transparencia para emitir criterios en materia de evaluaciones de impacto en la protección de datos personales es inconstitucional, no establece que estos criterios deben ser acordes con los emitidos por el Sistema Nacional de Transparencia.

• El artículo 12 es omiso en acotar que el Programa Estatal en Materia de Protección de Datos Personales debe ajustarse a lo previsto en el Programa Nacional.

• Los artículos 3, fracción XXIX, 14, fracción XV y 105, fracciones XXIII y XXV, regulan una plataforma estatal de transparencia, sin que las entidades federativas tengan facultades para ello.

55. En el Estado de Nuevo León, el Sistema Estatal de Transparencia, Acceso a la Información Pública y Protección de Datos personales del Estado de Nuevo León se encontraba regulado en los artículos 27 a 37 de la Ley de Transparencia y Acceso a la Información Pública local, contenidos en el capítulo I del título segundo, denominado "Sistema Estatal" (numerales que establecen cómo se integra y su conformación). Dicho órgano dejó de existir con la entrada en vigor del decreto publicado en el Periódico Oficial de dicha entidad el veinte de agosto de dos mil veintiuno a través del cual se derogó, en su totalidad, el referido capítulo.

56. Ante la desaparición del Sistema Estatal de Transparencia todas las normas que lo regulen en otras leyes se han vuelto inaplicables. Esto es así ya que, en primer lugar, con la desaparición del Sistema Estatal de Transparencia, todas aquellas normas que le otorgaban facultades (artículos 27, 68 y 90), entre ellas, las de regular criterios para el otorgamiento de medidas compensatorias, de la portabilidad de datos personales y de la emisión de las evaluaciones de impacto en su protección, han quedado materialmente sin efectos:

"Por regla general, el aviso de privacidad deberá ser difundido por los medios electrónicos y físicos con que cuente el responsable.

"Para que el aviso de privacidad cumpla de manera eficiente con su función de informar, deberá estar redactado y estructurado de manera clara y sencilla.

57. Por otro lado, el Programa Estatal en Materia de Protección de Datos, de conformidad con el artículo 12 impugnado, es un instrumento cuya finalidad es diseñar, ejecutar y evaluar la integración y coordinación del Sistema Estatal de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. Por tanto, al haber dejado de existir lo que constituía su objetivo y finalidades, ha quedado obsoleto:

"I. Promover la educación y una cultura de protección de datos personales entre la sociedad;

"II. Fomentar el ejercicio de los derechos de acceso, rectificación, cancelación y oposición;

"III. Capacitar a los sujetos obligados en materia de protección de datos personales;

"V. Prever los mecanismos que permitan medir, reportar y verificar las metas establecidas.

58. Por último, aun cuando los artículos 3, fracción XXIX, 14, fracción XV y 105, fracciones XXIII y XXV, no crean propiamente la plataforma estatal de transparencia, los diversos 64 a 67 que la regulaban, también fueron derogados en el decreto publicado el veinte de agosto de dos mil veintiuno y, al igual que en el caso de los artículos anteriores, su contenido ha quedado sin efectos.

59. El contenido de los artículos impugnados es el siguiente:

"Artículo 3. Para los efectos de la presente Ley se entenderá por: ...

"XXIX. Plataforma: La Plataforma de Transparencia a que se hace referencia en el Título Tercero de la Ley de Transparencia y Acceso a la Información Pública del Estado de Nuevo León."

"XV. Proponer acciones para vincular el Sistema Estatal con otros sistemas y programas nacionales, regionales o locales."

"XXV. Administrar, en el ámbito de sus competencias, la Plataforma Estatal de Transparencia."

60. La nueva configuración normativa en la materia en el Estado de Nuevo León, que únicamente se plasmó en la modificación y derogación de disposiciones de la Ley de Transparencia y Acceso a la Información Pública del Estado de Nuevo León, genera claras inconsistencias entre ésta y otras leyes íntimamente relacionadas, como la que ahora se analiza.

61. Aun cuando este Tribunal Pleno no está obligado a hacer un análisis exhaustivo de sus impactos, sí lo está a determinar si, sobre los artículos expresamente impugnados en este asunto, existe incertidumbre y, por tanto, una violación al principio de seguridad jurídica, suficiente para declarar en este momento, su invalidez.

62. Al respecto, si bien es cierto que, como se ha señalado, la desaparición en el orden jurídico del Estado de Nuevo León del Sistema y de la Plataforma Estatal de Transparencia ha dejado a las normas impugnadas inaplicables y obsoletas, continúan vigentes y su existencia en el complejo sistema para la protección y garantía de los derechos de transparencia, acceso a la información y protección de datos personales generan inseguridad jurídica.

63. Esto es así ya que los sujetos obligados a la protección de datos personales en el Estado de Nuevo León, a efectos de cumplir con sus obligaciones y sin tener en cuenta las reformas indicadas, podrían guiarse las normas impugnadas y por lineamientos y reglas emitidas por el extinto Sistema Estatal de Transparencia que además de no estar vigentes pueden estar completamente desactualizados y ser probablemente contrarios a disposiciones nuevas emitidas por el Sistema Nacional. Estas circunstancias podrían, no sólo proyectarse en el ejercicio de las facultades de las autoridades locales, sino en los deberes de los sujetos obligados al tratamiento de datos personales y en el ejercicio de los derechos ARCO de sus titulares.

64. Máxime que, como se indicó al principio de este apartado, los Congresos Locales sí tienen facultades para crear sistemas estatales de transparencia.

65. Por todo lo anterior, debe declararse la invalidez de los artículos 3, fracción XXIX, 12, 14, fracción XV, 27, párrafo cuarto, 68, párrafo tercero, 90 y 105, fracciones XXIII y XXV, de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León.

Apartado 2. Oficial de protección de datos personales (cuarto concepto de invalidez)

66. El INAI impugna el artículo 100 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León por considerar que contraviene el diverso 85 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, al establecer que el oficial de protección de datos personales formará parte del Comité de Transparencia. Además, considera que es inconstitucional porque le otorga facultades adicionales, en específico, la de implementar políticas transversales.

67. Este tema ya ha sido motivo de discusión y análisis por este Tribunal Pleno en la acción de inconstitucionalidad 101/2017,(21) en la que el INAI solicitó la invalidez de los artículos que definían la figura del oficial de protección de datos personales, contenidos en la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Tlaxcala. Por sus similitudes, en el presente asunto se retoman las consideraciones que en ese momento sirvieron de fundamento para declarar la inconstitucionalidad del artículo 4o., párrafo décimo noveno, de la legislación tlaxcalteca.

68. En el precedente se señaló que en la exposición de motivos de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados se proponía incluir la figura del oficial de protección de datos personales como parte del Comité de Transparencia y con el carácter de especialista en la materia, a fin de evidenciar la relevancia que dicho derecho tiene, pues con su adición se garantizaría que las decisiones que al respecto adopte dicho comité, partan del conocimiento y pericia que tal especialista pudiera aportar, de modo que se garantizaría un grado mínimo de especialización en una materia de índole técnico, justamente en el seno de la instancia máxima en materia de protección de datos en cada sujeto obligado.

69. En el proyecto de ley presentado inicialmente, el oficial de protección de datos personales estaba previsto en el último párrafo del artículo 80 como integrante del Comité de Transparencia, máxima autoridad en materia de protección de datos personales en la organización del responsable; incluso dicho proyecto preveía un artículo específico(84) que establecía sus atribuciones.

70. En el dictamen de la Comisión respectiva del Senado se informó que en los trabajos realizados con la invitación de especialistas en la materia, se destacó que dicha figura se contempló como un especialista en materia de protección de datos, con una función eminentemente preventiva y con atribuciones para coordinar la política de protección de datos al interior del sujeto obligado, asesorar y supervisar los procesos de tratamiento conforme a los principios y procedimientos en la materia, promover una cultura de protección datos, capacitar a los servidores públicos en el tema, así como supervisar la atención a solicitudes de derechos ARCO. Asimismo, que era necesario precisar el perfil y la figura de mérito, a fin de ser sometido también vigorosamente a las sanciones respectivas en caso de no apegarse a la norma aplicable.

71. En atención a lo anterior, la Comisión consideró pertinente modificar los preceptos relativos para no incluir en la integración del Comité de Transparencia al "oficial de protección de datos personales".

72. De la discusión del proyecto de ley presentado ante el Pleno del Senado sólo se advierte que únicamente se indicó que los sujetos obligados podrían designar a un oficial de protección de datos personales especializado en la materia, quien formaría parte de la unidad de transparencia y auxiliaría al responsable en las atribuciones de tratamiento de esos datos.

73. Así, se expidió el artículo 85 de la ley general en los siguientes términos:

"Artículo 85. Cada responsable contará con una Unidad de Transparencia, se integrará y funcionará conforme a lo dispuesto en la Ley General de Transparencia y Acceso a la Información Pública, esta ley y demás normativa aplicable, que tendrá las siguientes funciones:

"I.A. y orientar al titular que lo requiera con relación al ejercicio del derecho a la protección de datos personales;

"II. Gestionar las solicitudes para el ejercicio de los derechos ARCO;

"III.E. mecanismos para asegurar que los datos personales sólo se entreguen a su titular o su representante debidamente acreditados;

"IV. Informar al titular o su representante el monto de los costos a cubrir por la reproducción y envío de los datos personales, con base en lo establecido en las disposiciones normativas aplicables;

"V. Proponer al Comité de Transparencia los procedimientos internos que aseguren y fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO;

"VI. Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes para el ejercicio de los derechos ARCO; y,

"VII. Asesorar a las áreas adscritas al responsable en materia de protección de datos personales.

"Los responsables que en el ejercicio de sus funciones sustantivas lleven a cabo tratamientos de datos personales relevantes o intensivos, podrán designar a un oficial de protección de datos personales, especializado en la materia, quien realizará las atribuciones mencionadas en este artículo y formará parte de la Unidad de Transparencia.

"Los sujetos obligados promoverán acuerdos con instituciones públicas especializadas que pudieran auxiliarles a la recepción, trámite y entrega de las respuestas a solicitudes de información, en la lengua indígena, braille o cualquier formato accesible correspondiente, en forma más eficiente."

74. Por tanto, de conformidad con la legislación general, los responsables o sujetos obligados que en el ejercicio de sus funciones sustantivas conozcan datos personales relevantes o intensivos, esto es, que existan riesgos inherentes a los datos personales a tratar, sean datos personales sensibles y/o se efectúen o pretendan efectuar transferencias de datos personales, podrán designar a un oficial de protección de datos personales especializado en la materia, para realizar las tareas atribuidas en dicho precepto a la Unidad de Transparencia, a la que también estará integrado orgánicamente.

75. De ese modo, el oficial de protección de datos personales es parte exclusivamente de la Unidad de Transparencia y tiene a su cargo: a) auxiliar y orientar al titular que lo requiera en relación con el ejercicio del derecho a la protección de datos personales; b) gestionar las solicitudes para el ejercicio de los derechos ARCO; c) establecer mecanismos para asegurar que los datos personales sólo se entreguen a su titular o su representante debidamente acreditados; d) informar al titular o su representante el monto de los costos a cubrir por la reproducción y envío de los datos personales, con base en las disposiciones aplicables; e) proponer al Comité de Transparencia los procedimientos internos que aseguren y fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO; f) aplicar instrumentos de evaluación de calidad sobre la gestión de tales solicitudes; y, g) asesorar a las áreas adscritas al responsable en materia de protección de datos personales.

76. Por otra parte, el contenido del artículo 100 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León, impugnado, es el siguiente:

77. El precepto impugnado establece que los sujetos obligados, cuando lo consideren pertinente, podrán designar a un oficial de protección de datos personales, especializado en la materia, que realizará las funciones establecidas en el artículo 99 de la ley local (que es coincidente con las funciones establecidas en la primera parte del artículo 85 de la ley general de la materia) y que formará parte de la Unidad de Transparencia y del Comité de Transparencia.(22)

78. Además, en el párrafo segundo, establece que el oficial de protección de datos deberá contar con la "jerarquía o posición" necesaria para implementar políticas transversales en la materia.

79. Atendiendo a las consideraciones expresadas, es claro que la norma impugnada distorsiona el sistema de protección de datos personales implementado por el Constituyente y por el Congreso de la Unión, pues contrario a la ley general de la materia, en primer lugar, prevé que el oficial de protección de datos personales será parte integrante del Comité de Transparencia; y, en segundo lugar, le otorga atribuciones distintas a las señaladas en la ley-marco aplicable.

80. Efectivamente, como se apuntó, el legislador federal fue cuidadoso al establecer cuáles son las áreas, sujetos o entes responsables del tratamiento de datos personales, así como determinar su alcance y contenido y de prever las atribuciones de dicho oficial al adscribirlo a la Unidad de Transparencia y otorgarle sus mismas tareas.

81. Es más, en el proceso legislativo que derivó en la ley general aplicable, el legislador federal suprimió esa institución de la integración del Comité de Transparencia, justamente ante la oscuridad o falta de definición de sus atribuciones, de modo que, lo adscribió a la citada unidad a fin de evidenciar que sus atribuciones se limitan a las contenidas en el artículo 85 antes reproducido y que se vinculan necesariamente con aspectos administrativos, de consulta y asesoría en la materia.

82. Es por ello que el segundo párrafo del numeral impugnado resulta también violatorio del principio de seguridad jurídica por su ambigüedad y la vaguedad de los términos, esto es, de manera genérica y sin explicar en qué consisten las funciones necesarias para implementar "políticas públicas transversales en la materia", luego, el legislador local parece otorgar facultades amplias para que dicho oficial pueda intervenir de manera activa en el tratamiento de datos personales cuando dicha función, en exclusiva, corresponde a los sujetos obligados y no a las instituciones previstas para su consulta y asesoría.

83. Además, esta violación al principio de seguridad jurídica se proyecta en los gobernados de dicha entidad federativa, que no están ciertos de qué atribuciones o tareas puede o no efectuar el mencionado oficial de protección de datos personales, lo que trasciende al ámbito de atribución de responsabilidades a que aludió el Senado de la República al dictaminar el proyecto de la ley general de la materia.

84. La ausencia de definición por parte del legislador federal no permite al legislador local proponer alguna y menos distorsionar el sistema implementado por el Constituyente Permanente y por el legislador federal a través de atribuciones que son propias de los sujetos obligados.

85. Por tanto, al resultar fundado el concepto de invalidez, lo procedente es declarar la invalidez del artículo 100, párrafo primero, en la porción normativa "y del Comité de Transparencia", y párrafo segundo, de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León.

Apartado 3. Recurso de revisión (quinto concepto de invalidez)

86. El INAI impugna el artículo 119 de la Ley de Protección de Datos del Estado de Nuevo León, al exigir requisitos adicionales a los del artículo 105 de la ley general de la materia para interponer el recurso de revisión, en específico, impugna la fracción V que exige acompañar al escrito de interposición del recurso una copia de la solicitud a través de la cual ejerció sus derechos ARCO y sus documentos anexos, con el acuse de recibido. Desde su punto de vista, ello es violatorio del derecho de protección de datos personales en relación con el de seguridad jurídica, contenidos en los artículos 6o. y 16 constitucionales.

87. Es fundado el concepto de invalidez esencialmente porque, de acuerdo con la concurrencia normativa en la materia, las normas sobre el recurso de revisión, previstas en la ley general, al ser consideradas por el Congreso de la Unión como condiciones homogéneas necesarias para el ejercicio del derecho de protección de datos personales, no pueden ser variadas por los legisladores locales.

88. En efecto, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados estableció las bases mínimas y las condiciones homogéneas que deben observar los organismos garantes –federal y estatales– para ofrecer procedimientos sencillos y expeditos en el ejercicio de los derechos ARCO, por lo que en estos casos, las Legislaturas de las entidades federativas carecen de facultades para agregar condiciones a los procedimientos que los obstaculicen; o bien, modalidades que rompan con la uniformidad pretendida, con el propósito de que los titulares del derecho de protección de datos personales sepan que en todo el territorio nacional existen trámites análogos para su garantía.

89. Ahora bien, el texto de la disposición en estudio en comparación con lo dispuesto en la mencionada Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados es el siguiente:

LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO

DE NUEVO LEÓN

"Artículo 119. Los requisitos exigibles en el escrito de interposición del recurso de revisión serán los siguientes:

"I. El área responsable ante quien se presentó la solicitud para el ejercicio de los derechos ARCO;

"II. El nombre completo del titular que recurre o su representante y, en su caso, del tercero interesado, así como el domicilio o medio que señale para recibir notificaciones;

"III. La fecha en que fue notificada la respuesta al titular, o bien, en caso de falta de respuesta la fecha de la presentación de la solicitud para el ejercicio de los derechos ARCO;

"IV. El acto que se recurre y los puntos petitorios, así como las razones o motivos de inconformidad;

"V. La copia de la solicitud a través de la cual ejerció sus derechos ARCO y que fue presentada ante el responsable y los documentos anexos a la misma, con su correspondiente acuse de recepción;

"VI. En su caso, copia de la respuesta que se impugna y de la notificación correspondiente; y,

"VII. Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante.

"Al recurso de revisión se podrán acompañar las pruebas y demás elementos que considere el titular procedentes someter a juicio de la Comisión.

"En ningún caso será necesario que el titular ratifique el recurso de revisión interpuesto."

LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS

"Artículo 105. Los únicos requisitos exigibles en el escrito de interposición del recurso de revisión serán los siguientes:

"I. El área responsable ante quien se presentó la solicitud para el ejercicio de los derechos ARCO;

"II. El nombre del titular que recurre o su representante y, en su caso, del tercero interesado, así como el domicilio o medio que señale para recibir notificaciones;

"III. La fecha en que fue notificada la respuesta al titular, o bien, en caso de falta de respuesta la fecha de la presentación de la solicitud para el ejercicio de los derechos ARCO;

"IV. El acto que se recurre y los puntos petitorios, así como las razones o motivos de inconformidad;

"V. En su caso, copia de la respuesta que se impugna y de la notificación correspondiente; y,

"VI. Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante.

"Al recurso de revisión se podrán acompañar las pruebas y demás elementos que considere el titular procedentes someter a juicio del instituto o, en su caso, de los Organismos garantes.

"En ningún caso será necesario que el titular ratifique el recurso de revisión interpuesto."

90. De la lectura del artículo 105 de la ley general se advierte que los requisitos que enumera son los únicos necesarios para la interposición del recurso de revisión, sin que dentro de esas condiciones se exija copia de la solicitud por la que se ejerció alguno de los derechos ARCO, ni los documentos anexos a dicha solitud ni con el correspondiente acuse de recepción.

91. De ahí que la fracción V del artículo 119 impugnada, sea inconstitucional, pues al prever mayores requisitos a los que expresamente la ley general establece como únicos para la interposición del recurso de revisión, tiene impacto directo en el derecho de protección de datos personales y, por tanto, viola los artículos 6o., base A y 16, segundo párrafo, de la Constitución Federal, que establecen los principios y bases para garantizarlo.

92. Sin que sea obstáculo para lo anterior que el diverso 124 de la ley local impugnada(23) [de contenido idéntico al del artículo 110(24) de la ley general] establezca que, ante la falta de cumplir alguno de los requisitos previstos en el artículo 119 de la ley, si la Comisión Estatal no cuenta con elementos para subsanarlos, requerirá al recurrente para que exhiba la documentación faltante en un plazo que no podrá exceder de los cinco días, bajo apercibimiento de que en caso de no hacerlo se desechará el recurso de revisión, pues lo trascendente es que a diferencia de la ley general en la que se previeron de manera uniforme requisitos únicos, la norma local impugnada exige a los titulares de datos personales acompañar esos documentos al escrito de recurso de revisión, con lo que se establece un requisito adicional para hacer efectivo el aludido derecho.

93. De esta manera se vulnera frontalmente el derecho de acceso a la información y protección de datos personales, previsto en el artículo 6o., apartado A, de la Constitución Política de los Estados Unidos Mexicanos.

94. En consecuencia, se declara la invalidez del artículo 119, fracción V, de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León.

95. En similares términos se resolvieron las acciones de inconstitucionalidad 102/2017,(25) 107/2017(26) y 112/2017.(27)

Apartado 4. Sanciones administrativas. Inconstitucionalidad de los artículos 158, 170, 171, 177, 178, 179 y 181 (conceptos de invalidez sexto, séptimo, octavo y noveno)

96. En los conceptos de invalidez identificados como sexto, séptimo, octavo y noveno, el INAI cuestiona la constitucionalidad de diversos artículos relacionados con las sanciones administrativas derivadas del incumplimiento de las disposiciones de la ley local en materia de protección de datos personales en posesión de sujetos obligados.

97. En primer lugar, impugna el artículo 158 porque considera que el legislador local, en contradicción con el diverso 153, párrafo tercero, de la ley general de protección de datos, omitió establecer la posibilidad para que las conductas sancionables en vía administrativa puedan ser denunciadas por el organismo garante ante la autoridad competente, violando con ello el derecho de protección de datos personales en vinculación con el de seguridad jurídica.

98. También impugnó el artículo 170 de la ley local, que regula las causas de sanción por incumplimiento de las obligaciones de la ley, por dos razones: la primera, porque excluye 4 supuestos que sí son sancionables por la ley general (los establecidos en las fracciones II, V, VIII y XI del artículo 163); y, la segunda, porque las conductas sancionables previstas en las fracciones XIX y X del precepto impugnado no fueron reguladas de manera idéntica a las conductas de las fracciones III y VII del artículo 163 de la ley general.

99. En tercer lugar, en el octavo concepto de invalidez, impugnó el artículo 171 de la ley local porque distingue indebidamente entre faltas leves, graves y muy graves, en contra de la clasificación establecida en el diverso 163 de la Ley General de Protección de Datos en Posesión de Sujetos Obligados.

100. Por último, en el noveno concepto de invalidez, el INAI impugna los artículos 177, 178, 179 y 181 de la ley local porque considera que indebidamente otorgan al organismo garante local la atribución de sancionar administrativamente a los responsables del tratamiento de datos personales, cuando de acuerdo con los diversos 164, 165, último párrafo, 167 y 168 de la ley general, dichas funciones corresponden, exclusivamente, a la contraloría, al órgano interno de control o su equivalente.

101. Por cuestión de orden, se analizarán en primer lugar los conceptos de invalidez octavo y noveno, en atención a que es necesario determinar, previo al análisis particularizado en materia de protección de datos personales, si la regulación del Congreso del Estado de Nuevo León es contraria al artículo 109 de la Constitución Federal y al sistema general que el Congreso de la Unión desarrolló en la Ley General de Responsabilidades Administrativas y, posteriormente, los conceptos de invalidez sexto y séptimo, por su falta de adecuación con la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

Apartado 4.1. Facultades de la Comisión Estatal en materia de sanciones administrativas y clasificación de la gravedad de las conductas sancionadas administrativamente (conceptos de invalidez octavo y noveno)

102. Este Tribunal Pleno advierte, en suplencia de la deficiencia de la queja, que los artículos 171, 177, 178, 179 y 181 son contrarios al artículo 109 de la Constitución Federal y, por tanto, inconstitucionales, porque, como se explicará a continuación, distorsionan el sistema nacional establecido para la denuncia, determinación y sanción de las responsabilidades administrativas cometidas por los servidores públicos. Si bien el instituto accionante atribuye la inconstitucionalidad a la falta de adecuación de las normas impugnadas a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, lo cierto es que esta normatividad general, en lo que corresponde a la materia de responsabilidades administrativas, se adecua a los principios y normas establecidos en la Ley General de Responsabilidades Administrativas, por lo que el análisis de constitucionalidad debe realizarse a partir del artículo 109 constitucional y de la legislación general correlativa.

103. El artículo 109 de la Constitución Política del País establece:

"Artículo 109. Los servidores públicos y particulares que incurran en responsabilidad frente al Estado, serán sancionados conforme a lo siguiente:

"I. Se impondrán, mediante juicio político, las sanciones indicadas en el artículo 110 a los servidores públicos señalados en el mismo precepto, cuando en el ejercicio de sus funciones incurran en actos u omisiones que redunden en perjuicio de los intereses públicos fundamentales o de su buen despacho.

"No procede el juicio político por la mera expresión de ideas.

"II. La comisión de delitos por parte de cualquier servidor público o particulares que incurran en hechos de corrupción, será sancionada en los términos de la legislación penal aplicable.

"Las leyes determinarán los casos y las circunstancias en los que se deba sancionar penalmente por causa de enriquecimiento ilícito a los servidores públicos que durante el tiempo de su encargo, o por motivos del mismo, por sí o por interpósita persona, aumenten su patrimonio, adquieran bienes o se conduzcan como dueños sobre ellos, cuya procedencia lícita no pudiesen justificar. Las leyes penales sancionarán con el decomiso y con la privación de la propiedad de dichos bienes, además de las otras penas que correspondan;

"III. Se aplicarán sanciones administrativas a los servidores públicos por los actos u omisiones que afecten la legalidad, honradez, lealtad, imparcialidad y eficiencia que deban observar en el desempeño de sus empleos, cargos o comisiones. Dichas sanciones consistirán en amonestación, suspensión, destitución e inhabilitación, así como en sanciones económicas, y deberán establecerse de acuerdo con los beneficios económicos que, en su caso, haya obtenido el responsable y con los daños y perjuicios patrimoniales causados por los actos u omisiones. La ley establecerá los procedimientos para la investigación y sanción de dichos actos u omisiones.

"Las faltas administrativas graves serán investigadas y sustanciadas por la Auditoría Superior de la Federación y los órganos internos de control, o por sus homólogos en las entidades federativas, según corresponda, y serán resueltas por el Tribunal de Justicia Administrativa que resulte competente. Las demás faltas y sanciones administrativas, serán conocidas y resueltas por los órganos internos de control.

"Para la investigación, sustanciación y sanción de las responsabilidades administrativas de los miembros del Poder Judicial de la Federación, se observará lo previsto en el artículo 94 de esta Constitución, sin perjuicio de las atribuciones de la Auditoría Superior de la Federación en materia de fiscalización sobre el manejo, la custodia y aplicación de recursos públicos.

"La ley establecerá los supuestos y procedimientos para impugnar la clasificación de las faltas administrativas como no graves, que realicen los órganos internos de control.

"Los entes públicos federales tendrán órganos internos de control con las facultades que determine la ley para prevenir, corregir e investigar actos u omisiones que pudieran constituir responsabilidades administrativas; para sancionar aquellas distintas a las que son competencia del Tribunal Federal de Justicia Administrativa; revisar el ingreso, egreso, manejo, custodia y aplicación de recursos públicos federales y participaciones federales; así como presentar las denuncias por hechos u omisiones que pudieran ser constitutivos de delito ante la Fiscalía Especializada en Combate a la Corrupción a que se refiere esta Constitución.

"Los entes públicos estatales y municipales, así como del Distrito Federal y sus demarcaciones territoriales, contarán con órganos internos de control, que tendrán, en su ámbito de competencia local, las atribuciones a que se refiere el párrafo anterior; y,

"IV. Los tribunales de justicia administrativa impondrán a los particulares que intervengan en actos vinculados con faltas administrativas graves, con independencia de otro tipo de responsabilidades, las sanciones económicas; inhabilitación para participar en adquisiciones, arrendamientos, servicios u obras públicas; así como el resarcimiento de los daños y perjuicios ocasionados a la Hacienda Pública o a los entes públicos federales, locales o municipales. Las personas morales serán sancionadas en los términos de esta fracción cuando los actos vinculados con faltas administrativas graves sean realizados por personas físicas que actúen a nombre o representación de la persona moral y en beneficio de ella. También podrá ordenarse la suspensión de actividades, disolución o intervención de la sociedad respectiva cuando se trate de faltas administrativas graves que causen perjuicio a la Hacienda Pública o a los entes públicos, federales, locales o municipales, siempre que la sociedad obtenga un beneficio económico y se acredite participación de sus órganos de administración, de vigilancia o de sus socios, o en aquellos casos que se advierta que la sociedad es utilizada de manera sistemática para vincularse con faltas administrativas graves; en estos supuestos la sanción se ejecutará hasta que la resolución sea definitiva. Las leyes establecerán los procedimientos para la investigación e imposición de las sanciones aplicables de dichos actos u omisiones.

"Los procedimientos para la aplicación de las sanciones mencionadas en las fracciones anteriores se desarrollarán autónomamente. No podrán imponerse dos veces por una sola conducta sanciones de la misma naturaleza.

"Cualquier ciudadano, bajo su más estricta responsabilidad y mediante la presentación de elementos de prueba, podrá formular denuncia ante la Cámara de Diputados del Congreso de la Unión respecto de las conductas a las que se refiere el presente artículo.

"En el cumplimiento de sus atribuciones, a los órganos responsables de la investigación y sanción de responsabilidades administrativas y hechos de corrupción no les serán oponibles las disposiciones dirigidas a proteger la secrecía de la información en materia fiscal o la relacionada con operaciones de depósito, administración, ahorro e inversión de recursos monetarios. La ley establecerá los procedimientos para que les sea entregada dicha información.

"La Auditoría Superior de la Federación y la Secretaría del Ejecutivo Federal responsable del control interno, podrán recurrir las determinaciones de la Fiscalía Especializada en Combate a la Corrupción y del Tribunal Federal de Justicia Administrativa, de conformidad con lo previsto en los artículos 20, apartado C, fracción VII, y 104, fracción III, de esta Constitución, respectivamente."

104. En la fracción III se regulan las responsabilidades administrativas de los servidores públicos. En esencia y para los efectos de la presente sentencia se destacan los siguientes aspectos:

• Los servidores públicos que con sus actos u omisiones afecten la legalidad, honradez, lealtad, imparcialidad y eficiencia que deban observar en el desempeño de sus empleos, cargos o comisiones, se les podrá sancionar con amonestación, suspensión, destitución, inhabilitación con sanciones económicas, en atención a los beneficios económicos que en su caso hubieren obtenido y a los daños y perjuicios patrimoniales causados.

• Será "la ley" la que establecerá los procedimientos para la investigación y sanción de dichos actos u omisiones.

• Se prevé la existencia de órganos internos de control como parte de los entes públicos federales, de las entidades federativas y de los Municipios, con las facultades que determine "la ley" para prevenir, corregir e investigar actos u omisiones que pudieran constituir responsabilidades administrativas; para sancionar aquellas no consideradas como graves; revisar el ingreso, egreso, manejo, custodia y aplicación de recursos públicos federales y participaciones federales; así como, presentar las denuncias por hechos u omisiones que pudieran ser constitutivos de delito ante la Fiscalía Especializada en Combate a la Corrupción.

• Las faltas graves serán investigadas y sustanciadas por la Auditoría Superior de la Federación y los órganos internos de control, o por sus homólogos en las entidades federativas, según corresponda, y serán resueltas por el Tribunal de Justicia Administrativa competente.

105. Además de la modificación a este precepto como parte de la reforma constitucional en materia de combate a la corrupción, publicada en el Diario Oficial de la Federación el veintisiete de mayo de dos mil quince, el Constituyente Permanente adicionó la fracción XXIX-V al artículo 73, para otorgar al Congreso de la Unión la facultad para expedir una ley general que distribuyera competencias entre los órdenes de gobierno para establecer responsabilidades administrativas de los servidores públicos, sus obligaciones, las sanciones aplicables por sus actos u omisiones y las que correspondan a los particulares vinculados con faltas administrativas graves, así como los procedimientos para su aplicación.

106. Así, el dieciocho de julio de dos mil dieciséis fue expedida y publicada la Ley General de Responsabilidades Administrativas. Se estableció que son objeto de la misma: prever los principios y obligaciones que rigen la actuación de los servidores públicos; establecer criterios para determinar si las faltas administrativas serían clasificadas como graves o no graves, las sanciones aplicables a las mismas, así como, los procedimientos para su aplicación y las facultades de las autoridades competentes para tal efecto; señalar las sanciones para la comisión de faltas de particulares, así como los procedimientos para su aplicación y las facultades de las autoridades competentes; determinar los mecanismos para la prevención, corrección e investigación de las responsabilidades administrativas; y, crear las bases para que todos los entes públicos puedan establecer políticas eficaces de ética pública y responsabilidad en el servicio público.(28)

107. Sin pretender hacer un análisis detallado de las disposiciones que regulan los procedimientos de investigación y sanción de responsabilidades administrativas, en este momento, resulta fundamental señalar que en todos los casos, el procedimiento será iniciado y llevado a cabo por una autoridad investigadora, la cual, de acuerdo con la fracción II del artículo 3o. de la ley, únicamente puede ser la correspondiente en las Secretarías de la Administración Pública Federal, los órganos internos de control, la Auditoría Superior de la Federación y las entidades de fiscalización superior de las entidades federativas, así como las unidades de responsabilidades de las Empresas Productivas del Estado, encargadas de la investigación de faltas administrativas.

108. A estos órganos, como autoridades investigadoras, corresponde recabar la información necesaria para verificar la existencia de conductas que pudieran ser constitutivas de responsabilidad administrativa y de organizar dichos datos para determinar la existencia o inexistencia de actos u omisiones que la ley señale como falta administrativa y, en su caso, calificarla como grave o no grave en el informe de Presunta Responsabilidad Administrativa que presentará ante la ante la autoridad sustanciadora.(29)

109. De acuerdo con el artículo 3o., fracción III, serán autoridades sustanciadoras las secretarías, los órganos internos de control, la Auditoría Superior y sus homólogas en las entidades federativas, así como las unidades de responsabilidades de las Empresas Productivas del Estado que, en el ámbito de su competencia, dirigen y conducen el procedimiento de responsabilidades administrativas desde la admisión del informe de presunta responsabilidad administrativa y hasta la conclusión de la audiencia inicial. Es importante señalar que la función de la autoridad sustanciadora, en ningún caso podrá ser ejercida por una autoridad investigadora.

110. De acuerdo con el artículo 112, el procedimiento de responsabilidad administrativa dará inicio cuando las autoridades sustanciadoras, en el ámbito de su competencia, admitan el informe de presunta responsabilidad administrativa.(30)

111. Es en este momento en el que la gravedad de las conductas toma relevancia porque la ley establece para faltas graves y no graves procedimientos diferenciados, sustanciados y resueltos por autoridades distintas. El procedimiento para las faltas no graves se encuentra previsto en el artículo 208 y concluye, una vez llevada a cabo la audiencia inicial, habiéndose desahogado las pruebas correspondientes y presentados los alegatos, así como con la sentencia dictada por la autoridad resolutora, que conforme al artículo 3, fracción IV, será la unidad de responsabilidades administrativas o el servidor público asignado en los órganos internos de control.(31)

112. Por otro lado, el procedimiento para faltas graves previsto en el artículo 209, a diferencia del señalado en el párrafo anterior, obliga a que, una vez cerrada la audiencia inicial, el expediente sea remitido al tribunal de justicia administrativa correspondiente para que se desahoguen las pruebas, se presenten alegatos y se dicte la sentencia correspondiente.(32)

113. Ahora, los artículos 177, 178, 179 y 181 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León impugnados, establecen lo siguiente:

"Artículo 177. La Comisión podrá imponer las siguientes sanciones económicas al responsable, de conformidad con la gravedad de la infracción que haya cometido, de la siguiente manera:

"I. Las infracciones señaladas como leves, serán sancionadas con multa de 100 a 500 veces el valor diario de la Unidad de Medida y Actualización;

"II. Las infracciones señaladas como graves, serán sancionadas con multa de 501 A 1,000 veces el valor diario de la Unidad de Medida y Actualización; y,

"III. Las infracciones señaladas como muy graves serán sancionadas con multa de 1,001 a 10, 000 veces el valor diario de la Unidad de Medida y Actualización."

"I. En caso de reincidencia o desacato a una resolución, la Comisión podrá solicitar al superior jerárquico del servidor público responsable o a las autoridades competentes:

"a) El inicio del procedimiento de separación temporal del responsable, hasta por seis meses;

"b) La separación definitiva del responsable; o,

"Artículo 179. Las sanciones se aplicarán de conformidad con los siguientes criterios:

"I. La naturaleza del dato;

"II. La capacidad económica del responsable;

"III. La gravedad de la falta cometida;

"IV. La reincidencia;

"V. El carácter intencional o no, de la acción u omisión constitutiva de la infracción; y,

"VI. El monto del beneficio indebido, el daño o perjuicio económico derivado del incumplimiento."

114. Los artículos transcritos, insertos en el capítulo relativo a las sanciones administrativas por el incumplimiento de las disposiciones de la Ley de Protección de Datos del Estado de Nuevo León establecen la facultad de la Comisión Estatal para imponer sanciones económicas a los sujetos obligados(33) (177), a imponer sanciones más graves, en caso de reincidencia, como la separación temporal o definitiva del cargo o a la inhabilitación (178), los criterios para imponer sanciones –la naturaleza de la información, la capacidad económica del responsable, la gravedad de la falta, la reincidencia, el carácter intencional de la acción u omisión y el monto del beneficio indebido– (179), y establece reglas para la ejecución de las sanciones económicas (181).

115. Estas disposiciones, conforme al marco constitucional y legal previamente descrito en materia de responsabilidades administrativas de los servidores públicos son claramente inconstitucionales porque la Comisión Estatal de Transparencia y Protección de Datos Personales de Nuevo León no puede ser autoridad investigadora, sustanciadora y/o resolutora en ningún procedimiento de responsabilidad administrativa por el incumplimiento a las disposiciones legales en materia de protección de datos personales.

116. En todo caso, dentro de la estructura orgánica de cada uno de los sujetos obligados debe existir un servidor público o un órgano de control interno al que corresponderá, en todo caso, la investigación y sustanciación de los procedimientos correspondientes.

117. Esto es coincidente con la regulación que al respecto se prevé en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, conforme a la cual, en caso de advertir la comisión de alguna conducta que pueda constituir una falta administrativa, corresponde al INAI notificarlo o denunciarlo ante la autoridad competente para que se lleve el procedimiento respectivo.(34)

118. Lo mismo sucede con el artículo 171, que establece 3 categorías de gravedad para las conductas que pueden constituir faltas administrativas:

"Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos."

119. Desde la Constitución Federal, en el artículo 109, fracción III, se establece que las faltas administrativas únicamente pueden ser de 2 tipos: graves y no graves. Esta lógica permea en toda la Ley General de Responsabilidades Administrativas, pues no sólo se establecen cuáles conductas serán graves y cuáles no, sino que las facultades de las distintas autoridades que se involucran en los procedimientos tan complejos previstas en ella dependen justamente de esta calificación y las sanciones que para cada una de ellas se prevé están directamente relacionadas con parámetros objetivos de gravedad.

120. En estas condiciones, el legislador local no estaba en condiciones de crear una tercera calificación de gravedad, la cual evidentemente tenía la finalidad de servir como fundamento para el establecimiento de las sanciones administrativas previstas en el artículo 177, ya declarado inconstitucional, sino que, además, no estaba sustentado en ningún elemento objetivo.

121. Es importante puntualizar que el Congreso del Estado de Nuevo León no se encuentra impedido para regular algún aspecto relacionado con las responsabilidades administrativas, ya que dependiendo de la especialización de las leyes es posible, como en el caso de transparencia, acceso a la información pública y protección de datos personales, que sea necesario establecer qué conductas pueden constituir faltas administrativas por el incumplimiento de las disposiciones legales aplicables, así como de recabar los elementos necesarios para denunciar estas probables conductas ante los órganos de control interno. Lo que no le está permitido es distorsionar el sistema que en el artículo 109, fracción III, de la Constitución Federal se estableció para la investigación y sanción de faltas administrativas, así como las bases mínimas para determinar la gravedad de las faltas.

122. Es por lo anterior que de conformidad con el artículo 71 de la Ley Reglamentaria de las Fracciones I y II del Artículo 105 de la Constitución Política de los Estados Unidos Mexicanos,(35) al advertir que los preceptos impugnados son violatorios del artículo 109, en relación con el diverso 73, fracción XXIX-V, ambos de la Constitución Política del País y del sistema de investigación y sanción previsto en la Ley General de Responsabilidades Administrativas, se declara la invalidez de los artículos 171, 177, 178, 179 y 181 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León.

123. En términos similares resolvió este Tribunal Pleno la acción de inconstitucionalidad 115/2017, en la que se impugnaron diversas disposiciones de la Ley de Responsabilidades Administrativas del Estado de A..(36)

Apartado 4.2. Regulación deficiente de denuncia de conductas sancionadas administrativamente (sexto concepto de invalidez)

124. Por otra parte, el promovente plantea que el artículo 158 de la ley impugnada, en contradicción con el diverso 153, párrafo tercero, de la ley general de la materia, omitió establecer la posibilidad de que las conductas sancionables en vía administrativa puedan ser denunciadas por el organismo garante ante la autoridad competente, violando el derecho de protección de datos personales en vinculación con el de seguridad jurídica.

125. El concepto de invalidez es infundado porque de una lectura integral de las disposiciones de la ley es posible advertir que la disposición que, desde el punto de vista del INAI, fue omitida, se encuentra regulada en otro artículo, esto es, en el 180:

LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO

DE NUEVO LEÓN

"Artículo 158. La Comisión podrá imponer las siguientes medidas de apremio para asegurar el cumplimiento de sus determinaciones:

"I. La amonestación pública; y

"II. La multa, equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor diario de la Unidad de Medida y Actualización.

"El incumplimiento de los sujetos obligados será difundido en los portales de obligaciones de transparencia de la Comisión y considerados en las evaluaciones que realicen éstos.

"En caso de que el incumplimiento de las determinaciones de la Comisión implique la presunta comisión de un delito, este deberá denunciar los hechos ante la autoridad competente.

"Las medidas de apremio de carácter económico no podrán ser cubiertas con recursos públicos."

LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS

"Artículo 153. El Instituto y los Organismos garantes podrán imponer las siguientes medidas de apremio para asegurar el cumplimiento de sus determinaciones:

"I. La amonestación pública; o,

"II. La multa, equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor diario de la Unidad de Medida y Actualización.

"El incumplimiento de los sujetos obligados será difundido en los portales de obligaciones de transparencia del Instituto y los Organismos garantes y considerados en las evaluaciones que realicen éstos.

"En caso de que el incumplimiento de las determinaciones del Instituto y los Organismos garantes implique la presunta comisión de un delito o una de las conductas señaladas en el artículo 163 de la presente Ley, deberán denunciar los hechos ante la autoridad competente. Las medidas de apremio de carácter económico no podrán ser cubiertas con recursos públicos."

126. Del contraste de los artículos transcritos se advierte que en la ley general se exige que cuando el incumplimiento de las determinaciones del INAI o de alguno de los organismos garantes pueda implicar la comisión de un delito o el incumplimiento de las obligaciones en la materia derivadas de la propia ley general, deberá denunciar los hechos ante la autoridad competente. Es relevante señalar que, aun cuando el artículo 153 es parte del capítulo I del título décimo primero de dicha ley, relativo a las medidas de apremio, remite al diverso 163 que es parte del capítulo II y que establece las conductas que constituirían actos de incumplimiento a las obligaciones de la ley general.(37)

127. Ahora, si bien es cierto que en el artículo impugnado no se previó que cuando el incumplimiento de las determinaciones del organismo garante puedan constituir hechos que impliquen la actualización de las conductas que conforme al artículo 170 de la ley local(38) (homólogo al artículo 163 de la ley general) ameriten una sanción por el incumplimiento de las obligaciones impuestas en la propia ley local, sí se estableció dentro del mismo capítulo que las contiene (capítulo II del título décimo primero), una disposición similar y que evidencia que no existe la omisión reclamada:

"Artículo 180. La Comisión podrá presentar denuncias ante las autoridades competentes por cualquier conducta prevista en el presente capítulo y aportar las pruebas que considere pertinentes."

128. Con fundamento en esta disposición, frente al incumplimiento de las determinaciones de la Comisión Estatal, si ésta considera que actualiza alguno de los supuestos previstos en el artículo 170 de la ley local (independientemente de que también fue impugnado y cuya constitucionalidad se estudiará en el apartado siguiente), puede presentar las denuncias correspondientes ante las autoridades competentes.

129. Además, no debe perderse de vista que el artículo 153 de la ley general de la materia es de aplicación directa y obligatoria para todos los sujetos obligados a nivel nacional, por lo que, su falta de reiteración en las leyes locales no implica que los sujetos obligados en las entidades federativas no tengan que cumplir con dichas disposiciones.

130. Por todas las razones anteriores este Tribunal Pleno considera que no existe la omisión legislativa reclamada y, por tanto, no existe la supuesta violación al derecho de protección de datos personales denunciada por el promovente y, por consiguiente, se reconoce la validez del artículo 158, párrafo tercero, de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Nuevo León.

Apartado 4.3. Regulación diferenciada de conductas que ameritan sanciones administrativas (séptimo concepto de invalidez)

131. En este apartado se examinarán, por último, los argumentos del INAI en el sentido de que el artículo 170 de la ley local, que regula las causas de sanción por incumplimiento de las obligaciones de la ley, es inconstitucional, por dos razones: la primera, porque excluye cuatro supuestos que sí son sancionables por la ley general (los establecidos en las fracciones II, V, VIII y XI del artículo 163); y, la segunda, porque las conductas sancionables previstas en las fracciones X y XIX del artículo impugnado no fueron reguladas de manera idéntica a las conductas de las fracciones III y VII del artículo 163 de la ley general.

132. Es parcialmente fundado el presente concepto de invalidez, de acuerdo con los siguientes razonamientos.

133. Para analizar el presente concepto de invalidez, es necesario determinar, primero, cuáles son los límites de la competencia legislativa de los Congresos Locales, para regular este punto en particular.

134. Al respecto, la concurrencia establecida en la Ley General para la Protección de Datos Personales en Posesión de Sujetos Obligados, obliga a que todas las autoridades, incluidas las de las entidades federativas, garanticen el cumplimiento de las obligaciones previstas en las leyes, lo cual, debe ser entendido, debe realizarse en el marco de su ámbito competencial.

135. Así, este Tribunal Pleno reconoce que la competencia de las entidades federativas en este punto obliga a realizar un análisis conjunto de las disposiciones legales federales y las locales, para establecer las medidas de apremio, las conductas sancionables y sus consecuencias; atribuciones que, como ya se ha señalado, siempre deben partir de la concurrencia y siguiendo las bases homogéneas previstas en las leyes generales.

136. Así, la competencia legislativa de las entidades federativas en esta materia encuentra su primer límite en las disposiciones de las leyes generales que regulen este aspecto pues, al ser normas cuyo ámbito de validez es nacional, son directamente aplicables a nivel local y deben ser obedecidas por todas sus autoridades.

137. En este entendido, los legisladores locales no se encuentran obligados a replicar dichas normas, pero si deciden hacerlo, se encuentran obligados a respetar su contenido y a preverlas en los mismos términos que las leyes generales pues, de lo contrario, se incumpliría el objetivo de homologación impuesto por el Constituyente Permanente y, además, generaría inseguridad jurídica para los operadores jurídicos y para los titulares de la información que se está obligado a proteger.

138. De esta manera, se entiende que la regulación de las leyes generales es un mínimo del cual las Legislaturas Locales deben partir, el cual, si así lo deciden, debe preverse en los mismos términos, por lo que sería indisponible para éstos prever unos supuestos y otros no, o regularlos de manera diferenciada, sin que ello implique que al regular los mismos de la ley general deba tener la misma redacción, lo relevante es el contenido de las disposiciones.

139. Por lo demás, los legisladores locales, en atención a su realidad social, a las necesidades propias de sus ciudadanos y a la regulación específica y particular de sus leyes, se encuentran facultados para regular supuestos adicionales de incumplimiento y sus sanciones. Esto con la finalidad de garantizar de manera adecuada el derecho de protección de datos personales y de generar un marco legal congruente que permita a las autoridades y a los particulares conocer las obligaciones que existen en esa materia, las consecuencias de su incumplimiento y los procedimientos para hacerlas efectivas.

140. Luego, para determinar la constitucionalidad del artículo 170 impugnado, su contenido debe ser contrastado con su correlativo en la ley general:

LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO

DE NUEVO LEÓN

"Artículo 170. Serán causa de sanción por incumplimiento de las obligaciones establecidas en la materia de la presente ley, las siguientes: