Ley de Proteccion de Datos Personales en Posesion de Sujetos Obligados del Estado de Tlaxcala

LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO DE TLAXCALA

TEXTO ORIGINAL.

Ley publicada en el Número 1 Extraordinario del Periódico Oficial del Estado de Tlaxcala, el martes 18 de julio de 2017.

Al margen un sello con el Escudo Nacional que dice Estados Unidos Mexicanos. Congreso del Estado Libre y Soberano. Tlaxcala. Poder Legislativo.

MARCO ANTONIO MENA RODRÍGUEZ, Gobernador del Estado a sus habitantes sabed:

Que por conducto de la Secretaría Parlamentaria del Honorable Congreso del Estado, con esta fecha se me ha comunicado lo siguiente:

EL CONGRESO DEL ESTADO LIBRE Y SOBERANO DE TLAXCALA, A NOMBRE DEL PUEBLO DECRETA

DECRETO No. 23

LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO DE TLAXCALA

TÍTULO PRIMERO

DISPOSICIONES GENERALES

CAPÍTULO ÚNICO

DEL OBJETO Y ÁMBITO DE APLICACIÓN

Artículo 1. La presente Ley es de orden público e interés y observancia generales en el territorio del Estado de Tlaxcala. Tiene por objeto garantizar la protección de datos personales en posesión de los sujetos obligados, previstos en la Constitución Política de los Estados Unidos Mexicanos y en la Constitución Política del Estado Libre y Soberano de Tlaxcala.

El tratamiento de los datos personales en posesión de los particulares estará regulado por la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

Artículo 2. Son objetivos de la presente Ley:

I. Establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, mediante procedimientos sencillos y expeditos;

II. Garantizar la observancia de los derechos y principios de protección de datos personales previstos en la presente Ley, y demás disposiciones que resulten aplicables en la materia;

III. Proteger los datos personales en posesión de cualquier autoridad, entidad, órgano u organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos, patronatos y fondos públicos, del Estado de Tlaxcala y sus municipios;

IV. Garantizar que toda persona pueda ejercer el derecho a la protección de los datos personales;

V. Promover, fomentar y difundir una cultura de protección de datos personales, y

VI. Establecer los mecanismos para garantizar el cumplimiento y la efectiva aplicación de las medidas de apremio que correspondan para aquellas conductas que contravengan las disposiciones previstas en esta Ley.

Artículo 3. Son sujetos obligados por esta Ley:

I. Los Poderes del Estado;

II. Las dependencias centralizadas, desconcentradas y las entidades paraestatales de la administración pública estatal;

III. Los organismos públicos autónomos;

IV. Los organismos públicos descentralizados y patronatos de la administración pública dependiente del Poder Ejecutivo del Estado;

(NOTA: EL 7 DE MAYO DE 2019, EL PLENO DE LA SUPREMA CORTE DE JUSTICIA DE LA NACIÓN, EN EL RESOLUTIVO CUARTO DE LA SENTENCIA DICTADA AL RESOLVER LA ACCIÓN DE INCONSTITUCIONALIDAD 101/2017 Y SU ACUMULADA 116/2017, DECLARÓ LA INVALIDEZ DE LA PORCIÓN NORMATIVA DE LA FRACCIÓN V DE ESTE ARTÍCULO INDICADA CON MAYÚSCULAS, LA CUAL SURTIÓ EFECTOS EL 10 DE MAYO DE 2019 DE ACUERDO A LAS CONSTANCIAS QUE OBRAN EN LA SECRETARÍA GENERAL DE ACUERDOS DE LA SUPREMA CORTE DE JUSTICIA DE LA NACIÓN. DICHA SENTENCIA PUEDE SER CONSULTADA EN LA DIRECCIÓN ELECTRÓNICA http://www2.scjn.gob.mx/).

V. Los partidos políticos, ASOCIACIONES Y AGRUPACIONES POLÍTICAS;

VI. Los ayuntamientos, comisiones municipales, dependencias y entidades de la administración pública municipal, organismos públicos descentralizados municipales, las empresas de participación municipal, fideicomisos públicos municipales, las presidencias de comunidad y delegaciones municipales, y demás autoridades auxiliares municipales, y

(NOTA: EL 7 DE MAYO DE 2019, EL PLENO DE LA SUPREMA CORTE DE JUSTICIA DE LA NACIÓN, EN EL RESOLUTIVO CUARTO DE LA SENTENCIA DICTADA AL RESOLVER LA ACCIÓN DE INCONSTITUCIONALIDAD 101/2017 Y SU ACUMULADA 116/2017, DECLARÓ LA INVALIDEZ DE LA FRACCIÓN VII DE ESTE ARTÍCULO INDICADA CON MAYÚSCULAS, LA CUAL SURTIÓ EFECTOS EL 10 DE MAYO DE 2019 DE ACUERDO A LAS CONSTANCIAS QUE OBRAN EN LA SECRETARÍA GENERAL DE ACUERDOS DE LA SUPREMA CORTE DE JUSTICIA DE LA NACIÓN. DICHA SENTENCIA PUEDE SER CONSULTADA EN LA DIRECCIÓN ELECTRÓNICA http://www2.scjn.gob.mx/).

VII. LOS SINDICATOS Y AQUELLOS QUE LA LEGISLACIÓN LOCAL RECONOZCA COMO DE INTERÉS PÚBLICO Y EJERZAN GASTO PÚBLICO O REALICEN ACTOS DE AUTORIDAD.

Artículo 4. Para los efectos de la presente Ley, se entenderá por:

Bases de datos: Conjunto ordenado de datos personales referentes a una persona física identificada o identificable, condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización;

Datos personales: Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información;

Datos personales sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual;

Derechos ARCO: Los derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos personales;

Días: Días hábiles;

Documento de seguridad: Instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee;

Encargado: La persona física o jurídica, pública o privada, ajena a la organización del responsable, que sola o conjuntamente con otras trate datos personales a nombre y por cuenta del responsable;

Estado: Al Estado Libre y Soberano de Tlaxcala;

Evaluación de impacto en la protección de datos personales: Documento mediante el cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas, programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales, valoran los impactos reales respecto de determinado tratamiento de datos personales, a efecto de identificar y prevenir posibles riesgos relacionados con los principios, deberes y derechos de los titulares, así como los deberes de los responsables y encargados, previstos en la normativa aplicable;

Instituto: El Instituto de Acceso a la Información Pública y Protección de Datos Personales del Estado de Tlaxcala;

Instituto Nacional: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales;

Ley: la Ley de Protección de Datos Personales en posesión de sujetos obligados del Estado de Tlaxcala;

Ley General: Ley General de Protección de Datos Personales en posesión de sujetos obligados;

Medidas de seguridad: Conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger los datos personales;

Medidas de seguridad administrativas: Políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales;

Medidas de seguridad físicas: Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se deben considerar las actividades siguientes:

a) Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información;

b) Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, recursos e información;

c) Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización, y

d) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz, que asegure su disponibilidad e integridad;

Medidas de seguridad técnicas: Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se deben considerar las siguientes actividades:

a) Prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados;

b) Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;

c) Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del...