Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares
| Páginas | 786-818 |
1
RGTO. LEY PROTECCION DATOS/DISPOSICIONES GENERALES 1-2
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexica-
nos. Presidencia de la República.
FELIPE DE JESUS CALDERON HINOJOSA, Presidente de los Estados Uni-
dos Mexicanos, en ejercicio de la facultad que me confiere el artículo 89, fracción
I de la Constitución Política de los Estados Unidos Mexicanos, con fundamento en
los artículos 34 de la Ley Orgánica de la Administración Pública Federal y 3, frac-
ción X, 18, último párrafo, 45, último párrafo, 46, segundo párrafo, 54, último párra-
fo, 60, último párrafo y 62, último párrafo de la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares, he tenido a bien expedir el siguiente
REGLAMENTO DE LA LEY FEDERAL DE PROTECCION
DE DATOS PERSONALES EN POSESION DE LOS PAR-
TICULARES
CAPITULO I
DISPOSICIONES GENERALES
Objeto
ARTICULO 1. El presente ordenamiento tiene por objeto reglamentar las dis-
posiciones de la Ley Federal de Protección de Datos Personales en Posesión de
los Particulares.
Definiciones
ARTICULO 2. Además de las definiciones establecidas en el artículo 3 de la Ley
Federal de Protección de Datos Personales en Posesión de los Particulares, para
los efectos del presente Reglamento se entenderá por:
I. Dependencias: Las señaladas en el artículo 26 de la Ley Orgánica de la Ad-
ministración Pública Federal;
II. Derechos ARCO: Son los derechos de acceso, rectificación, cancelación y
oposición;
III. Entorno digital: Es el ámbito conformado por la conjunción de hardware,
software, redes, aplicaciones, servicios o cualquier otra tecnología de la sociedad
de la información que permiten el intercambio o procesamiento informatizado o
digitalizado de datos;
IV. Listado de exclusión: Base de datos que tiene por objeto registrar de manera
gratuita la negativa del titular al tratamiento de sus datos personales;
V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos
para establecer la gestión, soporte y revisión de la seguridad de la información a
nivel organizacional, la identificación y clasificación de la información, así como la
2-3 EDICIONES FISCALES ISEF
2
concienciación, formación y capacitación del personal, en materia de protección
de datos personales;
VI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea
que empleen o no la tecnología, destinados para:
a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones
físicas, áreas críticas de la organización, equipo e información;
b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro
o fuera de las instalaciones;
c) Proveer a los equipos que contienen o almacenan datos personales de un
mantenimiento que asegure su disponibilidad, funcionalidad e integridad; y
d) Garantizar la eliminación de datos de forma segura;
VII. Medidas de seguridad técnicas: Conjunto de actividades, controles o me-
canismos con resultado medible, que se valen de la tecnología para asegurar que:
a) El acceso a las bases de datos lógicas o a la información en formato lógico
sea por usuarios identificados y autorizados;
b) El acceso referido en el inciso anterior sea únicamente para que el usuario
lleve a cabo las actividades que requiere con motivo de sus funciones;
c) Se incluyan acciones para la adquisición¸ operación, desarrollo y manteni-
miento de sistemas seguros; y
d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos
informáticos que se utilicen en el tratamiento de datos personales;
VIII. Persona física identificable: Toda persona física cuya identidad pueda
determinarse, directa o indirectamente, mediante cualquier información. No se
considera persona física identificable cuando para lograr la identidad de ésta se
requieran plazos o actividades desproporcionadas;
IX. Remisión: La comunicación de datos personales entre el responsable y el
encargado, dentro o fuera del territorio mexicano;
X. Soporte electrónico: Medio de almacenamiento al que se pueda acceder
sólo mediante el uso de algún aparato con circuitos electrónicos que procese su
contenido para examinar, modificar o almacenar los datos personales, incluidos
los microfilms;
XI. Soporte físico: Medio de almacenamiento inteligible a simple vista, es decir,
que no requiere de ningún aparato que procese su contenido para examinar, modi-
ficar o almacenar los datos personales; y
XII. Supresión: Actividad consistente en eliminar, borrar o destruir el o los datos
personales, una vez concluido el período de bloqueo, bajo las medidas de seguri-
dad previamente establecidas por el responsable.
Ambito objetivo de aplicación
ARTICULO 3. El presente Reglamento será de aplicación al tratamiento de da-
tos personales que obren en soportes físicos o electrónicos, que hagan posible el
acceso a los datos personales con arreglo a criterios determinados, con indepen-
dencia de la forma o modalidad de su creación, tipo de soporte, procesamiento,
almacenamiento y organización.
No se aplicarán las disposiciones del presente Reglamento cuando para acce-
der a los datos personales, se requieran plazos o actividades desproporcionadas.
En términos del artículo 3, fracción V de la Ley, los datos personales podrán
estar expresados en forma numérica, alfabética, gráfica, fotográfica, acústica o de
cualquier otro tipo, concerniente a una persona física identificada o persona física
identificable.
3
RGTO. LEY PROTECCION DATOS/DISPOSICIONES GENERALES 4-7
Ambito territorial de aplicación
ARTICULO 4. El presente Reglamento será de aplicación obligatoria a todo
tratamiento cuando:
I. Sea efectuado en un establecimiento del responsable ubicado en territorio
mexicano;
II. Sea efectuado por un encargado con independencia de su ubicación, a
nombre de un responsable establecido en territorio mexicano;
III. El responsable no esté establecido en territorio mexicano pero le resulte
aplicable la legislación mexicana, derivado de la celebración de un contrato o en
términos del derecho internacional, y
IV. El responsable no esté establecido en territorio mexicano y utilice medios
situados en dicho territorio, salvo que tales medios se utilicen únicamente con fi-
nes de tránsito que no impliquen un tratamiento. Para efectos de esta fracción,
el responsable deberá proveer los medios que resulten necesarios para el efecti-
vo cumplimiento de las obligaciones que impone la Ley, su Reglamento y demás
disposiciones aplicables, derivado del tratamiento de datos personales. Para ello,
podrá designar un representante o implementar el mecanismo que considere per-
tinente, siempre que a través del mismo se garantice que el responsable estará en
posibilidades de cumplir de manera efectiva, en territorio mexicano, con las obliga-
ciones que la normativa aplicable imponen a aquellas personas físicas o morales
que tratan datos personales en México.
Cuando el responsable no se encuentre ubicado en territorio mexicano, pero
el encargado lo esté, a este último le serán aplicables las disposiciones relativas a
las medidas de seguridad contenidas en el Capítulo III del presente Reglamento.
En el caso de personas físicas, el establecimiento se entenderá como el local
en donde se encuentre el principal asiento de sus negocios o el que utilicen para el
desempeño de sus actividades o su casa habitación.
Tratándose de personas morales, el establecimiento se entenderá como el lo-
cal en donde se encuentre la administración principal del negocio; si se trata de
personas morales residentes en el extranjero, el local en donde se encuentre la
administración principal del negocio en territorio mexicano, o en su defecto el que
designen, o cualquier instalación estable que permita el ejercicio efectivo o real de
una actividad.
Información de personas físicas con actividad comercial y datos de represen-
tación y contacto
ARTICULO 5. Las disposiciones del presente Reglamento no serán aplicables
a la información siguiente:
I. La relativa a personas morales;
II. Aquella que refiera a personas físicas en su calidad de comerciantes y pro-
fesionistas; y
III. La de personas físicas que presten sus servicios para alguna persona moral
o persona física con actividades empresariales y/o prestación de servicios, consis-
tente únicamente en su nombre y apellidos, las funciones o puestos desempeña-
dos, así como algunos de los siguientes datos laborales: domicilio físico, dirección
electrónica, teléfono y número de fax; siempre que esta información sea tratada
para fines de representación del empleador o contratista.
Tratamiento derivado de una relación jurídica
ARTICULO 6. Cuando el tratamiento tenga como propósito cumplir con una
obligación derivada de una relación jurídica, no se considerará para uso exclusi-
vamente personal.
Fuentes de acceso público
ARTICULO 7. Para los efectos del artículo 3, fracción X de la Ley, se consideran
fuentes de acceso público:
Para continuar leyendo
Solicita tu prueba