Manual Datos Personales 2

Coleccin Capacitacin a Distancia
05
MANUAL DE AUTOFORMACIN SOBRE LA
LEY DE PROTECCIN DE DATOS

PERSONALES PARA EL DISTRITO FEDERAL
Instituto de Acceso a la Informacin Pblica del Distrito Federal
MANUAL DE AUTOFORMACIN SOBRE LA LEY DE PROTECCIN

DE DATOS PERSONALES PARA EL DISTRITO FEDERAL
DIRECTORIO
Oscar M. Guerra Ford
Comisionado Ciudadano Presidente
Jorge Bustillos Roque
Comisionado Ciudadano
Areli Cano Guadiana
Comisionada Ciudadana
Salvador Guerrero Chiprs
Agustn Milln Gmez
AUTORA DEL TEXTO
Mariana Cendejas Juregui

COORDINACIN
Ma. de los ngeles Hernndez Snchez

Directora de Capacitacin y Cultura
de la Transparencia
EQUIPO TCNICO
Sonia Barrera Garca

Dulce Ma. Jara Reyes
DR 2009, Instituto de Acceso a la Informacin Pblica del Distrito Federal.

Direccin de Capacitacin y Cultura de la Transparencia.
La Morena No. 865, Local 1, Col. Narvarte Poniente,
Del. Benito Jurez, C. P. 03020, Mxico, Distrito Federal.
Plaza de la Transparencia.
Primera edicin, diciembre de 2009.
ISBN: 978-607-95070-0-8.
Ejemplar de distribucin gratuita.
Prohibida su venta.
Impreso y hecho en Mxico.
Las opiniones vertidas en este documento son responsabilidad de su autora.
Fotografa de familia en portada: Benjamin Earwicker.
pgina
pgina
pgina
pgina
Presentacin
13
Objetivos de aprendizaje
15
Gua del participante
21
Mdulouno
Conceptos y Definiciones Bsicas

Introduccin
Objetivos del mdulo
Tema 1. Derecho a la Intimidad
Tema 2. Derecho a la Privacidad
Tema 3. Qu es un Dato Personal?
Tema 4. Proteccin de Datos Personales
pgina
37
23
24
24
25
26
30
Mdulodos
Antecedentes de las Leyes de

Proteccin de Datos Personales
57
Introduccin
Objetivo del mdulo
Tema 1. Antecedentes de las Leyes de
en el Contexto Mundial
Tema 2. Antecedentes Legislativos en Materia
de Proteccin de Datos
Tema 3. Breve Resea de la Ley de Proteccin
de Datos Personales para el D. F.
39
39
40
42
44
ndice
pgina
49
Mdulotres
Aspectos Relevantes de la Ley de

para el Distrito Federal (LPDPDF)
ndice
139
pgina
117
Introduccin
Objetivos del mdulo
Tema 1. La Proteccin de Datos Personales
en el D. F.
Tema 2. Definiciones
Tema 3. Principios
Tema 4. Sistemas de Datos Personales
Tema 5. Medidas de Seguridad
Tema 6. Tratamiento de Datos Personales
Tema 7. Obligaciones de los Entes Pblicos
Tema 8. Instituto de Acceso a la Informacin
Pblica del Distrito Federal
Tema 9. Derechos ARCO y Procedimiento
para su Ejercicio
Tema 10. Recurso de Revisin
Tema 11. Infracciones
51
52
52
54
57
65
75
86
92
94
98
106
110
Anexos
1. Entes Pblicos Obligados
del Distrito Federal
119
2. Ley de Proteccin de Datos Personales para el

Distrito Federal (LPDPDF)
127
3. Lineamientos para la Proteccin de Datos

Personales en el Distrito Federal
159
4. Bibliografa
191
5. Glosario
193
6. Notas
197
Presentacin
E
n la mayora de las relaciones que se establecen en una comunidad, se requiere del intercambio de informacin relacionada con nuestra persona. En el trabajo, en nuestras relaciones personales, para la
obtencin de bienes y servicios, en la realizacin de trmites ante las
autoridades, entre otros, requerimos proporcionar o intercambiar datos, que nos identifican y que se relacionan con nuestra vida privada.
El intercambio de gran cantidad de datos personales que circulan a
travs de esta serie de transacciones cotidianas que realizamos, se ha
potenciado con el uso de tecnologas de la informacin, por ejemplo,
la internet, cuyo crecimiento ha permitido la obtencin y transmisin
de grandes bases de datos que almacenan informacin sobre la vida
privada de las personas.
El almacenamiento masivo de informacin que concierne a las personas, permite potencialmente, la creacin de perfiles que pueden emplearse para un uso diferente para el que fueron proporcionados originalmente o darles un uso inadecuado y con ello provocar injerencias
arbitrarias o ilegales en la vida privada, lo que evidencia una nueva
amenaza para los derechos de las personas.
Esta situacin, ha generado una nueva interpretacin de los derechos y libertades de las personas que contempla esta realidad. Por
ello, algunas de las legislaciones nacionales y tambin supranacionales, se dieron a la tarea de reforzar las garantas de los ciudadanos
7
frente a esta amenaza tecnolgica que permite con mayor rapidez y

eficiencia, la creacin e intercambio de bases de datos, lo que ha dado
como resultado que la proteccin de datos personales haya cobrado
mayor relevancia, sobre todo, a travs de la promulgacin de leyes en
la materia.
La intencin de estas normas no es impedir o dificultar la actividad
informtica, fundamental para el desarrollo, sino conciliar el avance
tecnolgico con la proteccin y tutela de los derechos y libertades de
las personas.
En Mxico, nuestra Carta Magna establece que, nadie puede ser
molestado en su persona, familia, domicilio, papeles o posesiones,
con base en este mandato, se dio inicio a la regulacin de los datos
que, sobre las personas, posee el gobierno para el desarrollo de sus
funciones.
Debemos precisar que la reforma de 2007 al artculo 6 constitucional contiene una referencia expresa a los datos personales como
lmite al derecho de acceso a la informacin pblica y que las recientes reformas a los artculos 16 y 73 de nuestra Carta Magna, dotan
de autonoma y constitucionalidad al derecho a la proteccin de datos
personales, por un lado, y, por otro, otorgan de facultades expresas al
Congreso de la Unin para legislar en materia de proteccin de datos
personales en posesin de entidades privadas.
A nivel federal, hasta ahora carecemos de una ley especfica que
regule la proteccin de datos personales en posesin tanto de entidades pblicas como privadas, aunque existen disposiciones que se encuentran dispersas en diversos ordenamientos jurdicos, en particular
la Ley Federal de Transparencia y Acceso a la Informacin Pblica,
que en su Captulo IV, regula diferentes aspectos que garantizan a los
ciudadanos la proteccin de sus datos personales en el mbito de las
entidades gubernamentales de la Federacin.
A nivel estatal, Guanajuato y Oaxaca tienen leyes especficas en la
materia que son aplicables solamente a entes de derecho pblico y en
el caso de Morelos existe una Ley de Informacin Pblica, Estadstica
y Proteccin de Datos Personales, que al igual que las anteriores, no
es aplicable a entes de derecho privado.
Una cuestin que vale la pena destacar es que la nica ley especfica en la materia aplicable tanto al sector pblico como al privado
es la de Colima, la cual otorga proteccin a los datos personales en
posesin de estos sectores dentro de dicho Estado.
En el caso especfico de la Ciudad de Mxico, que es el que nos
ocupa en este manual, el 3 de octubre de 2008, se public en la Gaceta
Oficial del Distrito Federal, la Ley de Proteccin de Datos Personales
para el Distrito Federal (LPDPDF). Esta Ley, se orienta a la regulacin
de los entes pblicos, entendidos stos como todas aquellas instituciones que conforman los tres niveles de gobierno, adems, los partidos
polticos, asociaciones y agrupaciones polticas; as como aquellos que
la legislacin local reconozca como de inters pblico y ejerzan gasto
pblico; y los entes equivalentes a personas jurdicas de derecho pblico o privado, ya sea que en ejercicio de sus actividades acten en
auxilio de los rganos antes citados o ejerzan gasto pblico:
La Asamblea Legislativa del Distrito Federal; el Tribunal Superior
de Justicia del Distrito Federal; el Tribunal de lo Contencioso Administrativo del Distrito Federal; el Tribunal Electoral del Distrito Federal; el Instituto Electoral del Distrito Federal; la Comisin de Derechos
Humanos del Distrito Federal; la Junta de Conciliacin y Arbitraje del
Distrito Federal; la Jefatura de Gobierno del Distrito Federal; las Dependencias, rganos Desconcentrados, rganos Poltico Administrativos y Entidades de la Administracin Pblica del Distrito Federal; los
rganos Autnomos por Ley.
Es as que, los entes pblicos del Distrito Federal, estn obligados,
en principio, a garantizar la confidencialidad de los datos personales
que tienen sobre las personas que atienden, por lo que el tratamiento
y gestin de este tipo de informacin debe ser, a partir de la promulgacin de esta Ley, bajo los mecanismos y disposiciones que este ordenamiento mandata.
Adems de esta Ley, el Distrito Federal cuenta con Lineamientos
para la Proteccin de Datos Personales en el Distrito Federal que fueron aprobados por el Pleno del Instituto de Acceso a la Informacin
Pblica del Distrito Federal (InfoDF) y publicados en la Gaceta Oficial
el 26 de octubre de 2009. Su finalidad es fortalecer el marco normativo
en materia de datos personales y establecer las directrices y criterios
9
para la aplicacin e implementacin de la Ley de Proteccin de Datos

Personales para el Distrito Federal.
En este ordenamiento, se establecen: definiciones de conceptos del
derecho de proteccin de datos personales; se hace referencia a los
sistemas, a la seguridad y tratamiento de los datos personales, as
como a las obligaciones de los sujetos obligados en esta materia; se
sealan tambin, las atribuciones con que cuenta el InfoDF para garantizar el cumplimiento de la LPDPDF por parte de los entes pblicos,
y se establece el procedimiento al que debern sujetarse tanto particulares como los sujetos obligados en el ejercicio de los derechos de
Acceso, Rectificacin, Cancelacin y Oposicin (ARCO).
Para avanzar en esta ruta, el Instituto de Acceso a la Informacin
Pblica del Distrito Federal, pone a su disposicin este manual de
autoformacin a distancia como una ms de las alternativas de capacitacin sobre la Ley y los Lineamientos existentes en materia de
Proteccin de Datos Personales para el Distrito Federal. Se trata de
una valiosa herramienta de autoformacin, que le permitir conocer
de manera simplificada estos ordenamientos, mediante explicaciones
puntuales sobre su historia, su estructura, su marco de aplicacin, sus
lmites y sus posibilidades.
El propsito fundamental del Instituto es ofrecerle un instrumento
de capacitacin que usted mismo pueda administrar, razn por la cual
decidimos aprovechar las ventajas de la formacin autodidacta. sta
es, sin duda, una modalidad en la que usted gozar de entera libertad
para avanzar a su propio ritmo en el proceso de aprendizaje. Usted
decide cundo comienza y cundo termina.
El contenido del manual de autoformacin est organizado en tres
mdulos, el primero le aportar un panorama general sobre los conceptos ms importantes que estn alrededor del derecho a la proteccin
de datos personales; en el segundo, encontrar informacin sinttica
sobre el desarrollo de algunas legislaciones en materia de proteccin
de datos personales en el contexto mundial, as como una breve resea histrica de la promulgacin de la Ley y los Lineamientos en el
Distrito Federal; y en el mdulo tercero se abordarn los aspectos ms
relevantes contenidos en ambos ordenamientos.
10
Esperamos que este manual de autoformacin le sea til a la poblacin para comprender la importancia que tiene el derecho a la proteccin de datos personales, como una condicin para garantizar su
derecho a la privacidad, y que a los servidores pblicos, les motive a
emprender los cambios que requiere realizar la Administracin Pblica
para garantizar a la poblacin la proteccin y el correcto tratamiento de
sus datos personales.
11
Objetivos
A
de aprendizaje
l concluir el Manual el participante podr:
UU Comprender la importancia de la proteccin de los datos personales como una condicin que contribuye a garantizar el derecho a la privacidad de las personas.
UU Identificar los conceptos y definiciones bsicas que inspiraron la
aprobacin de leyes de proteccin de datos personales.
UU Tener un conocimiento general de los aspectos ms relevantes
que establecen la ley y los lineamientos de datos personales en
el D. F. en sus diferentes ttulos y captulos.
UU Consultar de forma directa los textos de la Ley y los Lineamientos como apoyo para cualquier proceso relacionado con la
proteccin de datos personales y el ejercicio de sus derechos
ARCO, ya sea como servidor pblico o como persona interesada en el tema.
13
Gua
del participante
Lea la gua completa antes de iniciar
ienvenido al Manual sobre la Ley de Proteccin de Datos Personales para el Distrito Federal.
La estructura del manual responde a un plan conductor del aprendizaje que no exige al participante acudir a recursos externos o de mayor
profundidad. Es un documento completo con toda la informacin que
requieres para la comprensin de la temtica expuesta.
Quiz seas un servidor pblico del Gobierno del Distrito Federal,
miembro de alguna organizacin de la sociedad civil o una persona
que necesita saber cmo acceder a la informacin que sobre su persona tiene el gobierno local.
Cualquiera que sea tu caso, te aseguramos que este manual te
ayudar a comprender o a encauzar de mejor manera tus necesidades
e inquietudes.
Te sugerimos que antes de iniciar su capacitacin leas cuidadosamente la Presentacin, los Objetivos de aprendizaje del manual y la
presente Gua del participante, esto te ayudar significativamente a
conducir tu estudio con mayor efectividad.
Estructura del Manual
15
Estructura del Manual

Para facilitar su estudio, el manual est estructurado en tres unidades
de aprendizaje que denominamos mdulos:
El Mdulo uno, Conceptos y Definiciones Bsicas, explica en cuatro
temas los conceptos de derecho a la intimidad, derecho a la privacidad,
datos personales y proteccin de datos personales.
El Mdulo dos, Antecedentes de las Leyes de Proteccin de Datos
Personales, expone en tres temas las ideas bsicas sobre la institucionalizacin del derecho de proteccin de datos personales, as como
una resea histrica sobre la Ley de Proteccin de Datos Personales
para el D. F.
El Mdulo tres, Aspectos Relevantes de la Ley de Proteccin de
Datos Personales para el Distrito Federal, entra de lleno en todos los
aspectos de la Ley. Incluye 11 temas, a saber:
1) La Proteccin de Datos Personales en el D. F.
2) Definiciones.
3) Principios.
4) Sistemas de Datos Personales.
5) Medidas de Seguridad.
6) Tratamiento de Datos Personales.
7) Obligaciones de los Entes Pblicos.
8) Instituto de Acceso a la Informacin Pblica del Distrito Federal.
9) Derechos ARCO y Procedimiento para su Ejercicio.
10) Recurso de Revisin.
11) Infracciones.
16
Estructura de los Mdulos

As se dividen los temas en los mdulos:
UU Ttulo del tema, que te servir como referencia para identificar
la temtica especfica que se tratar.
UU Introduccin, que te ayudar a prever los conceptos por estudiar en el tema, entender la continuidad con respecto al anterior
y prepararte para los contenidos que seguirn.
UU Objetivos, que mostrarn de manera puntualizada los objetivos de aprendizaje por alcanzar cuando finalice el estudio del
tema.
UU Desarrollo del tema, donde hallars explicados, definidos y
hasta ejemplificados cada uno de los aspectos a que hace referencia el tema para alcanzar el objetivo de aprendizaje trazado.
UU Esquemas e infografa, en cada tema encontrars ilustraciones, grficos y cuadros que te servirn para comprender de una
sola vista los conceptos fundamentales del tema y los procesos
ms importantes a los que se refiere la Ley.
UU Sntesis, que te servir como recapitulacin de lo visto en el
tema, con el fin de prepararlo para su paso al siguiente tema de
estudio y ofrecerle una ltima base para la autoevaluacin.
UU Autoevaluacin, constituida por diversos tipos de cuestionarios en los que podrs verificar, mediante el mtodo de pregunta
y respuesta, los conocimientos adquiridos en cada uno de los
mdulos.
UU Referencias Bibliogrficas, que en su conjunto te ofrecen una
pequea coleccin de lecturas recomendadas para profundizar
en el estudio de los temas relacionados con la proteccin de los
datos personales.
Finalmente te presentamos un grupo de anexos que incluye, entre
otros temas, una relacin de entes pblicos, un glosario de trminos y
el texto ntegro de la Ley de Proteccin de Datos Personales para el
Distrito Federal y de los Lineamientos.
17
Recomendaciones de estudio
ste es un manual muy sencillo, breve y puntual en sus exposiciones.
Sin embargo, te sugerimos tener en cuenta las siguientes recomendaciones de uso:
1. El aprendizaje depende de ti exclusivamente.
No debes olvidarlo, ya que no dispondrs de tutor o gua a lo largo
del curso. Ms que una desventaja, esta ausencia te representa un
enorme beneficio, pues podrs:
UU Estudiar a tu propio ritmo.
UU Dedicarle al estudio el tiempo que dispongas.
UU Estudiar donde te plazca y cuando puedas.
UU Repasar una y otra vez los temas.
UU Motivarte a consultar informacin adicional.
UU Resolver las autoevaluaciones cuantas veces sea necesario,
hasta que ests satisfecho con tu aprendizaje.
2. Analiza el siguiente orden de estudio y si te resulta til aplcalo.
1. Lee la introduccin del tema que vayas a estudiar.
2. Da un vistazo a cada uno de los esquemas. Trata
de comprenderlos an sin haber ledo el texto.
3. Lee con calma el texto de desarrollo del tema.
Contina la lectura hasta que comprendas a cabalidad los prrafos ledos.
4. Anota los puntos ms importantes de cada tema.
Reflexiona sobre ellos antes de continuar.
5. Autoevalate con los cuestionarios que incluimos.
Cuando hayas cubierto el estudio de todos los temas y alcanzado todos los aciertos en todas las autoevaluaciones, entonces habrs
concluido este curso-manual.
Felicidades!
18
Si ya concluiste el curso a travs de este Manual

de Autoformacin y deseas obtener una Constancia de
Acreditacin validada por el InfoDF, puedes presentar
tus evaluaciones a travs del Aula Virtual de Aprendizaje (AVA), localizada en la pgina de internet www.
aula-infodf.org/aulavirtual/. Una vez que hayas concluido las evaluaciones correspondientes a este curso,
con las calificaciones requeridas (10 en cada tema),
el InfoDF te otorgar la Constancia de Acreditacin
correspondiente. Para cualquier duda a este respecto,
puedes comunicarte al 56 36 21 20 Ext. 159.
Recomendaciones de estudio
19
Conceptos y Definiciones Bsicas
Mdulouno
Temario
1. Derecho a la Intimidad
2. Derecho a la Privacidad
3. Qu es un Dato Personal?
4. Proteccin de Datos Personales
Introduccin
omenzaremos nuestro manual con el

anlisis de los conceptos que estn directamente relacionados con las Leyes de
Proteccin de Datos Personales y que constituyen un elemento fundamental para el entendimiento de las disposiciones que contienen,
pero ms all de esto, dichos conceptos nos
dan elementos para entender por qu la facultad de decidir sobre el manejo y control de la
informacin que nos concierne, juega un papel
fundamental en las democracias modernas.
En el tema que nos ocupa, que es el estudio de la Ley de Datos Personales para el
Distrito Federal (LPDPDF) y sus Lineamientos, unificar criterios sobre cada uno de los
conceptos a que hacen referencia estos ordenamientos, constituye un punto de partida
obligado para clarificar de mejor manera, el
abanico de obligaciones y derechos que nos
ofrecen a los ciudadanos y a los servidores
pblicos.
El presente mdulo abordar los siguientes temas:
1) Derecho a la Intimidad.
2) Derecho a la Privacidad.
Contenido del Mdulo uno
3) Qu es un Dato Personal?
4) Proteccin de Datos Personales.
23
Objetivos del Mdulo

Al final del mdulo los participantes podrn:
UU Conocer y explicar en qu consiste el derecho a la proteccin
de datos personales teniendo una idea clara de lo que constituye el concepto de dato personal.
UU Reflexionar sobre algunos conceptos directamente relacionados con la proteccin de datos personales que le conciernen e
interesan a lo largo de toda su vida.
Tema 1. Derecho a la Intimidad
La palabra intimidad, de acuerdo con el diccionario de la Real Academia Espaola, se refiere a la zona espiritual, ntima y reservada de
una persona o de un grupo, especialmente de una familia. Es decir,
apunta a la esfera personal de cada persona, en donde se encuentran
los valores humanos y personales. La intimidad es un mbito que debe
estar reservado a la curiosidad de los dems contra intromisiones e
indiscreciones ajenas.
Entendamos entonces como intimidad a aquella esfera personal y
privada en la que se encuentran comportamientos, acciones y expresiones que no deseamos que lleguen al conocimiento pblico.1
La intimidad, en una sociedad democrtica, es considerada como
uno de los derechos fundamentales necesitados de proteccin. No
slo porque significa una barrera a la intromisin del Estado sino, tambin, porque permite el desarrollo ntegro de la personalidad de los
ciudadanos.
Se dice que el respeto a la intimidad en un Estado de derecho es
uno de los valores supremos en la convivencia social. En este sentido,
resultan ilustrativas las palabras formuladas por el presidente del Tribunal Europeo de Derechos Humanos, quien afirm que:
Aunque hablamos de proteccin de datos, de legislacin de proteccin de datos y de Autoridades de proteccin de datos, no deben existir
dudas respecto a la verdadera naturaleza del objetivo que motiva la
creacin de las normas de proteccin de datos o de las instituciones
24
que garantizan el cumplimiento de las mismas. Su finalidad real no es

tanto la proteccin de datos sino la proteccin de las personas: ms
precisamente an, es la proteccin de la vida privada de las personas
en una nueva era que impone la recogida y almacenamiento de ms y
ms datos sobre sus vidas privadas y hace aumentar las posibilidades
de manipulacin y mal uso de tales datos.2
El derecho a la intimidad, en su sentido amplio, se compone de una
fase negativa (pasiva) que consiste en el derecho del individuo a ser
dejado slo, a vivir en paz y en soledad; y, de una fase positiva (activa), constituida por el principio de autodeterminacin informativa o de
poder de control sobre los datos personales.
La privacidad garantiza
el crculo de exclusin
del conocimiento ajeno
y de la intromisin de
terceros en el mbito
reservado de las personas
Definir y demarcar el contenido de este derecho no es tarea fcil y,

la forma de protegerlo es todava ms compleja si se visualiza dentro
de la sociedad de la informacin en la que se convive actualmente.
Dicho ambiente informativo produce riesgos imprevisibles de manera
continua que condenan a la ciencia del derecho a permanecer rezagada detrs de la tecnologa y dificultan una concepcin unvoca o
esttica de la intimidad.
No obstante, se puede definir como aquel derecho de la personalidad (con todo lo que denotan las caractersticas de este tipo de derechos) que brinda la facultad jurdica de excluir cualquier actividad de
otro, que implique imposicin, intromisin, injerencia y otras turbaciones, en los asuntos de la vida ntima del sujeto.
La intimidad se configura como derecho de dentro hacia fuera, el
derecho que asiste a toda persona para comunicar o no comunicar, a
quien quiera, partes de su vida o de su pensamiento.3
Tema 2. Derecho a la Privacidad
A que nos referimos cuando hablamos de privacidad?
La privacidad constituye un conjunto ms amplio, ms global de
facetas de nuestra personalidad que, aisladamente consideradas, pueden carecer de un significado intrnseco pero que, coherentemente enlazadas entre s, arrojan un retrato de nuestra personalidad que tenemos derecho a mantener reservada.
25
Datos personales: toda

informacin numrica,
alfabtica, grfica
acstica o de cualquier
otro tipo concerniente
a una persona fsica
identificada o identificable
Se refiere a toda aquella informacin y actividades en las cuales el

Estado slo puede intervenir para garantizar que se respeten nuestros
derechos individuales y nicamente a peticin de parte; este tipo de
informacin hace referencia a nuestra vida privada o datos personales
de forma genrica, por ejemplo, domicilio, telfono, correo electrnico,
edad, entre otros. Esta informacin, como veremos ms adelante, tiene
distintos niveles de proteccin por las leyes para que no sea difundida
sin nuestra autorizacin.
La privacidad, en definitiva, garantiza el crculo de exclusin del conocimiento ajeno y de la intromisin de terceros en el mbito reservado
de las personas: no constituye una mera oposicin a la publicidad, sino
una verdadera inmunidad a toda injerencia en los hechos relativos a
uno mismo que no haya sido consentida.
Tema 3. Qu es un Dato Personal?
Un elemento fundamental en los derechos que hemos analizado hasta
aqu, es la identificacin clara y precisa de lo que debemos entender
por dato personal, ya que a travs de ellos es que se podran o no
vulnerar nuestros derechos a la intimidad y privacidad.
Un dato personal es toda aquella informacin que pueda vincularse
a un individuo. Las leyes sobre esta materia suelen definir a los datos
personales como cualquier informacin relativa a una persona fsica
identificada o identificable, considerndose identificable toda persona
cuya identidad pueda determinarse, directa o indirectamente, mediante un nmero de identificacin o uno o varios elementos especficos,
caractersticos de su identidad fsica, psquica, econmica, cultural o
social.4
As pues, cuando hablamos de datos personales nos estamos refiriendo a toda aquella informacin que se relaciona con nuestra persona y que nos identifica o nos hace identificables. Entre otras cosas, nos
dan identidad, nos describen, precisan nuestro origen, edad, lugar de
residencia, trayectoria acadmica, laboral o profesional. Tambin describen aspectos ms sensibles o delicados, como es el caso de nuestra
forma de pensar, estado de salud, caractersticas fsicas, ideologa o
vida sexual, entre otros.
26
Una definicin clara sobre lo que debemos entender como datos

personales y que ser nuestra referencia en este Manual, la podemos encontrar en la Ley de Proteccin de Datos Personales para el
Distrito Federal (LPDPDF). Esta Ley, tiene como objetivo, establecer
los principios, derechos, obligaciones y procedimientos que regulan la
proteccin y tratamiento de los datos personales en posesin de los
entes pblicos del Distrito Federal:
Datos personales: toda informacin
numrica, alfabtica, grfica acstica
o de cualquier otro tipo concerniente
a una persona fsica identificada o identificable. Tal y como son, de manera
enunciativa y no limitativa: el origen tnico o racial, caractersticas fsicas, morales o
emocionales, la vida afectiva y familiar, el domicilio y telfono
particular, correo electrnico no oficial, patrimonio, ideologa
y opiniones polticas, creencias, convicciones religiosas y filosficas, estado de salud, preferencia sexual, la huella digital,
el ADN y el nmero de seguridad social, y anlogos.
Como vemos, en esta definicin se incluye toda aquella informacin que se relaciona con una persona y que a travs de ella se le
puede reconocer como por ejemplo, el nombre, firma, huella, fotografas, imgenes de vdeo e incluso grabaciones sonoras.
La definicin de datos personales consta de cuatro componentes esenciales que estn estrechamente ligados y se
complementan entre s, y juntos determinan si
cierta informacin debe ser considerada como
un dato personal, estos componentes son:5
1) Toda informacin.
2) Sobre.
3) Identificada o identificable.
4) Persona fsica.
Derecho a la privacidad
27
La expresin toda informacin exige una interpretacin amplia

desde el punto de vista de su naturaleza, contenido y formato.
En cuanto a la naturaleza, el concepto de datos personales incluye
informacin tanto objetiva por ejemplo, nuestra edad, como subjetiva opiniones, apreciaciones y valoraciones, por lo que no es
necesario que determinada informacin sea verdica o probada para
que se considere dato personal. Tan es as que las leyes sobre el particular contemplan la posibilidad de que la informacin incorrecta sea
rectificada.
Respecto al contenido de la informacin, se incluye a todos aquellos
datos que proporcionan informacin sobre nuestra persona, comprende la informacin relativa a la vida privada, familiar, laboral, econmica
y social, al igual que la considerada sensible por su naturaleza particularmente delicada como el estado de salud, la preferencia sexual o
las creencias religiosas.6
Desde el punto de vista del formato, el concepto de datos personales abarca la informacin en cualquier modo, sea alfabtica, numrica,
grfica, fotogrfica o sonora, por citar algunas, y puede estar contenida
en cualquier soporte como en papel, en la memoria de un equipo informtico, en una cinta de video o en un DVD.
No es necesario que la informacin est contenida en una base de
datos o en un sistema estructurado para que dicha informacin sea
considerada como un dato personal.
En cuanto al componente sobre se considera que la informacin
concierne a una persona cuando se refiere a ella. Como ejemplo de esto
podemos referirnos a los datos que normalmente se incluyen en el expediente que se crea cuando ingresamos a trabajar en cualquier institucin
o empresa, y que normalmente est bajo resguardo del rea de recursos
humanos. Estos datos nos conciernen porque se refieren a nuestra persona, lo mismo podemos decir de los resultados de las pruebas mdicas
que nos realizan y que se integran a nuestro historial mdico.
As, un dato se refiere a una persona si hace referencia a su identidad, caractersticas o comportamiento o si esa informacin se utiliza
para determinar o influir en la manera en que se le trata o se le evala.7
Qu son los datos personales
28
Por lo que hace al tercer componente identificada o identificable

se considera, de modo general, que una persona fsica es identificada
cuando, dentro de un grupo de personas, se la distingue de todos los

dems miembros del grupo. Por lo tanto, la persona fsica es identificable cuando, aunque no se le haya identificado todava, sea posible
hacerlo.
Normalmente, la identificacin se da a travs de datos concretos
que se denominan identificadores y que tienen una relacin privilegiada y muy cercana con una determinada persona, por ejemplo, la
apariencia, profesin, cargo que ocupa, el nombre. Estos identificadores constituyen lo que las leyes denominan datos personales.
En este sentido, una persona puede ser identificada directamente
por su nombre y apellidos o, indirectamente, por un nmero de telfono, las placas de un coche, el nmero de pasaporte, la clave nica de
registro de poblacin, o bien, por una combinacin de criterios significativos (edad, domicilio, empleo, etc.) que hagan posible su identificacin al estrecharse el grupo al que pertenece.
As, el que determinados identificadores se consideren suficientes
para lograr la singularizacin de una persona depender del contexto
de que se trate. De modo que, un apellido muy comn no ser suficiente para identificar a una persona dentro del conjunto de poblacin
de una demarcacin territorial, pero s lo ser para identificarla como
alumno dentro de un grupo.
Un dato se refiere a una

persona si hace referencia a
su identidad, caractersticas
o comportamiento, o si
esa informacin se utiliza
para determinar o influir
en la manera en que se
le trata o se le evala
Sobra decir que el identificador ms comn de una persona es el

nombre, dato personal por antonomasia (nombre y apellidos) y, en la
prctica, la persona identificada implica siempre una referencia a dicho nombre. Sin embargo, hay casos en que, para establecer la identidad habr que combinar el nombre con otros atributos como fecha de
nacimiento, domicilio o fotografa, con el fin de evitar la confusin con
otras personas del mismo nombre (homonimias).
En aquellos casos en que los identificadores disponibles no permitan individualizar a una persona, sta aun puede ser identificable, ya
que esa informacin vinculada con otros datos permitir distinguir a
esa persona de otras.
En este punto, es importante precisar que, para que una persona
sea considerada identificable, se deben tomar en cuenta el conjunto
de medios que puedan ser razonablemente utilizados para identificar a
29
dicha persona. De tal suerte que, la simple e hipottica posibilidad de

singularizar a un individuo no es suficiente para considerar a la persona como identificable. Si, teniendo en cuenta estos medios, no existe
esa posibilidad o la misma es insignificante, la persona no debe ser
considerada como identificable y la informacin no debe catalogarse
como datos personales.
La referencia a persona fsica, cuarto componente en anlisis,
significa que la proteccin proporcionada se aplica a personas fsicas,
es decir, a seres humanos.
Los datos personales son
datos relativos a seres vivos
identificados o identificables
La Declaracin Universal de los Derechos Humanos se refiere al

concepto de persona fsica en su artculo 6, donde se establece que
todo ser humano tiene derecho, en todas partes, al reconocimiento de
su personalidad jurdica. Por su parte, el Cdigo Civil para el Distrito
Federal, dispone que: La capacidad jurdica de las personas fsicas
se adquiere por el nacimiento y se pierde por la muerte; pero desde el
momento en que un individuo es concebido, entra bajo la proteccin
de la ley y se le tiene por nacido para los efectos declarados en el
presente Cdigo.8
De tal forma que, los datos personales, son datos relativos a seres
vivos identificados o identificables, aunque cabe mencionar que la normativa de proteccin puede aplicarse, en algunos casos, a datos de
personas fsicas o morales, lo que depender de cada legislacin en
particular. Ejemplo de ello es la Ley de Proteccin de Datos Personales del Estado de Colima,9 la cual establece que los datos de carcter
personal son aquellos relativos a personas fsicas o morales que de
manera directa o indirecta puedan conectarse con una persona especfica (artculo 3).10
Tema 4. Proteccin de Datos Personales
La proteccin de datos personales es un derecho que consiste en ofrecer a los individuos los medios para controlar el uso ajeno de la informacin personal que les concierne.11
Este derecho, tambin conocido como habeas data es, por un lado,
un instrumento legal para proteger el derecho a la vida privada y, por
otro, una forma de derecho de acceso a la informacin, que consiste
30
en que todo individuo tenga garantizado el derecho de acceder a la

informacin que le concierne personalmente.
El origen de este derecho, se vincula al desarrollo de la
nocin de proteccin de la privacidad, adquiriendo posteriormente, un perfil conceptual y alcance ms diferenciado al punto de convertirse en un derecho autnomo
distinto de la intimidad:
La funcin del derecho fundamental a la proteccin de datos, es garantizar a toda persona
el poder de control sobre sus datos personales,
tanto su uso como su destino, con el propsito de
impedir su trfico ilcito y la potencial vulneracin de
la dignidad del afectado. Esto lleva implcito el poder de
disposicin sobre sus datos. Por el contrario, la funcin
del derecho a la intimidad, es proteger de cualquier invasin los reductos de vida personal o familiar que la persona desea mantener fuera del saber de terceros, o de evitar
intromisiones contra su propia voluntad.12
Una definicin amplia de este derecho, indica que comprende la prerrogativa que toda persona tiene para:
a) Conocer de su inclusin en bancos de datoso registros.
b) Acceder a toda informacin que sobre ella conste en
los bancos de datos o registros.
c) Actualizar o corregir, en su caso, la informacin que sobre ella conste en los bancos de datos o registros.
d) Conocer el propsito o fines para los que se va a utilizar la informacin que conste sobre ella en los bancos de
datos.
e) Que se garantice la confidencialidad de determinada informacin obtenida legalmente para evitar su conocimiento por
terceros.
Datos personales
31
f) Que se garantice la supresin de informacin sobre la persona

con datos sobre su filiacin poltica o gremial, creencias religiosas, vida ntima y toda aquella que pudiera de un modo u otro
producir discriminacin.13
La proteccin de datos de carcter personal, es
una de las claves esenciales del respeto a la vida privada dentro de la defensa de los derechos humanos
y las libertades fundamentales, por ello es importante
que las leyes de transparencia y acceso a la informacin pblica, contemplen como excepcin al derecho
de acceso, el derecho a la vida privada y la intimidad
de las personas, a menos que existan intereses colectivos superiores que justifiquen una intromisin en
este derecho personalsimo.
El derecho a la proteccin de datos personales,
est integrado por una serie de prerrogativas, principios y procedimientos para el tratamiento de informacin que concierne a personas fsicas, no slo por
parte del Estado o los entes pblicos, sino tambin,
por parte de terceros o personas de derecho privado.
ARCO: Cuatro derechos fundamentales
Este poder de control sobre los datos personales

se manifiesta a travs de los denominados derechos
ARCO (Acceso, Rectificacin, Cancelacin y Oposicin), a travs de los cuales las personas tienen la
facultad de:
UU Conocer en todo momento quin dispone de sus datos y para

qu estn siendo utilizados.
UU Solicitar rectificacin de los datos en caso de que resulten incompletos o inexactos.
UU Solicitar la cancelacin de los mismos por no ajustarse a las
disposiciones aplicables.
UU Oponerse al uso de sus datos si es que los mismos fueron obtenidos sin su consentimiento.
32
A efecto de garantizar la debida proteccin de los datos personales, adems de establecer los derechos ARCO, las leyes en la
materia incluyen una serie de principios rectores en el tratamiento de este tipo de datos como son: el de finalidad,
calidad, consentimiento, deber de informacin, seguridad,
confidencialidad, disponibilidad y temporalidad. El incumplimiento de estos principios, constituye una vulneracin a la
proteccin de datos personales y, lgicamente, tienen como consecuencia una sancin.
Los principios generales de proteccin de datos constituyen
el contenido esencial del derecho a la proteccin de datos personales y configuran un sistema de tutela que garantiza un uso racional
de los datos personales.
Finalmente, un pilar fundamental para la efectiva proteccin de datos personales, se encuentra representado
por la existencia de rganos garantes
que cuenten con un cierto grado de autonoma de gestin e independencia frente
a los poderes estatales tpicos y ante los cuales, los particulares
puedan exigir la tutela de sus derechos relacionados con la proteccin de datos personales. Para el caso del Distrito Federal,
esta labor est encomendada al Instituto de Acceso a la Informacin Pblica del Distrito Federal (InfoDF).
Proteccin de datos de carcter personal

33
Sntesis
Intimidad es la esfera personal y privada de comportamientos, acciones y expresiones que no deseamos hacer
pblicos. La intimidad, en una sociedad democrtica es
uno de los derechos fundamentales necesitados de proteccin. No slo porque significa una barrera a la intromisin del Estado sino, tambin, porque permite el desarrollo ntegro de la personalidad de los ciudadanos.
El derecho a la intimidad se compone de una fase negativa (pasiva) que consiste en el derecho del individuo a
vivir en paz y en soledad; y de una fase positiva (activa),
constituida por el principio de autodeterminacin informativa o de poder de control sobre los datos personales.
La privacidad constituye un conjunto ms amplio, ms
global de facetas de nuestra personalidad que, aisladamente consideradas, pueden carecer de un significado en
s mismo pero que, coherentemente enlazadas entre s,
arrojan un retrato de nuestra personalidad que tenemos
derecho a mantener reservada.
Un dato personal, es toda informacin referida a un
individuo que lo identifica o lo hace identificable. Dicha
informacin puede ser numrica, alfabtica, grfica, acstica o de cualquier otro tipo y estar contenida en cualquier
soporte.
El derecho a la proteccin de datos personales consiste en la facultad de los individuos de controlar la informacin que les concierne y est integrado por una serie de
principios y prerrogativas.
Este derecho se compone de los llamados derechos
ARCO: acceso, rectificacin, cancelacin y oposicin.
Para su tutela es necesaria la existencia de rganos autnomos ante los cuales puedan acudir aquellas personas
que consideren que su derecho ha sido violentado.
34
Cuestionario sobre los contenidos generales del mdulo uno, Conceptos y Definiciones Bsicas.
1. Tienen derecho a la proteccin de datos personales:

A. Los entes pblicos.
B. Las naciones.
C. Las sociedades annimas.
D. Los individuos.
2. Es un dato personal:
A. La voz.
B. La huella digital.
C. Nmero de la licencia de manejo.
AUTOEVALUACIN
Autoevaluacin
D. Todas las anteriores.
3. Para una efectiva garanta del derecho a la proteccin de datos

personales es necesario:
A. La Asamblea Legislativa.
B. La polica.
C. Un rgano autnomo garante.
D. Un escudo.
k
35
Antecedentes de las Leyes de

Mdulodos
Temario
1. Antecedentes de las Leyes de Proteccin de
Datos Personales en el Contexto Mundial
2. Antecedentes Legislativos en Materia
de Proteccin de Datos
3. Breve Resea de la Ley de Proteccin
de Datos Personales para el D. F.
Introduccin
na vez que estudiamos los conceptos bsicos relacionados con la proteccin de datos
personales, los cuales son fundamentales para
la comprensin de las leyes en la materia, en este
mdulo abordaremos de manera general, el contexto mundial en el cual fueron creadas las primeras normas en proteccin de datos personales,
as como la institucionalizacin de este derecho
en nuestro pas.
Asimismo, se presenta una breve resea histrica que da cuenta de los hechos ms significativos en el proceso de creacin y aprobacin de
la LPDPDF.
El presente mdulo abordar los siguientes
temas:
1) Antecedentes de las Leyes de Proteccin de
Datos Personales en el Contexto Mundial.
2) Antecedentes Legislativos en Materia de
Proteccin de Datos.
3) Breve Resea de la Ley de Proteccin de
Datos Personales para el D. F.
Contenido del Mdulo dos
Objetivo del mdulo
UU Conocer y explicar de dnde surge el derecho a la proteccin
de datos personales teniendo una idea clara de las causas y el
contexto en el que se dieron las primeras leyes en la materia.
39
Tema 1. Antecedentes de las Leyes de Proteccin de Datos

Personales en el Contexto Mundial
Antes de la aparicin de la denominada revolucin tecnolgica, las
personas gozaban de una proteccin natural de carcter operativo y
fsico frente a intromisiones con respecto a su vida, costumbres, salud, bienes, etctera. La actividad de investigacin estaba reservada
a ciertas reas del Estado y slo a pocas organizaciones privadas,
especialmente las de mayor evolucin tecnolgica.
A partir de la segunda mitad del siglo XX se empiezan a producir
una serie de avances cientfico-tecnolgicos vertiginosos: se perfeccionan las computadoras, se gesta la inteligencia artificial, se inicia el
trabajo con el concepto de red y, este perfeccionamiento, sumado a la
reduccin de costos, permite su masificacin a nivel mundial.
En ese momento nace un nuevo paradigma: el de la Sociedad
de la Informacin, en la que la riqueza est basada en la creacin
intelectual y la capacidad de producir, almacenar y distribuir informacin, opuesta a la fabricacin en serie,
la manufactura y las posesiones materiales consideradas como pilar econmico de las naciones en la era
industrial.
El Internet lanza al mercado de la informacin una inmensa masa de datos aparentemente inofensivos pero que,
cuidadosamente reciclados, tienen capacidad para lesionar
derechos de las personas constitucionalmente protegidos,
como son la intimidad y la privacidad.14
Esta generalizacin del uso de las
tecnologas de la informacin (TICs),
as como el incremento de la utilizacin de las mismas en las actividades cotidianas del ser humano,
han provocado una revolucin que
impacta los campos social, ideolgico, cultural, poltico y econmico.
Tecnologa para el control de datos
40
Es as que el siglo XXI comienza con un despliegue tecnolgico estelar. No puede concebirse ms la vida de los seres
humanos ni su interaccin, sin el uso de tecnologas urbi et
orbi.15 Dicha expansin conlleva el intercambio de flujos de
informacin incluida la relativa a las personas. Ahora es posible a travs de distintos medios acceder a la informacin de
millones de seres humanos y sus actividades en cualquier
parte del planeta. Sin embargo, frente al terreno ganado en
materia de libertad de informacin y expresin, se ha irrumpido silenciosamente en el mbito de lo privado, ya que la sencilla obtencin de cualquier tipo de dato sobre una persona
fsica posibilita la generacin de perfiles sobre ella y afectar la
esfera de sus derechos y libertades. Por ello puede afirmarse
que los horizontes para la privacidad se estn transformando
en tierra incgnita debido a que sin que el propio titular del
dato se entere, terceros sean entes pblicos o privados
tratan su informacin a travs de la utilizacin de todo tipo de
tecnologas como la minera de datos, la geo-localizacin, la
deteccin remota o la videovigilancia, todo lo anterior conectado a la world wide web, tecnologas que hoy en da ya han
madurado y estn plenamente disponibles en cualquier lugar
del mundo.16
Frente a esta gran problemtica generada en materia de proteccin

a la privacidad con la evolucin de las tecnologas de la informacin,
diversos organismos y pases, desde hace algunas dcadas, han detectado la necesidad de regular en materia de proteccin a la intimidad
y privacidad. En este sentido se han creado diversos instrumentos internacionales que aportan a este tema como es el de derechos humanos, as como regulaciones formuladas por bloques econmicos como
la Unin Europea, la Organizacin para la Cooperacin y el Desarrollo
Econmico, y del Foro de Cooperacin Econmica Asia Pacfico, as
como la resolucin que en esta materia elabor la Organizacin de las
Naciones Unidas.
El Internet lanza al mercado

de la informacin una
inmensa masa de datos
aparentemente inofensivos
pero que, cuidadosamente
reciclados, tienen
capacidad para lesionar
derechos de las personas
constitucionalmente
protegidos, como son la
intimidad y la privacidad
Adicionalmente, se han hecho algunos llamamientos, como el de

la Cumbre Mundial de la Sociedad de la Informacin, dirigidos a solicitar a todos los pases que garanticen el respeto a la privacidad y a
la proteccin de informacin y datos personales, ya sea mediante la
adopcin de legislaciones, la aplicacin de marcos de colaboracin,
mejores prcticas y medidas tecnolgicas y de autorregulacin por parte de empresas y usuarios.
41
Tema 2. Antecedentes Legislativos en Materia de

Proteccin de Datos
En Europa, las primeras legislaciones se adoptan en los aos setenta,
al igual que en los Estados Unidos donde la ley correspondiente se
emiti en 1974 con la Privacy Act .
Estas normas son fruto de la inquietud que mostraban las autoridades estatales ante el imparable impulso tecnolgico, que tempranamente se manifest como un peligro potencial para los derechos de los
ciudadanos, principalmente, para aquellos derechos ms ligados a la
personalidad y dignidad de las personas.
Los horizontes para
la privacidad se estn
transformando en tierra
incgnita debido a que sin
que el propio titular del dato
se entere, terceros sean
entes pblicos o privados
tratan su informacin a
travs de la utilizacin de
todo tipo de tecnologas
Podemos decir que, en los Estados Unidos, se ha adoptado una

poltica mucho ms flexible sobre privacidad y proteccin de datos que
en la Unin Europea, cuyo objetivo es proteger y tutelar los derechos
de consumidores, la poblacin vulnerable y ms an, se caracteriza
por la adopcin de un esquema ms liberal para el sector empresarial.
Han confiado sus polticas de regulacin y privacidad a sus empresas
porque saben que el gobierno est consciente de que estas acciones
y mecanismos fomentan y reactivan el comercio electrnico, no slo a
nivel interno sino tambin a nivel mundial, promueven las inversiones
del sector de las tecnologas de informacin y sobre todo permiten que
las pequeas y medianas empresas puedan realizar actividades de
comercio electrnico en todos los niveles.17
Tambin fueron numerosas las respuestas supranacionales que
se reflejaron en importantes textos, sin duda, antecedentes de las actuales normas sobre proteccin de las personas frente al auge informtico; as, cabe recordar la Recomendacin de la OCDE18 de 23 de
septiembre de 1980 sobre flujo internacional de datos, o las sucesivas Recomendaciones del Parlamento y del Consejo de Europa, que
alentaron a los Estados europeos en su desarrollo legislativo frente
a la potencial amenaza de las nuevas tecnologas, o los principios o
directrices de proteccin de datos tempranamente aprobados por las
Naciones Unidas.
Paulatinamente, la proteccin de datos como derecho autnomo
fue ganando terreno en la concepcin general. En el mbito del Consejo de Europa, se aprob el Convenio No. 108, del 28 de enero de
1981, para la Proteccin de las Personas con respecto al Tratamiento
42
Automatizado de Datos de Carcter Personal, cuyo objetivo (artculo

1) es el de garantizar, en el territorio de cada Parte, a cualquier persona fsica sean cuales fueren su nacionalidad o residencia, el respeto de
sus derechos y libertades fundamentales, concretamente su derecho a
la vida privada, con respecto al tratamiento automatizado de los datos
de carcter personal correspondientes a dicha persona (proteccin
de datos).
El concepto de vida privada en relacin con la proteccin de datos personales ha sido objeto de interpretacin extensiva. En este
sentido, el Tribunal Europeo de Derechos Humanos, entiende
que tambin incluye las relaciones personales y las comerciales,
citando, precisamente la Convencin 108.
Efectivamente, no slo la intimidad o la
vida privada estn en juego cuando se trata de proteccin de datos personales. El
principio de calidad de los datos, con sus
consecuencias de derecho a la exactitud,
actualizacin, rectificacin y supresin, no
siempre est directamente vinculado a la
privacidad, sino, tambin cuando se trata
de proteger el derecho a la no discriminacin o la igualdad de trato en las decisiones individuales automatizadas.19
Ahora bien, en el mbito comunitario europeo, una norma general que abordara la problemtica de la proteccin de datos personales se hizo esperar hasta el ao 1995, y en
verdad puede decirse que su aprobacin estuvo siempre rodeada de importantes dificultades y que cont en numerosas ocasiones
con la resistencia de importantes Estados
Proteccin legal ante intereses comerciales
europeos, que no vean con buenos ojos
que una norma comunitaria entrara a regular mbitos legislativos que en sus derechos nacionales ya haban
alcanzado una respuesta satisfactoria, con lo que se entenda que esta
nueva norma comunitaria significara a todas luces una intromisin en
sus legislaciones nacionales.
43
Pese a todas las reservas, en 1995 se aprueba, tras importantes

resistencias, la Directiva 95/46/CE, del 24 de octubre sobre proteccin
de datos personales, cuyo objeto y finalidad no se articula sobre la limitacin en la actividad informtica para asegurar la tutela de los derechos personales, sino sobre la libre circulacin de los datos en Estados
de acuerdo con la necesaria proteccin de las personas; esto es, se
pretende conciliar la libre circulacin de informacin como instrumento
necesario para el progreso de las actividades econmicas, polticas y
sociales con la necesaria e insalvable tutela de los derechos y libertades de los ciudadanos, pero sin que el recurso a estos derechos
pueda constituir nunca por s slo una traba u obstculo al progreso
informtico.
Despus vendr, al amparo de esta Directiva, la aprobacin de normas sectoriales para la proteccin de datos personales en el mbito
comunitario europeo; as, la Directiva 97/66/CE del 15 de diciembre
sobre proteccin de datos personales y de la intimidad en el sector de
las telecomunicaciones, o el Reglamento 45/2001 del 18 de diciembre,
para la proteccin de las personas respecto al tratamiento de datos por
instituciones y organismos comunitarios.
La Directiva 95/46/CE constituye el texto de referencia, a escala
europea, en materia de proteccin de datos personales. Crea un marco
regulador destinado a establecer un equilibrio entre un nivel elevado de
proteccin de la vida privada de las personas y la libre circulacin de
datos personales dentro de la Unin Europea (UE). Con ese objeto, la
Directiva fija lmites estrictos para la recogida y utilizacin de los datos personales y solicita la creacin, en cada Estado miembro, de un
organismo nacional independiente encargado de la proteccin de los
mencionados datos.
Tema 3. Breve Resea de la Ley de Proteccin de Datos
Personales para el D. F.
El propsito de esta resea es ofrecer un panorama cronolgico sobre
los eventos ms importantes que dieron lugar a la elaboracin, aprobacin y promulgacin de la Ley de Proteccin de Datos Personales en
el Distrito Federal y que d cuenta del proceso de institucionalizacin
de este derecho.
44
8 de mayo de 2003: Se publica en la Gaceta Oficial del Distrito

Federal (GODF) la Ley de Transparencia y Acceso a la Informacin
Pblica del Distrito Federal, la cual dedicaba uno de sus captulos a la
tutela de los datos personales (Captulo V, del Ttulo Primero).
28 de marzo de 2008: Se publica en la Gaceta Oficial del Distrito
Federal (GODF) la nueva Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal, la cual abroga20 a la de 2003 y prev
la obligacin de la Asamblea Legislativa de aprobar, en un plazo no
mayor a 60 das hbiles, la legislacin respectiva a datos personales
en el Distrito Federal.
27 de agosto de 2008: La Asamblea Legislativa aprueba el Dictamen presentado por la Comisin de Administracin Pblica Local por el
que se crea la Ley de Proteccin de Datos Personales para el Distrito
Federal.
3 de octubre de 2008: Se publica en la Gaceta Oficial del Distrito
Federal el Decreto por el que se expide la Ley de Proteccin de Datos
Personales para el Distrito Federal, la cual entr en vigor al da siguiente de su publicacin.
26 de octubre de 2009: Se publican en la Gaceta Oficial del Distrito
Federal, los Lineamientos para la Proteccin de Datos Personales en
el Distrito Federal que el Pleno del Instituto de Acceso a la Informacin Pblica del Distrito Federal, aprob mediante acuerdo 547/SO/1410/2009.
Garantizar a cualquier persona

fsica, sean cuales fueren su
nacionalidad o residencia, el respeto
de sus derechos y libertades
fundamentales, concretamente
su derecho a la vida privada, con
respecto al tratamiento automatizado
de los datos de carcter personal
45
Sntesis
El derecho a la proteccin de datos personales surge ante

la evolucin tecnolgica por el riesgo que representaba la
amenaza a los derechos fundamentales, sobre todo a la
intimidad y a la privacidad, el manejo indiscriminado de
informacin personal.
Frente a esta gran problemtica generada en materia
de proteccin a la privacidad con la evolucin de las tecnologas de la informacin, diversos organismos y pases,
desde hace algunas dcadas, han emitido regulaciones
en materia de proteccin a la intimidad y privacidad.
Se han creado diversos instrumentos internacionales
que aportan a este tema como es el de derechos humanos, as como regulaciones formuladas por bloques econmicos como la Unin Europea, la Organizacin para
la Cooperacin y el Desarrollo Econmico, y del Foro de
Cooperacin Econmica Asia Pacfico, as como la resolucin que en esta materia elabor la Organizacin de las
Naciones Unidas.
Las personas contaban con la proteccin de datos
personales en el Distrito Federal desde la aparicin de la
primera Ley de Transparencia en el ao 2003, pero fue
hasta 2008 que se cont con una Ley especfica sobre el
particular. El 26 de octubre 2009, se publican en la Gaceta
Oficial del Distrito Federal, los Lineamientos para la Proteccin de Datos Personales.
46
Cuestionario sobre los contenidos generales del mdulo dos, Antecedentes de las Leyes de Proteccin de Datos Personales.
1. Las primeras legislaciones sobre datos personales se adoptan:

A. En los aos cuarenta.
B. En los noventa.
C. En los setenta.
D. En el siglo XXI.
2. El texto de referencia para los pases europeos para legislar en

materia de datos personales es:
A. Privacy Act.
B. Directiva 95/46/CE.
AUTOEVALUACIN
Autoevaluacin
C. Convenio 108.
D. Recomendacin de la OCDE del 23 de septiembre de 1980 sobre flujo internacional de datos.
3. La Ley de Proteccin de Datos Personales para el Distrito Federal data de:

A. 2003.
B. 2005.
C. 1995.
D. 2008.
k
47
Aspectos Relevantes de la Ley de

Mdulotres
Temario
1. La Proteccin de Datos Personales en el D. F.
2. Definiciones
3. Principios
4. Sistemas de Datos Personales
5. Medidas de Seguridad
6. Tratamiento de Datos Personales
7. Obligaciones de los Entes Pblicos
8. Instituto de Acceso a la Informacin
Pblica del Distrito Federal
9. Derechos ARCO y Procedimiento para su Ejercicio
10. Recurso de Revisin
11. Infracciones
Introduccin
n este mdulo haremos un recorrido sobre los aspectos establecidos en la LPDPDF, y los Lineamientos
de desarrollo de la misma. En ellos se presentan, entre
otras cuestiones, definiciones de los trminos utilizados y
objetivos de la Ley, as como disposiciones generales.
Se clarificarn adems algunos de los trminos utilizados que son importantes para el mejor entendimiento de
la normatividad y se explicarn los principios fundamentales para la interpretacin del derecho a la proteccin de
datos personales.
El presente mdulo abordar los siguientes temas:
1) La Proteccin de Datos Personales en el D. F.
2) Definiciones.
3) Principios.
4) Sistemas de Datos Personales.
5) Medidas de Seguridad.
6) Tratamiento de Datos Personales.
7) Obligaciones de los Entes Pblicos.
8) Instituto de Acceso a la Informacin Pblica del
Distrito Federal.
9) Derechos ARCO y Procedimiento para su Ejercicio.
10) Recurso de Revisin.
11) Infracciones.
Contenido del Mdulo tres

51
Objetivos del mdulo

UU Conocer los aspectos fundamentales que establecen la LPDPDF
y los Lineamientos.
UU Comprender los objetivos que persigue la Ley.
UU Familiarizarse con los trminos ms importantes utilizados en
ambas normas.
Tema 1. La Proteccin de Datos Personales en el D. F.
En la Ley de Proteccin de Datos Personales para el Distrito Federal
(LPDPDF), en vigor desde el 4 de octubre de 2008, no encontramos
una definicin de proteccin de datos personales, sin embargo la Ley
de Transparencia y Acceso a la Informacin Pblica del Distrito Federal (LTAIPDF) la define como la garanta que tutela la privacidad de
datos personales en poder de los entes pblicos.
Cabe sealar que los datos personales en posesin de los entes
pblicos gozaban de proteccin legal en el Distrito Federal desde la
aparicin de la primera Ley de Transparencia en 2003, que dedicaba
uno de sus captulos a la tutela de los datos personales. Sin embargo,
con la entrada en vigor de la nueva LTAIPDF, en mayo de 2008, hubo
un periodo en el cual las personas se quedaron sin la posibilidad de
ejercer los derechos ARCO, pues fue hasta octubre del mismo ao, en
que recobr vigencia esta posibilidad de proteccin de datos personales con la publicacin de la LPDPDF.
La nueva LTAIPDF excluy de su regulacin a la tutela de los datos
personales, as como el captulo relativo al sistema de archivos, estableciendo en sus artculos transitorios, la obligacin de la Asamblea
Legislativa de aprobar la legislacin respectiva a datos personales y
archivos pblicos del Distrito Federal.21
Los diputados consideraron que era necesario proteger el derecho
del titular de los datos personales concentrados en sistemas de informacin en poder de los entes pblicos, de manera que quien posea,
administre, utilice o trate de algn modo esos datos, lo haga de tal forma
52
que no se vulnere el legtimo derecho a la intimidad de las personas y

que, adems, se defienda la privacidad de los ciudadanos mediante un
rgano que controle el cumplimiento de la Ley.
Asimismo, se tom en consideracin la importancia que tiene que
las personas tengan a su alcance mecanismos para conocer la informacin que de ellas obra en los archivos de cualquier ente pblico, y
as poder ejercer los derechos de acceso, rectificacin, cancelacin y
oposicin.
Y, con el objeto de brindar seguridad al tratamiento de la informacin personal, se establecieron una serie de obligaciones que tienen
que observar los responsables del manejo de datos personales, as
como de toda persona que intervenga en ste.
La Ley y los Lineamientos emitidos por el Instituto de Acceso a la
Informacin Pblica del Distrito Federal, para el desarrollo y aplicacin
de sta, tienen una estructura muy similar, la diferencia radica en que
en los ltimos no hay un captulo de principios, ni de responsabilidades; y, que slo hay uno relativo a los derechos y el procedimiento para
su ejercicio, en tanto que en la Ley son tres, la cual est conformada
de la siguiente forma:
TTULO PRIMERO:
Disposiciones comunes para los entes pblicos.
TTULO SEGUNDO:
De la tutela de datos personales.
TTULO TERCERO:
De la autoridad responsable del control y vigilancia.
TTULO CUARTO:
De los derechos y del procedimiento para su ejercicio.
Los datos personales en

posesin de los entes
pblicos gozaban de
proteccin legal en el
Distrito Federal desde la
aparicin de la primera Ley
de Transparencia en 2003
TTULO QUINTO:
De las responsabilidades.
Vale la pena resaltar que, al momento de la aplicacin de la normatividad de proteccin de datos personales, es necesario recurrir, de
manera simultnea y paralela a los contenidos, tanto de la Ley, como
de los Lineamientos, pues stos ltimos son complementarios a la Ley
y, sin ellos, algunos aspectos seran de difcil aplicacin.
53
Tema 2. Definiciones
Tanto la LPDPDF, como los Lineamientos que la desarrollan, contienen
un apartado de definiciones que nos ayudan a comprender y aplicar las
normas pues se precisa lo que se debe entender por los trminos que
ms se utilizan en ellas.
En este sentido, veremos que los trminos bloqueo, datos personales, responsable, sistema de datos personales, entre otros, son
utilizados frecuentemente en el cuerpo de ambas normas. Y, con el fin
de no ser repetitivos con el contenido de stas, slo mencionaremos
que las definiciones estn previstas en el artculo 2 de la Ley y en el
numeral 3 de los Lineamientos y que, como anexo a este Manual se
incluye un glosario de trminos que facilitarn el entendimiento del derecho a la proteccin de datos personales.
Sin embargo, cabe sealar que algunos conceptos que se encuentran definidos en la Ley tambin lo estn en los Lineamientos, pues se
consider conveniente que ciertas definiciones se precisaran con el fin
de facilitar la comprensin de los trminos, por ejemplo:
Ley
54
Lineamientos
Bloqueo de datos personales:

La identificacin y reserva de
datos personales con el fin
de impedir su tratamiento
Bloqueo: Conservacin de
datos personales con el nico
propsito de determinar posibles
responsabilidades en relacin con
su tratamiento, hasta el plazo, legal
o contractual, de prescripcin de
stas. Durante dicho periodo, los
datos personales no podrn ser
objeto de tratamiento y transcurrido
ste, se proceder a su eliminacin
del sistema a que correspondan
Responsable del Sistema de

Datos Personales: Persona
fsica que decida sobre la
proteccin y tratamiento de datos
personales, as como el contenido
y finalidad de los mismos
Responsable: El servidor pblico

de la unidad administrativa a la que
se encuentre adscrito el sistema
de datos personales, designado
por el titular del ente pblico,
que decide sobre el tratamiento
de datos personales, as como
el contenido y finalidad de los
sistemas de datos personales
Ley
Sistema de Datos Personales:
Todo conjunto organizado de
archivos, registros, ficheros, bases
o banco de datos personales de
los entes pblicos, cualquiera
que sea la forma o modalidad de
su creacin, almacenamiento,
organizacin y acceso
Lineamientos
Sistema de Datos Personales:
Conjunto organizado de datos
personales que estn en posesin
de los entes pblicos, contenidos
en archivos, registros, ficheros,
bases o bancos de datos, que
permita el acceso a datos con
arreglo a criterios determinados,
cualquiera que fuere la modalidad
de su creacin, almacenamiento,
organizacin o acceso
Como se puede apreciar, en los Lineamientos se detallan con mayor precisin definiciones contenidas en la Ley, con el objeto de otorgar
ms claridad a trminos que son fundamentales para la aplicacin de
esta normatividad.
Una cuestin relevante es que la LPDPDF establece que la interpretacin de la misma debe ser conforme a la Constitucin y a los distintos instrumentos internacionales suscritos por Mxico en materia de
derechos humanos, as como la interpretacin que sobre los mismos
hayan realizado los rganos internacionales respectivos.
Esta previsin da atribuciones a los rganos que aplican la Ley,
como es el caso del InfoDF, de contar con herramientas interpretativas
amplias, pues pueden acudir a los textos de las sentencias dictadas
por rganos protectores de derechos humanos en el mbito internacional, como es el caso de la Comisin y Corte Interamericana de Derechos Humanos.
Y, en la interpretacin de esta Ley, ser muy importante tener en
cuenta que la proteccin de datos personales cuenta ya con la categora de ser derecho humano reconocido en la Constitucin Federal,
por lo que se deber acudir a la interpretacin que sobre las garantas
individuales y su fuerza expansiva, ha hecho la Suprema Corte de Justicia de la Nacin.
Para cuestiones procedimentales, se prev que sea de aplicacin
supletoria la Ley de Procedimiento Administrativo del Distrito Federal
(LPADF) y, en su defecto, el Cdigo de Procedimientos Civiles.
55
Un ejemplo de cuestiones no previstas en la Ley y que,

por tanto, requieren de la aplicacin supletoria de otra,
lo encontramos para en el caso de la representacin
legal, pues la LPDPDF slo refiere que el interesado
o su representante, pueden presentar una solicitud
para ejercer un derecho ARCO, sin que se delimite
cmo debe acreditarse tal representacin.
Sobre el particular,
la LPADF establece
que, en el caso de las
personas fsicas, la
representacin debe
acreditarse mediante
instrumento pblico y,
tambin, mediante carta
poder firmada ante dos testigos y ratificadas las firmas ante
fedatario pblico, o bien, por
declaracin en comparecencia personal ante la autoridad
competente (artculo 41).
Un responsable en cada sistema de datos personales
56
Tema 3. Principios
Los principios de la proteccin de datos constituyen el pilar mediante
el cual se articula este derecho y son de observancia obligatoria para
todo aqul que interviene en el tratamiento de datos personales desde
el momento de la obtencin hasta la destruccin de los mismos.
Dado su carcter obligatorio, los responsables de los sistemas de
datos personales adscritos a los entes pblicos, deben adoptar las medidas necesarias para evitar que se produzca una vulneracin de los
mismos, ya que esto representara una
infraccin a la Ley. Es por ello, que es
de suma importancia que todo aquel
que intervenga en el tratamiento de
este tipo de datos, conozca y respete
estos principios.
Principios que incorpora la LPDPDF
(artculo 5):
UU Licitud.
UU Consentimiento.
UU Calidad de los datos.
UU Confidencialidad.
UU Seguridad.
Principios de la proteccin de datos
UU Disponibilidad.
UU Temporalidad.22
Principio de licitud, se refiere a que los entes pblicos slo deben desarrollar o tener sistemas de datos personales que estn relacionados directamente con las facultades y atribuciones que les han
sido asignadas. Es por ello, que tanto los datos que obtienen, como la
posesin y el tratamiento de los sistemas de datos personales, deben
obedecer nicamente a las atribuciones legales o reglamentarias de
cada ente pblico.
57
Los sistemas de datos personales, no pueden tener finalidades contrarias a las leyes o la moralidad pblica y en ningn caso pueden ser
utilizados para finalidades distintas o incompatibles con aquellas que
motivaron su obtencin.
En este sentido, la posesin de sistemas que no estn directamente
vinculados con las atribuciones de un ente pblico violenta este principio. Sin embargo, el tratamiento posterior de datos con fines histricos,
estadsticos o cientficos no se considera incompatible.
Ejemplo:
Los datos de un padrn de beneficiarios de un programa
para adultos mayores pueden ser utilizados para enviar informacin a los interesados sobre la apertura de un nuevo
centro de atencin en su localidad (finalidad compatible). Sin
embargo, no podrn usarse para pedir el voto (finalidad incompatible).
En definitiva, los datos personales no pueden ser tratados para fines

distintos a los que motivaron su obtencin, pues esto supondra una vulneracin al principio de licitud, as como un nuevo uso de los datos que
requerira del consentimiento del interesado para su tratamiento.
Los principios de la
proteccin de datos
constituyen el pilar
mediante el cual se
articula este derecho
Si sucediera el caso de que, por alguna causa, la finalidad del tratamiento cambie, los datos debern ser cancelados, ya que su uso para
finalidades distintas a las informadas al interesado, como ya lo hemos
mencionado, no est permitido, salvo que sea para fines histricos,
estadsticos o cientficos.
Principio de consentimiento, constituye uno de los principios bsicos sobre los que se articulan la mayor parte de las legislaciones de
proteccin de datos de carcter personal. Se refiere a la voluntad libre,
inequvoca, especfica e informada, mediante la cual el interesado accede a que sus datos personales sean tratados.
En los Lineamientos se detalla lo que debemos entender por:
58
a) Libre: Cuando es obtenido sin la intervencin de vicio alguno

del consentimiento.
b) Inequvoco: Cuando existe expresamente una accin que implique la existencia del consentimiento.
c) Especfico: Cuando se otorga referido a una determinada finalidad.
d) Informado: Cuando se otorga con conocimiento de las finalidades para las que el mismo se produce.
En este sentido, el consentimiento debe ser obtenido libre de coaccin y basado en informacin veraz y clara, asimismo, debe ser comprobable. La doctrina seala que este principio es el eje fundamental a
partir del cual se construye el derecho a la proteccin de datos personales y que conlleva la idea de la autodeterminacin informativa.23
En suma, el consentimiento implica que todo tratamiento de datos
requiere de nuestra autorizacin previa. Sin embargo, debemos considerar tambin que las leyes y, en particular, la LPDPDF, contemplan
un catlogo amplio de excepciones en las cuales no es necesario el
consentimiento para que nuestros datos personales sean tratados (artculo 16).
Los datos personales no

pueden ser tratados para
fines distintos a los que
motivaron su obtencin
Principio de calidad, se refiere a que los datos obtenidos deben

ser ciertos, adecuados, pertinentes y no excesivos en relacin al mbito y finalidad para los que fueron recabados, de forma tal que stos
deben responder con veracidad a nuestra situacin actual. Esto quiere
decir que los datos no slo tienen que estar actualizados sino que deben ser adecuados y tiles respecto a las finalidades para las cuales
nos fueron solicitados.
Entenderemos por:

a) Cierto: Cuando los datos se mantienen actualizados de tal manera que no se altere la veracidad de la informacin, ya que
esto podra traer como consecuencia que el titular se vea afectado por esta situacin.
b) Adecuado: Cuando se observa una relacin proporcional entre

los datos recabados y la finalidad del tratamiento.
c) Pertinente: Cuando es realizado por el personal autorizado para

el cumplimiento de las atribuciones de los entes pblicos que
los hayan recabado.
d) No excesivo: Cuando la informacin solicitada al titular de los

datos es la estrictamente necesaria para cumplir con los fines
para los cuales se hubieran recabado.
59
El principio de calidad implica entonces que los datos debern mantenerse constantemente actualizados. Ello no supone que el responsable tenga que investigar activamente para proceder a la actualizacin,
sino solamente realizar la actualizacin cuando tenga la posibilidad de
conocer que un dato se encuentra desactualizado o que es inexacto.
Los datos de carcter
personal pueden estar
almacenados en el
sistema correspondiente
en diferentes estados:
activos y cancelados
Otro medio de actualizacin de los datos es el que realiza el propio

interesado mediante el ejercicio del derecho de rectificacin, previsto
en el artculo 28 de la LPDPDF.
Ejemplo:
En un programa social que va a otorgar un apoyo a jvenes
para terminar sus estudios de bachillerato, no se debe solicitar el dato de si la persona est afectada por una minusvala,
ya que ese dato no es relevante para otorgar la ayuda.
Debemos tener en cuenta que, cuando los datos ya no resultan

necesarios, o no se ajusten a la finalidad para la que fueron recabados, debern ser eliminados del sistema correspondiente (principio de
temporalidad). De igual forma los datos podrn cancelarse en cualquier momento cuando exista la solicitud de ejercicio de derecho de
cancelacin por parte del interesado. En este caso, pudiera darse la
situacin de que exista una obligacin legal que imponga conservar
los datos, stos, en vez de ser eliminados del sistema, debern ser
bloqueados, es decir, se deber suspender el tratamiento de los datos,
dejndolos como en una especie de congeladora, de forma que slo
resulten accesibles a las autoridades competentes durante el periodo
que seale la obligacin legal de que se trate.
En este sentido, el Cdigo Financiero del Distrito Federal, establece la obligacin de conservar la documentacin y dems elementos
contables y comprobatorios durante un periodo de 5 aos, el cual sera
aplicable, por ejemplo, al padrn de Impuesto sobre Nminas.
Por tanto, los datos de carcter personal pueden estar almacenados en el sistema correspondiente en diferentes estados: activos, lo
que supone que pueden ser tratados mientras son necesarios para
cumplir la finalidad para la cual fueron obtenidos y cancelados cuando
ya no son necesarios para dicha finalidad.
60
A su vez, los datos cancelados pueden encontrarse en dos situaciones distintas:

Boqueados. Los datos slo estn disponibles para la tramitacin de
posibles responsabilidades derivadas del tratamiento y slo durante el
plazo de prescripcin de dichas responsabilidades.
Eliminacin de los datos. Significa la destruccin o desaparicin fsica de los datos personales bloqueados una vez cumplido el plazo.
Principio de confidencialidad, consite en
garantizar que slo las personas autorizadas accedan a los datos personales para su tratamiento con
la obligacin de observar el
deber de secreca.
El deber de confidencialidad subsiste aun despus de finalizado el tratamiento de los datos y, tambin, despus de terminada la relacin laboral entre el ente pblico
y las personas que realizaban el tratamiento
de datos personales.
Este principio conlleva que, si el ente pblico contrata servicios que requieran el tratamiento de datos personales, ste deber
asegurarse de que, en los
instrumentos jurdicos que
Eliminar datos innecesarios o sin finalidad jurdica
correspondan a esa contratacin, se estipule la obligacin de garantizar la seguridad y confidencialidad de los sistemas de
datos personales, as como la prohibicin de utilizarlos con propsitos
distintos a los establecidos en el contrato, mismo que deber contemplar penas convencionales en caso de incumplimiento.
Ejemplo de clusula de confidencialidad:
Las partes asumen la obligacin de guardar secreto profesional sobre cuanta informacin pudieran recibir, gestionar
y articular con relacin a los datos personales y a no comunicarlos a terceros, salvo excepciones legales, as como a
61
destruirlos, cancelarlos o devolverlos en el momento de la

finalizacin de la relacin contractual entre ambas partes, as
como a aplicar las medidas de seguridad necesarias.
Principio de seguridad, este consiste en garantizar que nicamente el responsable del sistema de datos personales o en su caso las
personas debidamente autorizadas puedan llevar a cabo el tratamiento
de los datos personales mediante procedimientos establecidos para
este efecto.
En este sentido, el responsable deber adoptar las medidas de ndole tcnica y organizativa que sean necesarias a fin de garantizar la
integridad, confiabilidad, confidencialidad y disponibilidad de los datos
de carcter personal y as evitar su alteracin, prdida, tratamiento o
acceso no autorizado.
Para ello la ley prev la existencia de un documento de seguridad, el
cual, desde el punto de vista de la seguridad de la informacin, tiene el
carcter de documento interno de una organizacin y constituye un pilar
fundamental de las polticas de seguridad ya que tiene como objetivo
principal recoger todas las medidas, normas, procedimientos, reglas y
estndares de ndole tcnica y organizativa que permitan garantizar los
niveles de seguridad en el tratamiento de los datos personales.
Desde el punto de vista jurdico, el cumplimiento de las medidas
tcnicas y organizativas dispuestas en el documento de seguridad,
tiene como finalidad garantizar el derecho de proteccin de datos de
carcter personal de los sistemas que almacena y trata el ente pblico
para el cumplimiento de sus atribuciones legales.
El documento de seguridad debe contener como mnimo:
UU El mbito de aplicacin.
UU Las medidas, normas, procedimientos de actuacin, reglas y
estndares utilizados.
UU Las funciones y obligaciones del personal en relacin con el
tratamiento de los datos de carcter personal.
62
UU La estructura de los sistemas de datos personales que contengan datos de carcter personal y la descripcin de los sistemas
de informacin que los tratan.
UU El procedimiento de notificacin, gestin y respuesta ante incidencias.
UU Los procedimientos de realizacin de copias de respaldo y de
recuperacin de los datos en los ficheros o tratamientos automatizados.
UU Las medidas que sea necesario adoptar para el transporte de
soportes y documentos, as como para la destruccin de los
documentos y soportes, o en su caso, la reutilizacin de estos
ltimos.
La legislacin en materia de proteccin de datos, establece que el
documento de seguridad deber mantenerse actualizado y ser revisado siempre que se produzcan cambios relevantes en los sistemas de
informacin o en el tratamiento de datos de la empresa o entidad.
Principio de disponibilidad, se refiere a que los datos deben almacenarse de forma tal que se nos permita, en todo momento, el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin.
Los sistemas de datos personales, deben organizarse de tal manera
que el acceso a los datos personales contenidos en l sea gil.
As, bajo una organizacin adecuada, se facilita que, ante solicitudes de derechos ARCO, se nos pueda dar una pronta respuesta, ya
que los datos sobre los cuales ejercemos estos derechos estarn disponibles para una respuesta en tiempo y forma a nuestra solicitud.
Principio de temporalidad, segn este principio, los datos personales deben ser destruidos cuando hayan dejado de ser necesarios
o pertinentes a los fines para los que fueron obtenidos. Tambin se
denomina principio de caducidad, e implica la conservacin limitada de
los datos, es decir, stos slo deben mantenerse mientras sean necesarios para el cumplimiento de la finalidad que motiv su recoleccin.
Carcter de los expe
Cabe sealar que no se violentara este principio, si los datos son

tratados posteriormente para fines estadsticos o cientficos, siempre y
cuando, sean previamente disociados.24
63
Por tanto, los datos se conservarn en una forma que permita la

identificacin de los interesados durante un periodo no superior al necesario para el cumplimiento de los fines para los que fueron obtenidos
o para los que se traten posteriormente.
La Ley prev tambin que los datos pueden ser conservados de
manera ntegra y permanente, nicamente, para fines histricos.
Datos personales: uso autorizado en estadstica, ciencia e historia

64
Tema 4. Sistemas de Datos Personales25

De acuerdo con lo que establece la Ley, un sistema de datos personales consiste en todo conjunto organizado de archivos, registros, ficheros, bases o banco de datos personales de los entes pblicos, cualquiera que sea la forma o modalidad de su creacin, almacenamiento,
organizacin y acceso.
La cuestin a dilucidar es cmo identificar si estamos en presencia de un sistema de datos personales
o no y, por tanto, si hay obligacin de cumplir con las
disposiciones que la LPDPDF determina. En la prctica, la identificacin de estos sistemas no es una labor
sencilla, ya que la definicin legal no ayuda a delimitar
su contenido.
Sin embargo, algunos factores que pueden resultar
tiles para determinar si estamos ante un sistema de
datos personales son la finalidad, los usos previstos, las
personas de las que se obtendrn los datos, la descripcin de stos y el rgano responsable del sistema.
As, estaremos en presencia de un sistema de datos
personales si estamos ante un conjunto de datos que
se obtienen de un colectivo de personas para el cumplimiento de una finalidad determinada. Esta finalidad,
comnmente, est estrechamente vinculada al ejercicio
de competencias legales y al cumplimiento de funciones
administrativas. Entonces, sern las funciones y atribuciones normativas que requieren se recabe informacin
personal de los ciudadanos, las que darn lugar a la
identificacin de un sistema de datos personales.
Cmo funciona el sistema
Por ello, la identificacin de los sistemas de datos personales existentes en un ente determinado, debe realizarse a partir de las competencias administrativas, atribuciones normativas o funciones, que
justifican el desarrollo de una actividad y la existencia de procesos de
gestin pblica donde se manejan datos personales.26
Un sistema de datos personales se identifica, entonces, por el propsito o finalidad con la que se tratan los datos de carcter personal
65
contenidos en ste, sobre el cual debern cumplirse las obligaciones

contenidas en la Ley y dems normativa aplicable, tales como su registro ante el InfoDF y la adopcin de las medidas de seguridad que
correspondan segn la categora de datos que los sistemas incluyan.
Es importante que
los sistemas de datos
personales en posesin
de los entes pblicos, se
inscriban en el registro que
al efecto habilite el InfoDF
Al interior de un sujeto obligado por la Ley encontraremos, al menos, sistemas de datos personales relativos al personal que labora
en el ente y sistemas de proveedores y, dependiendo de su actividad
especfica, habr sistemas de beneficiarios, contribuyentes, becarios,
prestadores de servicio social y otros sistemas especficos que obedecern a la especialidad de las atribuciones que tiene cada institucin.
A la vista de estos ejemplos, en los sistemas de personal se incluyen datos de los empleados que son necesarios para el inicio y mantenimiento de la relacin laboral, tales como nombre, domicilio, Registro
Federal de Contribuyentes (RFC), as como trayectoria acadmica y
profesional. Datos similares se pueden encontrar en los sistemas de
proveedores, como son nombre o razn social, RFC, datos bancarios
para transferencias como la CLABE (Clave Bancaria Estandarizada)
necesarios para el desarrollo de la adquisicin de bienes o servicios.
Entonces, un sistema de datos personales, es un conjunto organizado de datos de carcter personal, cualquiera que sea su soporte,
organizacin o acceso, siempre que tenga una estructura que permita
un fcil acceso a los datos de una persona determinada.
Por otro lado, los sistemas deben responder a un nivel de desglose
semejante al de la actividad que los entes desarrollan. En este sentido, si existe una delimitacin de sus diferentes atribuciones se debe,
por ende, poder especificar las distintas finalidades de los sistemas de
datos personales.
Por ejemplo, si un mismo ente presta diversos servicios sociales,
tales como atencin mdica a domicilio, ayuda econmica, uniformes
escolares gratuitos, apoyo a madres solteras, lo lgico es que tenga un
sistema de datos personales para cada uno de estos servicios, ya que
prestar uno u otro implica la obtencin de datos distintos en cada uno
de los supuestos.
Por disposicin legal,27 a cada ente pblico le corresponde determinar a travs de su titular o, en su caso del rgano competente, la
66
creacin, modificacin y supresin de sistemas de datos personales de

acuerdo a su mbito de competencia. As, en el caso de la Jefatura de
Gobierno, correspondera a su titular, el Jefe de Gobierno, esta determinacin. En el caso del InfoDF, correspondera al Pleno, al ser ste la
instancia directiva, en tanto que dicha facultad, en el caso del Instituto
Electoral del Distrito Federal, est atribuida al Consejo General. Esto
depender de la estructura de cada ente.
Aspectos de todo sistema de datos personales

Esta determinacin debe ser publicada en la Gaceta Oficial del Distrito Federal y es necesario incluir, en los casos de creacin de sistemas de datos personales, al menos, los siguientes aspectos:

a) La finalidad del sistema de datos personales y los usos previstos para el mismo.
b) Las personas o grupos de personas sobre los que se pretenda

obtener datos de carcter personal o que resulten obligados a
suministrarlos.
c) El procedimiento de recoleccin de los datos de carcter personal.
d) La estructura bsica del sistema de datos personales y la descripcin de los tipos de datos incluidos en el mismo.
67
e) De la cesin de las que pueden ser objeto los datos.
f) Las instancias responsables del tratamiento del sistema de datos personales.
g) La unidad administrativa ante la que podrn ejercitarse los derechos de acceso, rectificacin, cancelacin u oposicin.
h) El nivel de proteccin exigible.
En caso de que el titular decida cambiar el sistema de datos personales en cualquiera de los anteriores aspectos, dicha modificacin
tambin debe publicarse en la Gaceta Oficial indicando cules de stos
fueron modificados.
Un sistema de datos
personales es un conjunto
organizado de datos de
carcter personal, cualquiera
que sea su soporte,
organizacin o acceso,
siempre que tenga una
estructura que permita un
fcil acceso a los datos de
una persona determinada
Las disposiciones que se dicten para la supresin de sistemas de

datos personales, deben indicar el destino que vaya a darse a los datos
contenidos en los mismos o, en su caso, las medidas previstas para su
destruccin. En este caso, podrn excluirse aquellos datos que, previa
disociacin, sean tratados para finalidades estadsticas o histricas.
La publicacin en la Gaceta Oficial del Distrito Federal, de los acuerdos por medio de los cuales se determina la creacin de un sistema de
datos personales, adems de darle publicidad al acto, permite dotar a
dichos acuerdos de cierta fuerza normativa, ya que con ello, los interesados cuentan con certeza jurdica acerca de la finalidad del tratamiento que van a recibir los datos que proporcionen y, de la instancia a la
que pueden acudir a ejercer los derechos que la Ley les otorga.
Es importante que los sistemas de datos personales en posesin de
los entes pblicos, se inscriban en el registro que al efecto habilite el
InfoDF, ya que esto permitir a los interesados, conocer los sistemas
de datos personales que obran en las distintas dependencias locales, y
les facilitar, tambin, el ejercicio de sus derechos ARCO.
La informacin que debe contener el registro es similar a la del
acuerdo de creacin de un sistema de datos personales. Los Lineamientos regulan con mayor detalle, los campos que deben contener
tanto el acuerdo de creacin como los del registro:
68
Creacin
Registro
I. Denominacin del sistema de datos

personales, indicando normativa
aplicable, as como la descripcin
de la finalidad y usos previstos
I. Nombre del Sistema

y, en su caso, fecha de
publicacin en la Gaceta
Oficial del Distrito Federal
II. El origen de los datos, indicando el

colectivo de personas sobre las que
se pretende obtener datos de carcter
personal, o que resulten obligados
a suministrarlos; su procedencia
(propio interesado, representante,
ente pblico, etctera) as como
el procedimiento de obtencin de
los mismos (formulario, Internet,
transmisin electrnica, etctera)
II. Nombre y cargo del

responsable del sistema
III. La estructura bsica del sistema

con descripcin detallada de datos
identificativos y, en su caso, de
los especialmente protegidos, as
como las restantes categoras de
datos de carcter personal; modo
de tratamiento utilizado en su
organizacin (manual o automatizado).
En su caso, sealar los datos de
carcter obligatorio y facultativo
III. Identificacin del sistema,

finalidades y usos previstos,
as como el soporte en
el que se encuentra
IV. Las cesiones de datos que

se tengan previstas, indicando,
en su caso, los destinatarios o
categoras de destinatarios
IV. La categora de los datos

personales contenidos en el
sistema, forma de recoleccin
y actualizacin de los mismos
V. La identificacin de la unidad
administrativa a la que corresponde
el sistema de datos personales, as
como del cargo del responsable
V. Unidad administrativa en la
que se encuentra el sistema
VI. Domicilio oficial y direccin

electrnica de la Oficina de
Informacin Pblica
VI. Destino y personas

fsicas o morales a las que
puedan ser transmitidos
VII. Indicacin del nivel de

seguridad que resulte aplicable:
bsico, medio o alto
VII. Modo de interrelacionar

la informacin contenida
en el sistema y el plazo de
conservacin de los datos
(Contina en la siguiente pgina)
69
(Viene de la pgina anterior)
Creacin
Registro
VIII. Telfono y correo
electrnico del responsable
IX. Normativa aplicable
al sistema
X. Indicacin del nivel
de seguridad aplicable:
bsico, medio o alto
Un principio fundamental que se regula en el captulo en estudio, es

la obligacin de cumplir con el denominado deber de informacin
o derecho de informacin al interesado, el cual constituye el fundamento previo necesario para el correcto funcionamiento de un esquema jurdico de proteccin de datos, ya que sera difcil que se puedan
ejercer derechos tales como el de acceso o de oposicin al tratamiento
de sus datos, si previamente no conocemos en qu sistema y bajo qu
parmetros sern tratados nuestros datos.
Los entes pblicos tienen deber de informar a los interesados, al
momento de recabar datos personales de stos, de forma expresa,
precisa e inequvoca lo siguiente (artculo 9):
70
1) De la existencia de un sistema de datos personales, del tratamiento de datos personales, de la finalidad de la obtencin de
stos y de los destinatarios de la informacin.
2) Del carcter obligatorio o facultativo de responder a las preguntas que les sean planteadas.
3) De las consecuencias de la obtencin de los datos personales, de

la negativa a suministrarlos o de la inexactitud de los mismos.
4) De la posibilidad para que estos datos sean difundidos, en cuyo

caso deber constar el consentimiento expreso del interesado,
salvo cuando se trate de datos personales que por disposicin
de una Ley sean considerados pblicos.
5) De la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin.
6) Del nombre del responsable del sistema de datos personales y

en su caso de los destinatarios.
Para el cumplimiento de esta obligacin, el InfoDF emiti un acuerdo por medio del cual aprob la leyenda que deben utilizar los entes
pblicos para informar a los interesados de estas advertencias:
Los datos personales recabados sern protegidos, incorporados y tratados en el Sistema de Datos Personales
(nombre del sistema de datos personales), el cual tiene su
fundamento en (fundamento legal que faculta al Ente pblico para recabar los datos personales), cuya finalidad es
(describir la finalidad del sistema) y podrn ser transmitidos a (destinatario y finalidad de la transmisin), adems de
otras transmisiones previstas en la Ley de Proteccin de
Datos Personales para el Distrito Federal.
Los datos marcados con un asterisco (*) son obligatorios
y sin ellos no podr acceder al servicio o completar el
trmite (indicar el servicio o trmite de que se trate).
Asimismo, se le informa que sus datos no podrn ser
difundidos sin su consentimiento expreso, salvo las excepciones previstas en la Ley.
El responsable del Sistema de datos personales es (nombre del responsable), y la direccin donde podr ejercer
los derechos de acceso, rectificacin, cancelacin y
oposicin, as como la revocacin del consentimiento
es (indicar el domicilio de la Oficina de Informacin Pblica
correspondiente).
Otro principio bsico en

materia de proteccin
de datos es el relativo a
los datos especialmente
protegidos, conocidos
como datos sensibles
El interesado podr dirigirse al Instituto de Acceso a la

Informacin Pblica del Distrito Federal, donde recibir
asesora sobre los derechos que tutela la Ley de Proteccin de Datos Personales para el Distrito Federal al telfono: 5636-4636; correo electrnico: datos.personales@
infodf.org.mx o www.infodf.org.mx.
En los casos en que los datos no fueron obtenidos directamente del

interesado, el ente pblico debe hacer de su conocimiento los aspectos que conforman el deber de informacin dentro de un plazo de tres
meses.
En este sentido, no hay obligacin de hacerlo, si el interesado fue
informado con anterioridad que:
71
UU Sus datos estn incorporados en un sistema.

UU Del tratamiento.
UU La finalidad y destinatarios de la informacin.
UU De una posible difusin, en la que habr que otorgar su consentimiento expreso, salvo que por ley sean considerados pblicos.
UU De la posibilidad de ejercer los derechos ARCO.
Entonces las excepciones al deber de informar son:
1) Que se haya informado al interesado con anterioridad.
2) Que as lo prevea expresamente una Ley.
3) Cuando los datos provengan de fuentes accesibles al pblico
en general.
Los datos personales
recabados con fines
policiales se cancelarn
cuando dejen de
ser necesarios para
las investigaciones
que motivaron su
almacenamiento
4) Cuando resulte imposible o exija un esfuerzo desproporcionado

realizar tal comunicacin, siempre atendiendo al nmero de interesados y antigedad de los datos.
Otro principio bsico en materia de proteccin de datos es el relativo a los datos especialmente protegidos, conocidos como datos
sensibles. Este es un principio muy importante que establece que nadie est obligado a proporcionar datos como:
UU Origen tnico o racial.
UU Caractersticas morales o emocionales.
UU Ideologa y opiniones polticas.
UU Creencias.
UU Convicciones religiosas.
UU Ideas filosficas.
UU Preferencia sexual.
72
Datos no obligatorios
En este sentido, est prohibida la creacin de sistemas de datos
personales que tengan la finalidad exclusiva de almacenar este tipo de
datos personales, con la excepcin de que slo pueden ser tratados
cuando:
UU Medien razones de inters general.
UU As lo disponga una ley.
UU Lo consienta expresamente el interesado.
UU Con fines estadsticos o histricos, esto siempre y cuando se
hubiera realizado previamente el procedimiento de disociacin.
El procedimiento de disociacin no es necesario en caso de estudios cientficos o de salud pblica.
73
Los datos sensibles son aquellos que por su propia naturaleza

impulsan a la persona a la ms absoluta reserva de dicha informacin
y suponen que su divulgacin, le coloque en una situacin de vulnerabilidad en el entorno social o familiar. La salud, la sexualidad, la ideologa poltica, as como las creencias religiosas son consideradas como
datos sensibles que se colocan en la esfera ntima del ser humano y
que slo el titular del dato puede divulgar.
Los entes pblicos estn

obligados a adoptar
medidas de seguridad
tan slo por el hecho de
contar con sistemas de
datos personales y realizar
tratamientos de datos,
tanto de particulares, como
de servidores pblicos
La proteccin de datos personales sensibles, tiene como objetivo

dificultar la identificacin de personas por sus caractersticas ntimas
que las hacen ms vulnerables, se trata, en definitiva, de una proteccin que se basa en el riesgo de discriminacin o de persecucin poltica, social, racial o religiosa.
Adems de lo relativo a los datos sensibles, en este captulo, se
hace referencia a los sistemas creados con fines administrativos por
instituciones de seguridad pblica, establecindose que los mismos
quedarn sujetos al rgimen general de proteccin de la Ley.
Datos de carcter personal obtenidos para fines policiales. Se establece (artculo 11) que pueden ser recabados sin consentimiento y
que deben estar limitados a los supuestos y categoras que resulten
necesarios para la prevencin de un peligro real para la seguridad pblica o para la prevencin o persecucin de los delitos. La obtencin y
tratamiento de estos datos, solo podr realizarse en los supuestos en
que sea absolutamente necesario para los fines de una investigacin
concreta, sin perjuicio del control de legalidad de la actuacin administrativa, o de la obligacin de resolver las pretensiones formuladas por
los interesados ante los rganos jurisdiccionales.
Los datos personales recabados con fines policiales se cancelarn cuando dejen de ser necesarios para las investigaciones que
motivaron su almacenamiento, y debern tomarse en consideracin
aspectos como:
UU La edad del interesado.
UU El carcter de los datos.
UU La necesidad de mantenerlos hasta la conclusin de una investigacin o procedimiento concreto.
74
UU La resolucin judicial firme, en especial la absolutoria.

UU El indulto.
UU La rehabilitacin.
UU La prescripcin de responsabilidad.
Lo que se busca con la cancelacin de este tipo de datos, es lo que
se conoce como derecho al olvido mediante la eliminacin de datos
caducos. Bajo este principio, determinados datos deben ser borrados
de los sistemas transcurrido cierto tiempo desde que sucedi el hecho
para el cual se recabaron, esto con la finalidad de evitar que las personas queden prisioneras de su pasado.
En este sentido, si una persona fue parte de una investigacin policial pero al final de la misma result inocente, tiene derecho a solicitar
que sus datos sean eliminados de los archivos policiales y as mantener su reputacin intacta.
Los responsables de los sistemas de datos personales con fines
policiales, para la prevencin de conductas delictivas o en materia tributaria, podrn negar el acceso, rectificacin, oposicin y cancelacin
de datos personales, en funcin de los peligros que pudieran derivarse
para la defensa del Estado o la seguridad pblica, la proteccin de los
derechos y libertades de terceros o, las necesidades de las investigaciones que se estn realizando, as como cuando los mismos obstaculicen la actuacin de la autoridad durante el cumplimiento de sus
atribuciones.
La documentacin
Tema 5. Medidas de Seguridad

Los entes pblicos estn obligados a adoptar medidas de seguridad
tan slo por el hecho de contar con sistemas de datos personales y
realizar tratamientos de datos, tanto de particulares, como de servidores pblicos.
Las medidas de seguridad previstas en la Ley28 revisten dos caractersticas principales:
1) Se trata de medidas que constituyen mnimos exigibles, por lo
que el ente pblico deber observarlas sin perjuicio del estado
75
la tecnologa, la naturaleza de los datos almacenados y los riesgos a los que estn expuestos. El ente pblico debe adoptar las
medidas adicionales que estime necesarias para garantizar la
proteccin y resguardo de la informacin.
2) Las medidas son acumulativas, es decir, el nivel medio implica
la adopcin de medidas de seguridad descritas en este nivel,
ms las dispuestas para el nivel bsico. Las de nivel alto, implican la adopcin de las medidas definidas para los tres niveles
(bsico, medio y alto).
La Ley establece (artculo 13) una serie de obligaciones que deben
ser observadas por los entes pblicos en cuanto a las medidas de seguridad, mismas que debern:
1) Responder al nivel de proteccin que ameriten los datos.
2) Constar por escrito y comunicar el nivel aplicable al Instituto
para su registro.
3) Sealar nombre y cargo del servidor pblico responsable del
sistema de datos personales.
4) Especificar a la persona fsica o moral que intervenga como
usuario e indicar datos del acto jurdico por el que se otorg el
tratamiento.
5) Notificar al Instituto la actualizacin de estos datos dentro de los
30 das hbiles siguientes a su modificacin.
Se regulan tambin los tipos y niveles de seguridad que deben
adoptarse (artculo 14). La Ley distingue a los tipos de seguridad en:
UU Fsica.
UU Lgica.
UU De desarrollo y aplicaciones.
UU De cifrado.
UU De comunicaciones y redes.
76
Por otro lado, se distingue entre medidas de seguridad de nivel bsico, medio y alto.
Bsico. Se aplica a todos los sistemas de datos personales como:

a) Documentos de seguridad.
b) Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales.
c) Registro de incidencias.
d) Identificacin y autentificacin.
e) Control de acceso.
f ) Gestin de soportes.
g) Copias de respaldo y recuperacin.
Medio. Aplica a los sistemas que contienen datos relativos a la comisin de infracciones administrativas o penales, hacienda pblica,
servicios financieros, datos patrimoniales, as como a los sistemas que
contengan datos que permitan obtener una evaluacin de la personalidad del individuo. Adems de las medidas del nivel bsico considera
los siguientes aspectos:

a) Responsable de seguridad.
b) Auditora.
c) Control de acceso fsico.
d) Pruebas con datos reales.
Alto. Se aplica a sistemas de datos concernientes a ideologa, religin, creencias, afiliacin poltica, origen racial o tnico, salud, biomtricos, genticos o vida sexual, as como los que contengan datos recabados para fines policiales, de seguridad, prevencin, investigacin
y persecucin de delitos. Los sistemas de datos a los que corresponde
adoptar este nivel de seguridad, adems de incorporar las medidas de
nivel bsico y medio, debern contemplar:

a) Distribucin de soportes.
b) Registro de acceso.
c) Telecomunicaciones.
77
Niveles de seguridad
En los Lineamientos se define al documento de seguridad, como
el instrumento que establece las medidas y procedimientos administrativos, fsicos y tcnicos de seguridad aplicables a los sistemas de
datos personales, necesarios para garantizar la proteccin, confidencialidad, integridad y disponibilidad de los datos contenidos en dichos
sistemas.
78
Este instrumento debe generarse para todos los sistemas de datos

personales que existan en los entes pblicos, ya que es un aspecto de
seguridad aplicable a todos los niveles y su contenido variar dependiendo del nivel de cada sistema, por lo que una cuestin fundamental
es identificar el tipo de datos contenidos en ellos.
Veamos en qu consisten cada uno de los aspectos correspondientes a los diferentes niveles de seguridad.
Nivel bsico, contempla:
La elaboracin del documento de seguridad, que debe contener:
1) Nombre del sistema.
2) Cargo y adscripcin del responsable.
3) mbito de aplicacin.
La responsabilidad de la
elaboracin del documento
de seguridad recae en el
responsable del sistema
de datos personales
4) Estructura y descripcin del sistema de datos personales.

5) Especificacin detallada de la categora de datos personales
contenidos en el sistema.
6) Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales.
7) Medidas, normas, procedimientos y criterios enfocados a garantizar el nivel de seguridad exigido por la Ley y los presentes
Lineamientos.
8) Procedimientos de notificacin, gestin y respuesta ante incidencias.
9) Procedimientos para la realizacin de copias de respaldo y recuperacin de los datos.
10) Procedimientos para la realizacin de auditoras, en su caso.
La responsabilidad de la elaboracin del documento de seguridad,
recae en el responsable del sistema de datos personales y, como ya
se ha mencionado, es posible la adopcin de medidas adicionales a las
establecidas en la Ley, que pueden ser plasmadas en este documento.
Su actualizacin debe realizarse anualmente, o cada vez que se produzcan cambios relevantes en el tratamiento que puedan repercutir en
el cumplimiento de las medidas de seguridad implantadas.
79
Funciones y obligaciones del personal que interviene en el tratamiento de los sistemas de datos personales, deben estar claramente
definidas en el documento de seguridad. El responsable, debe adoptar
las medidas necesarias para que el personal conozca las normas de
seguridad que afecten el desarrollo de sus funciones, as como las
responsabilidades y consecuencias en que pudiera incurrir en caso de
incumplimiento.
Se deben prever,
para traslado de la
documentacin, medidas
dirigidas a evitar la
sustraccin, prdida o
acceso indebido a la
informacin durante
su transporte
En este punto, es til apoyarse en el Manual de Organizacin de la

institucin, pues se trata de plasmar la clasificacin de los puestos de
trabajo partiendo de un anlisis funcional de la organizacin, detallar
las funciones y obligaciones de los diferentes puestos y especificar las
autorizaciones al personal para el tratamiento de datos personales.
Registro de incidencias. Consiste en un procedimiento de notificacin y gestin de cualquier anomala que afecte o pudiera afectar la
seguridad de los datos. Este registro, debe plasmarse en una bitcora
y contener:

a) La descripcin del tipo de incidencia.
b) El momento en que se present.
c) Persona que realiza la notificacin.
d) A quin se comunica.
e) Los efectos que se hubieran derivado de la misma y las acciones implementadas.
Identificacin y autenticacin. El primero, consiste en el procedimiento para el reconocimiento de la identidad de la persona que acceda al sistema de datos personales, en tanto que el segundo, se refiere
al procedimiento de comprobacin de identidad de la persona autorizada para el tratamiento de datos personales. Se aplica a los sistemas
de datos personales automatizados, pues se trata de procedimientos
de asignacin de claves tanto de identificacin como de autenticacin,
en suma, se trata de las claves de usuario y contrasea.
En este sentido, el responsable tiene a su cargo la elaboracin de
una relacin actualizada de los servidores pblicos que tienen acceso
autorizado al sistema de datos personales, y de establecer procedimientos:
80
1) Que permitan la correcta identificacin y autenticacin para el

acceso.
2) Que permitan la identificacin, de forma inequvoca y personalizada, de toda aquella persona que intente acceder al sistema
de datos personales y la verificacin de que est autorizada.
Cuando el mecanismo de autenticacin se base en la existencia de
contraseas, debe establecerse un procedimiento especfico para la
asignacin, distribucin y almacenamiento de las mismas que garantice su confidencialidad e integridad.
Las contraseas deben ser creadas bajo un procedimiento que
especifique su longitud, formato y contenido. La modificacin de
las mismas, debe realizarse de manera peridica, registrarse en
el documento de seguridad y conservarse cifradas.
Control de acceso. Se refiere a los procedimientos que deben existir para regular el acceso a los lugares donde
se encuentren instalados o resguardados los sistemas de datos personales.
El responsable debe mantener actualizada
la relacin de personas y los accesos autorizados para cada una de ellas y solamente l
podr conceder, alterar o anular la autorizacin para el acceso a los sistemas de datos
personales.
Gestin de soportes. Se refiere a que los soportes y documentos que contengan datos de carcter personal permitan identificar el tipo de informacin que contienen, ser inventariados y ser accesibles slo por el personal
autorizado para ello en el documento de seguridad.
La salida de estos soportes y documentos de los locales
bajo el control del responsable, debe ser autorizada por ste,
o encontrarse acreditada en el documento
de seguridad.
Nivel bsico de seguridad
81
Se deben prever, para traslado de la documentacin, medidas dirigidas a evitar la sustraccin, prdida o acceso indebido a la informacin durante su transporte.
Siempre que vaya a desecharse cualquier documento o soporte que
contenga datos de carcter personal, su destruccin o borrado, deber
contemplar medidas encaminadas a impedir el acceso a la informacin
contenida en el mismo o su recuperacin posterior.
Copias de respaldo y recuperacin. Es el ltimo aspecto que debe
incorporarse a las medidas de seguridad del nivel bsico y hace alusin a los procedimientos para:
El periodo de conservacin
de los datos consignados en
el registro de acceso debe
ser de, al menos, dos aos
a) La realizacin de copias de respaldo y su periodicidad. En caso

de que los datos personales se encuentren en soporte fsico,
debe procurarse que el respaldo se efecte mediante la digitalizacin de los documentos.
b) Procedimientos para la recuperacin de datos de modo que se

garantice su reconstruccin en el estado en que se encontraban
al tiempo de producirse la prdida involuntaria o destruccin accidental.
El responsable debe verificar cada seis meses la correcta definicin, funcionamiento y aplicacin de los procedimientos de realizacin
de copias de respaldo y de recuperacin de los datos. Se trata de que
existan procedimientos de recuperacin de los datos, de forma que si
ocurre algn accidente, se puedan reconstruir y llegar al estado en que
estaban al momento de ocurrir el accidente.
Nivel medio de seguridad. Adems de las medidas del bsico, los
aspectos que debe contener son:
Responsable de seguridad. Persona a la que el responsable del sistema de datos personales asigna formalmente la funcin de coordinar
y controlar las medidas de seguridad aplicables. Debe estar dotado de
la autoridad suficiente para implantar y vigilar el cumplimiento de las
medidas de seguridad por parte del resto de las personas que intervienen en el tratamiento de datos de un sistema.
Puede haber uno o varios responsables de seguridad para coordinar y controlar las medidas definidas en el documento de seguridad.
82
La designacin puede ser nica para todos los sistemas de datos en

posesin del ente pblico, o diferenciada, dependiendo de los mtodos
de organizacin y tratamiento de los mismos. Esta designacin nunca
supone una delegacin de las facultades y atribuciones que corresponden al responsable del sistema de datos personales.
En relacin con los sistemas automatizados, la figura del responsable de seguridad, se asocia con un perfil tcnico, sin embargo, dado
que muchas de las medidas de seguridad son organizativas ste no es
un requerimiento indispensable.
Auditora. Las instalaciones y soportes en que se
encuentren los sistemas de datos personales, deben ser sometidos a auditoras para verificar el
cumplimiento de la Ley, de los Lineamientos
y dems procedimientos vigentes en materia de seguridad de datos.
Las auditoras pueden ser internas
o externas y debern efectuarse cada
dos aos. Las auditoras internas pueden ser realizadas por los rganos
de control de los entes pblicos, en
tanto que las externas por despachos o profesionistas debidamente acreditados.
El informe de resultados, debe dictaminar sobre la adecuacin de las medidas
de seguridad previstas en la Ley los Lineamientos, as
como en las recomendaciones emitidas por el Instituto. Adems,
de identificar sus deficiencias y proponer las medidas preventivas, correctivas o complementarias necesarias.
El responsable debe comunicar al Instituto el informe de auditora dentro de los 20 das hbiles siguientes a su emisin, e
informar sobre la adopcin de las medidas correctivas derivadas
de la auditora en el plazo referido, a partir de que stas hayan
sido atendidas.
Nivel medio de seguridad
83
Control de acceso fsico. El acceso a las instalaciones donde se

encuentren los sistemas de datos personales, ya sea en
soporte fsico o automatizado, deber permitirse
nicamente a quienes estn expresamente autorizados en el documento de seguridad. La
diferencia entre el control de acceso del nivel
bsico y medio, estriba en que las personas autorizadas en el nivel medio, debern especificarse en el documento de seguridad, en tanto que en
el bajo, slo deben establecerse procedimientos para
regular y controlar el acceso.
Pruebas con datos reales. Las pruebas que se lleven a
cabo para verificar la correcta aplicacin y funcionamiento de
los procedimientos para la obtencin de copias de respaldo
y de recuperacin de los datos, que sean anteriores a la
implantacin o modificacin de los sistemas informticos que traten sistemas de datos
personales, no se realizarn con datos
reales, salvo que se asegure el nivel de
seguridad correspondiente al tipo de
datos tratados.
En caso de que las pruebas se realicen con datos reales, deber elaborarse una copia de respaldo con anterioridad a fin de evitar su prdida o
alteracin durante la realizacin de las
pruebas.
Nivel de seguridad alto. Adems
de las medidas del bsico y medio le
corresponde:
Nivel alto de seguridad

84
Distribucin de soportes. La distribucin de los soportes que contengan

datos de carcter personal, debe realizarse cifrando los datos o utilizando
cualquier otro mecanismo que garantice
que dicha informacin no sea inteligible, ni manipulada durante su traslado o transmisin.

La finalidad ltima de esta medida es evitar que, ante cualquier incidencia que pueda producirse en la distribucin de los datos, o en el
soporte que los contiene, personas no autorizadas puedan acceder a la
informacin y modificarla. Por ello, se recomienda la utilizacin de mecanismos de seguridad mediante claves de acceso a los sistemas, o la
encriptacin de los datos con programas especializados para evitarlo.
Registro de acceso. Implica que el acceso a los sistemas de datos
personales, est limitado exclusivamente al personal autorizado. En el
caso en que los sistemas puedan ser utilizados por mltiples autorizados deben existir mecanismos que permitan identificar sus accesos.
Los mecanismos de registro de accesos, estarn bajo el control directo del responsable de seguridad correspondiente, y no estar permitida la desactivacin o manipulacin de los mismos. De cada acceso
deben conservarse como mnimo:

a) La identificacin de quien accedi.
b) La fecha y hora.
c) El sistema accedido.
d) El tipo de acceso y si ste fue autorizado o denegado.
El periodo de conservacin de los datos consignados en el registro

de acceso debe ser de, al menos, dos aos.
Todas las aplicaciones o programas internos que traten con datos
de carcter personal, deben configurarse para que registren y almacenen los datos de todas aquellas personas que acceden o intentan
acceder a la aplicacin.
Esta medida de seguridad se ve aumentada en el nivel alto para
los sistemas automatizados respecto del registro de accesos: identificacin, hora, fichero, tipo de acceso, autorizado o denegado. No es
necesario este registro si el responsable del sistema es una persona
fsica y es el nico que accede al mismo.
Telecomunicaciones. La transmisin de datos de carcter personal
a travs de redes pblicas o redes inalmbricas de comunicaciones
85
electrnicas, debe realizarse cifrando dichos datos, o bien, utilizando

cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulable por terceros.
Por lo general, se utilizan redes de telecomunicaciones abiertas
para transmitir datos y archivos. Para evitar que durante la transmisin
de estos datos puedan producirse intercepciones o manipulaciones no
deseadas, deben utilizarse mecanismos de cifrado de los datos con
programas especializados, o transmitir datos a travs de redes privadas, que garanticen que la comunicacin entre dos puntos es segura,
y no pueda ser interceptada por terceras personas.
Tema 6. Tratamiento de Datos Personales
Los entes pblicos realizan tratamiento de datos personales necesarios para el ejercicio de sus atribuciones, derivado de este tratamiento,
deben atender una serie de obligaciones que reflejan la observancia de
los principios bsicos de la proteccin de datos, entre ellas:
UU Informar al interesado con carcter previo al tratamiento de los
datos de carcter personal.
UU Recabar slo datos imprescindibles para ejercer sus atribuciones.
UU Facilitar a las personas el ejercicio de los derechos de Acceso,
Rectificacin, Cancelacin y Oposicin (ARCO).
La Ley, en el captulo relativo al tratamiento de datos personales,
establece que ste requerir el consentimiento inequvoco, expreso y
por escrito del interesado (artculo 16).
El consentimiento del interesado implica, la manifestacin de voluntad, libre, inequvoca, especfica e informada, mediante la cual ste
consiente el tratamiento de sus datos personales. Sin embargo, la ley
prev una serie de excepciones a este principio, en las cuales no se
requiere del consentimiento para el tratamiento de datos personales:
1) En el ejercicio de las atribuciones legales conferidas a los entes
pblicos. Por ejemplo, cuando la Secretara de Finanzas solicita
datos personales para el ejercicio de su funcin recaudadora.
86
2) Cuando los datos se refieren a las partes de un convenio de

una relacin de negocios, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. Por ejemplo, no
es necesario que se preste
el consentimiento cuando
los datos personales son
utilizados para elaborar una
tarjeta para el control de horario, puesto que es deber
de los trabajadores cumplir
con la jornada laboral y los
datos son necesarios para
dicho control.
3) Cuando el interesado no est
en posibilidad de otorgar su
consentimiento por motivos
de salud, y el tratamiento
de datos es necesario para
la prevencin o diagnstico
mdico, siempre que dicho
tratamiento se realice por
una persona sujeta al secreto profesional.
4) En materia de salud, si median razones de salubridad
pblica, de emergencia o
para la realizacin de estudios epidemiolgicos, por
ejemplo, para la prevencin
de una eventual epidemia.
5) Cuando la transmisin de
datos se encuentre prevista
Cundo no se requiere consentimiento
en una ley, como puede ser
el acceso a la informacin
contenida en el padrn electoral y en las listas nominales de
electores, por parte de los partidos polticos y que est bajo
87
resguardo del Instituto Federal Electoral. El acceso a esta informacin, se encuentra previsto en el Cdigo Federal de Instituciones y Procedimientos Electorales (COFIPE), norma con
rango de ley expedida por el Congreso de la Unin.
6) Cuando hay transmisin de datos entre organismos gubernamentales para su tratamiento posterior con fines estadsticos,
histricos o cientficos. En este sentido, no se requerir del consentimiento para la transmisin a la informacin amparada por
la Ley del Sistema Nacional de Informacin Estadstica y Geogrfica. Esta Ley establece en su artculo 46:
Las Unidades estarn obligadas a respetar la confidencialidad y reserva de los datos que para fines estadsticos proporcionen los Informantes del Sistema. Los servidores pblicos
de la Federacin, de las entidades federativas y de los municipios, tendrn la obligacin de proporcionar la informacin
bsica que hubieren obtenido en el ejercicio de sus funciones
y sirva para generar Informacin de Inters Nacional, que les
solicite el Instituto en los trminos de la presente Ley. Lo anterior, con excepcin de los secretos bancario, fiduciario y
burstil, no ser violatorio de la confidencialidad o reserva
que se establezca en otras disposiciones.
7) La cesin de datos personales de un ente pblico a la compaa aseguradora con quien tiene contratada la pliza de gastos
mdicos mayores para sus empleados, no requiere del consentimiento de los interesados, ya que est amparada por la excepcin que prev la cesin de datos a terceros para la prestacin
de un servicio, siempre y cuando, el tratamiento se limite a una
finalidad legtima establecida en un contrato.
8) Cuando media una orden judicial, si una autoridad jurisdiccional
requiere acceso a ciertos datos para el desarrollo de su labor,
no se considera que se vulnere este principio.
9) Cuando los datos figuren en registros pblicos en general y el
tratamiento sea necesario, siempre que no se vulneren sus derechos y libertades. En la definicin de fuente de acceso pblico
contenida en los lineamientos, se dice que tienen este carcter:
los registros pblicos, los diarios, gacetas y boletines gubernamentales, as como otros medios oficiales de difusin. Por lo
88
tanto, la consulta puede ser realizada por cualquier persona, no

impedida por una norma limitativa, sin ms exigencia que, en su
caso, el pago de una contraprestacin, para acceder a determinado medio de informacin.
En cuanto al consentimiento, la Ley prev que ste puede ser revocado cuando exista causa justificada para ello y no se le atribuyan
efectos retroactivos. Por su parte, los Lineamientos precisan que, el
interesado podr revocar su consentimiento mediante solicitud presentada ante la Oficina de Informacin Pblica que corresponda, a travs
de los formatos que para tal efecto emita el Instituto.
Los interesados deben especificar la finalidad para la cual se revoca
el consentimiento para tratar sus datos personales, adems de cumplir
con los requisitos establecidos en el artculo 34 de la Ley:
1) Nombre del ente pblico a quien se dirija.
2) Nombre completo del interesado, en su caso, el de su representante legal.
3) Descripcin clara y precisa de los datos personales respecto de
los que se pretende revocar el consentimiento.
4) Cualquier otro elemento que facilite su localizacin.
5) El domicilio, mismo que se debe encontrar dentro del Distrito
Federal, o medio electrnico para recibir notificaciones.
6) Opcionalmente, la modalidad en la que prefiere se otorgue el
acceso a sus datos personales, la cual podr ser consulta directa, copias simples o certificadas.
El interesado podr
revocar su consentimiento
mediante solicitud
presentada ante la Oficina
de Informacin Pblica que
corresponda, a travs de
los formatos que para tal
efecto emita el Instituto
La Oficina de Informacin Pblica realizar las gestiones necesarias ante el responsable que corresponda hasta la culminacin del procedimiento conforme al artculo 32 de la Ley, relativo a la recepcin y
trmite de las solicitudes para ejercer los derechos ARCO.
En caso de que sea procedente la solicitud de revocacin del consentimiento, el responsable debe cesar en el tratamiento de los datos,
sin perjuicio de la obligacin de bloquear los datos conforme a la Ley
y Lineamientos.
89
En el supuesto de que los datos hubieren sido cedidos previamente,

el responsable, una vez revocado el consentimiento, deber comunicarlo a los cesionarios. Tambin se prev que ante la improcedencia
de la revocacin del consentimiento, el interesado podr ejercer su
derecho de cancelacin.
La revocacin del consentimiento sigue el mismo trmite que el utilizado en un supuesto de cancelacin, procedindose al bloqueo de
los datos y, posteriormente, al cumplirse el plazo de prescripcin de las
posibles responsabilidades, a la eliminacin de los datos del sistema
correspondiente.
Por otra parte, la Ley prev, en el captulo sobre tratamiento, que en
los supuestos de utilizacin o cesin de de los datos de carcter personal en que se impida gravemente o se atente de igual modo contra el
ejercicio de derechos de las personas, el Instituto podr requerir a los
responsables de los sistemas de datos personales, la suspensin en la
utilizacin o cesin de los datos. Si el requerimiento fuera desatendido,
mediante resolucin fundada y motivada, el Instituto podr bloquear
tales sistemas, de conformidad con el procedimiento que al efecto se
establezca. El incumplimiento a la inmovilizacin ordenada por el Instituto ser sancionado por la autoridad competente de conformidad por
la Ley Federal de Responsabilidades de los Servidores Pblicos.
La inmovilizacin a que se refiere el prrafo anterior y que se encuentra prevista en el artculo 17 de la Ley, consiste en una medida
cautelar que puede adoptarse en supuestos constitutivos de tratamiento ilcito de datos personales y siempre que el responsable hubiera
desatendido el requerimiento previo de suspender o interrumpir la utilizacin o comunicacin de los datos. En los Lineamientos se establece
el procedimiento para la aplicacin de este artculo.
En cuanto a los sistemas de datos personales en materia de salud,
la Ley establece un rgimen de excepcin en cuanto a su tratamiento,
el cual se regir por lo dispuesto en la Ley General de Salud, la Ley de
Salud para el Distrito Federal y dems normas que de ellas deriven.29
Sin embargo, se establece la obligacin de preservar los datos de
identificacin personal del paciente, separados de los de carcter clnico-asistencial, de manera tal que se mantenga la confidencialidad de
90
los mismos, salvo que el propio paciente haya dado su consentimiento

para no separarlos. Se exceptan los supuestos de investigacin cientfica, de salud pblica o con fines judiciales, en los que se considere
imprescindible la unificacin de los datos identificativos con los clnicoasistenciales.30
En la Ley se establece una manifestacin del principio de temporalidad de los datos que se refiere a la cancelacin de los mismos cuando
concluyan los plazos de conservacin establecidos en las disposiciones aplicables o cuando dejen de ser necesarios para los fines para los
que fueron recabados (artculo 19).
En tanto que en los Lineamientos se prev que los datos personales
que hayan sido objeto de tratamiento y no contengan valores histricos, cientficos o estadsticos, debern ser cancelados del sistema de
datos personales, teniendo en cuenta los siguientes plazos:
a) El que se haya establecido en el formato fsico o electrnico por
medio del cual se recabaron.
b) El establecido por las disposiciones aplicables.
c) El establecido en el instrumento jurdico formalizado entre un
tercero y el ente pblico.
Finalmente, dentro del apartado relativo al tratamiento de datos personales, cabe abordar lo relativo a las cesiones de datos, entendiendo
por cesin:
...toda obtencin de datos resultante de la consulta de un archivo, registro, base o banco de datos, una publicacin de los
datos contenidos en l, su interconexin con otros ficheros y
la comunicacin de datos realizada por una persona distinta
a la interesada, as como la transferencia o comunicacin de
datos realizada entre entes pblicos.
En los Lineamientos se prev que la cesin de datos personales

slo podr realizarse cuando el cesionario garantice por escrito un nivel de proteccin similar al empleado en el sistema de datos personales. As mismo existe la obligacin de presentar un informe anual de
datos sobre el particular.
91
Tema 7. Obligaciones de los Entes Pblicos

La primera obligacin a cumplir por parte de los entes pblicos recae
sobre el titular del mismo, ya que es quien debe designar al responsable de los sistemas de datos personales. La Ley y los Lineamientos
definen al Responsable de los Sistemas de Datos Personales como:
Ley
La persona fsica que
decida sobre su proteccin
y tratamiento, as como
el contenido y finalidad
de los sistemas
Lineamientos
El servidor pblico de la unidad
administrativa a la que se encuentre
adscrito el sistema de datos
personales, designado por el titular
del ente pblico, que decide sobre
el tratamiento de datos personales,
as como el contenido y finalidad de
los sistemas de datos personales
La definicin contenida en los lineamientos, es un reflejo de lo que

dispone la Ley en su artculo 22 donde se prev que el titular puede
delegar la atribucin de decidir sobre la finalidad, contenido y uso del
tratamiento de datos personales en la unidad administrativa en la que
est adscrito el responsable y el propio sistema de datos.
El responsable del sistema de datos personales tiene, entre sus
obligaciones, la de adoptar las medidas necesarias para evitar una vulneracin en cualquiera de los principios de proteccin de datos y debe
asegurarse que toda persona que intervenga en el tratamiento de datos del sistema bajo su responsabilidad los conozca y respete.
Las obligaciones a observar por parte de los responsables de
sistemas de datos personales estn previstas en el artculo 21 de la
Ley, entre las que destacan:
UU Cumplir polticas y lineamientos para el tratamiento de datos
personales.
UU Adoptar las medidas de seguridad y comunicar al InfoDF el nivel
de seguridad aplicable para su registro.
UU Presentar un informe anual sobre el cumplimiento de la Ley.
92
UU Adoptar procedimientos para el trmite de los derechos ARCO

y capacitar para su atencin y seguimiento.
UU Actualizar datos personales de oficio.
UU Establecer criterios especficos sobre medidas de seguridad,
as como un plan de capacitacin.
UU Resolver sobre el ejercicio de derechos ARCO.
En el tratamiento de datos personales no slo interviene el responsable, sino que al interior del ente pblico y para el cumplimiento de
sus funciones, son otras personas las que cotidianamente utilizan datos personales para el desarrollo de su labor, sin que esta utilizacin
implique una delegacin de responsabilidad. A estas personas se les
define en los Lineamientos bajo la figura de encargado.
En tanto que el usuario es aquella persona fsica o moral externa al
ente pblico que le presta servicios para tratar datos personales o que
implica el tratamiento de los mismos.
En estos casos, el responsable deber asegurarse que el tratamiento de datos personales est regulado en un contrato por escrito o en
alguna otra forma que permita acreditar su celebracin y contenido.
En este contrato debe estipularse que el usuario:
UU nicamente tratar los datos conforme a las instrucciones del
responsable del tratamiento.
UU No aplicar o utilizar los datos con una finalidad distinta a la
que figura en el contrato.
UU No comunicar los datos a otras personas.
Los rganos de control de

proteccin de datos han sido
creados con el objetivo de
asegurar el cumplimiento de
la legislacin en la materia
y, por ende, el respeto al
derecho de los ciudadanos
UU Adoptar las medidas de seguridad que se deban implementar

para su tratamiento.
Concluida la relacin contractual, los datos de carcter personal debern ser destruidos o devueltos al responsable.
Por otra parte, en los Lineamientos se inserta la figura de enlace
que se define como:
93
...el servidor pblico designado por el titular que fungir como

vnculo, entre el ente pblico y el Instituto, en materia de proteccin de datos personales, quien, entre otras obligaciones,
coordinar a los distintos responsables de sistemas dentro
del ente y remitir el informe a que hace referencia el artculo
21 de la Ley.
El informe que deben presentar los entes pblicos a ms tardar

el ltimo da hbil del mes de enero de cada ao debe contener los
siguientes rubros:
1) Nmero de solicitudes de acceso, rectificacin, cancelacin y
oposicin de datos personales presentadas ante el ente pblico, as como su resultado.
2) Tiempo de respuesta a la solicitud.
3) Estado de las denuncias presentadas ante los rganos internos
de control, as como de las vistas dadas por el Instituto.
4) Dificultades observadas en el cumplimiento de la Ley.
5) Descripcin de los recursos pblicos utilizados en la materia.
6) Sistemas de datos personales creados, modificados y/o suprimidos.
7) Acciones de capacitacin.
Dentro del catlogo de obligaciones de los entes pblicos, no se encuentra claramente establecida la que se refiere al deber de secreca,
la cual constituye un principio fundamental en la proteccin de datos.
Sin embargo, s est prevista en el artculo 5 de la Ley en relacin con
el principio de confidencialidad.
Tema 8. Instituto de Acceso a la Informacin Pblica
Los rganos de control de proteccin de datos han sido creados con el
objetivo de asegurar el cumplimiento de la legislacin en la materia y,
por ende, el respeto al derecho de los ciudadanos.
El control es aquella actividad desplegada con el fin de comprobar,
inspeccionar o fiscalizar un desempeo y que constituye un quehacer
indispensable en todo sistema jurdico organizado.
94
Las leyes que existen sobre la materia normalmente atribuyen a las

autoridades de control ciertas facultades tales como ordenar medidas
cautelares, conferir o negar autorizacin para tratar determinada categora de datos, as como ordenar la implementacin de medidas de
seguridad especficas y, en algunos casos, estn dotadas de amplias
facultades sancionadoras.31
En la Ciudad de Mxico, el Instituto de Acceso a la Informacin Pblica del Distrito Federal (InfoDF), es el encargado de dirigir y vigilar el
cumplimiento de la Ley de Proteccin a Datos Personales del Distrito
Federal (LPDPDF), as como de las normas que de ella deriven.
Recordemos que el InfoDF es un rgano autnomo creado por la
Ley de Transparencia y Acceso a la Informacin Pblica del Distrito
Federal y cuenta con personalidad jurdica y patrimonio propios, autonoma presupuestaria de operacin y de decisin en materia de transparencia y acceso a la informacin pblica.
El InfoDF es ahora al mismo tiempo, la autoridad encargada de garantizar la proteccin y el correcto tratamiento de datos personales con
la atribucin de establecer, en el mbito de su competencia, polticas y
lineamientos de observancia general para el manejo, tratamiento, seguridad y proteccin de los datos personales que estn en posesin
de los entes pblicos, as como expedir aquellas normas que resulten
necesarias para su cumplimiento.
Cualquier persona
puede ejercitar los
derechos de acceso,
rectificacin, cancelacin
y oposicin sobre datos
de carcter personal que
le conciernan tratados
por los entes pblicos
Fruto del ejercicio de esa atribucin es la emisin, por parte del

Instituto, de los Lineamientos para la Proteccin de Datos Personales
en el Distrito Federal que hemos venido analizando a lo largo de este
documento que, tambin, es producto de las atribuciones legales conferidas por la Ley al InfoDF.
Pero la Ley no slo faculta al Instituto para establecer normas, sino
tambin le otorga otras atribuciones (artculo 24) con el fin de que sea
capaz de garantizar el derecho a la proteccin de los datos personales
en posesin de los entes pblicos del Distrito Federal. Dentro de stas
destacan:
UU Disear los formatos y sistema electrnico para solicitudes de
derechos ARCO.
95
Atribuciones del Instituto de Acceso a la Informacin Pblica del Distrito Federal

96
UU Establecer el registro de sistemas de datos personales en posesin de los entes pblicos y mantener actualizado el de niveles
de seguridad.
UU Emitir opiniones, observaciones y recomendaciones derivadas
de incumplimiento a los principios.
UU Solicitar informes a los entes y presentarlo a la ALDF.
UU Asesora, investigacin, seminarios, capacitacin, guas, promocin para difundir el conocimiento de la Ley.
UU Promover en las instituciones educativas la inclusin dentro de
sus actividades acadmicas de los temas que ponderen la importancia de la proteccin de datos personales.
UU Resolver el recurso de revisin y, en su caso, dar vista al rgano
interno de control.
UU Conciliar intereses de particulares con los de entes pblicos.
UU Realizar visitas de inspeccin de oficio a los entes pblicos para
verificar el cumplimiento de los principios.32
Mediante los derechos

ARCO, toda persona
tiene derecho a que se
le informe gratuitamente
del origen de sus datos
En los siguientes prrafos, se presenta una breve sistematizacin

de las atribuciones del Instituto en materia de proteccin de datos
personales:
1) Difusin, asistencia y promocin. El InfoDF es responsable de
la difusin de las disposiciones legales y reglamentarias aplicables al
tratamiento de datos personales. Adems de brindar asistencia tanto
a los titulares de datos como a los responsables de los sistemas que
los contienen. A esta tarea, se suma la de realizar acciones de promocin en la materia, por ejemplo, mediante el desarrollo de eventos
que fomenten la profesionalizacin de los servidores pblicos sobre la
proteccin de datos personales.
2) Registro. Es responsable de llevar un registro de los sistemas
de datos personales en posesin de los entes pblicos, quienes deben
notificar al Instituto la creacin, modificacin o supresin de sistemas
3) Inspeccin. Est dotado de facultades de inspeccin, las que incluyen el requerimiento de informes y antecedentes de los responsables
97
de sistemas de datos personales, as como el ingreso y registro de los

establecimientos y equipos en que se realizan las operaciones. Por su
parte, los inspectores quedan obligados a guardar confidencialidad con
respecto a la informacin a que acceden con motivo del ejercicio de las
facultades fiscalizadoras; y, en contrapartida, la obstruccin al desempeo fiscalizador negativa a suministrar informacin, proporcionar
informacin falsa y resistencia al acceso, entre otras constituye una
infraccin a la ley y faculta a la autoridad correspondiente para imponer
sanciones de naturaleza administrativas a los responsables.
4) Facultades cautelares. Dispone de facultades excepcionales
para adoptar medidas cautelares -tales como decretar la suspensin
temporal en la utilizacin o cesin de datos, la inmovilizacin de un
sistema de datos personales, o el bloqueo de determinados datos- en
casos graves en que exista un riesgo real o inminente para los derechos del o los titulares de los datos personales.
5) Facultades normativas. Tiene facultades normativas, ya sea
de orden general, que se concreta en disposiciones reglamentarias, o
bien particular, mediante la emisin de dictmenes y pronunciamientos
especficos.
6) Facultad revisora. Es la instancia ante la cual los particulares
pueden presentar un recurso de revisin si consideran que la respuesta a su solicitud de un derecho ARCO les agravia. Las resoluciones
que emita sern definitivas, inatacables y obligatorias.
Tema 9. Derechos ARCO y Procedimiento para su Ejercicio
Un aspecto fundamental de los sistemas jurdicos en materia de proteccin de datos lo constituye el establecimiento en las leyes de los
denominados derechos ARCO:
A. Acceso.
R. Rectificacin.
C. Cancelacin.
O. Oposicin.
98
La posibilidad de ejercer estos derechos es lo que dota a la persona

de una verdadera facultad de disposicin sobre sus propios datos personales, ya que mediante ellos:
UU Puede conocer qu datos tienen los entes pblicos.
UU Rectificarlos en caso de errores.
UU Cancelarlos si dejaron de ser necesarios.
UU Oponerse a su tratamiento si es que fueron obtenidos sin su
consentimiento.
La Ley establece la posibilidad de ejercer los
derechos ARCO a toda persona, y precisa que
se trata de derechos independientes, por lo
que el ejercicio de alguno no es condicionante ni impedimento para ejercer otro.
Por tanto, cualquier persona puede ejercitar los derechos de acceso,
rectificacin, cancelacin y oposicin sobre datos de carcter personal que le conciernan tratados por
los entes pblicos. Un requisito
indispensable para el ejercicio de
estos derechos es la identificacin del interesado o, en su caso,
la de su representante legal.
Mediante los derechos ARCO,
toda persona tiene derecho a
que se le informe gratuitamente
del origen de sus datos y a saber
a qu otras personas o entidades, sean de derecho pblico o
privado, han sido comunicados.
Este derecho se complementa
con el de rectificar la informacin
incorrecta o no actualizada, con
Cualquier persona puede ejercer los Derechos ARCO
99
el derecho a solicitar que se destruyan aquellos datos que sean inexactos o incompletos, o aqullos que no cumplan el principio de adecuacin con la finalidad para la que fueron recabados.
A continuacin describiremos cada uno de estos derechos ARCO:
Derecho de Acceso. Nos permite solicitar y obtener informacin
de nuestros datos personales sometidos a tratamiento, la finalidad, su
origen, as como las comunicaciones realizadas o previstas.
Asimismo, nos permite obtener datos concretos, as como los datos
incluidos en un determinado sistema o la totalidad de los datos sometidos a tratamiento en los sistemas de datos personales en posesin de
un ente pblico.
Derecho de Rectificacin. Nos otorga la facultad de solicitar que
se modifiquen los datos que resulten inexactos o incompletos con respecto a la finalidad para la cual fueron obtenidos. Los datos deben ser
considerados exactos cuando:
1) Corresponden a nuestra situacin actual.
2) Reflejen hechos constatados en un procedimiento administrativo o judicial.
Derecho de Cancelacin. Procede cuando nuestros datos son inadecuados o excesivos:

1) Inadecuados cuando no guardan relacin con el mbito de aplicacin y finalidad por la cual fueron recabados, o bien, si dejaron de ser necesarios con respecto a dicha finalidad.
2) Excesivos, si los datos obtenidos son ms de los estrictamente

necesarios en relacin a dicha finalidad.
La cancelacin tambin procede cuando el tratamiento de nuestros

datos personales no se ajuste a lo dispuesto en la Ley o en los Lineamientos.
Aqu cabe recordar el principio de calidad que determina que, los
datos personales recabados deben ser ciertos, adecuados, pertinentes
y no excesivos con relacin al mbito y finalidad para los que fueron
obtenidos.
100
La cancelacin no implica la desaparicin fsica del dato de modo

tal que no permita su recuperacin posterior, sino que existe un paso
intermedio en el que se bloquea el dato y slo permanece accesible
para algunos y en determinadas circunstancias, como es el caso de
autoridades pblicas y jurisdiccionales para la atencin de las posibles
responsabilidades nacidas del tratamiento y slo durante los plazos de
prescripcin aplicables.
Pensemos, por ejemplo, en la responsabilidad administrativa, la
cual tiene plazos de prescripcin para imponer sanciones que van desde los tres hasta los cinco aos, por lo que los datos relacionados con
este tema tienen que conservarse hasta que ese tiempo transcurra.33
Derecho de Oposicin. Acta cuando los datos fueron recabados
sin nuestro consentimiento. Ante este supuesto, podemos solicitar que
no se lleve a cabo el tratamiento de nuestros datos personales para un
fin determinado o se cese en el mismo. En caso de que la oposicin
sea procedente, esta dar lugar a la cancelacin del dato.
Es importante tener en cuenta que tanto la cancelacin, como la
oposicin, de ser procedentes, dan lugar al bloqueo de los datos.
El bloqueo de datos consiste en la conservacin de datos personales con el nico propsito de determinar posibles responsabilidades
en relacin con su tratamiento, hasta el plazo, legal o contractual, de
prescripcin de stas. Durante este periodo, los datos personales no
pueden ser objeto de tratamiento y transcurrido ste, se procede a su
eliminacin del sistema.
Derecho de cancelacin:
Procede cuando nuestros
datos son inadecuados
o excesivos
Lo mismo sucede en caso de que sea procedente la revocacin del

consentimiento que tratamos anteriormente.
En caso de que se realice cualquier rectificacin o cancelacin sobre unos datos que previamente fueron cedidos, el responsable tendr
que notificar al cesionario dicha actuacin para que ste a su vez efecte las operaciones correspondientes sobre los datos cedidos.
Los derechos ARCO no son absolutos, por lo que el responsable
del sistema de datos personales podr denegarlos cuando exista una
causa legal o justificada para ello.
101
En este sentido, no procede la rectificacin si se trata de datos que:

UU Reflejen hechos que formen parte de un procedimiento administrativo o un proceso judicial.
UU Resulte imposible o exija esfuerzos desproporcionados, como
podra ser el caso de una solicitud para que se corrijan datos de
un expediente laboral de 1980 que ya no se encuentre en los
archivos del ente pblico.
Puede denegarse la cancelacin cuando:
UU Exista un deber de conservacin de los datos.
UU Pudiera afectar derechos o intereses legtimos de otras personas, como lo es el propio Estado. En este sentido, se puede negar la cancelacin de datos por motivos de seguridad pblica.
Procedimiento ejercicio derechos ARCO:
En relacin con este apartado diremos en primera instancia que la
aplicacin cotidiana de cualquier instrumento jurdico requiere del establecimiento de un procedimiento preciso y claro que facilite la concrecin, en el terreno de lo prctico, de los preceptos y fundamentos que
tutela.
En este sentido, el procedimiento para el ejercicio de los derechos
ARCO establecido en la Ley y los Lineamientos seala los instrumentos y mecanismos para dar cumplimiento a esta necesidad. Se refiere
tanto a lo que debe cubrir el interesado como a lo que los servidores
pblicos de los entes estn obligados a realizar para atender las solicitudes en esta materia.
Instancia ante la que se presenta la solicitud:
Todos los entes pblicos cuentan con una unidad administrativa denominada Oficina de Informacin Pblica (OIP), que es la encargada,
entre otras funciones, de recibir las solicitudes para el ejercicio de tus
derechos ARCO.
102
Medios de Acceso:
Recordemos que estos derechos ARCO slo los puede
ejercer el titular de los datos (interesado), o en su caso, su
representante legal. Existen diversos medios para la presentacin de una solicitud ante la OIP correspondiente:

1) Por escrito material ante la OIP, o enviado por correo ordinario, certificado o mensajera.
2) Verbal, de manera oral y directa, la cual ser capturada por el responsable de la OIP en el formato
respectivo e ingresada al sistema INFOMEX-DF.
3) Correo electrnico a la direccin de correo electrnico asignada a la OIP.
4) Por el sistema electrnico INFOMEX-DF.
5) Va telefnica, al 5636-4636, a travs del servicio

TELINFODF.
Requisitos:
A fin de que el Ente te atienda de la forma adecuada, en

cualquiera de los medios de acceso disponibles, es necesario que en tu solicitud proporciones los siguientes datos:

1) Ente pblico a quien diriges la solicitud.
2) Tu nombre completo y, en su caso, el de tu representante legal.
3) Descripcin clara y precisa de los datos personales respecto de los que buscas ejercer algn derecho ARCO.
4) Cualquier otro elemento que facilite su localizacin.
5) El domicilio, mismo que se debe encontrar dentro

del Distrito Federal, u otro medio para recibir notificaciones (correo electrnico, OIP, si no lo indicas se
te notificar por estrados).
Procedimiento de los Derechos ARCO
103
Adems de estos requisitos, existen algunos otros que son especficos del derecho que vayas a ejercer:
UU Derecho de Acceso: Indicar la modalidad en la que prefiere
se otorgue el acceso que puede ser consulta directa, copias
simples o certificadas.
UU Derecho de Rectificacin: Sealar el dato errneo y la correccin que deba realizarse, acompaado de la documentacin
que lo avale.
UU Derecho de Cancelacin: Indicar las razones por las cuales
se considera que el tratamiento de los datos no se apega a las
disposiciones normativas.
UU Derecho de Oposicin: Sealar los motivos por los que no se
est de acuerdo en el uso o difusin de los datos.
Si sucede que tu solicitud no es clara o no cumple con todos los
requisitos que ya te mencionamos, la OIP puede, dentro del plazo de
cinco das despus de recibida tu solicitud, pedirte que corrijas las deficiencias que detect. Si este es el caso, tendrs cinco das para hacerlo, de lo contrario, la OIP no dar trmite a tu solicitud, pues se tendr
por no presentada. Cabe precisar que este requerimiento interrumpe el
plazo para dar respuesta.
Tiempos y tipo de respuesta:
Una vez que la OIP recibe tu solicitud mediante cualquiera de los
medios previstos, se realiza un proceso interno de anlisis para determinar la aceptacin o rechazo de la misma. El ente pblico cuenta con
un plazo de quince das hbiles para responderla, aunque debes considerar que este plazo puede ampliarse por un periodo igual, si existe
alguna causa justificada para ello.
La respuesta a tu solicitud puede ser:
UU Procedente, esto es decir, el ente te estar dando una respuesta positiva a la peticin que hiciste, y deber hacerlo de
tu conocimiento a travs del medio que indicaste para recibir
104
notificaciones. La determinacin se har efectiva dentro de los

siguientes diez das.
UU No procedente, significa que te han negado la peticin que hiciste y la respuesta que te den debe especificar las razones y las
normas jurdicas aplicables que determinaron la negativa. Esta
respuesta debe estar suscrita y firmada por el responsable del
sistema y por el titular de la OIP del ente pblico que corresponda, pudiendo recaer ambas funciones en la misma persona.
En caso de que los datos personales sobre los cuales ests solicitando ejercer un derecho ARCO no se localicen en los sistemas del
ente, se elaborar un acta, misma que se har de tu conocimiento
dentro del plazo de respuesta. En esta acta, se dar cuenta de los
sistemas en que fueron buscados tus datos personales y deber estar
firmada por un representante del rgano interno de control, del titular
de la OIP y del responsable del sistema de datos personales.
Acreditacin de tu identidad para recibir la respuesta:
Es importante que recuerdes que independientemente del medio
a travs del cual se reciba tu solicitud, es necesario que acredites tu
identidad o, en su caso, la personalidad, identidad y facultades de tu
representante legal, esto debe hacerse en el momento que te presentes en la OIP correspondiente para obtener la respuesta sobre la solicitud de tus datos personales.
El InfoDF es el rgano
garante de hacer cumplir
la Ley. Ante el caso de
una violacin a alguna
de sus disposiciones,
se debe presentar un
escrito denominado
recurso de revisin
Para acreditar tu identidad o la de tu representante legal, debes

presentar cualquier documento oficial en original como:
UU Credencial para votar.
UU Pasaporte vigente.
UU Cartilla del servicio militar.
UU Cdula profesional.
UU Credencial de afiliacin al Instituto de Seguridad y Servicios
Sociales de los Trabajadores del Estado (ISSSTE), al Instituto
Mexicano del Seguro Social (IMSS) o al Instituto Nacional de
Personas Adultas Mayores (INAPAM).
105
Del pago de derechos:

La Ley establece que el trmite de la solicitud es gratuito, lo cual
constituye un principio comnmente adoptado en las leyes sobre la
materia. Sin embargo, se prev que el solicitante debe cubrir los costos
de reproduccin de los datos solicitados segn lo previsto en el Cdigo
Financiero.
Estos derechos se cobrarn previo a la entrega de la informacin y
se calcularn atendiendo a los costos de los materiales, del envo y, en
su caso, de la certificacin de documentos.
Tema 10. Recurso de Revisin
Primero que nada es conveniente definir qu es un recurso administrativo, ya que el recurso de revisin que puede interponerse ante el
Instituto de Acceso a la Informacin Pblica del Distrito Federal es un
ejemplo de este tipo de recursos.
Un recurso administrativo es un medio de defensa con el que cuenta un ciudadano en contra de los actos de autoridad que considere
ilegales y que le causen un agravio especfico; se interpone ante el
mismo rgano de autoridad, su superior jerrquico o la instancia que
determine la Ley, para que ese acto sea revocado (es decir, dejado sin
efectos) o bien modificado.
Cabe sealar que el rgano que resuelve el recurso tambin puede
confirmar el acto que se impugna o recurre. Como el InfoDF es el rgano garante de hacer cumplir la Ley, ante el caso de una violacin a
alguna de sus disposiciones, se debe presentar un escrito denominado
recurso de revisin.
El recurso de revisin es el medio de defensa con el que cuentan las personas que se consideren agraviadas con la respuesta
que haya recado a su solicitud para ejercer cualquiera de los derechos ARCO o ante la omisin de la misma.
La OIP, tiene la obligacin de informarte, en la respuesta a tu solicitud, sobre el derecho que tienes a presentar un recurso de revisin, as
como el modo y plazo que tienes para hacerlo.
106
Procedimiento para el recurso de revisin

Independientemente al recurso de revisin, y en caso de que lo
consideres pertinente, tambin tienes derecho a presentar una queja
ante el rgano interno de control correspondiente.
La LPDPDF prev que el recurso de revisin se tramite de conformidad con el procedimiento previsto en la Ley de Transparencia y Acceso a la Informacin Pblica del Distrito Federal (LTAIPDF), del cual
haremos un breve repaso.34
Requisitos:
El recurso de revisin se interpone por escrito o por medio electrnico dentro de los 15 das hbiles contados a partir de la fecha en que
surta efectos la notificacin de la resolucin con la cual no se est de
acuerdo.
Ahora bien, si el recurso de revisin se presenta por falta de respuesta del Ente Pblico, el plazo para presentarlo se cuenta a partir
del momento en que concluye el periodo que tena el Ente para dar
107
contestacin a la solicitud, en este caso, basta que el solicitante acompae al recurso el documento que pruebe la fecha en que present la
solicitud.
El recurso de revisin debe cumplir los siguientes requisitos, de
acuerdo con lo que seala el artculo 78 de la Ley de Transparencia y
Acceso a la Informacin Pblica del Distrito Federal:
UU Dirigirse al Instituto de Acceso a la Informacin Pblica del D. F.
UU Contener el nombre del inconforme o representante legal y el
nombre del tercero interesado o afectado en su caso.
Un recurso administrativo
es un medio de defensa con
el que cuenta un ciudadano
en contra de los actos de
autoridad que considere
ilegales y que le causen
un agravio especfico
UU El domicilio o medio electrnico para or y recibir las notificaciones.

UU Precisar el acto que se impugna y la autoridad responsable.
UU Sealar la fecha en la que se le notific al solicitante el acto o
resolucin que se impugna.
UU Mencionar los hechos y agravios que le causa el acto al solicitante, y los artculos violados.
UU Acompaar copia de la resolucin correspondiente o copia de la
iniciacin del trmite.
Los agravios los podemos entender como la aplicacin indebida
de las disposiciones de la Ley de Proteccin de Datos Personales para
el Distrito Federal u otros ordenamientos legales que el recurrente (persona afectada que presenta un recurso de revisin) considera cometi
la autoridad responsable al emitir la resolucin que se impugna, o bien
la falta de respuesta.
Si se da el caso de que el recurrente no cumple con alguno de los
requisitos mencionados, el Instituto, en un plazo no mayor a cinco das,
lo prevendr para que en un periodo de cinco das hbiles corrija las
irregularidades encontradas.
Procedimiento:
Una vez presentado el recurso, el Instituto tiene hasta 40 das35
para emitir una resolucin a travs del siguiente procedimiento:
108
1) El InfoDF revisa y emite el acuerdo de correspondiente (puede

ser de admisin, prevencin o desechamiento) dentro de los 3
das hbiles siguientes.
En caso de no cumplir con alguno de los requisitos establecidos, el InfoDF puede solicitarte que corrijas las deficiencias en
un lapso mximo de 5 das hbiles (prevencin).
En este caso tambin se tienen 5 das hbiles para hacerlo. Si
no lo haces, se tendr por no presentado tu recurso.
2) Admitido el recurso, el InfoDF solicita al ente pblico que rinda
un informe sobre la situacin, dentro de los 5 das hbiles siguientes.
3) En caso de existir tercero interesado, se le dar vista para que
en el mismo plazo acredite su carcter y manifieste lo que a su
derecho convenga.
4) El informe del ente se har del conocimiento del recurrente para
que presente pruebas y manifieste lo que considere conveniente, en un plazo de 5 das hbiles.
5) Las partes tienen 3 das hbiles para presentar sus alegatos.
6) Finalmente en una sesin pblica, el Pleno del InfoDF emite la
resolucin respectiva y ordena su notificacin al recurrente, al
ente pblico correspondiente, as como al tercero interesado,
en su caso. La resolucin deber ser por escrito y contener el
plazo y los procedimientos para su cumplimiento.
En algunos casos, el InfoDF podr convocar, con 3 das hbiles de
anticipacin, al ente pblico y al recurrente a efecto de reunirse y evitar
pasos dilatorios en la entrega de la informacin.
Tipos de resolucin:
El Instituto puede resolver los recursos en estos sentidos:
UU Desechar el recurso.
UU Sobreseerlo, es decir, dar por terminado su trmite.
UU Confirmar la respuesta que haya emitido el Ente Pblico.
109
UU Revocar o modificar la respuesta del Ente Pblico y ordenarle que:

a) Permita el acceso a los datos solicitados.
b) Rectifique los datos.
c) Cancele los datos.
Las resoluciones del Instituto son definitivas, inatacables es decir,
no se pueden impugnar, salvo a travs del juicio de amparo y obligatorias para los particulares y para los entes pblicos. En el texto de las
resoluciones se debe hacer mencin a qu instancia puede acudir el
inconforme en defensa de sus derechos constitucionales (en este caso
ante un juez de distrito, en demanda de amparo indirecto).
El Ente que haya recibido una resolucin del Instituto est obligado
a cumplirla y a informar sobre su cumplimiento en un plazo no mayor
a cinco das hbiles, en caso contrario, el Instituto debe notificar al
superior jerrquico del Ente Pblico responsable, a fin de que ordene
el cumplimiento en un plazo que no debe exceder de diez das. Si se
diera el caso de que persistiera el incumplimiento, se notificar al rgano interno de control para su inmediata intervencin e inicie el procedimiento de responsabilidad correspondiente.
Tema 11. Infracciones
Las infracciones constituyen mecanismos coercitivos para exigir el
cumplimiento de las leyes.
Infraccin. Se entiende por infraccin a la transgresin, quebrantamiento, violacin, incumplimiento de ley, reglamento, convenio, tratado, contrato u orden.
La LPDPDF dedica su Ttulo Quinto De las Responsabilidades a
establecer, en un Captulo nico, las infracciones a la Ley, como son:
UU Omisin o irregularidad en la atencin de solicitudes ARCO.
UU Recabar datos personales sin cumplir con el deber de Informacin o sin el consentimiento cuando ste es procedente.
UU Crear sistemas sin la publicacin correspondiente en la GODF.
110
UU Incumplir con los principios, con las resoluciones del InfoDF o

con la presentacin del informe.
UU Obtencin fraudulenta o engaosa de datos; transmisiones indebidas (lucro).
UU Obstaculizar inspeccin del InfoDF.
UU Destruir, alterar o ceder datos personales sin autorizacin.
Estas infracciones o cualquiera otra derivada del incumplimiento de
las obligaciones establecidas en la Ley, ser sancionada en trminos
de la Ley de Federal de Responsabilidades de los Servidores Pblicos.
Las sanciones son independientes de las de orden civil o penal que
procedan, as como los procedimientos para el resarcimiento del dao
ocasionado por el ente pblico.
Por otra parte, se da atribucin al Instituto para denunciar cualquier
infraccin a la Ley ante las autoridades competentes y podr aportar
las pruebas que considere convenientes.
En este ltimo apartado se establece la obligacin, hacia los rganos internos de control y fiscalizacin de los entes pblicos, de entregar un informe estadstico semestral sobre procedimientos administrativos iniciados por incumplimiento a la LPDPDF y sus resultados,
informacin que debe ser incorporada al informe anual que presenta el
Instituto a la Asamblea Legislativa.
Las resoluciones que se adopten sobre el particular deben ser notificadas al ente pblico, al responsable del sistema de datos personales
y, en su caso, a los interesados.
Las infracciones constituyen

mecanismos coercitivos para exigir
el cumplimiento de las leyes
111
Sntesis
La proteccin de datos personales es un derecho que

consiste en ofrecer a los individuos los medios jurdicos
necesarios para controlar el uso de la informacin personal que les concierne.
La LPDPDF, a efecto de garantizar la debida proteccin de los mismos, adems de establecer los derechos
ARCO, incluye una serie de principios rectores en el tratamiento de este tipo de datos, como son el de finalidad,
calidad, consentimiento, deber de informacin, seguridad,
confidencialidad, disponibilidad y temporalidad.
Asimismo, la Ley establece la obligacin, por parte
de los entes pblicos, de que los datos organizados en
sus archivos, registros, ficheros, bases o bancos de datos
personales denominados en la Ley como sistemas de
datos personales deban contar con medidas y tipos de
seguridad, en atencin a la sensibilidad de los datos contenidos en cada sistema.
De igual forma, los entes pblicos deben realizar el
tratamiento de los datos estrictamente necesarios para el
ejercicio de sus atribuciones, atendiendo a una serie de
obligaciones, que reflejan la observancia de los principios
bsicos de la proteccin de datos, como lo son (i) informar
al interesado con carcter previo al tratamiento de datos;
(ii) recabar slo los datos imprescindibles para el ejercicio
de sus atribuciones; y (iii) facilitar a las personas el ejercicio de los derechos de Acceso, Rectificacin, Cancelacin
y Oposicin (ARCO).
En este sentido, todas aquellas personas que de alguna forma se relacionen con el tratamiento de los datos
personales y, en particular el responsable del sistema,
deben cumplir con ciertas obligaciones, entre las que se
encuentran: guardar confidencialidad de los datos que
112
manejan en el ejercicio de sus funciones; presentar un

informe anual sobre el cumplimiento de la Ley; actualizar
los datos personales de oficio; establecer criterios especficos sobre medidas de seguridad, as como elaborar un
plan de capacitacin y resolver sobre el ejercicio de derechos ARCO.
Ahora bien, los titulares de los datos personales, cuentan con el derecho de recurrir ante el Instituto de Acceso a
la Informacin Pblica del Distrito Federal (InfoDF) -rgano garante del derecho de acceso a la informacin pblica, y de la proteccin de los datos personales, cuando se
consideren agraviados por la respuesta que haya recado a su solicitud para ejercer cualquiera de los derechos
ARCO o ante la omisin de la misma, lo anterior a travs
de un recurso de revisin.
El procedimiento para el ejercicio de los derechos
ARCO se har de conformidad con lo dispuesto en la
LPDPDF; los Lineamientos para la Gestin de Solicitudes
de Informacin Pblica y de Datos Personales a travs del
Sistema INFOMEX-DF; y los Lineamientos para la Proteccin de Datos Personales en el Distrito Federal.
Finalmente debemos sealar que la Ley contiene un
captulo relativo a las infracciones que, derivadas del incumplimiento de la LPDPDF, pueden existir, las cuales
sern aplicadas por el rgano Interno de Control correspondiente y atendern a las sanciones establecidas en
la Ley Federal de Responsabilidades de los Servidores
Pblicos, siendo stas independientes de las sanciones
civiles y/o penales que pudieran presentarse.
113
AUTOEVALUACIN
Autoevaluacin
Cuestionario sobre los contenidos generales del mdulo tres, Aspectos Relevantes de la Ley de Proteccin de Datos Personales para el
Distrito Federal (LPDPDF).
1. Constituye un principio en materia de proteccin de datos personales:

A. Mxima publicidad.
B. Licitud.
C. Derecho de peticin.
D. Informacin reservada.
2. En atencin al principio de calidad los datos personales deben

ser:
A. Ciertos, adecuados, pertinentes y no excesivos.
B. Histricos, estadsticos o cientficos.
C. Secretos.
D. Disponibles.
3. El consentimiento se refiere a la manifestacin de la voluntad:
k
114
A. Cierta, presente y unvoca.

B. Libre, inequvoca, especfica e informada.
C. Veraz, oportuna y pertinente.
D. Secreta, confidencial y reservada.
A. Informacin patrimonial.
B. Caractersticas personales.
C. Datos de origen.
D. B y C.
5. El derecho de proteccin de datos es:

A. El poder de disposicin y control que faculta a su titular a decidir
cules de sus datos proporciona a un tercero, as como el saber
quin posee esos datos y para qu, pudiendo oponerse a esa
posesin o uso.
B. El derecho que tiene toda persona de acceder y corregir sus
datos.
C. El derecho de manifestar su oposicin a cualquier tratamiento.
D. Ninguna de las anteriores.
AUTOEVALUACIN
4. Se considera como un dato sensible:
k
115
Anexos
Temario
1. Entes Pblicos Obligados
2. Ley de Proteccin de Datos Personales
3. Lineamientos para la Proteccin de Datos
Personales en el Distrito Federal
4. Bibliografa
5. Glosario
6. Notas
Entes Pblicos
Obligados
del
Distrito Federal
rgano Ejecutivo
Administracin Pblica Centralizada
PP Jefatura de Gobierno del Distrito Federal.
http://www.df.gob.mx/
PP Secretara de Gobierno.
http://www.sg.df.gob.mx
PP Secretara de Desarrollo Urbano y Vivienda.

http://www.seduvi.df.gob.mx
PP Secretara de Desarrollo Econmico.

http://www.sedeco.df.gob.mx
PP Secretara de Turismo.
http://www.mexicocity.gob.mx
PP Secretara del Medio Ambiente.

http://www.sma.df.gob.mx
PP Secretara de Obras y Servicios.

http://www.obras.df.gob.mx
PP Secretara de Desarrollo Social.

http://www.sds.df.gob.mx
PP Secretara de Finanzas.
http://www.finanzas.df.gob.mx
PP Secretara de Transportes y Vialidad.

http://www.setravi.df.gob.mx
PP Secretara de Seguridad Pblica.

http://portal.ssp.df.gob.mx
PP Secretara de Salud.
http://www.salud.df.gob.mx
PP Secretara de Cultura.
http://www.cultura.df.gob.mx
PP Oficiala Mayor.
http://www.om.df.gob.mx
119
PP Contralora General del Distrito Federal.

http://www.contraloria.df.gob.mx
PP Procuradura General de Justicia del Distrito Federal.

http://www.pgjdf.gob.mx
PP Consejera Jurdica y de Servicios Legales.

http://www.consejeria.df.gob.mx
PP Secretara de Educacin.
http://www.educacion.df.gob.mx
PP Secretara de Desarrollo Rural y Equidad para las Comunidades.

http://www.sederec.df.gob.mx
PP Secretara de Proteccin Civil.

http://www.proteccioncivil.df.gob.mx/
PP Secretara de Trabajo y Fomento al Empleo.

http://www.styfe.df.gob.mx/
Delegaciones
PP Delegacin lvaro Obregn.
http://www.aobregon.df.gob.mx
PP Delegacin Azcapotzalco.
http://www.azcapotzalco.gob.mx
PP Delegacin Benito Jurez.

http://www.delegacionbenitojuarez.gob.mx
PP Delegacin Coyoacn.
http://www.coyoacan.df.gob.mx
PP Delegacin Cuajimalpa de Morelos.

http://www.cuajimalpa.df.gob.mx
PP Delegacin Cuauhtmoc.
http://www.cuauhtemoc.df.gob.mx
PP Delegacin Gustavo A. Madero.

http://www.gamadero.gob.mx
PP Delegacin Iztacalco.
http://www.iztacalco.df.gob.mx
PP Delegacin Iztapalapa.
http://www.iztapalapa.gob.mx
PP Delegacin La Magdalena Contreras.

http://www.mcontreras.df.gob.mx
PP Delegacin Miguel Hidalgo.

http://www.miguelhidalgo.gob.mx
PP Delegacin Milpa Alta.

http://www.milpa-alta.df.gob.mx
PP Delegacin Tlhuac.
http://www.tlahuac.df.gob.mx
120
PP Delegacin Tlalpan.
http://www.tlalpan.gob.mx
PP Delegacin Venustiano Carranza.

http://www.vcarranza.df.gob.mx
PP Delegacin Xochimilco.
http://www.xochimilco.df.gob.mx
Desconcentrados, Descentralizados, Paraestatales y Auxiliares

PP Autoridad de Espacios Pblicos.
(no tiene pgina).
PP Autoridad del Centro Histrico.

http://www.autoridadcentrohistorico.df.gob.mx/
PP Caja de Previsin de la Polica Auxiliar del Distrito Federal.

http://www.caprepa.df.gob.mx
PP Caja de Previsin de la Polica Preventiva del Distrito Federal.

http://www.caprepol.df.gob.mx
PP Caja de Previsin para Trabajadores a Lista de Raya del

Distrito Federal.
http://www.captralir.df.gob.mx
PP Calidad de Vida, Progreso y Desarrollo para la Ciudad de

Mxico S. A. de C. V. (Capital en crecimiento)
http://www.capitalencrecimiento.df.gob.mx
PP Comisin de Filmaciones de la Ciudad de Mxico.

(no tiene pgina)
PP Consejo de Evaluacin del Desarrollo Social del Distrito

Federal.
http://www.evalua.df.gob.mx
PP Corporacin Mexicana de Impresin S. A. de C. V.

http://www.comisa.df.gob.mx
PP Escuela de Administracin Pblica del Distrito Federal.

www.escueladeadministracionpublica.df.gob.mx
PP Fideicomiso Central de Abasto de la Ciudad de Mxico.

http://www.ficeda.com.mx/
PP Fideicomiso Centro Histrico de la Ciudad de Mxico.

http://www.centrohistorico.df.gob.mx
PP Fideicomiso de Recuperacin Crediticia del Distrito Federal.

http://www.fidere3.df.gob.mx
PP Fideicomiso Educacin Garantizada del Distrito Federal.

http://www.fideicomisoed.df.gob.mx/
PP Fideicomiso Museo de Arte Popular Mexicano.

http://www.map.df.gob.mx/
PP Fideicomiso Museo del Estanquillo.

http://www.museodelestanquillo.com
121
PP Fideicomiso para el Fondo de Promocin para el Financiamiento del Transporte Pblico.

http://www.setravi.df.gob.mx/
PP Fideicomiso para el Mejoramiento de las Vas de Comunicacin del Distrito Federal.

http://www.fimevic.df.gob.mx
PP Fideicomiso Pblico Ciudad Digital.

www.ciudadmexicodigital.com
PP Fideicomiso Pblico Complejo Ambiental Xochimilco.

(no tiene pgina).
PP Fideicomiso Pblico del Fondo de Apoyo a la Procuracin

de Justicia del Distrito Federal.
(no tiene pgina).
PP Fondo Ambiental Pblico del Distrito Federal.

http://www.sma.df.gob.mx
PP Fondo de Desarrollo Econmico del Distrito Federal.

http://www.fondeco.df.gob.mx/
PP Fondo de Seguridad Pblica del Distrito Federal.

http://www.pgjdf.gob.mx/foseg/index.php
PP Fondo Mixto de Promocin Turstica del Distrito Federal.

http://www.fmpt.df.gob.mx
PP Fondo para el Desarrollo Social de la Ciudad de Mxico.

http://www.fondeso.df.gob.mx
PP Fondo para la Atencin y Apoyo a las Vctimas del Delito.

http://www.pgjdf.gob.mx/faavid/index.php
PP Heroico Cuerpo de Bomberos del Distrito Federal.

http://www.bomberos.df.gob.mx
PP Instituto de Ciencia y Tecnologa del Distrito Federal.

http://www.icyt.df.gob.mx
PP Instituto de Educacin Media Superior del Distrito Federal.

http://www.iems.df.gob.mx
PP Instituto de Formacin Profesional del Distrito Federal.

http://www.ifp.pgjdf.gob.mx/
PP Instituto de la Juventud del Distrito Federal.

http://www.jovenes.df.gob.mx
PP Instituto Tcnico de Formacin Policial.

http://portal.ssp.df.gob.mx
PP Instituto de las Mujeres del Distrito Federal.

http://www.inmujeres.df.gob.mx
PP Instituto de Vivienda del Distrito Federal.

http://www.invi.df.gob.mx
PP Instituto del Deporte del Distrito Federal.

http://www.deporte.df.gob.mx/
122
PP Instituto para la Atencin de los Adultos Mayores en el Distrito Federal.

www.adultomayor.df.gob.mx
PP Junta de Asistencia Privada del Distrito Federal.

http://www.jap.org.mx
PP Sistema de Corredores de Transporte Pblico de Pasajeros

del Distrito Federal (Metrobs).
http://www.metrobus.df.gob.mx
PP Sistema de Radio y Televisin Digital del Gobierno del Distrito Federal.

http://www.canal21.df.gob.mx
PP Polica Auxiliar.
http://portal.ssp.df.gob.mx/Portal/NuestrosPolicias/PoliciaAuxiliar/
PP Polica Bancaria e Industrial.

http://www.policiabancaria.df.gob.mx/
PP Procuradura Ambiental y del Ordenamiento Territorial del Distrito Federal.

http://www.paot.org.mx
PP Procuradura Social del Distrito Federal.

http://www.prosoc.df.gob.mx
PP Proyecto Metro del Distrito Federal.

www.proyectometro.df.gob.mx
PP Red de Transporte de Pasajeros del Distrito Federal.

http://www.rtp.gob.mx
PP Servicio de Transportes Elctricos del Distrito Federal.

http://www.ste.df.gob.mx
PP Servicios de Salud Pblica del Distrito Federal.

http://www.salud.df.gob.mx:88/
PP Servicios Metropolitanos S. A. de C. V.
http://www.servimet.df.gob.mx
PP Sistema de Aguas de la Ciudad de Mxico.

http://www.sacm.df.gob.mx
PP Sistema de Transporte Colectivo.

http://www.stc.df.gob.mx
PP Sistema para el Desarrollo Integral de la Familia del Distrito

Federal.
http://www.dif.df.gob.mx
rgano Legislativo
PP Asamblea Legislativa del Distrito Federal.
http://www.asambleadf.gob.mx
123
PP Contadura Mayor de Hacienda de la Asamblea Legislativa

del Distrito Federal.
http://www.cmhaldf.gob.mx/
rgano Judicial
PP Tribunal Superior de Justicia del Distrito Federal.
http://www.tsjdf.gob.mx/
PP Consejo de la Judicatura del Distrito Federal.

http://www.cjdf.gob.mx
rganos Autnomos
PP Comisin de Derechos Humanos del Distrito Federal.
http://www.cdhdf.org.mx
PP Instituto de Acceso a la Informacin Pblica del Distrito

Federal.
http://www.infodf.org.mx
PP Instituto Electoral del Distrito Federal.

http://www.iedf.org.mx/
PP Junta Local de Conciliacin y Arbitraje del Distrito Federal.

http://www.juntalocal.df.gob.mx/
PP Tribunal de lo Contencioso Administrativo del Distrito Federal.

http://www.tcadf.gob.mx
PP Tribunal Electoral del Distrito Federal.

http://www.tedf.org.mx
PP Universidad Autnoma de la Ciudad de Mxico.

http://www.uacm.edu.mx/
Partidos Polticos del Distrito Federal

PP Partido Accin Nacional.
http://www.df.pan.org.mx
PP Partido Revolucionario Institucional.

http://www.ciudadfutura.org.mx
PP Partido de la Revolucin Democrtica.

http://www.prddf.org.mx
PP Partido del Trabajo.

http://www.partidodeltrabajo.org.mx/www.ptdf.php
PP Partido Verde Ecologista de Mxico.

http://www.pvem-df.com
PP Convergencia.
http://www.convergenciadfcomite.org.mx
PP Nueva Alianza.
http://www.nuevaalianza-df.org.mx
124
Agrupaciones Polticas Locales

PP Alianza de Organizaciones Sociales.
PP Agrupacin Cvica Democrtica.
PP Asociacin Mexicana de la Familia Pro Desarrollo Nacional.
PP Asociacin Profesional Interdisciplinaria de Mxico.
PP Avance Ciudadano.
PP Ciudadanos Activos del Distrito Federal.
PP Ciudadanos Unidos por Mxico.
PP Comisin de Organizaciones del Transporte y Agrupaciones
Ciudadanas.
PP Comit de Defensa Popular del Valle de Mxico.
PP Conciencia Ciudadana.
PP Coordinadora Ciudadana del Distrito Federal.
PP Corriente Solidaridad.
PP Esperanza Ciudadana.
PP Frente del Pueblo.
PP Fuerza Democrtica.
PP Fuerza del Tepeyac.
PP Fuerza Nacionalista Mexicana.
PP Fuerza Popular Lnea de Masas.
PP Mxico Avanza.
PP Mxico Joven.
PP Movimiento Civil 21.
PP Movimiento Libertad.
PP Movimiento Social Democrtico.
PP Mujeres Insurgentes.
PP Organizacin Ciudadana en Beneficio del Distrito Federal.
PP Organizacin Juvenil Participacin Social Activa.
PP Patria Nueva.
PP Por la Tercera Va.
PP Proyecto Ciudadano.
PP Proyecto Integral Democrtico de Enlace (PIDE).
PP Red Autogestionaria.
PP Tiempo Democrtico.
PP Unidos por la Ciudad de Mxico.
PP Unin Ciudadana en Accin.
PP Unin Nacional Interdisciplinaria de Ciudadanos en el Distrito Federal.
PP Vida Digna.
125
Ley
de
Proteccin
Personales
para el
de
Datos
Distrito Federal (LPDPDF)
Publicada en la Gaceta Oficial del Distrito Federal el 3 de octubre de

2008
(Al margen superior un escudo que dice: Ciudad de Mxico.- Capital
en Movimiento)
DECRETO POR EL QUE SE EXPIDE LA LEY DE PROTECCIN DE
DATOS PERSONALES PARA EL DISTRITO FEDERAL.
(Al margen superior un escudo que dice: Ciudad de Mxico.- Capital
en Movimiento)
DECRETO POR EL QUE SE EXPIDE LA LEY DE PROTECCIN DE
DATOS PERSONALES PARA EL DISTRITO FEDERAL.
MARCELO LUIS EBRARD CASAUBON, Jefe de Gobierno del Distrito
Federal, a sus habitantes sabed:
Que la H. Asamblea Legislativa del Distrito Federal, IV Legislatura se
ha servido dirigirme el siguiente:
DECRETO
(Al margen superior izquierdo un sello con el Escudo Nacional que
dice: ESTADOS UNIDOS MEXICANOS.- ASAMBLEA LEGISLATIVA
DEL DISTRITO FEDERAL, IV LEGISLATURA)
127
ASAMBLEA LEGISLATIVA DEL DISTRITO FEDERAL

IV LEGISLATURA
DECRETA
DECRETO POR EL QUE SE EXPIDE LA LEY DE PROTECCIN
DE DATOS PERSONALES PARA EL DISTRITO FEDERAL.
UNICO.- Se crea la Ley de Proteccin de Datos Personales para el Distrito Federal para quedar como sigue:
LEY DE PROTECCIN DE DATOS PERSONALES
PARA EL DISTRITO FEDERAL
TTULO PRIMERO
DISPOSICIONES COMUNES PARA LOS ENTES PBLICOS
CAPTULO NICO
DISPOSICIONES GENERALES
Artculo 1.- La presente Ley es de orden pblico e inters general
y tiene por objeto establecer los principios, derechos, obligaciones y
procedimientos que regulan la proteccin y tratamiento de los datos
personales en posesin de los entes pblicos.
Artculo 2.- Para los efectos de la presente Ley, se entiende por:
Bloqueo de datos personales: La identificacin y reserva de datos personales con el fin de impedir su tratamiento;
Cesin de datos personales: Toda obtencin de datos resultante de la
consulta de un archivo, registro, base o banco de datos, una publicacin de los datos contenidos en l, su interconexin con otros ficheros
y la comunicacin de datos realizada por una persona distinta a la interesada, as como la transferencia o comunicacin de datos realizada
entre entes pblicos;
Datos personales: La informacin numrica, alfabtica, grfica, acstica o de cualquier otro tipo concerniente a una persona fsica, identificada o identificable. Tal y como son, de manera enunciativa y no
128
limitativa: el origen tnico o racial, caractersticas fsicas, morales o

emocionales, la vida afectiva y familiar, el domicilio y telfono particular, correo electrnico no oficial, patrimonio, ideologa y opiniones polticas, creencias, convicciones religiosas y filosficas, estado de salud,
preferencia sexual, la huella digital, el ADN y el nmero de seguridad
social, y anlogos;
Ente Pblico: La Asamblea Legislativa del Distrito Federal; el Tribunal
Superior de Justicia del Distrito Federal; El Tribunal de lo Contencioso Administrativo del Distrito Federal; El Tribunal Electoral del Distrito
Federal; el Instituto Electoral del Distrito Federal; la Comisin de Derechos Humanos del Distrito Federal; la Junta de Conciliacin y Arbitraje
del Distrito Federal; la Jefatura de Gobierno del Distrito Federal; las
Dependencias, rganos Desconcentrados, rganos Poltico Administrativos y Entidades de la Administracin Pblica del Distrito Federal;
los rganos Autnomos por Ley; los partidos polticos, asociaciones y
agrupaciones polticas; as como aquellos que la legislacin local reconozca como de inters pblico y ejerzan gasto pblico; y los entes
equivalentes a personas jurdicas de derecho pblico o privado, ya sea
que en ejercicio de sus actividades acten en auxilio de los rganos
antes citados o ejerzan gasto pblico;
Instituto: El Instituto de Acceso a la Informacin Pblica del Distrito
Federal.
Interesado: Persona fsica titular de los datos personales que sean objeto del tratamiento al que se refiere la presente Ley;
Oficina de Informacin Pblica: La unidad administrativa receptora de
las solicitudes de acceso, rectificacin, cancelacin y oposicin de datos personales en posesin de los entes pblicos, a cuya tutela estar
el trmite de las mismas, conforme a lo establecido en esta Ley y en
los lineamientos que al efecto expida el Instituto;
Procedimiento de disociacin. Todo tratamiento de datos personales
de modo que la informacin que se obtenga no pueda asociarse a una
persona fsica identificada o identificable;
Responsable del Sistema de Datos Personales: Persona fsica que decida sobre la proteccin y tratamiento de datos personales, as como el
contenido y finalidad de los mismos;
129
Sistema de Datos Personales: Todo conjunto organizado de archivos,

registros, ficheros, bases o banco de datos personales de los entes
pblicos, cualquiera que sea la forma o modalidad de su creacin, almacenamiento, organizacin y acceso;
Tratamiento de Datos Personales: Cualquier operacin o conjunto de
operaciones efectuadas mediante procedimientos automatizados o fsicos, aplicados a los sistemas de datos personales, relacionados con
la obtencin, registro, organizacin, conservacin, elaboracin, utilizacin, cesin, difusin, interconexin o cualquier otra forma que permita
obtener informacin de los mismos y facilite al interesado el acceso,
rectificacin, cancelacin u oposicin de sus datos;
Usuario.- Aquel autorizado por el ente pblico para prestarle servicios
para el tratamiento de datos personales.
Artculo 3.- La interpretacin de esta ley se realizar conforme a la
Constitucin Poltica de los Estados Unidos Mexicanos, la Declaracin
Universal de los Derechos Humanos, el Pacto Internacional de Derechos Civiles y Polticos, la Convencin Americana sobre Derechos
Humanos, y dems instrumentos internacionales suscritos y ratificados
por el Estado Mexicano y la interpretacin que de los mismos hayan
realizado los rganos internacionales respectivos.
Artculo 4.- En todo lo no previsto en los procedimientos a que se refiere esta Ley, se aplicar de manera supletoria la Ley de Procedimiento
Administrativo del Distrito Federal y, en su defecto, el Cdigo de Procedimientos Civiles del Distrito Federal.
130
TITULO SEGUNDO
DE LA TUTELA DE DATOS PERSONALES
CAPTULO I
DE LOS PRINCIPIOS
Artculo 5.- Los sistemas de datos personales en posesin de los entes pblicos se regirn por los principios siguientes:
Licitud: Consiste en que la posesin y tratamiento de sistemas de datos personales obedecer exclusivamente a las atribuciones legales o
reglamentarias de cada ente pblico y debern obtenerse a travs de
medios previstos en dichas disposiciones.
Los sistemas de datos personales no pueden tener finalidades contrarias a las leyes o a la moral pblica y en ningn caso pueden ser
utilizados para finalidades distintas o incompatibles con aquella que
motivaron su obtencin. No se considerar incompatible el tratamiento
posterior de stos con fines histricos, estadsticos o cientficos.
Consentimiento: Se refiere a la manifestacin de voluntad libre, inequvoca, especfica e informada, mediante la cual el interesado consiente
el tratamiento de sus datos personales.
Calidad de los Datos: Los datos personales recabados deben ser
ciertos, adecuados, pertinentes y no excesivos en relacin al mbito
y finalidad para los que se hubieren obtenido. Los datos recabados
debern ser los que respondan con veracidad a la situacin actual del
interesado.
Confidencialidad: Consiste en garantizar que exclusivamente la persona interesada puede acceder a los datos personales o, en caso, el
responsable o el usuario del sistema de datos personales para su tratamiento, as como el deber de secreca del responsable del sistema
de datos personales, as como de los usuarios.
Los instrumentos jurdicos que correspondan a la contratacin de servicios del responsable del sistema de datos personales, as como de
los usuarios, debern prever la obligacin de garantizar la seguridad
y confidencialidad de los sistemas de datos personales, as como la
prohibicin de utilizarlos con propsitos distintos para los cuales se
131
llev a cabo la contratacin, as como las penas convencionales por

su incumplimiento. Lo anterior, sin perjuicio de las responsabilidades
previstas en otras disposiciones aplicables.
Los datos personales son irrenunciables, intransferibles e indelegables,
por lo que no podrn transmitirse salvo disposicin legal o cuando medie el consentimiento del titular y dicha obligacin subsistir an despus de finalizada la relacin entre el ente pblico con el titular de los
datos personales, as como despus de finalizada la relacin laboral
entre el ente pblico y el responsable del sistema de datos personales
o los usuarios.
El responsable del sistema de datos personales o los usuarios podrn
ser relevados del deber de confidencialidad por resolucin judicial y
cuando medien razones fundadas relativas a la seguridad pblica, la
seguridad nacional o la salud pblica.
Seguridad: Consiste en garantizar que nicamente el responsable del
sistema de datos personales o en su caso los usuarios autorizados
puedan llevar a cabo el tratamiento de los datos personales, mediante
los procedimientos que para tal efecto se establezcan.
Disponibilidad: Los datos deben ser almacenados de modo que permitan el ejercicio de los derechos de acceso, rectificacin, cancelacin y
oposicin del interesado.
Temporalidad: Los datos personales deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los que
hubiesen sido recolectados.
Queda exceptuado el tratamiento que con posterioridad se les d con
objetivos estadsticos o cientficos, siempre que cuenten con el procedimiento de disociacin.
nicamente podrn ser conservados de manera ntegra, permanente y
sujetos a tratamiento los datos personales con fines histricos.
132
CAPTULO II
DE LOS SISTEMAS DE DATOS PERSONALES
Artculo 6.- Corresponde a cada ente pblico determinar, a travs de
su titular o, en su caso, del rgano competente, la creacin, modificacin o supresin de sistemas de datos personales, conforme a su
respectivo mbito de competencia.
Artculo 7.- La integracin, tratamiento y tutela de los sistemas de datos personales se regirn por las disposiciones siguientes:
I. Cada ente pblico deber publicar en la Gaceta Oficial del Distrito
Federal la creacin, modificacin o supresin de su sistema de datos
personales;
II. En caso de creacin o modificacin de sistemas de datos personales, se deber indicar por lo menos:
a) La finalidad del sistema de datos personales y los usos previstos
para el mismo;
b) Las personas o grupos de personas sobre los que se pretenda obtener datos de carcter personal o que resulten obligados a suministrarlos;
c) El procedimiento de recoleccin de los datos de carcter personal;
d) La estructura bsica del sistema de datos personales y la descripcin de los tipos de datos incluidos en el mismo;
e) De la cesin de las que pueden ser objeto los datos;
f) Las instancias responsables del tratamiento del sistema de datos
personales;
g) La unidad administrativa ante la que podrn ejercitarse los derechos
de acceso, rectificacin, cancelacin u oposicin; y
h) El nivel de proteccin exigible.
III. En las disposiciones que se dicten para la supresin de los sistemas
de datos personales, se establecer el destino de los datos contenidos
en los mismos o, en su caso, las previsiones que se adopten para su
destruccin.
133
IV. De la destruccin de los datos personales podrn ser excluidos

aquellos que, con finalidades estadsticas o histricas, sean previamente sometidos al procedimiento de disociacin.
Artculo 8.- Los sistemas de datos personales en posesin de los entes pblicos debern inscribirse en el registro que al efecto habilite el
Instituto.
El registro debe comprender como mnimo la informacin siguiente:
I. Nombre y cargo del responsable y de los usuarios;
II. Finalidad del sistema;
III. Naturaleza de los datos personales contenidos en cada sistema;
IV. Forma de recoleccin y actualizacin de datos;
V. Destino de los datos y personas fsicas o morales a las que pueden
ser transmitidos;
VI. Modo de interrelacionar la informacin registrada;
VII. Tiempo de conservacin de los datos, y
VIII. Medidas de seguridad.
Artculo 9.- Cuando los entes pblicos recaben datos personales debern informar previamente a los interesados de forma expresa, precisa e inequvoca lo siguiente:
I. De la existencia de un sistema de datos personales, del tratamiento
de datos personales, de la finalidad de la obtencin de stos y de los
destinatarios de la informacin;
II. Del carcter obligatorio o facultativo de responder a las preguntas
que les sean planteadas;
III. De las consecuencias de la obtencin de los datos personales, de la
negativa a suministrarlos o de la inexactitud de los mismos;
IV. De la posibilidad para que estos datos sean difundidos, en cuyo
caso deber constar el consentimiento expreso del interesado, salvo
cuando se trate de datos personales que por disposicin de una Ley
sean considerados pblicos;
134
V. De la posibilidad de ejercitar los derechos de acceso, rectificacin,

cancelacin y oposicin; y
VI. Del nombre del responsable del sistema de datos personales y en
su caso de los destinatarios.
Cuando se utilicen cuestionarios u otros impresos para la obtencin
de los datos, figurarn en los mismos, en forma claramente legible, las
advertencias a que se refiere el presente artculo.
En caso de que los datos de carcter personal no hayan sido obtenidos
del interesado, ste deber ser informado de manera expresa, precisa
e inequvoca, por el responsable del sistema de datos personales, dentro de los tres meses siguientes al momento del registro de los datos,
salvo que ya hubiera sido informado con anterioridad de lo previsto en
las fracciones I, IV y V del presente artculo.
Se excepta de lo previsto en el presente artculo cuando alguna ley
expresamente as lo estipule.
Asimismo, tampoco regir lo dispuesto en el presente artculo cuando
los datos personales procedan de fuentes accesibles al pblico en general.
Artculo 10.- Ninguna persona est obligada a proporcionar datos personales considerados como sensibles, tal y como son: el origen tnico
o racial, caractersticas morales o emocionales, ideologa y opiniones
polticas, creencias, convicciones religiosas, filosficas y preferencia
sexual.
Queda prohibida la creacin de sistemas de datos personales que tengan la finalidad exclusiva de almacenar los datos personales sealados en el prrafo anterior y slo pueden ser tratados cuando medien
razones de inters general, as lo disponga una ley, lo consienta expresamente el interesado o, con fines estadsticos o histricos, siempre y
cuando se hubiera realizado previamente el procedimiento de disociacin.
Tratndose de estudios cientficos o de salud pblica el procedimiento
de disociacin no ser necesario.
135
Artculo 11.- Los archivos o sistemas creados con fines administrativos

por las dependencias, instituciones o cuerpos de seguridad pblica, en
los que se contengan datos de carcter personal, quedarn sujetos al
rgimen general de proteccin previsto en la presente Ley.
Los datos de carcter personal obtenidos para fines policiales, podrn
ser recabados sin consentimiento de las personas a las que se refieren, pero estarn limitados a aquellos supuestos y categoras de datos que resulten necesarios para la prevencin de un peligro real para
la seguridad pblica o para la prevencin o persecucin de delitos,
debiendo ser almacenados en sistemas especficos, establecidos al
efecto, que debern clasificarse por categoras en funcin de su grado
de confiabilidad.
La obtencin y tratamiento de los datos a los que se refiere el presente
artculo, podrn realizarse exclusivamente en los supuestos en que
sea absolutamente necesario para los fines de una investigacin concreta, sin perjuicio del control de legalidad de la actuacin administrativa o de la obligacin de resolver las pretensiones formuladas por los
interesados ante los rganos jurisdiccionales.
Los datos personales recabados con fines policiales se cancelarn
cuando no sean necesarios para las investigaciones que motivaron su
almacenamiento.
A estos efectos, se considerar especialmente la edad del interesado
y el carcter de los datos almacenados, la necesidad de mantener los
datos hasta la conclusin de una investigacin o procedimiento concreto, la resolucin judicial firme, en especial la absolutoria, el indulto, la
rehabilitacin y la prescripcin de responsabilidad.
Artculo 12.- Los responsables de los sistemas de datos personales
con fines policiales, para la prevencin de conductas delictivas o en
materia tributaria, podrn negar el acceso, rectificacin, oposicin y
cancelacin de datos personales en funcin de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pblica, la
proteccin de los derechos y libertades de terceros o las necesidades
de las investigaciones que se estn realizando, as como cuando los
mismos obstaculicen la actuacin de la autoridad durante el cumplimiento de sus atribuciones.
136
CAPTULO III
DE LAS MEDIDAS DE SEGURIDAD
Artculo 13.- Los entes pblicos establecern las medidas de seguridad tcnica y organizativa para garantizar la confidencialidad e integralidad de cada sistema de datos personales que posean, con la finalidad
de preservar el pleno ejercicio de los derechos tutelados en la presente
Ley, frente a su alteracin, prdida, transmisin y acceso no autorizado, de conformidad al tipo de datos contenidos en dichos sistemas.
Dichas medidas sern adoptadas en relacin con el menor o mayor
grado de proteccin que ameriten los datos personales, debern constar por escrito y ser comunicadas al Instituto para su registro.
Las medidas de seguridad que al efecto se establezcan debern indicar el nombre y cargo del servidor pblico o, en su caso, la persona fsica o moral que intervengan en el tratamiento de datos personales con
el carcter de responsable del sistema de datos personales o usuario,
segn corresponda. Cuando se trate de usuarios se debern incluir los
datos del acto jurdico mediante el cual, el ente pblico otorg el tratamiento del sistema de datos personales.
En el supuesto de actualizacin de estos datos, la modificacin respectiva deber notificarse al Instituto, dentro de los 30 das hbiles
siguientes a la fecha en que se efectu.
Artculo 14.- El ente pblico responsable de la tutela y tratamiento
del sistema de datos personales, adoptar las medidas de seguridad,
conforme a lo siguiente:
A. Tipos de seguridad:
I. Fsica.- Se refiere a toda medida orientada a la proteccin de instalaciones, equipos, soportes o sistemas de datos para la prevencin de
riesgos por caso fortuito o causas de fuerza mayor;
II. Lgica.- Se refiere a las medidas de proteccin que permiten la identificacin y autentificacin de las personas o usuarios autorizados para
el tratamiento de los datos personales de acuerdo con su funcin;
III. De desarrollo y aplicaciones.- Corresponde a las autorizaciones con
las que deber contar la creacin o tratamiento de sistemas de datos
137
personales, segn su importancia, para garantizar el adecuado desarrollo y uso de los datos, previendo la participacin de usuarios, la separacin de entornos, la metodologa a seguir, ciclos de vida y gestin,
as como las consideraciones especiales respecto de aplicaciones y
pruebas;
IV. De cifrado.- Consiste en la implementacin de algoritmos, claves,
contraseas, as como dispositivos concretos de proteccin que garanticen la integralidad y confidencialidad de la informacin; y
V. De comunicaciones y redes.- Se refiere a las restricciones preventivas y/o de riesgos que debern observar los usuarios de datos o sistemas de datos personales para acceder a dominios o cargar programas
autorizados, as como para el manejo de telecomunicaciones.
B. Niveles de seguridad:
I. Bsico.- Se entender como tal, el relativo a las medidas generales
de seguridad cuya aplicacin es obligatoria para todos los sistemas
de datos personales. Dichas medidas corresponden a los siguientes
aspectos:
a) Documento de seguridad;
b) Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;
c) Registro de incidencias;
d) Identificacin y autentificacin;
e) Control de acceso;
f) Gestin de soportes, y
g) Copias de respaldo y recuperacin.
II. Medio.- Se refiere a la adopcin de medidas de seguridad cuya aplicacin corresponde a aquellos sistemas de datos relativos a la comisin
de infracciones administrativas o penales, hacienda pblica, servicios
financieros, datos patrimoniales, as como a los sistemas que contengan datos de carcter personal suficientes que permitan obtener una
evaluacin de la personalidad del individuo. Este nivel de seguridad, de
manera adicional a las medidas calificadas como bsicas, considera
los siguientes aspectos:
a) Responsable de seguridad;
138
b) Auditora;
c) Control de acceso fsico; y
d) Pruebas con datos reales.
III. Alto.- Corresponde a las medidas de seguridad aplicables a sistemas de datos concernientes a la ideologa, religin, creencias, afiliacin poltica, origen racial o tnico, salud, biomtricos, genticos o
vida sexual, as como los que contengan datos recabados para fines
policiales, de seguridad, prevencin, investigacin y persecucin de
delitos. Los sistemas de datos a los que corresponde adoptar el nivel
de seguridad alto, adems de incorporar las medidas de nivel bsico y
medio, debern completar las que se detallan a continuacin:
a) Distribucin de soportes;
b) Registro de acceso; y
c) Telecomunicaciones.
Los diferentes niveles de seguridad sern establecidos atendiendo a
las caractersticas propias de la informacin.
Artculo 15.- Las medidas de seguridad a las que se refiere el artculo anterior constituyen mnimos exigibles, por lo que el ente pblico
adoptar las medidas adicionales que estime necesarias para brindar
mayores garantas en la proteccin y resguardo de los sistemas de
datos personales. Por la naturaleza de la informacin, las medidas de
seguridad que se adopten sern consideradas confidenciales y nicamente se comunicar al Instituto, para su registro, el nivel de seguridad
aplicable.
CAPTULO IV
DEL TRATAMIENTO DE DATOS PERSONALES
Artculo 16.- El tratamiento de los datos personales, requerir el consentimiento inequvoco, expreso y por escrito del interesado, salvo en
los casos y excepciones siguientes:
I. Cuando se recaben para el ejercicio de las atribuciones legales conferidas a los entes pblicos;
139
II. Cuando exista una orden judicial;

III. Cuando se refieran a las partes de un convenio de una relacin de
negocios, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento;
IV. Cuando el interesado no est en posibilidad de otorgar su consentimiento por motivos de salud y el tratamiento de sus datos resulte necesario para la prevencin o para el diagnstico mdico, la prestacin
o gestin de asistencia sanitaria o tratamientos mdicos, siempre que
dicho tratamiento de datos se realice por una persona sujeta al secreto
profesional u obligacin equivalente;
V. Cuando la transmisin se encuentre expresamente prevista en una
ley;
VI. Cuando la transmisin se produzca entre organismos gubernamentales y tenga por objeto el tratamiento posterior de los datos con fines
histricos, estadsticos o cientficos;
VII. Cuando se den a conocer a terceros para la prestacin de un servicio que responda al tratamiento de datos personales, mediante la libre
y legtima aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control implique necesariamente que la comunicacin de los
datos ser legtima en cuanto se limite a la finalidad que la justifique;
VIII. Cuando se trate de datos personales relativos a la salud, y sea
necesario por razones de salud pblica, de emergencia, o para la realizacin de estudios epidemiolgicos; y
IX. Cuando los datos figuren en registros pblicos en general y su tratamiento sea necesario siempre que no se vulneren los derechos y
libertades fundamentales del interesado.
El consentimiento a que se refiere el presente artculo podr ser revocado cuando exista causa justificada para ello y no se le atribuyan
efectos retroactivos.
El ente pblico no podr difundir o ceder los datos personales contenidos en los sistemas de datos desarrollados en el ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso por escrito o
por un medio de autenticacin similar, de las personas a que haga referencia la informacin. Al efecto, la oficina de informacin pblica contar
con los formatos necesarios para recabar dicho consentimiento.
140
El cesionario quedar sujeto a las mismas obligaciones legales y reglamentarias del cedente, respondiendo solidariamente por la inobservancia de las mismas.
Artculo 17.- En los supuestos de utilizacin o cesin de los datos de
carcter personal en que se impida gravemente o se atente de igual
modo contra el ejercicio de derechos de las personas, el Instituto podr
requerir a los responsables de los sistemas de datos personales, la
suspensin en la utilizacin o cesin de los datos. Si el requerimiento
fuera desatendido, mediante resolucin fundada y motivada, el Instituto podr bloquear tales sistemas, de conformidad con el procedimiento
que al efecto se establezca. El incumplimiento a la inmovilizacin ordenada por el Instituto ser sancionado por la autoridad competente de
conformidad por la Ley Federal de Responsabilidades de los Servidores Pblicos.
Artculo 18.- El tratamiento de los sistemas de datos personales en
materia de salud, se rige por lo dispuesto en la Ley General de Salud,
la Ley de Salud para el Distrito Federal y dems normas que de ellas
deriven. El tratamiento y cesin a esta informacin obliga a preservar
los datos de identificacin personal del paciente, separados de los de
carcter clnico asistencial, de manera tal que se mantenga la confidencialidad de los mismos, salvo que el propio paciente haya dado su
consentimiento para no separarlos. Se exceptan los supuestos de investigacin cientfica, de salud pblica o con fines judiciales, en los que
se considere imprescindible la unificacin de los datos identificativos
con los clnico-asistenciales. El acceso a los datos y documentos relacionados con la salud de las personales queda limitado estrictamente
a los fines especficos de cada caso.
Artculo 19.- Los sistemas de datos personales que hayan sido objeto de tratamiento, debern ser suprimidos una vez que concluyan los
plazos de conservacin establecidos por las disposiciones aplicables,
o cuando dejen de ser necesarios para los fines por los cuales fueron
recabados.
141
En el caso de que el tratamiento de los sistemas haya sido realizado

por una persona distinta al ente pblico, el instrumento jurdico que
dio origen al mismo deber establecer el plazo de conservacin por
el usuario, al trmino del cual los datos debern ser devueltos en su
totalidad al ente pblico, quien deber garantizar su tutela o proceder,
en su caso, a la supresin.
Artculo 20.- En caso de que los destinatarios de los datos sean instituciones de otras entidades federativas, los entes pblicos debern
asegurarse que tales instituciones garanticen que cuentan con niveles
de proteccin, semejantes o superiores, a los establecidos en esta Ley
y, en la propia normatividad del ente pblico de que se trate.
En el supuesto de que los destinatarios de los datos sean personas
o instituciones de otros pases, el responsable del sistema de datos
personales deber realizar la cesin de los mismos, conforme a las
disposiciones previstas en la legislacin federal aplicable, siempre y
cuando se garanticen los niveles de seguridad y proteccin previstos
en la presente Ley.
CAPTULO V
DE LAS OBLIGACIONES DE LOS ENTES PBLICOS
Artculo 21.- El titular del ente pblico designar al responsable de los
sistemas de datos personales, mismo que deber:
I. Cumplir con las polticas y lineamientos as como las normas aplicables para el manejo, tratamiento, seguridad y proteccin de datos
personales;
II. Adoptar las medidas de seguridad necesarias para la proteccin de
datos personales y comunicarlas al Instituto para su registro, en los
trminos previstos en esta Ley;
III. Elaborar y presentar al Instituto un informe correspondiente sobre
las obligaciones previstas en la presente Ley, a ms tardar el ltimo da
hbil del mes de enero de cada ao. La omisin de dicho informe ser
motivo de responsabilidad;
IV. Informar al interesado al momento de recabar sus datos personales, sobre la existencia y finalidad de los sistemas de datos personales,
142
as como el carcter obligatorio u optativo de proporcionarlos y las consecuencias de ello;

V. Adoptar los procedimientos adecuados para dar trmite a las solicitudes de informes, acceso, rectificacin, cancelacin y oposicin de
datos personales y, en su caso, para la cesin de los mismos; debiendo capacitar a los servidores pblicos encargados de su atencin y
seguimiento;
VI. Utilizar los datos personales nicamente cuando stos guarden relacin con la finalidad para la cual se hayan obtenido;
VII. Permitir en todo momento al interesado el ejercicio del derecho de
acceso a sus datos personales, a solicitar la rectificacin o cancelacin, as como a oponerse al tratamiento de los mismos en los trminos
de esta Ley;
VIII. Actualizar los datos personales cuando haya lugar, debiendo corregir o completar de oficio aquellos que fueren inexactos o incompletos, a efecto de que coincidan con los datos presentes del interesado,
siempre y cuando se cuente con el documento que avale la actualizacin de dichos datos. Lo anterior, sin perjuicio del derecho del interesado para solicitar la rectificacin o cancelacin de los datos personales
que le conciernen;
IX. Establecer los criterios especficos sobre el manejo, mantenimiento,
seguridad y proteccin del sistema de datos personales;
X. Elaborar un plan de capacitacin en materia de seguridad de datos
personales;
XI. Resolver sobre el ejercicio de los derechos de acceso, rectificacin,
cancelacin y oposicin de los datos de las personas;
XII. Establecer los criterios especficos sobre el manejo, mantenimiento, seguridad y proteccin del sistema de datos personales;
XIII. Llevar a cabo o, en su caso, coordinar la ejecucin material de las
diferentes operaciones y procedimientos en que consista el tratamiento
de datos y sistemas de datos de carcter personal a su cargo;
XIV. Coordinar y supervisar la adopcin de las medidas de seguridad
a que se encuentren sometidos los sistemas de datos personales de
acuerdo con la normativa vigente;
143
XV. Dar cuenta de manera fundada y motivada a la autoridad competente de la aplicacin de las excepciones al rgimen general previsto
para el acceso, rectificacin, cancelacin u oposicin de datos personales; y
XVI. Las dems que se deriven de la presente Ley o dems ordenamientos jurdicos aplicables.
Artculo 22.- El titular del ente pblico ser el responsable de decidir sobre la finalidad, contenido y uso del tratamiento del sistema de
datos personales, quien podr delegar dicha atribucin en la unidad
administrativa en la que se concrete la competencia material, a cuyo
ejercicio sirva instrumentalmente el sistema de datos y est adscrito el
responsable del mismo.
TTULO TERCERO
DE LA AUTORIDAD RESPONSABLE
DEL CONTROL Y VIGILANCIA
CAPTULO NICO
DEL INSTITUTO Y SUS ATRIBUCIONES
Artculo 23.- El Instituto de Acceso a la Informacin Pblica del Distrito
Federal es el rgano encargado de dirigir y vigilar el cumplimiento de la
presente Ley, as como de las normas que de ella deriven; ser la autoridad encargada de garantizar la proteccin y el correcto tratamiento
Artculo 24.- El Instituto tendr las atribuciones siguientes:
I. Establecer, en el mbito de su competencia, polticas y lineamientos
de observancia general para el manejo, tratamiento, seguridad y proteccin de los datos personales que estn en posesin de los entes
pblicos, as como expedir aquellas normas que resulten necesarias
para el cumplimiento de esta Ley;
II. Disear y aprobar los formatos de solicitudes de acceso, rectificacin, cancelacin y oposicin de datos personales;
144
III. Establecer sistemas electrnicos para la recepcin y trmite de

solicitudes de acceso, rectificacin, cancelacin y oposicin de datos
personales;
IV. Llevar a cabo el registro de los sistemas de datos personales en
posesin de los entes pblicos;
V. Elaborar y mantener actualizado el registro del nivel de seguridad
aplicable a los sistemas de datos personales, en posesin de los entes
pblicos, en trminos de esta Ley;
VI. Emitir opiniones sobre temas relacionados con la presente Ley, as
como formular observaciones y recomendaciones a los entes pblicos,
derivadas del incumplimiento de los principios que rigen esta Ley;
VII. Hacer del conocimiento del rgano de control interno del ente pblico que corresponda, las resoluciones que emita relacionadas con la
probable violacin a las disposiciones materia de la presente Ley;
VIII. Orientar y asesorar a las personas que lo requieran acerca del
contenido y alcance de la presente ley;
IX. Elaborar y publicar estudios e investigaciones para difundir el conocimiento de la presente Ley;
X. Solicitar y evaluar los informes presentados por los entes pblicos
respecto del ejercicio de los derechos previstos en esta Ley. Dicha
evaluacin se incluir en el informe que de conformidad con el artculo
74 de la Ley de Transparencia y Acceso a la informacin pblica presenta el Instituto a la Asamblea Legislativa del Distrito Federal y deber
incluir por lo menos:
a) El nmero de solicitudes de acceso, rectificacin, cancelacin y oposicin de datos personales presentadas ante cada Ente Pblico, as
como su resultado;
b). El tiempo de respuesta a la solicitud;
c). El estado que guardan las denuncias presentadas ante los rganos
internos de control y las dificultades observadas en el cumplimiento de
esta Ley;
d). El uso de los recursos pblicos en la materia;
e). Las acciones desarrolladas;
f). Sus indicadores de gestin; y
145
g). El impacto de su actuacin.

XI. Organizar seminarios, cursos, talleres y dems actividades que
promuevan el conocimiento de la presente Ley y los derechos de las
personas sobre sus datos personales;
XII. Establecer programas de capacitacin en materia de proteccin de
datos personales y promover acciones que faciliten a los entes pblicos y a su personal participar de estas actividades, a fin de garantizar
el adecuado cumplimiento de los principios que rigen la presente Ley;
XIII. Promover entre las instituciones educativas, pblicas y privadas,
la inclusin dentro de sus actividades acadmicas, curriculares y extracurriculares, los temas que ponderen la importancia del derecho a la
proteccin de datos personales;
XIV. Promover la elaboracin de guas que expliquen los procedimientos y trmites materia de esta Ley;
XV. Investigar, substanciar y resolver el recurso de revisin en los trminos previstos en esta Ley y en la Ley de Transparencia y Acceso a
la Informacin Pblica del Distrito Federal;
XVI. Evaluar la actuacin de los Entes Pblicos, mediante la prctica
de visitas de inspeccin peridicas de oficio, a efecto de verificar la
observancia de los principios contenidos en esta Ley, las cuales en
ningn caso podrn referirse a informacin de acceso restringido de
conformidad con la legislacin aplicable;
XVII. Procurar la conciliacin de los intereses de los interesados con
los de los entes pblicos, cuando stos entren en conflicto con motivo
de la aplicacin de la presente Ley; y
XVIII. Las dems que establezca esta Ley, y dems ordenamientos
aplicables.
Artculo 25.- A efecto de impulsar una cultura de proteccin de datos
personales, se deber promover el desarrollo de eventos que fomenten la profesionalizacin de los servidores pblicos del Distrito Federal,
sobre los sistemas y las medidas de seguridad que precisa la tutela de
los datos personales de cada ente pblico.
146
TTULO CUARTO
DE LOS DERECHOS Y DEL PROCEDIMIENTO
PARA SU EJERCICIO
CAPTULO I
DERECHOS EN MATERIA DE DATOS PERSONALES
Artculo 26.- Todas las personas, previa identificacin mediante documento oficial, contarn con los derechos de acceso, rectificacin, cancelacin y oposicin de sus datos personales en posesin de los entes
pblicos, siendo derechos independientes, de tal forma que no puede
entenderse que el ejercicio de alguno de ellos sea requisito previo o
impida el ejercicio de otro.
La respuesta a cualquiera de los derechos previstos en la presente ley,
deber ser proporcionada en forma legible e inteligible, pudiendo suministrase, a opcin del interesado, por escrito o mediante consulta directa.
Artculo 27.- El derecho de acceso se ejercer para solicitar y obtener
informacin de los datos de carcter personal sometidos a tratamiento,
el origen de dichos datos, as como las cesiones realizadas o que se
prevn hacer, en trminos de lo dispuesto por esta Ley.
Artculo 28.- Proceder el derecho de rectificacin de datos del interesado, en los sistemas de datos personales, cuando tales datos resulten
inexactos o incompletos, inadecuados o excesivos, siempre y cuando
no resulte imposible o exija esfuerzos desproporcionados.
No obstante, cuando se trate de datos que reflejen hechos constatados
en un procedimiento administrativo o en un proceso judicial, aquellos
se considerarn exactos siempre que coincidan con stos.
Artculo 29.- El interesado tendr derecho a solicitar la cancelacin
de sus datos cuando el tratamiento de los mismos no se ajuste a lo
dispuesto en la Ley o en los lineamientos emitidos por el Instituto, o
cuando hubiere ejercido el derecho de oposicin y ste haya resultado
procedente.
147
La cancelacin dar lugar al bloqueo de los datos, conservndose nicamente a disposicin de los entes pblicos, para la atencin de las
posibles responsabilidades nacidas del tratamiento, durante el plazo
de prescripcin de stas. Cumplido el plazo deber procederse a su
supresin, en trminos de la normatividad aplicable.
La supresin de datos no procede cuando pudiese causar perjuicios a
derechos o intereses legtimos de terceros, o cuando exista una obligacin legal de conservar dichos datos.
Artculo 30.- El interesado tendr derecho a oponerse al tratamiento de los datos que le conciernan, en el supuesto en que los datos
se hubiesen recabado sin su consentimiento, cuando existan motivos
fundados para ello y la ley no disponga lo contrario. De actualizarse
tal supuesto, el responsable del sistema de datos personales deber
cancelar los datos relativos al interesado.
Artculo 31.- Si los datos rectificados o cancelados hubieran sido transmitidos previamente, el responsable del tratamiento deber notificar la
rectificacin o cancelacin efectuada a quien se hayan transmitido, en
el caso de que se mantenga el tratamiento por este ltimo, quin deber tambin proceder a la rectificacin o cancelacin de los mismos.
CAPTULO II
DEL PROCEDIMIENTO
Artculo 32.- La recepcin y trmite de las solicitudes de acceso, rectificacin, cancelacin u oposicin de datos personales que se formule
a los entes pblicos se sujetarn al procedimiento establecido en el
presente captulo.
Sin perjuicio de lo que dispongan otras leyes, slo el interesado o su
representante legal, previa acreditacin de su identidad, podrn solicitar al ente pblico, a travs de la oficina de informacin pblica competente, que le permita el acceso, rectificacin, cancelacin o haga
efectivo su derecho de oposicin, respecto de los datos personales
que le conciernan y que obren en un sistema de datos personales en
posesin del ente pblico.
148
La oficina de informacin pblica del ente pblico deber notificar al

solicitante en el domicilio o medio electrnico sealado para tales efectos, en un plazo mximo de quince das hbiles contados desde la
presentacin de la solicitud, la determinacin adoptada en relacin con
su solicitud, a efecto que, de resultar procedente, se haga efectiva la
misma dentro de los diez das hbiles siguientes a la fecha de la citada
notificacin.
El plazo de quince das, referido en el prrafo anterior, podr ser ampliado una nica vez, por un periodo igual, siempre y cuando as lo
justifiquen las circunstancias del caso.
Si al ser presentada la solicitud no es precisa o no contiene todos los
datos requeridos, en ese momento el Ente Pblico, en caso de ser
solicitud verbal, deber ayudar al solicitante a subsanar las deficiencias. Si los detalles proporcionados por el solicitante no bastan para
localizar los datos personales o son errneos, la oficina de informacin
pblica del ente pblico podr prevenir, por una sola vez y, dentro de
los cinco das hbiles siguientes a la presentacin de la solicitud, para
que aclare o complete su solicitud, apercibido de que de no desahogar
la prevencin se tendr por no presentada la solicitud.
Este requerimiento interrumpe los plazos establecidos en los dos prrafos anteriores.
En el supuesto que los datos personales a que se refiere la solicitud
obren en los sistemas de datos personales del ente pblico y ste considere improcedente la solicitud de acceso, rectificacin, cancelacin
u oposicin, se deber emitir una resolucin fundada y motivada al
respecto. Dicha respuesta deber estar firmada por el titular de la oficina de informacin pblica y por el responsable del sistema de datos
personales del ente pblico.
Cuando los datos personales respecto de los cuales se ejerciten los
derechos de acceso, rectificacin, cancelacin u oposicin, no sean
localizados en los sistemas de datos del ente pblico, se har del conocimiento del interesado a travs de acta circunstanciada, en la que
se indiquen los sistemas de datos personales en los que se realiz la
bsqueda. Dicha acta deber estar firmada por un representante del
rgano de control interno, el titular de la oficina de informacin pblica
y el responsable del sistema de datos personales del ente pblico.
149
Artculo 33.- La solicitud de acceso, rectificacin, cancelacin u oposicin de datos personales, se deber presentar ante la oficina de informacin pblica del ente pblico que el interesado considere que est
procesando informacin de su persona. El procedimiento de acceso,
rectificacin, cancelacin u oposicin de datos personales, iniciar con
la presentacin de una solicitud en cualquiera de las siguientes modalidades:
I. Por escrito material, ser la presentada personalmente por el interesado o su representante legal, en la oficina de informacin pblica,
o bien, a travs de correo ordinario, correo certificado o servicio de
mensajera;
II. En forma verbal, ser la que realiza el interesado o su representante
legal directamente en la oficina de informacin pblica, de manera oral
y directa, la cual deber ser capturada por el responsable de la oficina
en el formato respectivo;
III. Por correo electrnico, ser la que realiza el interesado a travs de
una direccin electrnica y sea enviada a la direccin de correo electrnico asignada a la oficina de informacin pblica del ente pblico;
IV. Por el sistema electrnico que el Instituto establezca para tal efecto, y
V. Por va telefnica, en trminos de los lineamientos que expida el
Instituto.
Artculo 34.- La solicitud de acceso, rectificacin, cancelacin u oposicin de los datos personales deber contener, cuando menos, los
requisitos siguientes:
I. Nombre del ente pblico a quien se dirija;
II. Nombre completo del interesado, en su caso, el de su representante
legal;
III. Descripcin clara y precisa de los datos personales respecto de los
que se busca ejercer alguno de los derechos antes mencionados;
IV. Cualquier otro elemento que facilite su localizacin;
V. El domicilio, mismo que se debe encontrar dentro del Distrito Federal, o medio electrnico para recibir notificaciones, y
150
VI. Opcionalmente, la modalidad en la que prefiere se otorgue el acceso a sus datos personales, la cual podr ser consulta directa, copias
simples o certificadas.
En el caso de solicitudes de acceso a datos personales, el interesado,
o en su caso, su representante legal deber acreditar su identidad y
personalidad al momento de la entrega de la informacin. Asimismo,
deber acreditarse la identidad antes de que el ente pblico proceda a
la rectificacin o cancelacin.
En el caso de solicitudes de rectificacin de datos personales, el interesado deber indicar el dato que es errneo y la correccin que debe
realizarse y acompaar la documentacin probatoria que sustente su
peticin, salvo que la misma dependa exclusivamente del consentimiento del interesado y sta sea procedente.
En el caso de solicitudes de cancelacin de datos personales, el interesado deber sealar las razones por las cuales considera que el tratamiento de los datos no se ajusta a lo dispuesto en la Ley, o en su caso,
acreditar la procedencia del ejercicio de su derecho de oposicin.
Los medios por los cuales el solicitante podr recibir notificaciones y
acuerdos de trmite sern: correo electrnico, notificacin personal en
su domicilio o en la propia oficina de informacin pblica que corresponda. En el caso de que el solicitante no seale domicilio o algn
medio de los autorizados por esta ley para or y recibir notificaciones,
la prevencin se notificar por lista que se fije en los estrados de la
Oficina de Informacin Pblica del Ente Pblico que corresponda.
El nico medio por el cual el interesado podr recibir la informacin
referente a los datos personales ser la oficina de informacin pblica,
y sin mayor formalidad que la de acreditar su identidad y cubrir los
costos de conformidad con la presente Ley y el Cdigo Financiero del
Distrito Federal.
El Instituto y los entes pblicos contarn con la infraestructura y los
medios tecnolgicos necesarios para garantizar el efectivo acceso a la
informacin de las personas con discapacidad.
151
Artculo 35.- Presentada la solicitud de acceso, rectificacin, cancelacin u oposicin de datos personales, la oficina de informacin pblica
del ente pblico, observar el siguiente procedimiento:
I. Proceder a la recepcin y registro de la solicitud y devolver al interesado, una copia de la solicitud registrada, que servir de acuse de
recibo, en la que deber aparecer sello institucional, la hora y la fecha
del registro;
II. Registrada la solicitud, se verificar si cumple con los requisitos establecidos por el artculo anterior, de no ser as se prevendr al interesado, tal y como lo seala el artculo 32 de la presente Ley. De cumplir
con los requisitos se turnar a la unidad administrativa que corresponda para que proceda a la localizacin de la informacin solicitada, a fin
de emitir la respuesta que corresponda;
III. La unidad administrativa informar a la oficina de informacin pblica de la existencia de la informacin solicitada. En caso de inexistencia, se proceder de conformidad con lo previsto por el artculo 32
para que la oficina de informacin pblica a su vez realice una nueva
bsqueda en otra rea o unidad administrativa.
En la respuesta, la oficina de informacin pblica, sealar el costo
que por concepto de reproduccin deber pagar el solicitante en los
trminos del Cdigo Financiero del Distrito Federal;
IV. La oficina de informacin pblica, notificar en el domicilio o a travs del medio sealado para tal efecto, la existencia de una respuesta
para que el interesado o su representante legal pasen a recogerla a la
oficina de informacin pblica;
V. En cualquier caso, la entrega en soporte impreso o el acceso electrnico directo a la informacin solicitada se realizar de forma personal al interesado o a su representante legal; y
VI. Previa exhibicin del original del documento con el que acredit su
identidad el interesado o su representante legal, se har entrega de la
informacin requerida.
En caso de que el ente pblico determine que es procedente la rectificacin o cancelacin de los datos personales, deber notificar al interesado la procedencia de su peticin, para que, dentro de los 10 das
hbiles siguientes, el interesado o su representante legal acrediten
152
fehacientemente su identidad ante la oficina de informacin pblica y

se proceda a la rectificacin o cancelacin de los datos personales.
Artculo 36.- En caso de que no proceda la solicitud, la oficina de informacin pblica deber notificar al peticionario de manera fundada
y motivada las razones por las cuales no procedi su peticin. La respuesta deber estar firmada por el titular de la oficina de informacin
pblica y por el responsable del sistema de datos personales, pudiendo recaer dichas funciones en la misma persona.
Artculo 37.- El trmite de solicitud de acceso, rectificacin, cancelacin u oposicin de datos de carcter personal es gratuito. No obstante, el interesado deber cubrir los costos de reproduccin de los
datos solicitados, en trminos de lo previsto por el Cdigo Financiero
del Distrito Federal.
Los costos de reproduccin de la informacin solicitada se cobrarn al
solicitante de manera previa a su entrega y se calcular atendiendo a:
I. El costo de los materiales utilizados en la reproduccin de la informacin;
II. El costo de envo; y
III. La certificacin de documentos cuando proceda.
Los Entes Pblicos debern esforzarse por reducir al mximo, los costos de entrega de informacin.
CAPTULO III
DEL RECURSO DE REVISIN
Artculo 38.- Podr interponer recurso de revisin ante el Instituto, el
interesado que se considere agraviado por la resolucin definitiva, que
recaiga a su solicitud de acceso, rectificacin, cancelacin u oposicin
o ante la omisin de la respuesta. Para este efecto, las oficinas de
informacin pblica al dar respuesta a las solicitudes, orientarn al particular sobre su derecho de interponer el recurso de revisin y el modo
y plazo para hacerlo.
153
Lo anterior, sin perjuicio del derecho que les asiste a los interesados
de interponer queja ante los rganos de control interno de los entes
obligados.
Artculo 39.- El Instituto tendr acceso a la informacin contenida en
los sistemas de datos personales que resulte indispensable para resolver el recurso. Dicha informacin deber ser mantenida con carcter
confidencial y no estar disponible en el expediente.
Las resoluciones que emita el Instituto sern definitivas, inatacables y
obligatorias para los entes pblicos y los particulares.
En contra de las resoluciones del Instituto el particular podr interponer
juicio de amparo.
La autoridad judicial competente tendr acceso a los sistemas de datos
personales cuando resulte indispensable para resolver el asunto y hubiera sido ofrecida en juicio. Dicha informacin deber ser mantenida
con ese carcter y no estar disponible en el expediente.
Artculo 40.- El recurso de revisin ser tramitado de conformidad con
los trminos, plazos y requisitos sealados en la Ley de Transparencia
y Acceso a la Informacin Pblica del Distrito Federal.
Igualmente, el recurrente podr interponer el recurso de revocacin,
que ser sustanciado en los trminos que establezca la propia Ley de
Transparencia y Acceso a la Informacin Pblica del Distrito Federal y
el Reglamento Interior del Instituto.
TTULO QUINTO
DE LAS RESPONSABILIDADES
CAPTULO NICO
DE LAS INFRACCINES
Artculo 41.- Constituyen infracciones a la presente Ley:
I. La omisin o irregularidad en la atencin de solicitudes de acceso,
rectificacin, cancelacin u oposicin de datos personales;
154
II. Impedir, obstaculizar o negar el ejercicio de derechos a que se refiere la presente Ley;
III. Recabar datos de carcter personal sin proporcionar la informacin
prevista en la presente Ley;
IV. Crear sistema de datos de carcter personal, sin la publicacin previa en la Gaceta Oficial del Distrito Federal;
V. Obtener datos sin el consentimiento expreso del interesado cuando
ste es requerido;
VI. Incumplir los principios previstos por la presente Ley;
VII. Transgredir las medidas de proteccin y confidencialidad a las que
se refiere la presente Ley;
VIII. Omitir total o parcialmente el cumplimiento de las resoluciones
realizadas por el Instituto, as como obstruir las funciones del mismo;
IX. Omitir o presentar de manera extempornea los informes a que se
refiere la presente Ley;
X. Obtener datos personales de manera engaosa o fraudulenta;
XI. Transmitir datos personales, fuera de los casos permitidos, particularmente cuando la transmisin haya tenido por objeto obtener un
lucro indebido;
XII. Impedir u obstaculizar la inspeccin ordenada por el Instituto o su
instruccin de bloqueo de sistemas de datos personales, y
XIII. Destruir, alterar, ceder datos personales, archivos o sistemas de
datos personales sin autorizacin;
XIV. Incumplir con la inmovilizacin de sistemas de datos personales
ordenada por el Instituto, y
XV. El incumplimiento de cualquiera de las disposiciones contenidas
en esta Ley.
Las infracciones a que se refiere este artculo o cualquiera otra derivada del incumplimiento de las obligaciones establecidas en esta Ley,
ser sancionada en trminos de la Ley de Federal de Responsabilidades de los Servidores Pblicos, siendo independientes de las de
orden civil o penal que procedan, as como los procedimientos para el
resarcimiento del dao ocasionado por el ente pblico.
155
Artculo 42.- El Instituto denunciar ante las autoridades competentes

cualquier conducta prevista en el artculo anterior y aportar las pruebas que considere pertinentes. Los rganos de control y fiscalizacin
internos de los entes pblicos entregarn semestralmente al Instituto,
un informe estadstico de los procedimientos administrativos iniciados
con motivo del incumplimiento de la presente Ley y sus resultados.
Esta informacin ser incorporada al informe anual del Instituto.
Dicha resolucin se comunicar al Ente Pblico y al responsable del
sistema de datos personales y, en su caso, a los interesados de los
datos personales que resultaren afectados.
Lo anterior sin perjuicio de las responsabilidades penales o civiles que
pudieran derivarse.
TRANSITORIOS
PRIMERO.- El presente decreto entrar en vigor al da siguiente de su
publicacin en la Gaceta Oficial del Distrito Federal. Publquese en el
Diario de la Federacin para su mayor difusin.
SEGUNDO.- Publquese en la Gaceta Oficial del Distrito Federal para
su debida observancia y aplicacin.
TERCERO.- Los entes pblicos debern notificar al Instituto, treinta
das hbiles despus de la entrada en vigor de la presente Ley, la relacin de Sistemas de Datos Personales que posean para su registro.
CUARTO.- El documento en el que se establezcan los niveles de seguridad a las que se refiere el captulo III del Ttulo II de la presente Ley,
deber ser emitido por los entes pblicos dentro de los sesenta das
hbiles posteriores a la entrada en vigor de la Ley, mismo que deber
ser remitido al Instituto para su registro dentro del mismo plazo.
Recinto de la Asamblea Legislativa del Distrito Federal, a los veintisiete
das del mes de agosto del ao dos mil ocho.-POR LA MESA DIRECTIVA.- DIP. AGUSTN CARLOS CASTILLA MARROQUN, PRESIDENTE
156
SECRETARIA, DIP. LETICIA QUEZADA CONTRERAS.- SECRETARIO, DIP. ALFREDO VINALAY MORA.-FIRMAS.
En cumplimiento de lo dispuesto por los artculos 122, apartado C,
Base Segunda, fraccin II, inciso b), de la Constitucin Poltica de los
Estados Unidos Mexicanos; 48, 49 y 67, fraccin II, del Estatuto de
Gobierno del Distrito Federal, para su debida publicacin y observancia, expido el presente Decreto Promulgatorio, en la Residencia Oficial
del Jefe de Gobierno del Distrito Federal, en la Ciudad de Mxico, a
los dieciocho das del mes de septiembre del ao dos mil ocho.- JEFE
DE GOBIERNO DEL DISTRITO FEDERAL, MARCELO LUIS EBRARD
CASAUBON.- FIRMA.- SECRETARIO DE GOBIERNO, JOS NGEL
VILA PREZ.- FIRMA.- SECRETARIO DE DESARROLLO URBANO
Y VIVIENDA, JESS ARTURO AISPURO CORONEL.- FIRMA.- SECRETARIA DE DESARROLLO ECONMICO, LAURA VELSQUEZ
ALZA.- FIRMA.- SECRETARIA DEL MEDIO AMBIENTE, MARTHA
TERESA DELGADO PERALTA.- FIRMA.- SECRETARIO DE OBRAS
Y SERVICIOS, JORGE ARGANIS DAZ LEAL.- FIRMA.- SECRETARIO DE DESARROLLO SOCIAL, MART BATRES GUADARRAMA.FIRMA.-SECRETARIO DE SALUD, DR. ARMANDO AHUE ORTEGA.- FIRMA.- SECRETARIO DE FINANZAS, LIC. MARIO MARTN
DELGADO CARRILLO.- FIRMA.- SECRETARIO DE TRANSPORTES
Y VIALIDAD, ARMANDO QUINTERO MARTNEZ.- FIRMA.- SECRETARIO DE SEGURIDAD PBLICA, MANUEL MONDRAGN Y KALB.FIRMA.- SECRETARIO DE TURISMO, ALEJANDRO ROJAS DAZ
DURN.-FIRMA.- SECRETARIA DE CULTURA, ELENA CEPEDA DE
LEN.- FIRMA.- SECRETARIO DE PROTECCIN CIVIL, ELAS MIGUEL MORENO BRIZUELA.- FIRMA.- SECRETARIO DE TRABAJO Y
FOMENTO AL EMPLEO, BENITO MIRN LINCE.- FIRMA.- SECRETARIO DE EDUCACIN, AXEL DIDRIKSSON TAKAYANAGUI.- FIRMA.- SECRETARIA DE DESARROLLO RURAL Y EQUIDAD PARA
LAS COMUNIDADES, MARA ROSA MRQUEZ CABRERA.- FIRMA.
157
Lineamientos
de
para la Proteccin
Datos Personales
en el
Distrito Federal
TTULO PRIMERO. DISPOSICIONES

COMUNES PARA LOS ENTES PBLICOS
CAPTULO NICO. DISPOSICIONES GENERALES
TTULO SEGUNDO. DE LA TUTELA DE DATOS PERSONALES
CAPTULO I. DE LOS SISTEMAS DE DATOS PERSONALES
CAPTULO II. DE LAS MEDIDAS DE SEGURIDAD
CAPTULO III. DEL TRATAMIENTO DE DATOS PERSONALES
CAPTULO IV. DE LAS OBLIGACIONES
DE LOS ENTES PBLICOS
TTULO TERCERO. DE LA AUTORIDAD
RESPONSABLE DEL CONTROL Y VIGILANCIA
CAPTULO NICO. INSTITUTO DE ACCESO A LA
INFORMACIN PBLICA DEL DISTRITO FEDERAL
TTULO CUARTO. DE LOS DERECHOS Y DEL
PROCEDIMIENTO PARA SU EJERCICIO
CAPTULO NICO. DERECHOS DE ACCESO,
RECTIFICACIN, CANCELACIN Y OPOSICIN.
TRANSITORIOS
159
TTULO PRIMERO. DISPOSICIONES

COMUNES PARA LOS ENTES PBLICOS
CAPTULO NICO. DISPOSICIONES GENERALES
Objeto
1. Los presentes Lineamientos son de observancia obligatoria para los
entes pblicos y tienen por objeto establecer las directrices y criterios
para la aplicacin e implementacin de la Ley de Proteccin de Datos
Personales para el Distrito Federal.
Interpretacin
2. La interpretacin de estos Lineamientos se realizar conforme a lo
dispuesto por el artculo 3 de la Ley de Proteccin de Datos Personales
para el Distrito Federal.
Definiciones
3. Para los efectos de la Ley de Proteccin de Datos Personales para
el Distrito Federal y de los presentes Lineamientos, adems de las definiciones contenidas en la propia Ley, se entender por:
Autentificacin: Comprobacin de la identidad de aquella persona autorizada para el tratamiento de datos personales;
Bloqueo: Identificacin y conservacin de datos personales con el nico propsito de determinar posibles responsabilidades en relacin con
su tratamiento, hasta el plazo, legal o contractual, de prescripcin de
stas. Durante dicho periodo, los datos personales no podrn ser objeto de tratamiento y transcurrido ste, se proceder a su cancelacin
del sistema a que correspondan;
Cancelacin: Eliminacin de determinados datos de un sistema de datos personales previo bloqueo de los mismos;
Cesionario: Persona fsica o moral, pblica o privada, a la que un ente
pblico realice una cesin de datos personales;
Documentos: Los expedientes, reportes, estudios, actas, resoluciones,
oficios, correspondencia, acuerdos, directivas, directrices, circulares,
160
contratos, convenios, instructivos, notas, memorandos, estadsticas, o

bien cualquier otro registro en posesin de los entes pblicos sin importar
su fuente o fecha de elaboracin. Los documentos podrn estar en cualquier soporte, dems anlogos escrito, impreso, sonoro, visual, electrnico, informtico u hologrfico;
Documento de seguridad: Instrumento que establece las medidas y
procedimientos administrativos, fsicos y tcnicos de seguridad aplicables a los sistemas de datos personales necesarios para garantizar
la proteccin, confidencialidad, integridad y disponibilidad de los datos
contenidos en dichos sistemas;
Encargado: Servidor pblico que en ejercicio de sus atribuciones, realiza tratamiento de datos personales de forma cotidiana;
Enlace: Servidor pblico que fungir como vnculo entre el ente pblico
y el Instituto para atender los asuntos relativos a la Ley de la materia;
Fuente de acceso pblico: Aquella cuya consulta pueda ser realizada
por cualquier persona, no impedida por una norma limitativa, sin ms
exigencia que, en su caso, el pago que genere el acceso a determinado medio de informacin. Tendrn el carcter de fuentes de acceso
pblico los Registros Pblicos, los diarios, gacetas y boletines gubernamentales, as como otros medios oficiales de difusin;
Incidencia: Cualquier anomala que afecte o pudiera afectar la seguridad de los datos personales;
INFOMEX: Sistema electrnico mediante el cual las personas podrn
presentar sus solicitudes de acceso a la informacin pblica y de acceso, rectificacin, cancelacin y oposicin de datos personales y es el
sistema nico para el registro y captura de todas las solicitudes recibidas por los entes pblicos a travs de los medios sealados en la Ley
de Transparencia y Acceso a la Informacin Pblica del Distrito Federal y la Ley de Proteccin de Datos Personales para el Distrito Federal,
as como para la recepcin de los recursos de revisin interpuestos a
travs del propio sistema;
Inmovilizacin: Medida cautelar que consiste en la interrupcin temporal en el uso de un sistema de datos personales ordenada por el
Instituto en los supuestos de tratamiento ilcito de datos de carcter
personal;
161
Lineamientos: Lineamientos para la Proteccin de Datos Personales

en el Distrito Federal;
Ley: Ley de Proteccin de Datos Personales para el Distrito Federal;
Registro Electrnico de Sistemas de Datos Personales: Aplicacin informtica desarrollada por el Instituto para la inscripcin de los sistemas de datos personales en posesin de los entes pblicos;
Responsable: El servidor pblico de la unidad administrativa a la que
se encuentre adscrito el sistema de datos personales, designado por
el titular del ente pblico, que decide sobre el tratamiento de datos
personales, as como el contenido y finalidad de los sistemas de datos
personales;
Responsable de seguridad: persona a la que el responsable del sistema de datos personales asigna formalmente la funcin de coordinar y
controlar las medidas de seguridad aplicables;
Sistema de Datos Personales: Conjunto organizado de datos personales que estn en posesin de los entes pblicos, contenidos en archivos, registros, ficheros, bases o bancos de datos, que permita el acceso a datos con arreglo a criterios determinados, cualquiera que fuere la
modalidad de su creacin, almacenamiento, organizacin o acceso;
Soporte fsico: Son los medios de almacenamiento inteligibles a simple
vista, es decir, que no requieren de ningn aparato que procese su
contenido para examinar, modificar o almacenar los datos; es decir,
documentos, oficios, formularios impresos llenados a mano o a mquina, fotografas, placas radiolgicas, carpetas, expedientes, dems
anlogos;
Soporte electrnico: Son los medios de almacenamiento inteligibles
slo mediante el uso de algn aparato con circuitos electrnicos que
procese su contenido para examinar, modificar o almacenar los datos;
es decir, cintas magnticas de audio, vdeo y datos, fichas de microfilm,
discos pticos (CDs y DVDs), discos magneto-pticos, discos magnticos (flexibles y duros) y dems medios de almacenamiento masivo
no voltil;
Supresin: Eliminacin de un sistema de datos personales mediante
acuerdo publicado en la Gaceta Oficial del Distrito Federal; y
162
Suspensin: Medida cautelar ordenada por el Instituto que consiste en

la interrupcin temporal en el tratamiento de determinados datos personales contenidos en un sistema de datos personales.
TTULO SEGUNDO. DE LA TUTELA DE DATOS PERSONALES
CAPTULO I. DE LOS SISTEMAS DE DATOS PERSONALES
Tipos de sistemas de datos personales
4. Los sistemas de datos personales se distinguen en:
Fsicos: Conjunto ordenado de datos de carcter personal que para
su tratamiento estn contenidos en registros manuales, impresos, sonoros, magnticos, visuales u hologrficos, estructurado conforme a
criterios especficos relativos a personas fsicas que permitan acceder
sin esfuerzos desproporcionados a sus datos personales; y
Automatizados: Conjunto ordenado de datos de carcter personal que
permita acceder a la informacin relativa a una persona fsica utilizado
una herramienta tecnolgica.
Categoras de datos personales
5. Los datos personales contenidos en los sistemas se clasificarn,
de manera enunciativa, ms no limitativa, de acuerdo a las siguientes
categoras:
Datos identificativos: El nombre, domicilio, telfono particular, telfono celular, firma, clave del Registro Federal de Contribuyentes (RFC),
Clave nica de Registro de Poblacin (CURP), Matrcula del Servicio
Militar Nacional, nmero de pasaporte, lugar y fecha de nacimiento,
nacionalidad, edad, fotografa, dems anlogos;
Datos electrnicos: Las direcciones electrnicas, tales como, el correo
electrnico no oficial, direccin IP (Protocolo de Internet), direccin
MAC (direccin Media Access Control o direccin de control de acceso
al medio), as como el nombre del usuario, contraseas, firma electrnica; o cualquier otra informacin empleada por la persona, para su
identificacin en Internet u otra red de comunicaciones electrnicas;
163
Datos laborales: Documentos de reclutamiento y seleccin, nombramiento, incidencia, capacitacin, actividades extracurriculares, referencias laborales, referencias personales, solicitud de empleo, hoja de
servicio, dems anlogos;
Datos patrimoniales: Los correspondientes a bienes muebles e inmuebles, informacin fiscal, historial crediticio, ingresos y egresos, cuentas
bancarias, seguros, fianzas, servicios contratados, referencias personales, dems anlogos;
Datos sobre procedimientos administrativos y/o jurisdiccionales: La informacin relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en
materia laboral, civil, penal, fiscal, administrativa o de cualquier otra
rama del Derecho;
Datos acadmicos: Trayectoria educativa, calificaciones, ttulos, cdula profesional, certificados y reconocimientos, dems anlogos;
Datos de trnsito y movimientos migratorios: Informacin relativa al
trnsito de las personas dentro y fuera del pas, as como informacin
migratoria;
Datos sobre la salud: El expediente clnico de cualquier atencin mdica, referencias o descripcin de sintomatologas, deteccin de enfermedades, incapacidades mdicas, discapacidades, intervenciones
quirrgicas, vacunas, consumo de estupefacientes, uso de aparatos
oftalmolgicos, ortopdicos, auditivos, prtesis, as como el estado
fsico o mental de la persona;
Datos biomtricos: huellas dactilares, ADN, geometra de la mano, caractersticas de iris y retina, dems anlogos;
Datos especialmente protegidos (sensibles): origen tnico o racial, caractersticas morales o emocionales, ideologa y opiniones polticas,
creencias, convicciones religiosas, filosficas y preferencia sexual; y
Datos personales de naturaleza pblica: aquellos que por mandato legal sean accesibles al pblico.
164
Creacin, modificacin o supresin de sistemas de datos personales

6. La creacin, modificacin o supresin de sistemas de datos personales de los entes pblicos slo podr efectuarse mediante acuerdo
emitido por el titular del ente o, en su caso, del rgano competente,
publicado en la Gaceta Oficial del Distrito Federal.
En los casos de creacin y modificacin el acuerdo deber dictarse y
publicarse con, al menos quince das hbiles previos a la creacin o
modificacin del sistema correspondiente.
Contenido del acuerdo de creacin de un sistema de datos personales
7. El acuerdo de creacin de sistemas de datos personales deber
contener:
La identificacin del sistema de datos personales, indicando su denominacin y normativa aplicable, as como la descripcin de la finalidad
y usos previstos;
El origen de los datos, indicando el colectivo de personas sobre las que
se pretende obtener datos de carcter personal, o que resulten obligados a suministrarlos; su procedencia (propio interesado, representante, ente pblico, etctera) as como el procedimiento de obtencin de
los mismos (formulario, Internet, transmisin electrnica, etctera);
La estructura bsica del sistema de datos personales mediante la descripcin detallada de los datos identificativos que contiene y, en su caso,
de los datos especialmente protegidos, as como las restantes categoras de datos de carcter personal, incluidas en el mismo y el modo de
tratamiento utilizado en su organizacin (manual o automatizado). En
su caso, sealar los datos de carcter obligatorio y facultativo;
Las cesiones de datos que se tengan previstas, indicando, en su caso,
los destinatarios o categoras de destinatarios;
La identificacin de la unidad administrativa a la que corresponde el
sistema de datos personales, as como del cargo del responsable;
Domicilio oficial y direccin electrnica de la Oficina de Informacin
Pblica ante la cual se presentarn las solicitudes para ejercer los
165
derechos de acceso, rectificacin, cancelacin y oposicin, as como la

revocacin del consentimiento; e
Indicacin del nivel de seguridad que resulte aplicable: bsico, medio
o alto.
Modificacin de sistemas de datos personales
8. El acuerdo mediante el cual se determine la modificacin de un sistema de datos personales deber indicar las modificaciones producidas
en cualquiera de las fracciones a que se hace referencia en el numeral
7 de estos Lineamientos.
Todo acuerdo de modificacin que afecte la integracin y tratamiento
de un sistema de datos personales debe publicarse en la Gaceta Oficial del Distrito Federal y ser notificado al Instituto dentro de los diez
das hbiles siguientes a su publicacin.
Dicha modificacin tambin deber ser inscrita por el responsable en
el Registro Electrnico de Sistemas de Datos Personales, dentro del
mismo plazo.
Supresin de sistemas de datos personales
9. En caso de que el titular del ente pblico o, en su caso, el responsable del sistema de datos personales determine la supresin de un
sistema de datos personales mediante la publicacin del acuerdo respectivo en la Gaceta Oficial del Distrito Federal, la supresin deber
ser notificada al Instituto dentro de los diez das hbiles siguientes, a
efecto de que se proceda a la cancelacin de inscripcin en el registro
correspondiente.
En los acuerdos que se emitan para la supresin de sistemas de datos
personales se establecer el destino que vaya a darse a los datos contenidos en los mismos o, en su caso, las previsiones que se adopten
para su destruccin, de conformidad con la Ley de Archivos del Distrito
Federal y dems normativa que resulte aplicable.
Asimismo, la publicacin de estos acuerdos en la Gaceta Oficial del
Distrito Federal deber ser, al menos, treinta das hbiles previos a la
supresin del sistema de que se trate.
166
No proceder la supresin de los sistemas de datos personales cuando

exista una previsin expresa en una Ley que exija su conservacin.
Registro de sistemas de datos personales
10. Los responsables de los sistemas de datos personales en posesin
de los entes pblicos debern inscribir dichos sistemas en el Registro
Electrnico de Sistemas de Datos Personales habilitado por el Instituto,
en un plazo no mayor a los 10 das hbiles siguientes a la publicacin
de su creacin en la Gaceta Oficial del Distrito Federal.
Contenido del Registro
11. El registro de cada sistema contendr los siguientes campos:
Nombre del Sistema y, en su caso, fecha de publicacin en la Gaceta
Oficial del Distrito Federal;
Nombre y cargo del responsable del sistema;
Finalidades y usos previstos, as como el soporte en el que se encuentra;
La categora de los datos personales contenidos en el sistema, forma
de recoleccin y actualizacin de los mismos;
Unidad administrativa en la que se encuentra el sistema;
Destino y personas fsicas o morales a las que puedan ser transmitidos;
Modo de interrelacionar la informacin contenida en el sistema y el
plazo de conservacin de los datos;
Telfono y correo electrnico del responsable;
Normativa aplicable al sistema; e
Indicacin del nivel de seguridad aplicable: bsico, medio o alto.
El Instituto otorgar al Responsable un folio de identificacin por cada
sistema de datos personales inscrito.
Deber de informacin
12. A efecto de cumplir con el deber de informacin previsto en el artculo 9 de la Ley, en el momento en que se recaben datos personales,
167
por cualquier medio, el ente pblico deber hacer del conocimiento del
interesado las advertencias a las que se refiere dicho artculo.
Modelo de leyenda
13. Sin perjuicio de la modalidad mediante la cual los entes pblicos
recaben datos personales, stos, debern utilizar el siguiente modelo
de leyenda para informar al interesado de las advertencias a que se
refiere el artculo 9 de la Ley:
Los datos personales recabados sern protegidos, incorporados y
tratados en el Sistema de Datos Personales (nombre del sistema de
datos personales), el cual tiene su fundamento en (fundamento legal
que faculta al Ente pblico para recabar los datos personales), cuya
finalidad es (describir la finalidad del sistema) y podrn ser transmitidos
a (destinatario y finalidad de la transmisin), adems de otras transmisiones previstas en la Ley de Proteccin de Datos Personales para el
Distrito Federal.
Los datos marcados con un asterisco (*) son obligatorios y sin ellos no
podr acceder al servicio o completar el trmite (indicar el servicio o
trmite de que se trate)
Asimismo, se le informa que sus datos no podrn ser difundidos sin su
consentimiento expreso, salvo las excepciones previstas en la Ley.
El responsable del Sistema de datos personales es (nombre del responsable), y la direccin donde podr ejercer los derechos de acceso,
rectificacin, cancelacin y oposicin, as como la revocacin del consentimiento es (indicar el domicilio de la Oficina de Informacin Pblica
correspondiente).
El interesado podr dirigirse al Instituto de Acceso a la Informacin Pblica del Distrito Federal, donde recibir asesora sobre los derechos
que tutela la Ley de Proteccin de Datos Personales para el Distrito
Federal al telfono: 5636-4636; correo electrnico: datos.personales@
infodf.org.mx o www.infodf.org.mx
Excepciones al deber de informacin
14. En el caso de datos personales que no hayan sido obtenidos directamente del interesado, no habr obligacin de cumplir con el de168
ber de informacin cuando resulte material o jurdicamente imposible

o requiera de esfuerzos desproporcionados, en razn del nmero de
interesados y/o la antigedad de los datos.
CAPTULO II. DE LAS MEDIDAS DE SEGURIDAD
15. Las medidas de seguridad aplicables a los sistemas de datos personales respondern a los niveles establecidos en la Ley para cada
tipo de datos. Dichas medidas debern tomar en consideracin las recomendaciones, que en su caso, emita el Instituto para este fin, con el
objeto de garantizar la confidencialidad, integridad y disponibilidad de
los datos personales durante su tratamiento.
Niveles de seguridad
16. Las medidas de seguridad se clasifican, en trminos del artculo
14 de la Ley, en tres niveles: bsico, medio y alto. Estas medidas son
acumulativas y atendern a lo siguiente:
I. Nivel Bsico. El nivel de seguridad bsico es aplicable a todos los
sistemas de datos personales y comprende los siguientes aspectos:
a) Documento de seguridad:
El responsable elaborar, difundir e implementar la normativa de
seguridad mediante el documento de seguridad que ser de observancia obligatoria para todos los servidores pblicos del ente pblico,
as como para toda aquella persona que debido a la prestacin de un
servicio tenga acceso a los sistemas de datos personales y/o al sitio
donde se ubican los mismos, tomando en cuenta lo dispuesto en la Ley
y en los presentes Lineamientos.
El documento de seguridad deber contener, como mnimo, los siguientes aspectos:
Nombre del sistema;
Cargo y adscripcin del responsable;
mbito de aplicacin;
169
Estructura y descripcin del sistema de datos personales;

Especificacin detallada de la categora de datos personales contenidos en el sistema;
Funciones y obligaciones del personal que intervenga en el tratamiento
de los sistemas de datos personales;
Medidas, normas, procedimientos y criterios enfocados a garantizar el
nivel de seguridad exigido por el artculo 14 de la Ley y los presentes
Lineamientos;
Procedimientos de notificacin, gestin y respuesta ante incidencias;
Procedimientos para la realizacin de copias de respaldo y recuperacin de los datos, para los sistemas de datos personales automatizados; y
Procedimientos para la realizacin de auditoras, en su caso.
El documento de seguridad deber actualizarse anualmente o cuando
se produzcan cambios relevantes en el tratamiento, que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas.
b) Funciones y obligaciones del responsable, encargado y de toda persona que intervenga en el tratamiento de los sistemas de datos personales:
Las funciones y obligaciones de todos los que intervengan en el tratamiento de datos personales deben estar claramente definidas en el
documento de seguridad. El responsable adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, as como las responsabilidades y
consecuencias en que pudiera incurrir en caso de incumplimiento.
c) Registro de incidencias:
Los procedimientos de notificacin gestin y respuesta ante incidencias
contarn necesariamente con un registro en el que se haga constar el
tipo de incidencia, el momento en que se ha producido, la persona que
realiza la notificacin, a quin se le comunica, los efectos que se hubieran derivado de la misma y las acciones implementadas.
170
d) Identificacin y autentificacin:
El responsable tendr a su cargo la elaboracin de una relacin actualizada de servidores pblicos que tengan acceso autorizado al sistema
de datos personales y de establecer procedimientos que permitan la
correcta identificacin y autenticacin para dicho acceso.
El responsable establecer un mecanismo que permita la identificacin, de forma inequvoca y personalizada, de toda aquella persona
que intente acceder al sistema de datos personales y la verificacin de
que est autorizada.
Cuando el mecanismo de autenticacin se base en la existencia de
contraseas se establecer un procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad e integridad.
Las contraseas se cambiarn con la periodicidad que se determine
en el documento de seguridad y se conservarn cifradas. Asimismo,
se establecer un procedimiento de creacin y modificacin de contraseas (longitud, formato, contenido).
e) Control de acceso:
El responsable deber adoptar medidas para que los encargados y
usuarios tengan acceso autorizado nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones.
El responsable deber mantener actualizada una relacin de personas
autorizadas y los accesos autorizados para cada una de ellas. Asimismo, deber establecer los procedimientos para el uso de bitcoras
respecto de las acciones cotidianas llevadas a cabo en el sistema de
datos personales.
Solamente el responsable podr conceder, alterar o anular la autorizacin para el acceso a los sistemas de datos personales.
f) Gestin de soportes:
Al almacenar los soportes fsicos y electrnicos que contengan datos
de carcter personal se deber cuidar que estn etiquetados para permitir identificar el tipo de informacin que contienen, ser inventariados
171
y slo podrn ser accesibles por el personal autorizado para ello en el

documento de seguridad.
La salida de soportes y documentos que contengan datos de carcter
personal, fuera de las instalaciones u oficinas bajo el control del responsable, deber ser autorizada por ste, o encontrarse debidamente
autorizada en el documento de seguridad.
En el traslado de soportes fsicos y electrnicos se adoptarn medidas
dirigidas a evitar la sustraccin, prdida o acceso indebido a la informacin durante su transporte.
Siempre que vaya a desecharse cualquier soporte que contenga datos
de carcter personal deber procederse a su destruccin o borrado,
mediante la adopcin de medidas dirigidas a evitar el acceso a la informacin contenida en el mismo o su recuperacin posterior.
g) Copias de respaldo y recuperacin:
Debern establecerse procedimientos para la realizacin de copias de
respaldo y su periodicidad. En caso de que los datos personales se
encuentren en soporte fsico, se procurar que el respaldo se efecte
mediante la digitalizacin de los documentos.
Asimismo, para soportes electrnicos se establecern procedimientos
para la recuperacin de los datos que garanticen en todo momento su
reconstruccin en el estado en que se encontraban al tiempo de producirse la prdida involuntaria o destruccin accidental.
El responsable se encargar de verificar, al menos, cada seis meses la
correcta definicin, funcionamiento y aplicacin de los procedimientos
de realizacin de copias de respaldo y de recuperacin de los datos.
II. Nivel Medio. El nivel de seguridad medio es aplicable a los sistemas
de datos personales relativos a la comisin de infracciones administrativas o penales, hacienda pblica, servicios financieros, datos patrimoniales, as como a los sistemas que contengan datos de carcter
personal suficientes que permitan obtener una evaluacin de la personalidad del individuo.
172
Este nivel, adems de las medidas de seguridad previstas para el nivel

bsico, deber comprender:
a) Responsable de seguridad:
El responsable designar uno o varios responsables de seguridad para
coordinar y controlar las medidas definidas en el documento de seguridad. Esta designacin podr ser nica para todos los sistemas de
datos en posesin del ente pblico, o diferenciada, dependiendo de los
mtodos de organizacin y tratamiento de los mismos. En todo caso dicha circunstancia deber especificarse en el documento de seguridad.
En ningn caso esta designacin supone una delegacin de las facultades y atribuciones que corresponden al responsable del sistema de
datos personales de acuerdo con la Ley y los Lineamientos.
b) Auditora:
Las medidas de seguridad implementadas para la proteccin de los
sistemas de datos personales se sometern a una auditora interna o
externa, mediante la que se verifique el cumplimiento de la Ley, de los
presentes Lineamientos y dems procedimientos vigentes en materia
de seguridad de datos, al menos, cada dos aos.
El informe de resultados de la auditora deber dictaminar sobre la
adecuacin de las medidas de seguridad previstas en los Lineamientos, as como en las recomendaciones, que en su caso, haya emitido
el Instituto. Adems, deber identificar sus deficiencias y proponer las
medidas preventivas, correctivas o complementarias necesarias.
El informe de auditora deber ser comunicado por el responsable al
Instituto dentro de los 20 das hbiles siguientes a su emisin. Asimismo, se deber informar al Instituto de la adopcin de las medidas correctivas derivadas de la auditora en el plazo referido, a partir de que
stas hayan sido atendidas.
c) Control de acceso fsico:
El acceso a las instalaciones donde se encuentren los sistemas de
datos personales, ya sea en soporte fsico o electrnico, deber permi-
173
tirse exclusivamente a quienes estn expresamente autorizados en el

documento de seguridad.
d) Pruebas con datos reales:
Las pruebas que se lleven a cabo con efecto de verificar la correcta
aplicacin y funcionamiento de los procedimientos para la obtencin
de copias de respaldo y de recuperacin de los datos, anteriores a la
implantacin o modificacin de los sistemas informticos que traten
sistemas de datos personales, no se realizarn con datos reales, salvo
que se asegure el nivel de seguridad correspondiente al tipo de datos
tratados. Si se realizan pruebas con datos reales, se elaborar con
anterioridad una copia de respaldo.
III. Nivel Alto. El nivel de seguridad alto es aplicable a los sistemas de
datos personales que contengan datos relativos a la ideologa, religin,
creencias, afiliacin poltica, origen racial o tnico, salud, biomtricos,
genticos o vida sexual, as como los que contengan datos recabados
para fines policiales, de seguridad, prevencin, investigacin y persecucin de delitos.
Este nivel, adems de las medidas de seguridad previstas para el nivel
bsico y medio, deber comprender:
a) Distribucin de soportes:
La distribucin de los soportes que contengan datos de carcter personal se realizar cifrando dichos datos, o bien utilizando cualquier otro
mecanismo que garantice que dicha informacin no sea inteligible ni
manipulada durante su traslado o transmisin.
b) Registro de acceso:
El acceso a los sistemas de datos personales se limitar exclusivamente al personal autorizado, estableciendo mecanismos que permitan identificar los accesos realizados en el caso en que los sistemas
puedan ser utilizados por mltiples autorizados.
174
Los mecanismos que permiten el registro de accesos estarn bajo el

control directo del responsable de seguridad correspondiente, sin que
se permita la desactivacin o manipulacin de los mismos.
De cada acceso se guardarn, al menos, la identificacin del usuario,
la fecha y hora en que se realiz, el sistema accedido, el tipo de acceso
y si ste fue autorizado o denegado.
El periodo de conservacin de los datos consignados en el registro de
acceso ser de, al menos, dos aos.
c) Telecomunicaciones:
La transmisin de datos de carcter personal a travs de redes pblicas
o redes inalmbricas de comunicaciones electrnicas se realizar cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la informacin no sea inteligible ni manipulable por terceros.
Notificacin del nivel de seguridad
17. Los responsables slo debern comunicar al Instituto el nivel de seguridad aplicable a los sistemas de datos personales para su registro.
CAPTULO III. DEL TRATAMIENTO DE DATOS PERSONALES
Principios
18. En el tratamiento de los datos personales los entes pblicos debern observar los principios de licitud, consentimiento, calidad de los
datos, confidencialidad, seguridad, disponibilidad y temporalidad que
establece el artculo 5 de la Ley.
19. Para los efectos de la Ley y de los presentes Lineamientos se entender que:
I. Con relacin al principio de licitud se considerar que la finalidad es
distinta o incompatible cuando el tratamiento de los datos personales
no coincida con los motivos para los cuales fueron recabados.
II. Con relacin al principio de consentimiento se entender que ste es:
175
Libre: Cuando es obtenido sin la intervencin de vicio alguno de la

voluntad;
Inequvoco: Cuando existe expresamente una accin que implique su
otorgamiento;
Especfico: Cuando se otorga referido a una determinada finalidad; e
Informado: Cuando se otorga con conocimiento de las finalidades para
las que el mismo se produce.
III. Con relacin al principio de calidad de los datos, el tratamiento de
los datos personales deber ser:
Cierto: Cuando los datos se mantienen actualizados de tal manera que
no se altere la veracidad de la informacin que traiga como consecuencia que el titular se vea afectado por dicha situacin;
Adecuado: Cuando se observa una relacin proporcional entre los datos recabados y la finalidad del tratamiento;
Pertinente: Cuando es realizado por el personal autorizado para el
cumplimiento de las atribuciones de los entes pblicos que los hayan
recabado; e
No excesivo: Cuando la informacin solicitada al titular de los datos es
la estrictamente necesaria para cumplir con los fines para los cuales se
hubieran recabado.
IV. Con relacin al principio de confidencialidad, se entender que los
datos personales son:
Irrenunciables: El interesado est imposibilitado de privarse voluntariamente de las garantas que le otorga la legislacin en materia de
proteccin de datos personales;
Intransferibles: El interesado es el nico titular de los datos y stos no
pueden ser cedidos a otra persona; e
Indelegables: Slo el interesado tiene la facultad de decidir a quin
transmite sus datos personales.
El deber de secreca y el de confidencialidad se considerarn equiparables.
176
Deber de confidencialidad
20. El responsable y toda persona que intervenga en cualquier fase del
tratamiento de los datos personales en posesin de los entes pblicos
estn obligados a guardar absoluta confidencialidad respecto de los
mismos, obligacin que subsistir aun despus de finalizada la relacin por la cual se dio el tratamiento.
Finalidad determinada
21. Los datos personales en posesin de los entes pblicos debern
tratarse nicamente para la finalidad para la cual fueron obtenidos. Dicha finalidad deber ser explcita, determinada y legal.
Deber de actualizacin
22. Los datos deben ser exactos y actualizarse en el caso de que ello
fuere necesario para responder con veracidad a la situacin actual de
su titular. Cuando los datos de carcter personal sometidos a tratamiento sean inexactos o incompletos, el responsable proceder de
oficio a actualizarlos en el momento en que tenga conocimiento de la
inexactitud, siempre que cuente con la documentacin que justifique
la actualizacin de dichos datos. En el caso de que los datos hubieren
sido cedidos previamente, el responsable deber comunicarlo a los
cesionarios dentro del plazo de diez das hbiles.
Consentimiento
23. El responsable deber obtener el consentimiento del interesado
para el tratamiento de sus datos personales, salvo en aquellos supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en el
artculo 16 de la Ley.
El consentimiento del interesado deber ir referido a un tratamiento
especfico, con delimitaciones de temporalidad y finalidad.
Destino de los datos
24. Cuando se solicite el consentimiento del interesado para la cesin de sus datos, ste deber ser informado de forma que conozca
177
inequvocamente la finalidad a la que se destinarn los datos respecto

de cuya comunicacin se solicita el consentimiento, as como el tipo de
actividad desarrollada por el cesionario. En caso contrario, el consentimiento ser nulo.
Menores o incapaces
25. En caso de que el ente pblico requiera obtener datos personales
de menores de edad o incapaces, el responsable, o en su defecto, el
encargado, deber cerciorarse de que quien otorga el consentimiento
es la persona que ejerce la patria potestad, tutela o la representacin
legal del menor o incapaz de que se trate en trminos del Cdigo Civil
para el Distrito Federal.
Forma de recabar el consentimiento
26. El responsable deber dirigirse al interesado por escrito para hacer
de su conocimiento los aspectos a que se refiere el artculo 9 de la
Ley, concedindole un plazo de quince das hbiles para manifestar
su negativa al tratamiento, bajo la advertencia de que en caso de no
pronunciarse a tal efecto se entender que consiente el tratamiento de
sus datos personales. Para efectos de cumplir con el deber de informacin, el responsable deber incorporar al escrito la Leyenda a que hace
referencia el numeral 13 de estos Lineamientos.
En caso de los sistemas de datos creados con anterioridad a la entrada
en vigor de la Ley, as como en los casos y excepciones sealados en
el artculo 16 de la misma, no se requerir la notificacin a la que se
hace referencia en el prrafo anterior, salvo que los datos reciban un
tratamiento distinto a aquel para el que fueron recabados.
La comunicacin podr realizarse en el domicilio del ente pblico; por
correo electrnico o por correo certificado.
Revocacin del consentimiento
27. El interesado podr revocar su consentimiento de conformidad con
lo dispuesto en el artculo 16 de la Ley, mediante solicitud presentada
ante la Oficina de Informacin Pblica que corresponda, a travs de los
178
formatos que para tal efecto emita el Instituto. La solicitud deber ser
acompaada de un medio de identificacin oficial.
Adems de cumplir con los requisitos establecidos en el artculo 34
de la Ley, los interesados debern, en su caso, especificar la finalidad
para la cual se revoca el consentimiento para tratar sus datos personales.
La Oficina de Informacin Pblica realizar las gestiones necesarias
ante el responsable que corresponda hasta la culminacin del procedimiento que se har de conformidad con lo dispuesto en el artculo 32
de la Ley.
Efectos de la revocacin
28. En caso de que el responsable determine que la solicitud de revocacin del consentimiento es procedente, ste deber cesar en el
tratamiento de los datos, sin perjuicio de la obligacin de bloquear los
datos conforme a la Ley y estos Lineamientos.
En el caso de que los datos hubieren sido cedidos previamente, el
responsable, una vez revocado el consentimiento, deber comunicarlo
a los cesionarios dentro del plazo de diez das hbiles para que procedan de conformidad con el primer prrafo de este numeral.
Ante la improcedencia de la revocacin del consentimiento, el interesado podr ejercer su derecho de cancelacin, conforme a la Ley y los
Lineamientos.
Tratamiento ilcito de datos personales
29. El Instituto podr, en los supuestos a que hace referencia el artculo
17 de la Ley, requerir, mediante resolucin fundada y motivada del Pleno, que los responsables de sistemas de datos personales suspendan
la utilizacin o cesin de determinados datos.
El requerimiento deber ser atendido dentro del plazo improrrogable
de cinco das hbiles al trmino del cual el responsable deber rendir
un informe en el cual seale las medidas adoptadas para la suspensin
y en el que alegue lo que a su derecho convenga.
179
Transcurrido el plazo, el Instituto deber emitir una resolucin, dentro

del trmino de quince das hbiles, en la que podr:
Emitir recomendaciones en las que requiera al ente pblico se subsanen las irregularidades detectadas, mismas que tendrn que ser solventadas dentro del plazo y condiciones que al efecto se establezcan;
Requerir al responsable la cancelacin o rectificacin de determinados
datos contenidos en el sistema que corresponda;
Requerir que el responsable modifique el sistema a efecto de que se
ajuste a lo establecido en la Ley y dems normativa aplicable; y
Determinar que no hay elementos que permitan establecer que se actualizan los supuestos a que hace referencia el artculo 17 de la Ley.
En los supuestos previstos en las fracciones I a la IV, del presente numeral, el Instituto podr ordenar el levantamiento de la suspensin y el
archivo del expediente.
30. En caso de que el requerimiento de suspensin fuera desatendido,
el Instituto, mediante resolucin fundada y motivada del Pleno, podr
requerir la inmovilizacin del sistema correspondiente, con el nico fin
de restaurar los derechos de las personas afectadas, lo que se har de
conformidad con el lineamiento anterior.
Si el requerimiento de inmovilizacin del sistema fuera desatendido,
el Instituto dar vista a la autoridad competente para el deslinde de
responsabilidades.
El Instituto podr evaluar el cumplimiento de la actuacin del ente pblico mediante la realizacin de visitas de inspeccin en los trminos
de la Ley y estos Lineamientos.
Cuando el Instituto advierta una presunta infraccin a la Ley dar vista
al rgano interno de control o su equivalente para que determine lo que
en derecho corresponda.
Cancelacin de datos personales por los entes pblicos
31. Los datos de carcter personal sern cancelados, de oficio o a
peticin del interesado, una vez que hayan dejado de ser necesarios
o pertinentes para la finalidad para la cual hayan sido recabados. Sin
embargo, debern conservarse durante el tiempo en que pueda exigir180
se algn tipo de responsabilidad derivada de una relacin u obligacin

jurdica, o de la ejecucin de un contrato.
Una vez cumplido el plazo a que se refiere el prrafo anterior, los datos
slo podrn conservarse previa disociacin de los mismos, sin perjuicio
de la obligacin de bloqueo prevista en la Ley y estos Lineamientos.
Plazos para la cancelacin
32. Los datos personales que hayan sido objeto de tratamiento y no
contengan valores histricos, cientficos o estadsticos, debern ser
cancelados del sistema de datos personales, teniendo en cuenta los
siguientes plazos:
El que se haya establecido en el formato fsico o electrnico por medio
del cual se recabaron;
El establecido por las disposiciones aplicables; y
El establecido en el instrumento jurdico formalizado entre un tercero y
el ente pblico.
Cesin de datos personales
33. La cesin de datos personales slo podr realizarse cuando el cesionario garantice por escrito un nivel de proteccin similar al empleado en el sistema de datos personales, y que se haya consignado en el
documento de seguridad. El cesionario de los datos personales quedar sujeto a las mismas obligaciones que corresponden al responsable
que los transfiri.
Seguridad en la cesin
34. El carcter adecuado de las medidas de seguridad que ofrece el
cesionario se evaluar atendiendo las circunstancias que concurran en
la transferencia, y en especfico se tomar en consideracin la naturaleza de los datos personales, la finalidad y la duracin del tratamiento.
181
CAPTULO IV. DE LAS OBLIGACIONES

DE LOS ENTES PBLICOS
35. Los responsables y encargados estn obligados a cumplir con lo
dispuesto en la Ley, los Lineamientos y el documento de seguridad
aplicable para cada sistema de datos personales.
El titular del ente pblico tiene la obligacin de designar al o los servidores pblicos responsables de los sistemas de datos personales,
quienes debern estar adscritos a la unidad administrativa en la que se
concrete la competencia material del sistema. Los responsables tienen
la atribucin de decidir sobre el contenido y finalidad de los sistemas
El titular del ente pblico tambin deber designar al servidor pblico
que fungir como enlace entre el ente y el Instituto.
El servidor pblico designado como enlace tambin coordinar a los
responsables de los sistemas de datos personales al interior del ente
pblico.
Los responsables, encargados y usuarios debern estar obligados a
cumplir con lo dispuesto en la Ley, los Lineamientos y el documento de
seguridad aplicable para cada sistema de datos personales.
Tratamiento por usuarios
36. En caso de que el tratamiento de datos personales sea por cuenta
de usuarios, el responsable deber asegurarse que dicha accin est
regulada en un contrato, que deber constar por escrito, o en alguna
otra forma que permita acreditar su celebracin y contenido, en el cual
se establecer que el usuario nicamente tratar los datos conforme
a las instrucciones del responsable, que no los aplicar o utilizar con
una finalidad distinta a la que figura en el contrato, ni los comunicar a
otras personas.
En el contrato se estipularn las medidas de seguridad que se deban
implementar para el tratamiento por el usuario.
Concluida la relacin contractual, los datos de carcter personal debern ser destruidos o devueltos al responsable.
182
Informe anual
37. El informe a que hace referencia la fraccin III del artculo 21 de la
Ley deber contener los siguientes apartados:
Nmero de solicitudes de acceso, rectificacin, cancelacin y oposicin de datos personales presentadas ante el ente pblico, as como
su resultado;
El tiempo de respuesta a la solicitud;
El estado que guardan las denuncias presentadas ante los rganos
internos de control, as como de las vistas dadas por el Instituto;
Dificultades observadas en el cumplimiento de la Ley;
Descripcin de los recursos pblicos utilizados en la materia;
Sistemas de datos personales creados, modificados y/o suprimidos;
Acciones desarrolladas para dar cumplimiento a las disposiciones contenidas en la Ley; y
Cesiones de datos personales efectuadas que deber detallar:
Identificacin del sistema mediante nmero de folio otorgado por el
Instituto, del ente cedente y del cesionario;
Finalidad de la cesin;
La mencin de si se trata de una cesin total o parcial de un sistema
de datos personales y, en su caso, las categoras de datos de que se
trate;
Fecha de inicio y trmino de la cesin y, en su caso, la periodicidad de
la misma;
Medio empleado para realizar la cesin;
Medidas y niveles de seguridad empleados para la cesin;
Obligaciones al trmino del tratamiento; y
El nivel de seguridad aplicado por el cesionario.
Enlace
38. El servidor pblico designado como enlace tendr las siguientes
obligaciones:
183
Coordinar a los responsables de sistemas de datos personales al interior del ente pblico para el cumplimiento de la Ley, los Lineamientos y
dems normativa aplicable;
Supervisar que los responsables mantengan actualizada la inscripcin de los sistemas bajo su responsabilidad en el Registro electrnico
creado por el Instituto;
Coordinar las acciones en materia de capacitacin; y
Remitir el informe a que hace referencia la fraccin III del artculo 21
de la Ley.
Encargado
39. El encargado deber ser una persona que labore en el ente pblico, en tanto que el usuario es aquella persona fsica o moral externa al
ente pblico que le presta servicios para tratar datos personales o que
implica el tratamiento de los mismos.
El acceso a los sistemas de datos personales por parte de la persona
encargada del tratamiento, no se considerar una cesin o delegacin
de responsabilidades por parte del responsable del sistema.
TTULO TERCERO. DE LA AUTORIDAD RESPONSABLE
DEL CONTROL Y VIGILANCIA
CAPTULO NICO. INSTITUTO DE ACCESO A LA INFORMACIN
PBLICA DEL DISTRITO FEDERAL
Facultad de inspeccin
40. El Instituto dispondr de los medios de investigacin y de la facultad de intervenir frente a la creacin, modificacin y supresin de
sistemas de datos personales sujetos al mbito de aplicacin de la Ley,
que no se ajusten a las disposiciones de la misma, de los presentes
Lineamientos y de las dems disposiciones que resulten aplicables.
A tal efecto, tendr acceso a los sistemas de datos personales, podr
inspeccionarlos y recabar toda la informacin necesaria para el cumplimiento de su funcin de control, podr solicitar la exhibicin o el envo
184
de documentos y datos, as como examinarlos en el lugar en donde se

encuentren instalados.
Procedimiento
41. El Instituto, en trminos del artculo 24, fraccin XVI de la Ley,
podr realizar visitas de inspeccin, las cuales no podrn referirse a
informacin de acceso restringido, a efecto de evaluar la actuacin de
los entes pblicos, de conformidad con lo siguiente:
Toda visita de inspeccin deber ajustarse a los procedimientos y formalidades establecidos en estos Lineamientos;
Los inspectores, al practicar una visita, debern llevar siempre consigo
el Acuerdo del Pleno del Instituto que determin la diligencia en el que
deber precisarse el ente pblico que ha de inspeccionarse, el objeto
de la visita, el alcance que deba tener y las disposiciones legales que
la fundamenten;
Los responsables o encargados del sistema de datos personales objeto de inspeccin estarn obligados a permitir el acceso y dar facilidades e informes a los inspectores para el desarrollo de su labor;
Al iniciar la visita, el inspector deber exhibir credencial vigente con
fotografa, expedida por el Instituto, que lo acredite para desempear
dicha funcin, as como el acuerdo a que se refiere la fraccin II de este
numeral, de la que deber dejar copia al responsable del sistema de
datos personales de que se trate o a la persona con quien se entienda
la diligencia;
De toda visita de inspeccin se levantar acta circunstanciada, en presencia de dos testigos propuestos por el responsable o servidor pblico
con quien se entienda la diligencia o, en su caso, por quien la practique
si aqul se hubiere negado a proponerlos;
De toda acta se dejar copia al servidor pblico con quien se entendi
la diligencia, aunque se hubiere negado a firmar, lo que no afectar
la validez de la diligencia ni del documento de que se trate, siempre y
cuando el inspector haga constar tal circunstancia en el acta;
En las actas se har constar:
Identificacin del ente pblico visitado;
185
Hora, da, mes y ao en que se inicie y concluya la diligencia;

Calle, nmero, poblacin o colonia, telfono u otra forma de comunicacin disponible, delegacin y cdigo postal en que se encuentre
ubicado el lugar en que se practique la visita;
Nmero y fecha del acuerdo del Pleno que la motiv;
Nombre y cargo de la persona con quien se entendi la diligencia;
Nombre y cargo de las personas que fungieron como testigos;
Datos relativos a la actuacin;
Declaracin del visitado, si quiere hacerla; y
Nombre y firma de quienes intervinieron en la diligencia incluyendo los
de quien o quienes la hubieren llevado a cabo. Si se negare a firmar
el visitado, ello no afectar la validez del acta, debiendo el inspector
asentar la razn relativa.
La visita debe entenderse con el responsable del sistema. En caso de que
no se encontrara presente, la diligencia se entender con el encargado
y, en su defecto, con quien se encuentre presente, circunstancia que
se har constar en el acta;
Los visitados a quienes se haya levantado acta de inspeccin podrn
formular observaciones en el acto de la diligencia y ofrecer pruebas en
relacin a los hechos contenidos en ella, o bien por escrito, as como
hacer uso de tal derecho dentro del trmino de cinco das hbiles siguientes a la fecha en que se hubiere levantado; y
Transcurrido el plazo sealado en el numeral anterior, el Instituto deber emitir una resolucin dentro del trmino de quince das hbiles en
la que podr:
Determinar que el sistema de datos personales se ajusta a lo establecido en la Ley;
Determinar que existen irregularidades que contravienen lo establecido en la Ley y dems normatividad aplicable, caso en el que formular
recomendaciones al ente pblico, a efecto de que subsane las inconsistencias detectadas dentro del plazo y condiciones que al efecto se
determinen;
El ente pblico deber informar por escrito al Instituto, dentro de los
cinco das hbiles siguientes a que termine el plazo a que se refiere el
186
numeral anterior, sobre la atencin a las recomendaciones formuladas

por el Instituto; y
En caso de que el ente pblico fuese omiso en presentar los informes
o en solventar las recomendaciones, el Instituto, dar vista al rgano
interno de control para los efectos legales correspondientes, sin que
esta situacin lo exima del cumplimiento de las mismas.
En caso de que, en la visita de inspeccin se advirtiera un posible tratamiento ilcito de los datos personales, se estar a lo dispuesto en los
numerales 29 y 30 de los presentes Lineamientos.
TTULO CUARTO. DE LOS DERECHOS Y
DEL PROCEDIMIENTO PARA SU EJERCICIO
CAPTULO NICO. DERECHOS DE ACCESO,
RECTIFICACIN, CANCELACIN Y OPOSICIN
42. Los derechos de acceso, rectificacin, cancelacin y oposicin son
personalsimos y, sern ejercidos directamente por el interesado o su
representante legal.
Procedimientos
43. Los entes pblicos debern observar, de forma complementaria
a lo establecido en la Ley y en los Lineamientos para la gestin de
solicitudes de informacin pblica y de datos personales a travs del
sistema INFOMEX del Distrito Federal, las disposiciones previstas en
este ttulo.
En caso de que la solicitud presentada no corresponda a una solicitud
de acceso, rectificacin, cancelacin u oposicin sobre datos de carcter personal la Oficina de Informacin Pblica deber notificarlo dentro
del plazo de cinco das hbiles al solicitante y, en su caso, orientarlo
para que presente una solicitud de informacin pblica o realice el trmite que corresponda.
187
Derecho de acceso
44. El derecho de acceso es la prerrogativa del interesado a obtener
informacin acerca de si sus propios datos de carcter personal estn
siendo objeto de tratamiento, la finalidad del tratamiento que, en su
caso, se est realizando, as como la informacin disponible sobre el
origen de dichos datos y las comunicaciones realizadas o previstas de
los mismos.
45. El interesado podr, a travs del derecho de acceso, obtener informacin relativa a datos concretos, a datos incluidos en un determinado
sistema o la totalidad de los datos sometidos a tratamiento en los sistemas de datos personales en posesin de un ente pblico.
Derecho de rectificacin
46. El derecho de rectificacin es la prerrogativa del interesado a que se
modifiquen los datos que resulten inexactos o incompletos, con respecto a la finalidad para la cual fueron obtenidos. Los datos sern considerados exactos si corresponden a la situacin actual del interesado.
47. La solicitud de rectificacin deber indicar qu datos se requiere
sean rectificados o completados y se acompaar de la documentacin que justifique lo solicitado.
Derecho de cancelacin
48. El derecho de cancelacin es la prerrogativa del interesado a solicitar que se eliminen los datos que resulten inadecuados o excesivos
en el sistema de datos personales de que se trate, sin perjuicio de la
obligacin de bloquear los datos conforme a la Ley y a los presentes
Lineamientos.
Para efectos del prrafo anterior, se considerar que los datos son
inadecuados, cuando estos no guarden una relacin con el mbito de
aplicacin y finalidad por la cual fueron recabados, o bien, si dejaron
de ser necesarios con respecto a dicha finalidad; as mismo se considerarn como excesivos, si los datos obtenidos son ms de los estrictamente necesarios en relacin a dicha finalidad.
188
El interesado tambin podr solicitar la cancelacin de sus datos cuando el tratamiento de los mismos no se ajuste a lo dispuesto en la Ley o
en estos Lineamientos.
49. En la solicitud de cancelacin, el interesado deber indicar a qu
datos se refiere, aportando, en su caso, la documentacin que justifique las razones por las cuales considera que el tratamiento no se
ajusta a lo dispuesto en la Ley.
50. Los derechos de rectificacin y cancelacin no procedern en los
supuestos en que as lo disponga una Ley.
Derecho de oposicin
51. El derecho de oposicin es la prerrogativa del interesado a solicitar
que no se lleve a cabo el tratamiento de sus datos personales para un fin
determinado o se cese en el mismo, cuando no sea necesario otorgar el
consentimiento para el tratamiento en trminos de lo dispuesto por el artculo 16 de la Ley, como consecuencia de un motivo legtimo y fundado
del interesado y siempre que una Ley no disponga lo contrario.
52. En caso de que la oposicin sea procedente, dar lugar a la cancelacin del dato, previo bloqueo, mientras transcurren los plazos previstos, a efecto de depurar las responsabilidades que correspondan.
TRANSITORIOS
PRIMERO. Los presentes Lineamientos entrarn en vigor al da siguiente de su publicacin en la Gaceta Oficial del Distrito Federal.
SEGUNDO. El titular del ente pblico deber designar al enlace y notificarlo al Instituto para su registro dentro de los quince das hbiles
posteriores a la entrada en vigor de los presentes Lineamientos.
TERCERO. Los responsables debern inscribir los sistemas de datos
personales bajo su custodia dentro de los noventa das hbiles siguientes a la entrada en vigor de estos Lineamientos en el Registro Electrnico de Sistemas de Datos Personales.
189
Bibliografa
Alberch, Ramn, y otros. Archivos y cultura: manual de dinamizacin, Ramn Alberch [et
al.], Gijn: Trea [2001]; 173 p.; 22 cm.
Abad Amors, Ma. Rosa. La proteccin de datos en: Derecho de la Informacin, BEL Y
CORREIDORA (coords.), Ariel, 2003, Espaa.
Lpez-Aylln, Sergio. La reforma y sus efectos legislativos, en: SALAZAR UGARTE,
Pedro (coord.), El derecho de acceso a la informacin en la constitucin mexicana: razones significados y consecuencias, UNAM, IFAI, Mxico.
Lucas Murillo de la Cueva, Pablo. La proteccin de datos en la administracin de justicia, en: Derecho a la intimidad y nuevas tecnologas, Cuadernos de Derecho
Judicial, Consejo General del Poder Judicial, Madrid, Espaa, 2004.
Lucas Murillo de la Cueva, Pablo. El derecho a la autodeterminacin informativa, Tecnos,
Madrid, Espaa, 1990.
Troncoso Reigada, Antonio. La declaracin de los ficheros de datos personales: acerca
de un modelo centralizado o descentralizado (en lnea). Madrid: Opinin de
los expertos Revista digital: Datospersonales.org, Madrid, APDCM, marzo 2009.
Nmero 38.
Villanueva, Ernesto. Derecho de acceso a la informacin pblica en Latinoamrica,
UNAM, Mxico, 2003.
191
Glosario
Autentificacin: Comprobacin de la identidad de aquella persona autorizada para el
tratamiento de datos personales.
Bloqueo: Identificacin y conservacin de datos personales con el nico propsito de
determinar posibles responsabilidades en relacin con su tratamiento, hasta el
plazo, legal o contractual, de prescripcin de stas. Durante dicho periodo, los
datos personales no podrn ser objeto de tratamiento y transcurrido ste, se
proceder a su cancelacin del sistema a que correspondan.
Cancelacin: Eliminacin de determinados datos de un sistema de datos personales previo bloqueo de los mismos.
Cesionario: Persona fsica o moral, pblica o privada, a la que un ente pblico realice una
cesin de datos personales.
Cesin de datos personales: Toda obtencin de datos resultante de la consulta de un archivo, registro, base o banco de datos, una publicacin de los datos contenidos
en l, su interconexin con otros ficheros y la comunicacin de datos realizada
por una persona distinta a la interesada, as como la transferencia o comunicacin de datos realizada entre entes pblicos.
Cifrado
de datos: El cifrado se puede entender como el hecho de guardar algo valioso

dentro de una caja fuerte cerrada con llave. Los datos confidenciales se cifran
con un algoritmo de cifrado y una clave que los hace ilegibles si no se conoce
dicha clave. Las claves de cifrado de datos se determinan en el momento de
realizar la conexin entre los equipos. El uso del cifrado de datos puede iniciarse
en su equipo o en el servidor al que se conecta.
Consentimiento: Autorizacin o permiso para que se haga algo.

Copia de respaldo: Copia de los datos de un archivo informtico en un soporte que posibilite su recuperacin.
Datos disociados: Aquellos que no permiten la identificacin de un afectado o interesado.
Datos
personales:
La informacin numrica, alfabtica, grfica, acstica o de cualquier

otro tipo concerniente a una persona fsica, identificada o identificable. Tal y
como son, de manera enunciativa y no limitativa: el origen tnico o racial, caractersticas fsicas, morales o emocionales, la vida afectiva y familiar, el domicilio
y telfono particular, correo electrnico no oficial, patrimonio, ideologa y opiniones polticas, creencias, convicciones religiosas y filosficas, estado de salud,
193
preferencia sexual, la huella digital, el ADN y el nmero de seguridad social, y

anlogos.
Documentos: Los expedientes, reportes, estudios, actas, resoluciones, oficios, correspondencia, acuerdos, directivas, directrices, circulares, contratos, convenios,
instructivos, notas, memorandos, estadsticas, o bien cualquier otro registro en
posesin de los entes pblicos sin importar su fuente o fecha de elaboracin.
Los documentos podrn estar en cualquier soporte, dems anlogos escrito,
impreso, sonoro, visual, electrnico, informtico u hologrfico.
Documento de seguridad: Instrumento que establece las medidas y procedimientos administrativos, fsicos y tcnicos de seguridad aplicables a los sistemas de datos
personales necesarios para garantizar la proteccin, confidencialidad, integridad
y disponibilidad de los datos contenidos en dichos sistemas.
Encargado: Servidor pblico que en ejercicio de sus atribuciones, realiza tratamiento de
datos personales de forma cotidiana.
Enlace: Servidor pblico que funge como vnculo entre el ente pblico y el Instituto para
atender los asuntos relativos a la Ley de Proteccin de Datos Personales para
el D. F.
Ente Pblico: La Asamblea Legislativa del Distrito Federal; el Tribunal Superior de Justicia del Distrito Federal; El Tribunal de lo Contencioso Administrativo del Distrito
Federal; El Tribunal Electoral del Distrito Federal; el Instituto Electoral del Distrito
Federal; la Comisin de Derechos Humanos del Distrito Federal; la Junta de
Conciliacin y Arbitraje del Distrito Federal; la Jefatura de Gobierno del Distrito
Federal; las Dependencias, rganos Desconcentrados, rganos Poltico Administrativos y Entidades de la Administracin Pblica del Distrito Federal; los rganos Autnomos por Ley; los partidos polticos, asociaciones y agrupaciones
polticas; as como aquellos que la legislacin local reconozca como de inters
pblico y ejerzan gasto pblico; y los entes equivalentes a personas jurdicas de
derecho pblico o privado, ya sea que en ejercicio de sus actividades acten en
auxilio de los rganos antes citados o ejerzan gasto pblico.
Fuente de acceso pblico: Aquella cuya consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, sin ms exigencia que, en su caso, el
pago que genere el acceso a determinado medio de informacin. Tendrn el carcter de fuentes de acceso pblico los Registros Pblicos, los diarios, gacetas y
boletines gubernamentales, as como otros medios oficiales de difusin.
Incidencia: Cualquier anomala que afecte o pudiera afectar la seguridad de los datos
personales.
Inequvoco: Que no admite duda o equivocacin.
INFOMEX: Sistema electrnico mediante el cual las personas podrn presentar sus solicitudes de acceso a la informacin pblica y de acceso, rectificacin, cancelacin y oposicin de datos personales y es el sistema nico para el registro y
captura de todas las solicitudes recibidas por los entes pblicos a travs de los
medios sealados en la Ley de Transparencia y Acceso a la Informacin Pblica
del Distrito Federal y la Ley de Proteccin de Datos Personales para el Distrito
Federal, as como para la recepcin de los recursos de revisin interpuestos a
travs del propio sistema.
194
Interesado: Persona fsica titular de los datos personales que sean objeto del tratamiento
al que se refiere la presente Ley.
Inmovilizacin: Medida cautelar que consiste en la interrupcin temporal en el uso de un
sistema de datos personales ordenada por el Instituto en los supuestos de tratamiento ilcito de datos de carcter personal.
Oficina
de Informacin
Pblica: La unidad administrativa receptora de las solicitudes de

acceso, rectificacin, cancelacin y oposicin de datos personales en posesin
de los entes pblicos, a cuya tutela estar el trmite de las mismas, conforme a lo
establecido en esta Ley y en los lineamientos que al efecto expida el Instituto.
Procedimiento de disociacin: Todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda asociarse a una persona fsica identificada
o identificable.
Registro Electrnico de Sistemas de Datos Personales: Aplicacin informtica desarrollada por el Instituto para la inscripcin de los sistemas de datos personales en
posesin de los entes pblicos.
Responsable: El servidor pblico de la unidad administrativa a la que se encuentre adscrito el sistema de datos personales, designado por el titular del ente pblico,
que decide sobre el tratamiento de datos personales, as como el contenido y
finalidad de los sistemas de datos personales.
Responsable de seguridad: Persona a la que el responsable del sistema de datos personales asigna formalmente la funcin de coordinar y controlar las medidas de
seguridad aplicables.
Revocar: Dejar sin efecto una concesin, mandato o resolucin.
Sistema
de Datos Personales: Conjunto organizado de datos personales que estn en

posesin de los entes pblicos, contenidos en archivos, registros, ficheros, bases o bancos de datos, que permita el acceso a datos con arreglo a criterios determinados, cualquiera que fuere la modalidad de su creacin, almacenamiento,
organizacin o acceso.
Soporte electrnico: Son los medios de almacenamiento inteligibles slo mediante el

uso de algn aparato con circuitos electrnicos que procese su contenido para
examinar, modificar o almacenar los datos; es decir, cintas magnticas de audio,
vdeo y datos, fichas de microfilm, discos pticos (CDs y DVDs), discos magnetopticos, discos magnticos (flexibles y duros) y dems medios de almacenamiento masivo no voltil.
Soporte fsico: Son los medios de almacenamiento inteligibles a simple vista, es decir,
que no requieren de ningn aparato que procese su contenido para examinar,
modificar o almacenar los datos; es decir, documentos, oficios, formularios impresos llenados a mano o a mquina, fotografas, placas radiolgicas, carpetas, expedientes, dems anlogos.
Supresin: Eliminacin de un sistema de datos personales mediante acuerdo publicado
en la Gaceta Oficial del Distrito Federal.
Suspensin: Medida cautelar ordenada por el Instituto de Acceso a la Informacin Pblica
del D.F. que consiste en la interrupcin temporal en el tratamiento de determinados datos personales contenidos en un sistema de datos personales.
195
Transmisin de datos: Cualquier traslado, comunicacin, envo, entrega o divulgacin de

los datos.
Tratamiento de Datos Personales: Cualquier operacin o conjunto de operaciones efectuadas mediante procedimientos automatizados o fsicos, aplicados a los sistemas de datos personales, relacionados con la obtencin, registro, organizacin,
conservacin, elaboracin, utilizacin, cesin, difusin, interconexin o cualquier
otra forma que permita obtener informacin de los mismos y facilite al interesado
el acceso, rectificacin, cancelacin u oposicin de sus datos.
Usuario: Aquel autorizado por el ente pblico para prestarle servicios para el tratamiento
Vulneracin: Transgresin, quebranto, violacin de una ley o precepto.
Bibliografa del Glosario
Ley de Proteccin de Datos Personales para el Distrito Federal 2009.
Lineamientos de Proteccin de Datos Personales para el Distrito Federal 2009.
Del Peso Navarro, Emilio; Ramos Gonzlez, Miguel ngel; Del Peso Ruiz, Margarita; Del
Peso Ruiz, Mar. 2008, Nuevo Reglamento de Proteccin de Datos de Carcter
Personal, Medidas de Seguridad, Ediciones Daz de Santos.
http://technet.microsoft.com/es-es/library/cc785633(WS.10).aspx
http://www.wordreference.com/definicion/consentimiento
196
Notas
1. http://www.webjuridico.net/hoi/hoi06.htm
2. Rysdall, R. Proteccin de datos y el Convenio Europeo de los Derechos Humanos,
Discurso de apertura de la XIII Conferencia de Comisarios de Proteccin de Datos,
Novtica, marzo de 1992, p.9.
3. Otero Parga, Milagros. Consideraciones en torno al derecho a la intimidad, en Los
derechos fundamentales y libertades pblicas (XII Jornadas de Estudio de la Direccin General del Servicio Jurdico del Estado), Ministerio de Justicia, Madrid, 1992,
vol. I, pp. 697-698.
4. Artculo 2.a de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24
de octubre de 1995.
5. En el anlisis de estos componentes seguimos, en lo fundamental, el Dictamen
4/2007 sobre el concepto de datos personales adoptado el 20 de junio por el GRUPO DE TRABAJO DEL ARTCULO 29, creado en virtud del artculo 29 de la Directiva
95/46/CE. Se trata de un organismo de la UE, de carcter consultivo e independiente, para la proteccin de datos y el derecho a la intimidad. Se sugiere su consulta
para profundizar en el tema. El documento est disponible en: http://ec.europa.eu/
justice_home/fsj/privacy/docs/wpdocs/2007/wp136_es.pdf
6. El artculo 10 de la LPDPDF considera como datos sensibles a: el origen tnico o
racial, caractersticas morales o emocionales, ideologa y opiniones polticas, creencias religiosas, filosficas y preferencia sexual.
7. Documento n WP 105 del Grupo de trabajo: Documento de trabajo sobre las cuestiones relativas a la proteccin de datos relacionadas con la tecnologa RFID, adoptado el 19.1.2005, p. 8.
8. Artculo 22.
9. Publicada en el Peridico Oficial El Estado de Colima el 21 de junio de 2003.
10. Por ejemplo, la Ley argentina aplica tanto a personas fsicas como a personas morales y define a los datos personales como informacin de cualquier tipo referida
a personas fsicas o de existencia ideal (jurdicas) determinadas (identificadas) o
determinables (identificables).
11. Lucas Murillo de la Cueva, La proteccin de datos en la administracin de justicia,
en: Derecho a la intimidad y nuevas tecnologas, Cuadernos de Derecho Judicial,
Consejo General del Poder Judicial, Madrid, Espaa, 2004, p.233.
197
12. Abad Amors, Ma. Rosa. La proteccin de datos en: Derecho de la Informacin,
BEL Y CORREIDORA (Coords.), Ariel, 2003, Espaa, p.357.
13. Villanueva, Ernesto. Derecho de acceso a la informacin pblica en Latinoamrica,
UNAM, Mxico, 2003, p. XXV.
14. Arbelez de Tobn, Luca. Transparencia, derechos fundamentales y la Internet en
el Poder Judicial de Colombia, Ponencia presentada en el Seminario-Taller sobre la
INTERNET Y SISTEMA JUDICIAL EN AMERICA LATINA Y EL CARIBE.
15. Expresin latina que significa a la ciudad y al mundo entero. Se emplea para expresar que cierta cosa se hace llegar a todas partes y que especficamente se publica
a los cuatro vientos.
16. Ornelas Nez, Lina y Lpez Aylln, Sergio. Documento La recepcin del derecho
a la proteccin de datos en Mxico: Breve descripcin de su origen y estatus legislativo.
17. Velasco San Martn, Cristos. Privacidad y proteccin de datos personales en Internet Es necesario contar con una regulacin especfica en Mxico?, Boletn de
Poltica Informtica, No. 1, 2003, pp.4-5.
18. Organizacin para la Cooperacin y Desarrollo Econmico, organizacin de cooperacin internacional, compuesta por 30 Estados, cuyo objetivo es coordinar sus polticas econmicas y sociales.
19. Bayo Delgado, Joaqun. Derecho comunitario sobre proteccin de datos en GMEZ MARTNEZ, (dir.) Derecho a la intimidad y nuevas tecnologas, Cuadernos de
Derecho Judicial IX-2004, Consejo General del Poder Judicial, 2004, p.50.
20. Abrogar es abolir o dejar sin efecto una norma vigente. Cuando se abroga una norma
sta se elimina completamente. www.lenguajeciudadano.gob.mx (13 de octubre de
2008).
21. Sobre este particular, los asamblestas consideraron que por su relevancia estas
materias deberan contar con una ley especfica. La LPDPDF se public en la Gaceta
Oficial del Distrito Federal el 3 de octubre de 2008 y la Ley de Archivos local el 8 del
mismo mes y ao.
22. La LPDPDF tambin recoge el principio denominado derecho de informacin o
deber de informacin, si bien no se refiere a l dentro del artculo 5 si lo contempla
en el artculo 9.
23. Lpez-Aylln, Sergio. La reforma y sus efectos legislativos, en: SALAZAR UGARTE, Pedro (Coord.), El derecho de acceso a la informacin en la Constitucin mexicana: razones significados y consecuencias, UNAM, IFAI, Mxico, 2008, p.18.
24. El procedimiento de disociacin consiste en todo tratamiento de datos personales de
modo que la informacin que se obtenga no pueda asociarse a una persona fsica
identificada o identificable.
25. Captulo II del Ttulo Segundo De la tutela de datos personales.
26. Troncoso Reigada, Antonio. La declaracin de los ficheros de datos personales:
acerca de un modelo centralizado o descentralizado, (en lnea). Madrid: Opinin de
los expertos Revista digital: Datospersonales.org, Madrid, APDCM, marzo 2009.
Nmero 38.
198
http://www.madrid.org/cs/Satellite?c=CM_Revista_FP&cid=1142540478587&esArti
culo=true&idRevistaElegida=1142527411030&language=es&pagename=RevistaDa
tosPersonales%2FPage%2Fhome_RDP&siteName=RevistaDatosPersonales (consulta: 20 julio 2009).
27. Artculo 7 LPDPDF.

28. Las medidas de seguridad se regulan en el Captulo III, del Ttulo Segundo De la
tutela de datos personales de la LPDPDF (artculos 13 al 15).
29. En Mxico los criterios cientficos, tecnolgicos y administrativos obligatorios en la
elaboracin, integracin, uso y archivo del expediente clnico estn contenidos en la
Norma Oficial Mexicana: NOM-168-SSA1-1998 DEL EXPEDIENTE CLNICO.
30. El Instituto Federal de Acceso a la Informacin Pblica (IFAI) cuenta con un Estudio
sobre expedientes clnicos disponible en: http://www.ifai.org.mx/SitiosInteres/ligasSitios
31. Como es el caso de la Agencia Espaola de Proteccin de Datos que tiene facultades
para imponer multas millonarias. www.agpd.es
32. Sobre este ltimo punto existe un procedimiento especfico en los Lineamientos (numeral 41).
33. La propia LPDPDF hace referencia a la Ley Federal de Responsabilidades de los
Servidores Pblicos, la cual en su artculo 78 establece el plazo de prescripcin para
imponer sanciones.
34. Sobre el recurso de revisin consultar: http://www.infodf.org.mx/capacitacion/publicacionesDCCT/Recursoderevision/recursoderevision.pdf
35. El plazo ser de 20 das si el ente no presenta el informe de ley o de 10 das si el
recurso se presenta por falta de respuesta.
199
Evalate
en Lnea
Te recordamos que si ya concluiste el curso a travs de este Manual

de Autoformacin y deseas obtener una Constancia de Acreditacin
validada por el InfoDF, debes presentar tus evaluaciones a travs del
Aula Virtual de Aprendizaje (AVA), localizada en la pgina de internet
www.aula-infodf.org/aulavirtual/.
Una vez que hayas concluido las evaluaciones correspondientes a este
curso, con las calificaciones requeridas (10 en cada tema), el InfoDF te
otorgar una Constancia de Acreditacin.
Para cualquier duda a este respecto, puedes comunicarte al telfono
56 36 21 20 Ext. 159.
201
Coleccin Capacitacin a Distancia
05
Instituto de Acceso a la Informacin Pblica del Distrito Federal.

Manual de Autoformacin sobre la Ley de Proteccin de
Datos Personales para el Distrito Federal.
Diciembre de 2009.
Corporacin Mexicana de Impresin S. A. de C. V.
General Victoriano Zepeda No. 22 Col. Observatorio,
C. P. 11860, Mxico, D. F.
El tiraje fue de 2,000 ejemplares impresos en papel bond de 90 g
y forros en couch de 250 g.
Fuentes tipogrficas: Arial, Arial Black, Carta, Gill Sans MT,
Imprint MT Shadow y Zapf Ding bats.
Cuidado de la edicin: Direccin de Capacitacin
y Cultura de la Transparencia.

Manual Datos Personales 2

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Manual Datos Personales 2

Caricato da

Copyright:

Formati disponibili

Coleccin Capacitacin a Distancia

MANUAL DE AUTOFORMACIN SOBRE LA

LEY DE PROTECCIN DE DATOS

Instituto de Acceso a la Informacin Pblica del Distrito Federal

MANUAL DE AUTOFORMACIN SOBRE LA LEY DE PROTECCIN

Mariana Cendejas Juregui

Ma. de los ngeles Hernndez Snchez

Sonia Barrera Garca

DR 2009, Instituto de Acceso a la Informacin Pblica del Distrito Federal.

Gua del participante

Conceptos y Definiciones Bsicas

Antecedentes de las Leyes de

Aspectos Relevantes de la Ley de

2. Ley de Proteccin de Datos Personales para el

3. Lineamientos para la Proteccin de Datos

frente a esta amenaza tecnolgica que permite con mayor rapidez y

para la aplicacin e implementacin de la Ley de Proteccin de Datos

l concluir el Manual el participante podr:

Lea la gua completa antes de iniciar

Estructura del Manual

Estructura del Manual

Estructura de los Mdulos

Si ya concluiste el curso a travs de este Manual

Conceptos y Definiciones Bsicas

omenzaremos nuestro manual con el

Contenido del Mdulo uno

Objetivos del Mdulo

que garantizan el cumplimiento de las mismas. Su finalidad real no es

Definir y demarcar el contenido de este derecho no es tarea fcil y,

Datos personales: toda

Se refiere a toda aquella informacin y actividades en las cuales el

Una definicin clara sobre lo que debemos entender como datos

La expresin toda informacin exige una interpretacin amplia

Por lo que hace al tercer componente identificada o identificable

cuando, dentro de un grupo de personas, se la distingue de todos los

Un dato se refiere a una

Sobra decir que el identificador ms comn de una persona es el

dicha persona. De tal suerte que, la simple e hipottica posibilidad de

La Declaracin Universal de los Derechos Humanos se refiere al

en que todo individuo tenga garantizado el derecho de acceder a la

f) Que se garantice la supresin de informacin sobre la persona

ARCO: Cuatro derechos fundamentales

Este poder de control sobre los datos personales

UU Conocer en todo momento quin dispone de sus datos y para

Proteccin de datos de carcter personal

1. Tienen derecho a la proteccin de datos personales:

D. Todas las anteriores.

3. Para una efectiva garanta del derecho a la proteccin de datos

Antecedentes de las Leyes de

Tema 1. Antecedentes de las Leyes de Proteccin de Datos

Frente a esta gran problemtica generada en materia de proteccin

El Internet lanza al mercado

Adicionalmente, se han hecho algunos llamamientos, como el de

Tema 2. Antecedentes Legislativos en Materia de

Podemos decir que, en los Estados Unidos, se ha adoptado una

Automatizado de Datos de Carcter Personal, cuyo objetivo (artculo

Pese a todas las reservas, en 1995 se aprueba, tras importantes

8 de mayo de 2003: Se publica en la Gaceta Oficial del Distrito

Garantizar a cualquier persona

El derecho a la proteccin de datos personales surge ante

1. Las primeras legislaciones sobre datos personales se adoptan:

2. El texto de referencia para los pases europeos para legislar en

3. La Ley de Proteccin de Datos Personales para el Distrito Federal data de:

Aspectos Relevantes de la Ley de