¡Disfruta de SmartLeges Premium!

Suscríbete a SmartLeges Premium y disfruta de estas ventajas:

  • Consulta tantas leyes como necesites, gratuitas o de pago, sin coste adicional
  • Consulta casi cualquier ley en varios países gracias al nuevo buscador avanzado. ¡Toda la legislación a tu alcance!
  • Disfruta de todas las características de SmartLeges sin restricciones
Ver los planes

Una aplicación imprescindible y gratuita para profesionales y estudiantes del sector jurídico

Leer más
 

¡Regístrate gratis!

¿Quieres consultar esta y otras leyes completas?

Regístrate gratis y podrás consultar las leyes en tu móvil o tablet, además de subrayar textos, añadir notas...

¡Regístrate gratis!

Compartir esta ley Otras leyes de México
Email Facebook Twitter Google Linkedin Tumblr

LEY DE PROTECCIÓN DE DATOS PERSONALES PARA EL DISTRITO FEDERAL

Publicación original: G.O. 03/10/2008

Reforma: GO 03-10-2008


  • Título Primero. Disposiciones comunes para los entes públicos
    • Capítulo Único. Disposiciones generales
  • Título Segundo. De la tutela de datos personales
    • Capítulo I. De los principios
    • Capítulo II. De los sistemas de datos personales
    • Capítulo III. De las medidas de seguridad
    • Capítulo IV. Del tratamiento de datos personales
    • Capítulo V. De las obligaciones de los entes públicos
  • Título Tercero. De la autoridad responsable del control y vigilancia
    • Capítulo Único. Del instituto y sus atribuciones
  • Título Cuarto. De los derechos y del procedimiento para su ejercicio
    • Capítulo I. Derechos en materia de datos personales
    • Capítulo II. Del procedimiento
    • Capítulo III. Del recurso de revisión
  • Título Quinto. De las responsabilidades
    • Capítulo Único. De las infracciónes
  • Transitorios
  • Versión 03-10-2008

TÍTULO PRIMERO
Disposiciones comunes para los entes públicos

Artículos 1 - 4

CAPÍTULO ÚNICO
Disposiciones generales

Artículos 1 - 4

Artículo 1

La presente Ley es de orden público e interés general y tiene por objeto establecer los principios, derechos, obligaciones y procedimientos que regulan la protección y tratamiento de los datos personales en posesión de los entes públicos.

Artículo 2

Para los efectos de la presente Ley, se entiende por:

Bloqueo de datos personales: La identificación y reserva de datos personales con el fin de impedir su tratamiento;

Cesión de datos personales: Toda obtención de datos resultante de la consulta de un archivo, registro, base o banco de datos, una publicación de los datos contenidos en él, su interconexión con otros ficheros y la comunicación de datos realizada por una persona distinta a la interesada, así como la transferencia o comunicación de datos realizada entre entes públicos;

Datos personales: La información numérica, alfabética, gráfica, acústica o de cualquier otro tipo concerniente a una persona física, identificada o identificable. Tal y como son, de manera enunciativa y no limitativa: el origen étnico o racial, características físicas, morales o emocionales, la vida afectiva y familiar, el domicilio y teléfono particular, correo electrónico no oficial, patrimonio, ideología y opiniones políticas, creencias, convicciones religiosas y filosóficas, estado de salud, preferencia sexual, la huella digital, el ADN y el número de seguridad social, y análogos;

Ente Público: La Asamblea Legislativa del Distrito Federal; el Tribunal Superior de Justicia del Distrito Federal; El Tribunal de lo Contencioso Administrativo del Distrito Federal; El Tribunal Electoral del Distrito Federal; el Instituto Electoral del Distrito Federal; la Comisión de Derechos Humanos del Distrito Federal; la Junta de Conciliación y Arbitraje del Distrito Federal; la Jefatura de Gobierno del Distrito Federal; las Dependencias, Órganos Desconcentrados, Órganos Político Administrativos y Entidades de la Administración Pública del Distrito Federal; los Órganos Autónomos por Ley; los partidos políticos, asociaciones y agrupaciones políticas; así como aquellos que la legislación local reconozca como de interés público y ejerzan gasto público; y los entes equivalentes a personas jurídicas de derecho público o privado, ya sea que en ejercicio de sus actividades actúen en auxilio de los órganos antes citados o ejerzan gasto público;

Instituto: El Instituto de Acceso a la Información Pública del Distrito Federal.

Interesado: Persona física titular de los datos personales que sean objeto del tratamiento al que se refiere la presente Ley;

Oficina de Información Pública: La unidad administrativa receptora de las solicitudes de acceso, rectificación, cancelación y oposición de datos personales en posesión de los entes públicos, a cuya tutela estará el tramite de las mismas, conforme a lo establecido en esta Ley y en los lineamientos que al efecto expida el Instituto;

Procedimiento de disociación. Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a una persona física identificada o identificable;

Responsable del Sistema de Datos Personales: Persona física que decida sobre la protección y tratamiento de datos personales, así como el contenido y finalidad de los mismos;

Sistema de Datos Personales: Todo conjunto organizado de archivos, registros, ficheros, bases o banco de datos personales de los entes públicos, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso;

Tratamiento de Datos Personales: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos automatizados o físicos, aplicados a los sistemas de datos personales, relacionados con la obtención, registro, organización, conservación, elaboración, utilización, cesión, difusión, interconexión o cualquier otra forma que permita obtener información de los mismos y facilite al interesado el acceso, rectificación, cancelación u oposición de sus datos;

Usuario.- Aquel autorizado por el ente público para prestarle servicios para el tratamiento de datos personales.

Artículo 3

La interpretación de esta ley se realizará conforme a la Constitución Política de los Estados Unidos Mexicanos, la Declaración Universal de los Derechos Humanos, el Pacto Internacional de Derechos Civiles y Políticos, la Convención Americana sobre Derechos Humanos, y demás instrumentos internacionales suscritos y ratificados por el Estado Mexicano y la interpretación que de los mismos hayan realizado los órganos internacionales respectivos.

Artículo 4

En todo lo no previsto en los procedimientos a que se refiere esta Ley, se aplicará de manera supletoria la Ley de Procedimiento Administrativo del Distrito Federal y, en su defecto, el Código de Procedimientos Civiles del Distrito Federal.

TITULO SEGUNDO
De la tutela de datos personales

Artículos 5 - 22

CAPÍTULO I
De los principios

Artículo 5

Artículo 5

Los sistemas de datos personales en posesión de los entes públicos se regirán por los principios siguientes:

Licitud: Consiste en que la posesión y tratamiento de sistemas de datos personales obedecerá exclusivamente a las atribuciones legales o reglamentarias de cada ente público y deberán obtenerse a través de medios previstos en dichas disposiciones.

Los sistemas de datos personales no pueden tener finalidades contrarias a las leyes o a la moral pública y en ningún caso pueden ser utilizados para finalidades distintas o incompatibles con aquella que motivaron su obtención. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

Consentimiento: Se refiere a la manifestación de voluntad libre, inequívoca, específica e informada, mediante la cual el interesado consiente el tratamiento de sus datos personales.

Calidad de los Datos: Los datos personales recabados deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido. Los datos recabados deberán ser los que respondan con veracidad a la situación actual del interesado.

Confidencialidad: Consiste en garantizar que exclusivamente la persona interesada puede acceder a los datos personales o, en caso, el responsable o el usuario del sistema de datos personales para su tratamiento, así como el deber de secrecía del responsable del sistema de datos personales, así como de los usuarios.

Los instrumentos jurídicos que correspondan a la contratación de servicios del responsable del sistema de datos personales, así como de los usuarios, deberán prever la obligación de garantizar la seguridad y confidencialidad de los sistemas de datos personales, así como la prohibición de utilizarlos con propósitos distintos para los cuales se llevó a cabo la contratación, así como las penas convencionales por su incumplimiento. Lo anterior, sin perjuicio de las responsabilidades previstas en otras disposiciones aplicables.

Los datos personales son irrenunciables, intransferibles e indelegables, por lo que no podrán transmitirse salvo disposición legal o cuando medie el consentimiento del titular y dicha obligación subsistirá aún después de finalizada la relación entre el ente público con el titular de los datos personales, así como después de finalizada la relación laboral entre el ente público y el responsable del sistema de datos personales o los usuarios.

El responsable del sistema de datos personales o los usuarios podrán ser relevados del deber de confidencialidad por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la seguridad nacional o la salud pública.

Seguridad: Consiste en garantizar que únicamente el responsable del sistema de datos personales o en su caso los usuarios autorizados puedan llevar a cabo el tratamiento de los datos personales, mediante los procedimientos que para tal efecto se establezcan.

Disponibilidad: Los datos deben ser almacenados de modo que permitan el ejercicio de los derechos de acceso, rectificación, cancelación y oposición del interesado.

Temporalidad: Los datos personales deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los que hubiesen sido recolectados.

Queda exceptuado el tratamiento que con posterioridad se les dé con objetivos estadísticos o científicos, siempre que cuenten con el procedimiento de disociación.

Únicamente podrán ser conservados de manera integra, permanente y sujetos a tratamiento los datos personales con fines históricos.

CAPÍTULO II
De los sistemas de datos personales

Artículos 6 - 12

Artículo 6

Corresponde a cada ente público determinar, a través de su titular o, en su caso, del órgano competente, la creación, modificación o supresión de sistemas de datos personales, conforme a su respectivo ámbito de competencia.

Artículo 7

La integración, tratamiento y tutela de los sistemas de datos personales se regirán por las disposiciones siguientes:

I. Cada ente público deberá publicar en la Gaceta Oficial del Distrito Federal la creación, modificación o supresión de su sistema de datos personales;

II. En caso de creación o modificación de sistemas de datos personales, se deberá indicar por lo menos:

a) La finalidad del sistema de datos personales y los usos previstos para el mismo;

b) Las personas o grupos de personas sobre los que se pretenda obtener datos de carácter personal o que resulten obligados a suministrarlos;

c) El procedimiento de recolección de los datos de carácter personal;

d) La estructura básica del sistema de datos personales y la descripción de los tipos de datos incluidos en el mismo;

e) De la cesión de las que pueden ser objeto los datos;

f) Las instancias responsables del tratamiento del sistema de datos personales;

g) La unidad administrativa ante la que podrán ejercitarse los derechos de acceso, rectificación, cancelación u oposición; y

h) El nivel de protección exigible.

III. En las disposiciones que se dicten para la supresión de los sistemas de datos personales, se establecerá el destino de los datos contenidos en los mismos o, en su caso, las previsiones que se adopten para su destrucción.

IV. De la destrucción de los datos personales podrán ser excluidos aquellos que, con finalidades estadísticas o históricas, sean previamente sometidos al procedimiento de disociación.

Artículo 8

Los sistemas de datos personales en posesión de los entes públicos deberán inscribirse en el registro que al efecto habilite el Instituto.

El registro debe comprender como mínimo la información siguiente:

I. Nombre y cargo del responsable y de los usuarios;

II. Finalidad del sistema;

III. Naturaleza de los datos personales contenidos en cada sistema;

IV. Forma de recolección y actualización de datos;

V. Destino de los datos y personas físicas o morales a las que pueden ser transmitidos;

VI. Modo de interrelacionar la información registrada;

VII. Tiempo de conservación de los datos, y

VIII. Medidas de seguridad.

Artículo 9

Cuando los entes públicos recaben datos personales deberán informar previamente a los interesados de forma expresa, precisa e inequívoca lo siguiente:

I. De la existencia de un sistema de datos personales, del tratamiento de datos personales, de la finalidad de la obtención de éstos y de los destinatarios de la información;

II. Del carácter obligatorio o facultativo de responder a las preguntas que les sean planteadas;

III. De las consecuencias de la obtención de los datos personales, de la negativa a suministrarlos o de la inexactitud de los mismos;

IV. De la posibilidad para que estos datos sean difundidos, en cuyo caso deberá constar el consentimiento expreso del interesado, salvo cuando se trate de datos personales que por disposición de una Ley sean considerados públicos;

V. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; y

VI. Del nombre del responsable del sistema de datos personales y en su caso de los destinatarios.

Cuando se utilicen cuestionarios u otros impresos para la obtención de los datos, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el presente artículo.

En caso de que los datos de carácter personal no hayan sido obtenidos del interesado, éste deberá ser informado de manera expresa, precisa e inequívoca, por el responsable del sistema de datos personales, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad de lo previsto en las fracciones I, IV y V del presente artículo.

Se exceptúa de lo previsto en el presente artículo cuando alguna ley expresamente así lo estipule.

Asimismo, tampoco regirá lo dispuesto en el presente artículo cuando los datos personales procedan de fuentes accesibles al público en general.

Artículo 10

Ninguna persona esta obligada a proporcionar datos personales considerados como sensibles, tal y como son: el origen étnico o racial, características morales o emocionales, ideología y opiniones políticas, creencias, convicciones religiosas, filosóficas y preferencia sexual.

Queda prohibida la creación de sistemas de datos personales que tengan la finalidad exclusiva de almacenar los datos personales señalados en el párrafo anterior y sólo pueden ser tratados cuando medien razones de interés general, así lo disponga una ley, lo consienta expresamente el interesado o, con fines estadísticos o históricos, siempre y cuando se hubiera realizado previamente el procedimiento de disociación.

Tratándose de estudios científicos o de salud pública el procedimiento de disociación no será necesario.