Ley de Protección de Datos Personales para el Estado y Los Municipios de Guanajuato
ÚLTIMA REFORMA PUBLICADA EN EL PERIÓDICO OFICIAL DEL GOBIERNO DEL ESTADO NÚMERO 146, SEGUNDA PARTE, DE FECHA 11 DE SEPTIEMBRE DE 2015.
Ley publicada en el Periódico Oficial del Gobierno del Estado número 80, segunda parte, de fecha 19 de mayo de 2006.
JUAN CARLOS ROMERO HICKS, GOBERNADOR CONSTITUCIONAL DEL ESTADO LIBRE Y SOBERANO DE GUANAJUATO, A LOS HABITANTES DEL MISMO SABED:
QUE EL H. CONGRESO CONSTITUCIONAL DEL ESTADO LIBRE Y SOBERANO DE GUANAJUATO, HA TENIDO A BIEN DIRIGIRME EL SIGUIENTE:
DECRETO NÚMERO 266.
La Quincuagésimo Novena Legislatura Constitucional del Estado Libre y Soberano de Guanajuato, decreta:
LEY DE PROTECCIÓN DE DATOS PERSONALES PARA EL ESTADO Y LOS MUNICIPIOS DE GUANAJUATO
TÍTULO PRIMERO
DISPOSICIONES GENERALES
Capítulo Único
De las Disposiciones Generales
ARTÍCULO 1. La presente ley es de orden público e interés general y tiene por objeto garantizar la protección de los datos personales en poder de los sujetos obligados a que se refiere este ordenamiento.
ARTÍCULO 2. Los sujetos obligados para la aplicación de esta ley son:
I. El Poder Legislativo;
II. El Poder Ejecutivo;
III. El Poder Judicial;
IV. Los Ayuntamientos;
V. Los organismos autónomos, y
VI. Cualquier otra dependencia o entidad estatal o municipal.
ARTÍCULO 3. Para efectos de este ordenamiento se entenderá por:
I. Archivo o banco de datos: El conjunto de datos personales obtenidos por los sujetos obligados, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización o acceso;
II. Bloqueo de datos: La identificación y reserva de datos con el fin de impedir su tratamiento;
III. Cesión de datos: La difusión, distribución, transferencia, interconexión o comercialización de datos personales contenidos en los archivos o bancos de datos de los sujetos obligados;
IV. Consentimiento del titular: La manifestación de voluntad expresa, ya sea por escrito o a través de medios electrónicos, mediante la cual acepta el tratamiento de sus datos personales;
V. Datos personales: La información concerniente a una persona física identificada o identificable, relativa a su origen racial o étnico, o que esté referida a sus características físicas, morales o emocionales, a su vida afectiva o familiar, domicilio, número telefónico, patrimonio, ideología, creencias o convicciones religiosas o filosóficas, su estado de salud físico o mental, sus preferencias sexuales, claves informáticas o cibernéticas, códigos personales encriptados u otras análogas; que se encuentre vinculada a su intimidad, entre otras;
VI. Fuentes accesibles al público: El archivo o banco de datos cuya consulta puede ser realizada por cualquier persona y que estén contenidos en medios como: censos, anuarios, archivos de prensa, bases de datos públicas, colecciones jurisprudenciales, directorios telefónicos, diarios, boletines oficiales u otros análogos;
VII. Instituto: El Instituto de Acceso a la Información Pública;
VIII. Titular: Toda persona física a la que conciernen los datos personales;
IX. Tratamiento de datos: Las operaciones y procedimientos sistemáticos, automatizados o no, que permiten a los sujetos obligados la obtención, corrección, cancelación o cesión de datos personales.
Se entiende por operaciones o procedimientos automatizados aquellos que se realizan a través de dispositivos electrónicos, digitales, ópticos o de cualquier otra tecnología, que son empleados por los sujetos obligados, y
X. Unidad de acceso: La unidad de acceso a la información pública de cada sujeto obligado.
ARTÍCULO 4. Se exceptúan de la regulación de la presente ley, los archivos y bancos de datos que:
I. Tengan por objeto almacenar datos personales para su publicidad con carácter general y que se regulen por sus disposiciones específicas;
II. Se regulen por sus disposiciones específicas en atención a la naturaleza de sus funciones, y
III. Se conformen para la prevención, investigación y persecución de delitos, y conductas antisociales.
ARTÍCULO 5. En la integración del archivo o banco de datos, los sujetos obligados deberán adoptar las medidas técnicas y de organización necesarias, que garanticen la seguridad en el tratamiento de datos y eviten su alteración, pérdida, inexactitud o acceso no autorizado; para lo cual atenderán a la normativa que regule su funcionamiento y organización.
TÍTULO SEGUNDO
TRATAMIENTO DE DATOS PERSONALES
Capítulo Primero
De las Obligaciones de los Sujetos Obligados
ARTÍCULO 6. Los sujetos obligados, en el tratamiento de datos, tendrán las siguientes obligaciones:
I. Contar con el consentimiento del titular para la obtención de sus datos personales, informándole previamente sobre la existencia y finalidad del archivo o banco de datos, así como el carácter obligatorio u optativo de proporcionarlos y las consecuencias de ello;
II. Adoptar los procedimientos adecuados para dar trámite a las solicitudes de informes, de corrección o cancelación de datos personales, y en su caso, para la cesión de los mismos; debiendo capacitar a los servidores públicos encargados de su atención y seguimiento;
III. Utilizar los datos personales únicamente cuando éstos guarden relación con la finalidad para la cual se hayan obtenido;
IV. Proceder a la cancelación de los datos personales cuando éstos dejen de ser necesarios para la finalidad para la cual se obtuvieron. No se considerará como finalidad distinta, el tratamiento que con posterioridad se les dé con objetivos estadísticos o científicos, siempre que no puedan atribuirse a persona determinada o determinable, así como para fines históricos;
V. Permitir en todo momento al titular el ejercicio del derecho a conocer sobre sus datos personales, a solicitar su corrección o cancelación, así como a oponerse en los términos de esta ley, a que los mismos sean cedidos;
VI. Actualizar los datos personales cuando haya lugar, debiendo corregir o completar de oficio aquellos que fueren inexactos o incompletos, respectivamente, a efecto de que coincidan con los datos presentes del titular.
Lo anterior, sin perjuicio de las prerrogativas reconocidas al titular para solicitar la corrección o cancelación de los datos que le conciernen, y
NOTA DE EDITOR. LA FRACCIÓN VII DEL PRESENTE ARTÍCULO FUE ADICIONADA MEDIANTE EL DECRETO 313 PUBLICADO EN EL PERIÓDICO OFICIAL EL 11 DE SEPTIEMBRE DE 2015, DE ACUERDO AL ARTÍCULO PRIMERO TRANSITORIO DEL DECRETO ENTRARÁ EN VIGOR A PARTIR DEL 1 DE ENERO DE 2016, POR LO QUE HASTA LA FECHA REFERIDA SE TENDRÁ COMO ADICIONADA, PASANDO LA ACTUAL FRACCIÓN VII COMO VIII, SE ADICIONA PARA QUEDAR COMO SIGUE: [“VII. Tratándose de datos de niñas, niños y adolescentes, se atenderá a la protección de sus datos personales, respetando su derecho a la intimidad, en los términos de la Ley General de los Derechos de Niñas, Niños y Adolescentes; y”]
VII. Las demás que se deriven de la presente ley o les señalen otros ordenamientos jurídicos aplicables.
ARTÍCULO 7. No se requerirá el consentimiento del titular para la obtención de sus datos personales, cuando:
I. En situaciones de urgencia, peligre la vida o la integridad personal o se requieran para la prestación de asistencia en salud;
II. Exista una orden jurisdiccional, y
III. Se obtengan por fuentes accesibles al público.
ARTÍCULO 8. Los servidores públicos que por razón de sus actividades tengan acceso a algún archivo o banco de datos, están obligados a mantener la confidencialidad de los mismos. Esta obligación subsistirá aún después de finalizar las relaciones que les dieron acceso al archivo o banco de datos.
Serán relevados de dicha obligación cuando medie resolución jurisdiccional o existan circunstancias que pudieran alterar o poner en riesgo la seguridad o la salud pública.
Capítulo Segundo
De los Derechos de los Titulares
ARTÍCULO 9. El titular tendrá los siguientes derechos:
I. Solicitar y obtener gratuitamente informes de sus datos personales, así como la corrección y cancelación de los mismos contenida en archivos o bancos de datos de los sujetos obligados;
II. Obtener la corrección, o en su caso, la cancelación de los datos personales, cuando sea procedente;
III. Revocar el consentimiento otorgado a los sujetos obligados para la cesión de datos;
IV. Conocer la identidad de los terceros a quienes se hayan cedido sus datos, así como las razones que motivaron el pedimento de la misma;
V. Conocer del carácter obligatorio u optativo de su respuesta para la obtención de datos personales, así como de las consecuencias de la negativa a proporcionarlos, y
VI. Los demás que se deriven de la presente ley o le señalen otros ordenamientos jurídicos aplicables.
Capítulo Tercero
De las Solicitudes
ARTÍCULO 10. Sin perjuicio de lo que dispongan otras leyes, sólo el titular o su representante, previa acreditación, tendrán derecho a solicitar a la unidad de acceso lo siguiente:
I. Informes de los datos personales que le conciernan y que obren en archivo o banco de datos determinado, y
II. La corrección o cancelación de los datos personales que le conciernan, contenidos en archivo o banco de datos determinado.
ARTÍCULO 11. Las solicitudes previstas en el artículo anterior, deberán contener como mínimo:
I. El nombre del solicitante y domicilio para recibir notificaciones, mismo que deberá estar ubicado en el lugar donde resida la unidad de acceso ante la que se presente la solicitud;
II. La descripción clara y precisa de lo solicitado, y
III. La modalidad en que el solicitante desee le sean entregados los informes a que se refiere la fracción I del artículo 10.
En la solicitud correspondiente se podrá señalar cualquier otro dato que facilite la localización de la información.
Al pedirse una corrección o cancelación de datos personales, se deberá anexar la documentación que acredite la veracidad de lo solicitado, cuando la naturaleza del dato personal permita contar con tal documentación.
Cuando el solicitante no proporcione la información suficiente para localizar los datos personales o ésta sea errónea, la unidad de acceso podrá requerirlo por única vez dentro de los diez días hábiles siguientes a la presentación de la solicitud, para que en un plazo de cinco días hábiles, indique otros elementos o corrija la información que faciliten su localización. En el supuesto de que no cumpla con el requerimiento se desechará de plano su solicitud.
Dicho requerimiento interrumpirá los plazos establecidos en los artículos 12 y 13 de este ordenamiento.
ARTÍCULO 12. Los informes a que se refiere la fracción I del artículo 10 de esta ley, deberán entregarse dentro de un plazo de veinte días hábiles posteriores a la recepción de la solicitud, los cuales deberán formularse de manera clara y sencilla, conteniendo de manera completa la información concerniente al titular. Los informes serán entregados en la forma en que consten los datos.
Cuando existan razones justificadas que impidan entregar los informes en el plazo señalado, la unidad de acceso deberá informarlas al solicitante, ampliándose el plazo hasta por diez días hábiles más.
Para el caso de que el titular haya fallecido, el albacea de su sucesión, previa acreditación de su carácter, podrá solicitar y recibir dichos informes.
ARTÍCULO 13. La solicitud de corrección o cancelación de los datos personales, deberá ser tramitada y su resolución, fundada y motivada, será notificada por la unidad de acceso al solicitante de manera personal; lo anterior dentro de los treinta días hábiles posteriores a su recepción.
ARTÍCULO 14. La solicitud de cancelación de datos personales será improcedente cuando con ello se pueda alterar o poner en riesgo la seguridad o la salud pública, se afecten derechos de terceros o así lo disponga la ley.
ARTÍCULO 15. Durante el procedimiento que se siga para corregir o cancelar datos personales, la unidad de acceso podrá ordenar el bloqueo de los mismos en el archivo o banco de datos que los contengan. Lo anterior, sin perjuicio del derecho del titular de solicitar información de sus datos almacenados.
Capítulo Cuarto
De la Cesión de Datos Personales
ARTÍCULO 16. Los sujetos obligados podrán realizar la cesión de datos cuando se cumplan las siguientes condiciones:
I. Que haya mediado el consentimiento expreso del titular, y
II. Que el uso que se les vaya a dar mantenga congruencia con la finalidad para la cual se obtuvieron.
El titular podrá revocar en cualquier momento el consentimiento otorgado para la cesión de datos, mediante aviso o notificación por escrito que realice ante el sujeto obligado.
ARTÍCULO 17. La cesión de datos no requerirá del cumplimiento de las condiciones previstas en el artículo anterior, cuando:
I. En situaciones de urgencia, peligre la vida o la integridad personal o se requieran para la prestación de asistencia en salud;
II. Se entreguen por razones estadísticas, científicas o de interés general previstas en ley. En estos casos los sujetos obligados proporcionarán la información de tal manera que no puedan asociarse los datos personales con su titular;
III. Se transmitan entre sujetos obligados en términos de las leyes aplicables;
IV. Exista una orden jurisdiccional, y
V. El sujeto obligado contrate a terceros para la prestación de un servicio que requiera el tratamiento de datos. Dichos terceros no podrán utilizar los datos personales para propósitos distintos a aquellos para los cuales se les hubieren transmitido.
ARTÍCULO 18. Cuando la cesión de datos se realice en los términos que prevé el artículo 16 de esta ley, el cesionario deberá proporcionar al sujeto obligado los siguientes datos y documentos:
I. En el caso de personas físicas: Nombre, edad, nacionalidad, número telefónico, así como original y copia de una identificación oficial y de un comprobante de su domicilio reciente para su cotejo, y
II. En tratándose de personas morales: Denominación o razón social, nacionalidad, número telefónico, así como copia certificada del acta constitutiva y del documento que acredite la personalidad del representante.
El cesionario deberá guardar confidencialidad de los datos personales obtenidos y por ningún motivo podrá realizar con terceros alguno de los actos comprendidos para la cesión de datos.
ARTÍCULO 19. Cuando los sujetos obligados hayan efectuado una cesión de datos, deberán informar a su titular la identidad del cesionario, así como las razones que motivaron el pedimento de la misma, dentro de los diez días hábiles siguientes al momento en que se haya hecho la cesión.
ARTÍCULO 20. No se considerará cesión de datos el acceso que un tercero tenga a los datos personales con motivo de la prestación de un servicio de mantenimiento o funcionamiento al archivo o banco de datos.
TÍTULO TERCERO
AUTORIDADES
Capítulo Primero
Del Instituto y sus Atribuciones
ARTÍCULO 21. El Instituto como autoridad encargada de garantizar la protección de datos personales, además de las atribuciones que le confieren otras disposiciones legales, tendrá las siguientes:
I. Otorgar asesoría a las personas que lo requieran acerca del contenido y alcance de la presente ley;
II. Dictar, en el ámbito de su competencia, los lineamientos necesarios para garantizar el cumplimiento de esta ley;
III. Elaborar y mantener actualizado el Registro Estatal de Protección de Datos Personales de los archivos o bancos de datos de los sujetos obligados, y
IV. Procurar la conciliación de los intereses de los titulares con los de los sujetos obligados cuando éstos entren en conflicto con motivo de la aplicación de la presente ley.
Capítulo II
Del Consejo General del Instituto y sus atribuciones
(Denominación reformada. P.O. 7 de junio de 2013)
ARTÍCULO 22. El Consejo General del Instituto además de las atribuciones que le confieren otras disposiciones legales, tendrá las siguientes:
(Párrafo reformado. P.O. 7 de junio de 2013)
I. Conocer y resolver el recurso de queja;
II. Llevar un registro de las resoluciones que recaigan al recurso de queja que se tramite ante él, y
III. Coordinar y organizar el Registro Estatal de Protección de Datos Personales.
TÍTULO CUARTO
REGISTRO ESTATAL DE PROTECCIÓN DE DATOS PERSONALES
Capítulo Único
Del Registro Estatal de Protección de Datos Personales
ARTÍCULO 23. El Instituto conformará el Registro Estatal de Protección de Datos Personales, el cual tendrá por objeto llevar un control sobre la existencia y finalidades de archivos o bancos de datos en poder de los sujetos obligados.
Para tal efecto, los sujetos obligados deberán proporcionar al Instituto dentro de los plazos y términos que se establezcan en sus lineamientos, la información relativa a sus archivos o bancos de datos, que a continuación se señala:
I. La ubicación;
II. Las características y finalidades, y
III. La cesión de datos que hayan realizado, indicando la identidad del cesionario.
Cualquier modificación a la información proporcionada al Registro Estatal de Protección de Datos Personales, deberá ser comunicada por el sujeto obligado dentro de los diez días hábiles siguientes a que haya tenido lugar, para su debida actualización.
ARTÍCULO 24. Toda persona tiene derecho de solicitar al Instituto, información sobre la existencia y finalidades de archivos o bancos de datos en poder de los sujetos obligados.
TÍTULO QUINTO
MEDIOS DE IMPUGNACIÓN
Capítulo Único
Del Recurso de Queja
ARTÍCULO 25. El recurso de queja procederá en contra:
I. Del incumplimiento de entregar dentro del plazo que establece esta ley, los informes de datos personales que le conciernan al titular, contenidos en archivos o bancos de datos;
II. Del incumplimiento de notificar dentro del plazo que establece esta ley, el acto de corrección o cancelación de los datos personales solicitados, y
III. De la negativa de corregir o cancelar los datos personales.
ARTÍCULO 26. El titular o su representante podrán interponer el recurso de queja ante el Consejo General del Instituto dentro de los quince días hábiles siguientes a la notificación o a la fecha en que tenga conocimiento de los supuestos contemplados en el artículo anterior.
(Artículo reformado. P.O. 7 de junio de 2013)
ARTÍCULO 27. El escrito de interposición del recurso de queja deberá contener:
I. El nombre del recurrente;
II. El domicilio para recibir notificaciones, el cual deberá ubicarse en la sede del Instituto, de lo contrario se notificará por estrados;
III. La unidad de acceso ante la que se presentó la solicitud, señalando el domicilio de ésta;
IV. La fecha en que se le notificó o tuvo conocimiento del acto que origina su recurso, y
V. La exposición en forma clara y sucinta de los hechos relativos a la queja, así como los motivos por los cuales considera se le causan agravios con el tratamiento de sus datos.
Al escrito, el recurrente deberá acompañar los documentos en que funde su impugnación.
ARTÍCULO 28. Como medida preventiva, el Consejo General del Instituto podrá ordenar el bloqueo de los datos personales contenidos en el archivo o banco de datos que sean motivo del recurso. Dicho bloqueo permanecerá hasta que se emita
la resolución correspondiente.
(Artículo reformado. P.O. 7 de junio de 2013)
ARTÍCULO 29. Una vez recibido el recurso de queja, se hará el emplazamiento a la unidad de acceso que corresponda, para que dentro de un plazo de siete días hábiles siguientes a éste, rinda un informe justificado remitiendo las constancias relativas.
Ante la negación de la existencia del acto recurrido por parte de la unidad de acceso, se correrá traslado al recurrente para que en el plazo de tres días hábiles manifieste lo que su interés convenga. En caso de no comprobar la existencia del acto impugnado se sobreseerá el recurso.
ARTÍCULO 30. Rendido el informe justificado o transcurrido el plazo señalado en el segundo párrafo del artículo anterior, el Consejo General del Instituto resolverá el recurso de queja dentro de los diez días hábiles siguientes, confirmando, modificando o revocando el acto recurrido.
(Párrafo reformado. P.O. 7 de junio de 2013)
La resolución que recaiga al recurso de queja se notificará en forma personal al recurrente y por cualquier medio a la unidad de acceso que corresponda.
Si la resolución es favorable al recurrente, el Consejo General del Instituto ordenará a la unidad de acceso que entregue los informes solicitados o realice la corrección o cancelación de los datos solicitados, en un plazo no mayor a cinco días hábiles.
(Párrafo reformado. P.O. 7 de junio de 2013)
ARTÍCULO 31. El Consejo General del Instituto puede en todo momento y hasta antes de dictar resolución, requerir todo tipo de información que considere necesaria para la resolución del recurso de queja.
(Artículo reformado. P.O. 7 de junio de 2013)
ARTÍCULO 32. En la substanciación del recurso de queja, en lo no previsto por esta ley, se aplicará de manera supletoria el Código de Procedimiento y Justicia Administrativa para el Estado y los Municipios de Guanajuato.
(Artículo reformado. P.O. 7 de junio de 2013)
TÍTULO SEXTO
INFRACCIONES Y SANCIONES
Capítulo Único
De las Infracciones y Sanciones
ARTÍCULO 33. Son infracciones a la presente ley por parte de los servidores públicos, las siguientes:
I. Impedir u obstaculizar injustificadamente el ejercicio de los derechos del titular;
II. Incumplir con la entrega de informes dentro del plazo establecido en esta ley;
III. Notificar fuera del plazo que establece la presente ley, el acto mediante el cual se efectúe, en su caso, la corrección o cancelación de los datos personales;
IV. Negar sin causa justificada, la corrección o cancelación de datos personales;
V. Realizar la cesión de datos en contravención a lo dispuesto por esta ley;
VI. Violentar el principio de confidencialidad que deben guardar por disposición de esta ley;
VII. Realizar el tratamiento de datos contraviniendo las disposiciones que señala este ordenamiento, y
VIII. No atender el sentido de una resolución favorable para el recurrente, emitida con motivo de la interposición del recurso de queja.
ARTÍCULO 34. A los servidores públicos que incurran en las infracciones a que se refiere el artículo anterior, se les impondrán las siguientes sanciones:
I. Amonestación, para los casos de las fracciones II y III;
II. Multa para los casos de las fracciones I, IV y VII, y
III. Destitución para los casos de las fracciones V, VI y VIII.
ARTÍCULO 35. Las sanciones previstas en el artículo anterior se aplicarán con base en el procedimiento y parámetros de las sanciones establecidos en la Ley de Responsabilidades Administrativas de los Servidores Públicos del Estado de Guanajuato y sus Municipios, sin perjuicio de la responsabilidad penal o civil en que pudieran incurrir los infractores.
ARTÍCULO 36. La facultad para fincar la responsabilidad administrativa prescribirá en el plazo de un año, contado a partir del día siguiente a aquél en que se haya cometido la infracción.
Dicha prescripción se interrumpirá por el inicio del procedimiento de responsabilidad administrativa.
T R A N S I T O R I O S
ARTÍCULO PRIMERO. La presente ley iniciará su vigencia el cuarto día siguiente al de su publicación en el Periódico Oficial del Gobierno del Estado.
ARTÍCULO SEGUNDO. Se deroga el capítulo quinto del título primero que comprende los artículos 21 a 26, la fracción I del artículo 8, la fracción I del artículo 45 y la fracción X del artículo 54, de la Ley de Acceso a la Información Pública para el Estado y los Municipios de Guanajuato.
ARTÍCULO TERCERO. Cada sujeto obligado expedirá el reglamento relativo a los procedimientos para dar trámite a las solicitudes de informes, corrección y cancelación de datos personales, así como para ceder los mismos, dentro de un plazo de ciento ochenta días contado a partir de la entrada en vigencia del presente decreto.
Las solicitudes que antes de la entrada en vigencia de la presente ley, hayan presentado los particulares ante la Unidad de Acceso, para que les proporcionen o modifiquen sus datos personales que obren en archivo o sistema determinado, deberán concluir observándose las disposiciones contenidas en la Ley de Acceso a la Información Pública para el Estado y los Municipios de Guanajuato, derogadas en el artículo segundo transitorio de este decreto.
ARTÍCULO CUARTO. Se derogan todas aquellas disposiciones que se opongan a la presente ley.
ARTÍCULO QUINTO. El Instituto contará con un plazo de noventa días contados a partir de la entrada en vigencia de la presente ley, para conformar el Registro Estatal de Protección de Datos Personales.
1,465 total views, 1 views today