ACUERDO del Consejo General del Instituto Nacional Electoral por el que se aprueba el Reglamento del Instituto Nacional Electoral en materia de protección de datos personales ACUERDO del Consejo General del Instituto Nacional Electoral por el que se aprueba el Reglamento del Instituto Nacional Electoral en materia de protección de datos personales.
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Instituto Nacional Electoral.- Consejo General.- INE/CG557/2017.
ACUERDO DEL CONSEJO GENERAL DEL INSTITUTO NACIONAL ELECTORAL POR EL QUE SE APRUEBA EL REGLAMENTO DEL INSTITUTO NACIONAL ELECTORAL EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
GLOSARIO
| Consejo General | Consejo General del Instituto Nacional Electoral |
| Constitución | Constitución Política de los Estados Unidos Mexicanos |
| DOF | Diario Oficial de la Federación |
| INAI | Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales |
| INE | Instituto Nacional Electoral |
| Comité | Comité de Protección de Datos Personales del Instituto Nacional Electoral |
| Comité de Transparencia | Comité de Transparencia del Instituto Nacional Electoral |
| Unidad de Transparencia | Unidad Técnica de Transparencia y Protección de Datos Personales del Instituto Nacional Electoral |
| LGIPE | Ley General de Instituciones y Procedimientos Electorales |
| Ley de Datos | Ley General de Protección de Datos Personales en Posesión de los Sujetos Obligados |
| Ruta de Trabajo | Ruta de Trabajo para la adecuación de la normativa interna del Instituto, a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados |
| Reglamento | Reglamento del Instituto Nacional Electoral en Materia de Protección de Datos Personales |
ANTECEDENTES
1. El 26 de enero de 2017, se publicó en el DOF el Decreto por el que se expide la Ley de Datos, misma que entró en vigor al día siguiente de su publicación, es decir, el 27 de enero de 2017.
2. El 17 de marzo de 2017, la Unidad de Transparencia presentó en sesión extraordinaria del Comité de Transparencia, el Diagnóstico en materia de datos personales, a fin de dar cuenta de las disposiciones, procedimientos y actividades que ha implementado el INE en este tema (desde su concepción como autoridad federal), así como del impacto de la Ley de Datos respecto de la normatividad interna. En el mismo sentido, se propuso una ruta de trabajo para el diseño, aprobación e implementación del Reglamento que en dicha materia se emita.
3. El 22 de marzo de 2017, el Comité aprobó el anteProyecto de Acuerdo para someter a consideración del Consejo General las directrices y ruta de trabajo para la adecuación normativa interna del INE, a la Ley de datos, así como la continuidad de los trabajos del propio Comité.
4. El 28 de marzo de 2017, se emitió el "Acuerdo del Consejo General del Instituto Nacional Electoral por el que se aprueban las directrices y ruta de trabajo para la adecuación normativa interna del Instituto, a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y se autoriza dar continuidad a los trabajos del Comité de Protección de Datos Personales del Instituto" identificado con el número INE/CG93/2017.
5. El 30 de marzo de 2017, la H. Cámara de Diputados declaró electas y electos Consejeros Electorales al Consejo General del INE, por el periodo comprendido del 5 de abril de 2017 al 4 de abril de 2026, a la Mtra. Dania Paola Ravel Cuevas, el Mtro. Jaime Rivera Velázquez y la Mtra. Beatriz Claudia Zavala Pérez; decreto publicado en el DOF el 3 de abril de 2017.
6. El 4 de abril de 2017, concluyó el periodo de encargo de la y los Consejeros Electorales Mtra. Beatriz Eugenia Galindo Centeno, Mtro. Arturo Sánchez Gutiérrez y Lic. Javier Santiago Castillo.
7. En sesión extraordinaria celebrada el 5 de abril de 2017, tomaron protesta ante el pleno del Consejo General del INE la Mtra. Dania Paola Ravel Cuevas, el Mtro. Jaime Rivera Velázquez y la Mtra. Beatriz Claudia Zavala Pérez, como Consejeros Electorales.
8. El 18 de abril de 2017, en sesión extraordinaria, el Consejo General aprobó el Acuerdo INE/CG109/2017 a través del cual se incorporaron en las posiciones vacantes de las comisiones permanentes y temporales, así como en los comités de este órgano colegiado, al consejero y a las Consejeras electorales que fueron designados para el periodo del 5 de abril de 2017 al 4 de abril de 2026.
9. En el Acuerdo antes referido, la integración del Comité se aprobó en los siguientes términos:
| Comité de Protección de Datos Personales
|
| Mtra. Dania Paola Ravel Cuevas | Presidenta |
| Dra. Adriana M. Favela Herrera | Integrante |
| Dr. Benito Nacif Hernández | Integrante |
| Director Jurídico | Secretario Técnico |
| Consejeros del Poder Legislativo |
| Representantes de los Partidos Políticos |
10. El 27 de junio de 2017, en la primera sesión ordinaria del Comité, se aprobó la revisión del cronograma para poder incluir algunas mesas de trabajo con áreas y órganos del Instituto involucrados e, incluso, con las representaciones de los partidos políticos.
11. El 08 de septiembre de 2017, en sesión extraordinaria, el Consejo General aprobó el Acuerdo INE/CG408/2017 a través del cual se estimó procedente mantener la integración del Comité en términos de lo aprobado en el Acuerdo INE/CG109/2017.
12. Como parte de los trabajos para la elaboración del anteproyecto de Reglamento, el Comité dio seguimiento a la realización de las siguientes actividades, durante 2017:
· Mayo a julio. Elaboración de la propuesta de enunciados normativos que conforman el anteproyecto (a cargo de la Dirección Jurídica y la Unidad de Transparencia, con la colaboración de diversas unidades administrativas del INE).
· 18 de agosto. La Secretaría Técnica del Comité remitió el anteproyecto al INAI, a fin de obtener su opinión como organismo especializado.
· 6 de septiembre. El INAI remitió por correo electrónico, algunas observaciones y planteó la posibilidad de llevar a cabo una reunión de trabajo para su revisión.
· 8 de septiembre. Se llevó a cabo la primera reunión entre personal del INE y del INAI, para discutir y analizar las observaciones recibidas.
· 14 de septiembre. Se llevó a cabo la segunda reunión entre personal del INE y del INAI, para continuar analizando las observaciones al anteproyecto.
· 25 de septiembre. Derivado de las reuniones de trabajo, mediante oficio INE/DJ/23220/2017, el Director Jurídico del INE dirigió una consulta al Secretario de Protección de Datos Personales del INAI, para obtener su opinión especializada.
· El 4 de octubre. Mediante oficio INAI/SPDP/641/17, el INAI remitió opinión técnica realizada por la Dirección General de Normatividad y Consulta, adscrita a la Secretaría de Protección de Datos Personales.
13. El 9 de octubre de 2017, en sesión extraordinaria urgente, se presentó al Comité para su discusión y aprobación la propuesta para ampliar los plazos establecidos en el Acuerdo INE/CG93/2017, respecto de la ruta de trabajo para la adecuación de la normativa interna del instituto a la Ley de Datos. Derivado de la necesidad de realizar actividades adicionales a las contempladas en la inicial ruta de trabajo, así como del retraso de las actividades del Comité a consecuencia del fenómeno sísmico ocurrido el 19 de septiembre del año en curso.
En la misma, sesión el Comité ordenó circular, entre otros documentos, el anteproyecto de reglamento a las Consejeras y los Consejeros Electorales, representantes de partidos políticos y del Poder Legislativo ante este Consejo General, así como a los Directores de las áreas involucradas, a
efecto que estuvieran en posibilidad de realizar las observaciones que considerarán pertinentes, con el objeto de dar cabida a la pluralidad de opiniones para hacer más eficiente la actuación del INE en esta materia.
14. El 20 de octubre de 2017, en sesión extraordinaria, el Consejo General mediante Acuerdo INE/CG457/2017, aprobó ampliar los plazos establecidos en el documento señalado en el numeral anterior, con base en las fechas y actividades siguientes:
a) Del 19 de octubre al 3 de noviembre: Realización de mesas de trabajo.
b) Del 6 al 21 de noviembre: Impactar observaciones y convocar a sesión del Comité para aprobar, en su caso, el proyecto de Reglamento.
c) A más tardar el 30 de noviembre: El Consejo General discutirá y, en su caso, aprobará el Reglamento.
15. El 27 de octubre de 2017, el Comité efectuó una reunión de trabajo a la que se convocó a las Consejeras y los Consejeros Electorales, representantes de partidos políticos ante el Consejo General, del Poder Legislativo, así como a las áreas involucradas.
Derivado de ello, las oficinas de Consejeras y consejeros, así como de los partidos políticos asistentes, formularon observaciones, las cuales fueron incorporadas al anteproyecto, cuando resultaron procedentes.
16. El 13 de noviembre de 2017, en sesión extraordinaria del Comité, se presentó para su discusión y aprobación el anteProyecto de Acuerdo del Consejo General para la emisión del Reglamento, mismo que fue aprobado por unanimidad de votos de los integrantes.
CONSIDERACIONES
PRIMERO. Competencia.
El Consejo General es competente para emitir el presente Acuerdo, de conformidad con el artículo 44 párrafo 1, incisos a) y jj), de la LGIPE que establece como atribuciones de dicho órgano colegiado, aprobar y expedir los Reglamentos interiores necesarios para el debido ejercicio de las facultades y atribuciones del Instituto y dictar los acuerdos necesarios para hacer efectivas sus atribuciones y las demás señaladas en esta Ley o en otra legislación aplicable.
Asimismo, el Consejo General es el órgano superior de dirección del INE, responsable de vigilar el cumplimiento de las disposiciones constitucionales y legales en materia electoral, así como de velar porque los principios de certeza, legalidad, independencia, imparcialidad, máxima publicidad y objetividad guíen todas las actividades del Instituto, como se establece en el artículo 35 de la LGIPE.
Adicionalmente, en el artículo séptimo transitorio de la Ley de Datos se establece que "Los sujetos obligados correspondientes deberán tramitar, expedir o modificar su normatividad interna a más tardar dentro de los dieciocho meses siguientes a la entrada en vigor de esta Ley".
SEGUNDO. Marco regulatorio vigente en materia de protección de datos personales.
a) Ámbito internacional
Los artículos 12 de la Declaración Universal de los Derechos Humanos, 17 del Pacto Internacional de Derechos Civiles y Políticos y 11 de la Convención Americana sobre Derechos Humanos; reconocen el derecho a la vida privada de las personas, conforme al cual, deben reservarse sus datos personales y la demás información relativa a su vida privada que estén en poder de algún ente público o de particulares, y protegerse de la posible utilización indebida por terceros.
b) Ámbito nacional
Constitución Política de los Estados Unidos Mexicanos.
De conformidad con el Apartado A, fracciones I a III del artículo 6 º de la Constitución, toda la información en posesión de cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, así como cualquier persona física, moral o sindicato que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal, es pública y sólo podrá ser reservada temporalmente por razones de interés público y seguridad nacional, en los términos que fijen las leyes; la información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes; y toda persona, sin necesidad de acreditar interés alguno o justificar su utilización tendrá acceso gratuito a la información pública, a sus datos personales o a la rectificación de éstos.
Asimismo, el párrafo segundo del artículo 16 de la Carta Magna, estipula que toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a
manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
Conforme al artículo 1, párrafos 2, 4 y 5, de la Ley de Datos, todas las disposiciones de esa ley, según corresponda, en el ámbito de su competencia, son de aplicación y observancia directa para los sujetos obligados pertenecientes al orden federal; su objeto es establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales, en posesión de sujetos obligados, siendo éstos, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.
En términos del artículo séptimo transitorio de dicha Ley, "Los sujetos obligados correspondientes deberán tramitar, expedir o modificar su normatividad interna a más tardar dentro de los dieciocho meses siguientes a la entrada en vigor de esta Ley", el conteo del plazo corre de enero de 2017 a julio de 2018.
En este sentido, para efecto de cumplir dicho mandato legal, se realizaron las actividades necesarias para adecuar la normativa interna, al marco regulatorio vigente en materia de protección de datos personales.
TERCERO. Motivación que sustenta la determinación de aprobar el Reglamento del Instituto Nacional Electoral en materia de Protección de Datos Personales.
El proyecto de Reglamento fue elaborado con base en el estudio de los siguientes ordenamientos:
· Ley General de Instituciones y Procedimientos Electorales.
· Ley General de Protección de Datos Personales en posesión de Sujetos Obligados.
· Reglamento Interior del Instituto Nacional Electoral.
· Reglamento del Instituto Nacional Electoral en materia de Transparencia y Acceso a la Información.
· Lineamientos para el acceso, rectificación, cancelación, oposición y validación de datos personales en posesión de la Dirección Ejecutiva del Registro Federal de Electores, aprobados mediante Acuerdo INE/CG734/2012.
· Lineamientos para la Verificación de los padrones de afiliados de los Partidos Políticos Nacionales para la conservación de su registro y su publicidad, así como el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los datos personales en posesión del Instituto Nacional Electoral, aprobados mediante Acuerdo INE/CG172/2016.
· Principios, criterios, plazos y procedimientos para garantizar la protección de datos personales en posesión del Instituto Nacional Electoral, aprobados mediante Acuerdo INE/CG312/2016.
· Anteproyecto de Reglamento de Datos Personales en posesión de la Dirección Ejecutiva del Registro Federal de Electores, que fue presentado ante el extinto Órgano Garante de la Transparencia y el Acceso a la Información
Aunado a ello, se tomaron en cuenta los elementos innovadores establecidos en la Ley de Datos, de conformidad con el Dictamen emitido por la Comisión de Transparencia y Anticorrupción, con relación a la Minuta con proyecto de Decreto por el que se expidió la Ley General de Protección de Datos Personales en posesión de los Sujetos Obligados, a saber:
- Aviso de privacidad. Documento a disposición del titular de forma física, electrónica o en cualquier formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos.
- Datos personales sensibles: Los referentes a la esfera más íntima del titular, cuya utilización indebida puede dar origen a discriminación o conlleve a un riesgo grave para éste.
- Documento de seguridad: Instrumento que describe y da cuenta de manera general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos personales que posee.
- Encargado: Se debe entender como tal a la persona física o jurídica, pública o privada ajena a la organización del responsable que sola o conjunta con otras trate datos personales a nombre y por cuenta del responsable.
- Fuentes de acceso público: Aquellas bases de datos, sistemas o archivos que por disposición de
ley puedan ser consultadas públicamente cuando no exista impedimento por una norma limitativa y sin más exigencia que, en su caso, el pago de una contraprestación, tarifa o contribución. No se considerará fuente de acceso público cuando la información contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las disposiciones establecidas por la presente Ley y demás normativa aplicable.
- Medidas de seguridad: Conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger los datos personales;
o Administrativas: Políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales;
o Físicas: Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento, por ejemplo: Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información, así como proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización, entre otras.
o Técnicas: Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento, como prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados, entre otras.
- Responsable: En términos del artículo 1 ° de Ley de Datos, el INE a través de sus servidores públicos que decidan sobre el tratamiento de datos personales.
- Remisión: Toda comunicación de datos personales realizada exclusivamente entre el responsable y encargado, dentro o fuera del territorio mexicano.
- Supresión: La baja archivística de los datos personales conforme a la normativa archivística aplicable, que resulte de la eliminación, borrado o destrucción de los datos personales bajo las medidas de seguridad previamente establecidas por el responsable.
- Transferencia: Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta del titular, del responsable o del encargado.
- Vulneración de datos personales: Además de las que señalen las leyes respectivas y la normatividad aplicable, se considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento de datos, al menos, las siguientes:
I. La pérdida o destrucción no autorizada;
II. El robo, extravío o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El daño, la alteración o modificación no autorizada.
Dichos elementos se retoman en el proyecto de reglamento de este Instituto a fin de establecer las bases para su implementación y cumplimiento.
Por otra parte, se consideró la competencia exclusiva del INE en materia del Registro Federal de Electores.
Lo anterior, dado que el artículo 54 de la Ley de datos, prevé que cuando las disposiciones aplicables a determinados tratamientos de datos personales establezcan un trámite o procedimiento específico para solicitar el ejercicio de los derechos ARCO, el responsable deberá informar al titular sobre la existencia del mismo, en un plazo no mayor a cinco días siguientes a la presentación de la solicitud para el ejercicio de los derechos ARCO, a efecto de que este último decida si ejerce sus derechos a través del trámite específico, o bien, por medio del procedimiento que el responsable haya institucionalizado para la atención de solicitudes para el ejercicio de los derechos ARCO, por lo que tomando en cuenta que la conformación del Padrón Electoral implica el manejo de datos personales de la ciudadanía, se consultó al INAI en cuanto a la interpretación que, en opinión de ese Instituto, debe darse respecto de la aplicación de los procedimientos para tutelar los derechos ARCO en materia del Registro Federal de Electores, a fin de garantizar la máxima protección de los mismos.
Al efecto, ese órgano garante en materia de protección de datos personales manifestó, entre otros, lo siguiente:
"...
En todo momento, el titular o su representante podrá solicitar al responsable el ejercicio de sus derechos ARCO, lo cual implica:
- Solicitar sus datos personales o información sobre el tratamiento a que estén sometidos éstos.
- Rectificar sus datos personales que resulten incompletos, inexactos o desactualizados.
- Solicitar la supresión de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, de tal manera que dejen de ser tratados por éste y, en consecuencia, ya no se encuentre en su posesión.
- Oponerse al tratamiento de sus datos personales para evitar que su persistencia le cause un daño o perjuicio, o bien, cuando sea objeto de tratamientos automatizados de datos personales sin que exista una intervención humana.
El derecho que tiene el titular de elegir la vía a través de la cual ejercerá sus derechos ARCO cuando las disposiciones aplicables a determinados tratamientos de datos personales establezcan un trámite específico para el ejercicio de estos derechos, ya sea a través del procedimiento general, o bien, el trámite específico.
Sobre esta última prerrogativa, conviene manifestar que no siempre las leyes en materia de datos personales resultan ser la vía idónea para atender las peticiones de los titulares respecto al ejercicio de los derechos ARCO, no obstante que la petición esté relacionada específicamente con el tratamiento de datos personales.
Así, dependiendo de las implicaciones que el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales produzca en un contexto jurídico determinado se estará en posibilidades de calificar la idoneidad de la vía.
En este sentido, si el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales implica que se generen una serie de efectos que impacten sustantivamente en la definición de cuestiones jurídicas vinculadas a aspectos civiles, administrativos, mercantiles, electorales, entre otros, la petición del titular, no obstante, que a primera vista se trate de un ejercicio de derechos ARCO, debe ser conocida y resuelta por la instancia o autoridad competente que corresponda, ya que de otro modo se correría el riesgo de que las autoridades garantes de protección de datos personales conozcan sobre cuestiones que desborden su competencia.
..."
En ese contexto, de conformidad con la normativa electoral, los datos personales contenidos en el Padrón Electoral y Lista Nominal de Electores, así como la credencial para votar, permiten a la ciudadanía el ejercicio de sus derechos políticos electorales, y coadyuvan en la identificación de los ciudadanos. Dichos instrumentos resultan necesarios para que el INE cumpla con la función estatal de organizar elecciones y garantizar la integración de los órganos de gobierno. De ahí que la utilización de los datos personales en posesión de esta autoridad tenga fines eminentemente político-electorales, tan es así que la integración del Padrón Electoral es una facultad otorgada al INE en la propia Constitución, la cual se retoma en la Ley General, detallando los mecanismos de integración, modificación, así como los procedimientos, autoridades y fechas que hacen posible la integración, actualización y resguardo del Registro Federal de Electores.
La regulación que este Instituto ha ido emitiendo para reglamentar lo que la ley electoral mandata en materia del Registro Federal de Electores, se ha construido para la tutela de los derechos político electorales e igualmente para proteger los relativos al acceso a la información y protección de datos personales.
En efecto, aun cuando la LGIPE establece la confidencialidad de la información contenida en el Registro, lo cierto es que desde la reforma constitucional en materia de protección de datos y la emisión de la entonces Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, este Instituto se dio a la tarea de que la normatividad inherente a la actuación del Registro Federal de Electores cumpliera los principios que tutelan los instrumentos de protección de datos personales.
Así, el INE, ha emitido los siguientes instrumentos relacionados con la actuación de la Dirección Ejecutiva del Registro Federal de Electores, que contemplan la protección de datos personales.
· Lineamientos para el acceso, verificación y entrega de los datos personales en posesión del Registro Federal de Electores por los integrantes de los consejos general, locales y distritales, las comisiones de vigilancia del Registro Federal de Electores y los Organismos Públicos Locales
· Procedimiento para el tratamiento de registros y trámites con datos personales irregulares, versión 2.5
· Manual de la Vocalía Distrital del procedimiento para el tratamiento de registros y trámites con datos personales irregulares. Versión 1.1
· Procedimiento para el tratamiento de Registros con Datos de domicilio irregulares, versión 1.0, 2016
· Criterios Generales para la Aplicación de los Lineamientos Generales para la Depuración del Padrón Electoral en el caso de registros con Datos de domicilio Presuntamente Irregulares.
· Protocolo de seguridad para el acceso y manejo de los datos personales contenidos en el Padrón Electoral y las Listas Nominales de Electores;
· Protocolo de seguridad para la entrega, devolución y destrucción de las relaciones de ciudadanos con solicitud de trámite cancelada;
· Protocolo de seguridad para la generación, entrega, devolución o reintegro, borrado seguro y destrucción de las Listas Nominales de Electores para revisión,
· Protocolo de seguridad para la generación, impresión, entrega, devolución y destrucción de las Listas Nominales de Electores para su uso en las jornadas electorales.
· Lineamientos para el acceso, rectificación, cancelación, oposición y validación de datos personales en posesión de la Dirección Ejecutiva del Registro Federal de Electores
Acorde a lo anterior, la Dirección Ejecutiva del Registro Federal de Electores, en la actuación cotidiana que realiza para cumplir las atribuciones legalmente encomendadas, cuenta con mecanismos de protección, debido tratamiento, cultura de protección de datos personales, cumplimiento y efectiva aplicación de medidas de apremio, así como regulación para el ejercicio de los derechos ARCO, mediante procedimientos sencillos y expeditos.
Aunado a ello, la actuación de la autoridad electoral se encuentra sujeta a la revisión de constitucionalidad y legalidad mediante la jurisdicción especializada del Tribunal Electoral del Poder Judicial de la Federación, entre otros medios, a través del juicio para la protección de los derechos político-electorales del ciudadano, que procede en materia registral electoral. Dicho Tribunal, ha fijado criterios importantes en materia de protección de datos personales en cuanto al Padrón Electoral y la credencial para votar, de los que destacan los siguientes:
DATOS PERSONALES. DEBER DE GARANTIZAR SU PROTECCIÓN EN EL EJERCICIO DE LA FUNCIÓN REGISTRAL ELECTORAL
Con la finalidad de salvaguardar los principios del consentimiento y de información, derivados del derecho a la protección de datos personales o de autodeterminación informativa, conforme con los cuales todo tratamiento de datos personales requiere previamente de la autorización de su titular, quien puede conocer el manejo que se les dará a los mismos, el funcionario de la autoridad administrativa electoral responsable del tratamiento de datos debe informar a la ciudadanía sobre el alcance y la finalidad del manejo de su información personal, en particular sobre las implicaciones de que aparezca en forma visible en el anverso de la credencial para votar la información relativa a la calle, número exterior e interior del domicilio, a fin de que se encuentre en aptitud de expresar, ante la consulta por escrito, una voluntad informada al respecto. Lo anterior, en tanto que, en el ejercicio de ese derecho, el principio de información constituye una condición necesaria para que el consentimiento sea válido. Tesis XV/2014
DATOS PERSONALES. LOS TITULARES ESTÁN FACULTADOS PARA DECIDIR SU DIFUSIÓN
Reconocen el derecho a la vida privada de las personas, conforme al cual, deben reservarse sus datos personales y la demás información relativa a su vida privada que estén en poder de algún ente público o de particulares, y protegerse de la posible utilización indebida por terceros. Ese derecho concede a su titular, la atribución de resguardar ese ámbito privado, garantizándoles el poder de decidir sobre la publicidad de los datos de su persona, lo que supone la facultad de elegir cuáles pueden ser conocidos y cuáles deben permanecer en reserva, además de designar quién y bajo qué modalidades pueden utilizarlos, dado que la protección de datos personales incluye el derecho de autodeterminación informativa como uno de los fines para propiciar la confiabilidad en el manejo y cuidado de las referencias concernientes a las personas en el ámbito de su vida privada, así el Estado a través de sus órganos adoptará las medidas tendentes a hacer efectiva la tutela del referido derecho. Jurisprudencia 13/2016
FORMATO DE DEMANDA DEL JUICIO PARA LA PROTECCIÓN DE LOS DERECHOS POLÍTICO-ELECTORALES DEL CIUDADANO. EL QUE PROPORCIONA LA AUTORIDAD ELECTORAL ADMINISTRATIVA PARA PROMOVERLO, NO ES DE USO OBLIGATORIO
A la autoridad electoral administrativa, en acatamiento a lo dispuesto por los artículos 151, párrafo 6 del Código Federal de Instituciones y Procedimientos Electorales y 81, párrafo 1, de la Ley General del Sistema de Medios de Impugnación en Materia Electoral, le corresponde, a través de las oficinas del Registro Federal de Electores, poner a disposición de los ciudadanos, cuya solicitud para obtener su credencial para votar con fotografía o de rectificación al listado nominal de electores, sea declarada improcedente, los formatos necesarios para la presentación de la demanda respectiva, con la finalidad de facilitar a los ciudadanos inconformes con lo resuelto, el acceso oportuno al medio de impugnación que les permita la defensa de sus derechos político-electorales, mediante el juicio atinente, puesto que, en la mayoría de los casos, se trata de personas inexpertas en la materia. Tesis I/99
CREDENCIAL PARA VOTAR. LA PROTECCIÓN DE LOS DATOS PERSONALES DEBE ATENDER AL CONSENTIMIENTO INFORMADO DE SU TITULAR
Se destaca que dicho órgano jurisdiccional ha indicado que el Estado debe adoptar las medidas necesarias para garantizar el derecho a la vida privada de las personas, que incluye el deber de resguardo de sus datos personales y el derecho a la autodeterminación informativa, los cuales confieren a su titular la atribución de decidir sobre la publicidad de éstos, por lo que en el ejercicio de la función registral electoral, las autoridades tienen el deber de no difundir información de carácter personal sin el consentimiento de su titular, salvo en aquellos casos en que se justifique con base en los principios rectores de la materia electoral, con lo cual se hace efectiva la tutela de los referidos derechos. Tesis XVII/2014
JUICIO PARA LA PROTECCIÓN DE LOS DERECHOS POLÍTICO-ELECTORALES DEL CIUDADANO. REQUISITOS PARA SU PROCEDENCIA.
Respecto de los requisitos para la procedencia del juicio para la protección de los derechos político-electorales del ciudadano, la Sala Superior ha señalado, entre otros, que el juicio queda en condiciones de ser promovido, al momento o tiempo en que hayan ocurrido los hechos que se precisan en cada hipótesis, como son la no obtención oportuna del documento exigido por la ley electoral para ejercer el voto, después de haber cumplido con los requisitos y trámites correspondientes; el hecho de no aparecer incluido en la lista nominal de electores de la sección correspondiente a su domicilio, luego de haber obtenido oportunamente el documento a que se refiere el inciso anterior; una vez que se considere indebidamente excluido de la lista nominal de electores de la sección correspondiente a su domicilio, consecuentemente, para considerar procedente este juicio es suficiente que la demanda satisfaga los requisitos del artículo 79 citado, aunque no encuadre en ninguno de los supuestos específicos contemplados en el artículo 80. Jurisprudencia 2/2000
De lo sostenido en los referidos criterios se advierte que la ciudadanía cuenta con un mecanismo de defensa, prevista en la Legislación Electoral, a saber el juicio para la protección de los derechos políticoâelectorales del ciudadano, que tiene por objeto garantizar el ejercicio de los derechos políticos electorales, entre otros supuestos, cuando:
- No hubieren obtenido oportunamente su credencial de elector para ejercer el voto;
- No aparezcan incluidos en la lista nominal de electores de la sección correspondiente, y
- Sean excluidos de la lista nominal de electores.
Dicho juicio resulta procedente, cuando se hayan agotado todas las instancias previas y realizado las gestiones necesarias para estar en condiciones de ejercer el derecho políticoâelectoral presuntamente violado, en la forma y los plazos que las leyes respectivas establezcan para tal efecto.
Por tanto, se estima procedente que los datos personales en posesión del INE, relativos al Padrón Electoral y Lista Nominal de Electores, continúen sujetándose a los procedimientos y plazos previstos en la normativa específica que ha quedado descrita, así como a la jurisdicción electoral, tanto para la conformación, actualización y depuración de esos instrumentos, como para garantizar el adecuado desarrollo de las etapas de los procesos electorales, sin menoscabo de su alineación a los principios que rigen la protección de los datos personales.
En ese sentido, la elaboración, revisión y aprobación del anteproyecto de reglamento se llevó cabo a través de un análisis profundo del tema, tomando en cuenta la naturaleza de este Instituto en concordancia con las obligaciones que en materia de protección de datos personales debe cumplir, atendiendo además las
observaciones y recomendaciones del INAI como el máximo órgano garante en materia de protección de datos personales, por lo que las disposiciones contenidas en el mismo se encuentran debidamente alineadas a lo mandatado en la Ley de datos.
Con base en lo anterior, y para efectos de orden en el Reglamento, se establecieron apartados, para incorporar temáticamente las disposiciones internas del INE, a saber:
Disposiciones generales. Establecen la observancia y objeto del Reglamento, para regular el debido tratamiento de los datos personales en posesión del INE, a fin de garantizar la protección de los mismos conforme a lo establecido en la Ley de Datos.
Órganos del Instituto responsables en materia de protección de datos personales. En este rubro, se prevén las facultades y obligaciones del Comité de Transparencia y de la Unidad de Transparencia como órganos internos de este Instituto, encargados de gestionar y dar seguimiento a la recepción, trámite y atención de solicitudes para el ejercicio de los derechos ARCO, su función como enlace entre el INAI y el INE en el cumplimiento de sus obligaciones en materia de protección de datos personales.
De los principios y deberes. Derivado del estudio de los principios y deberes establecidos en la Ley de datos, se establece de manera más detallada la forma y términos en que los órganos del instituto deberán observarlos para su aplicación y cumplimiento.
De los derechos ARCO y su ejercicio. Apartado que tiene como propósito establecer de manera clara la descripción de lo que implica el ejercicio de los derechos ARCO, así como el procedimiento que debe seguirse de manera interna en el trámite de las solicitudes para garantizar a los Titulares el ejercicio de esos derechos respecto de los datos personales en posesión del INE, observando en todo tiempo lo mandatado por la Ley de Datos.
Recurso de revisión. Se incorporan los supuestos para la presentación del recurso de revisión y se establece el procedimiento a seguir de manera interna, una vez que el INAI notifique la interposición de este medio de defensa.
Responsabilidades y sanciones. Tomando en cuenta la importancia que reviste el cumplimiento de las obligaciones de todos los órganos involucrados en el tratamiento de datos personales, se hace referencia al catálogo de sanciones que conlleva su incumplimiento previsto en la Ley de datos, así como la facultad del Comité para dar vista de las presuntas irregularidades de que tenga conocimiento.
Transitorios. Tomando en cuenta que las disposiciones establecidas en el proyecto de Reglamento conllevan la realización de diversas actividades por parte de los órganos del instituto para su implementación y ejecución, resulta indispensable prever un régimen transitorio a fin de establecer precisiones y plazos para facilitar su cumplimiento.
En mérito de lo anterior, es claro que el conjunto de disposiciones que contiene el proyecto de Reglamento, de manera general, buscan armonizar el marco normativo institucional, así como dar cumplimiento a lo establecido en el artículo séptimo transitorio de la Ley de Datos, sin dejar de lado la realidad y experiencia actual de este Instituto âdesde su concepción como autoridad federal- para facilitar el trabajo institucional, determinar y dar certeza a la esfera de competencias de los órganos del Instituto, así como traducir sus normas y medidas previamente establecidas, al lenguaje técnico que deviene de la entrada en vigor de la Ley de Datos.
En virtud de los antecedentes y consideraciones señalados, este Consejo General emite el siguiente:
ACUERDO
PRIMERO. Se aprueba el Reglamento del Instituto Nacional Electoral en Materia de Protección de Datos Personales, en los siguientes términos:
REGLAMENTO DEL INSTITUTO NACIONAL ELECTORAL EN MATERIA DE PROTECCIÓN DE DATOS
PERSONALES
Título Primero
Disposiciones generales
Artículo 1. El presente Reglamento es de observancia general y tiene por objeto regular el debido tratamiento de los datos personales en posesión del Instituto Nacional Electoral, así como establecer los procedimientos que permitan el ejercicio de los derechos de acceso, rectificación, cancelación y oposición a fin de garantizar el derecho que tiene toda persona a la protección de sus datos personales, en concordancia con la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y demás
normatividad que resulte aplicable.
Artículo 2. Son sujetos obligados de este Reglamento los órganos y servidores públicos del Instituto Nacional Electoral, así como toda persona o institución vinculada con el tratamiento de datos personales que realice este Instituto.
Artículo 3. Para efectos del presente Reglamento, además de los conceptos establecidos en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y sin perjuicio de lo previsto en el Reglamento del Instituto Nacional Electoral en materia de Transparencia y Acceso a la Información Pública, se entenderá por:
I. Aviso de privacidad: Documento a disposición del titular de forma física, electrónica o en cualquier formato generado por el responsable, a partir del momento en el cual se recaben sus datos personales, con el objeto de informarle los propósitos del tratamiento de los mismos;
II. Comité: Comité de Transparencia del Instituto Nacional Electoral a que hace referencia el artículo 3, fracción V, de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados;
III. Consejo General: Consejo General del Instituto Nacional Electoral;
IV. Constitución: Constitución Política de los Estados Unidos Mexicanos;
V. Derechos ARCO: Derechos de acceso, rectificación, cancelación y oposición de datos personales;
VI. DERFE: Dirección Ejecutiva del Registro Federal de Electores;
VII. DEPPP: Dirección Ejecutiva de Prerrogativas y Partidos Políticos;
VIII. Día hábil: Todos los días a excepción de los sábados, los domingos, los no laborables en términos del Estatuto del Servicio Profesional Electoral Nacional y del Personal de la Rama Administrativa y aquellos en los que no haya actividades en el Instituto, aún en Proceso Electoral, así como los determinados por el INAI;
IX. Fuentes de acceso público: Las páginas de Internet o medios remotos o locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y esté abierto a la consulta general; los directorios telefónicos en términos de la normativa específica; los diarios, gacetas o boletines oficiales, de acuerdo con su normativa; los medios de comunicación social, y los registros públicos conforme a las disposiciones que les resulten aplicables;
X. INAI: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales;
XI. INETEL: Servicio de consulta institucional que realiza tareas de orientación e información a la ciudadanía y de apoyo a los Órganos del Instituto, por diferentes vías de contacto, en materia registral, político electoral, de transparencia, acceso a la información y protección de datos personales;
XII. INFOMEX-INE: sistema electrónico autorizado por el Instituto Nacional Electoral para tramitar las solicitudes de acceso a la información y de datos personales al interior del propio Instituto;
XIII. Instituto: Instituto Nacional Electoral;
XIV. Ley General: Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados;
XV. LGIPE: Ley General de Instituciones y Procedimientos Electorales;
XVI. LGPP: Ley General de Partidos Políticos;
XVII. Órganos del Instituto: Órganos de dirección, ejecutivos, técnicos, de vigilancia, de transparencia, de control y otros órganos colegiados del Instituto;
XVIII. Padrón Electoral: Es el instrumento electoral que contiene la información básica de los varones y mujeres mexicanos mayores de 18 años que cumpliendo con los requisitos que establece el artículo 34 Constitucional, han presentado la solicitud a que se refiere el párrafo 1 del artículo 135 de la LGIPE, agrupados en las dos secciones del Padrón Electoral, de ciudadanos residentes en territorio nacional y ciudadanos residentes en el extranjero;
XIX. Partidos Políticos: Los Partidos Políticos Nacionales y locales;
XX. Plataforma Nacional: La Plataforma Nacional de Transparencia a que hace referencia el artículo 49 de la Ley General de Transparencia y Acceso a la Información Pública;
XXI. Reglamento: Reglamento del Instituto Nacional Electoral en materia de Protección de Datos Personales;
XXII. Reglamento de Transparencia. Reglamento del Instituto Nacional Electoral en materia de Transparencia y Acceso a la Información Pública;
XXIII. Sistema de verificación: El sistema de verificación del padrón de afiliados de los partidos políticos;
XXIV. Titular: La persona física a quien corresponden los datos personales; y
XXV. Unidad de Transparencia: Unidad Técnica de Transparencia y Protección de Datos Personales.
Artículo 4. El presente Reglamento será aplicable a cualquier tratamiento de datos personales que obren en soportes físicos, electrónicos y mixtos, por parte de los sujetos obligados descritos en este ordenamiento.
Artículo 5. El ejercicio de los derechos ARCO respecto de los datos personales contenidos en el Padrón Electoral, se regirá por lo previsto en la LGIPE y en las disposiciones que emita el Instituto en la materia.
Artículo 6. El acceso, verificación y entrega de datos personales contenidos en el Padrón Electoral se regirá por los Lineamientos para el acceso, verificación y entrega de los datos personales en posesión del Registro Federal de Electores por los integrantes de los consejos General, locales y distritales, las comisiones de vigilancia del Registro Federal de Electores y los Organismos Públicos Locales, emitidos por el Consejo General.
Además se estará a lo dispuesto por el Consejo General en relación con los plazos, términos y condiciones en los que se les proporcionará la entrega de la información contenida en el Padrón Electoral y en la Lista Nominal de Electores a los Organismos Públicos Locales, para la instrumentación de las actividades en el marco de los Procesos Electorales Locales de sus respectivas entidades federativas.
Artículo 7. Los sujetos obligados por este Reglamento que intervengan en el tratamiento de datos personales, deberán garantizar la protección en el manejo de los mismos, por lo que no podrán comunicarlos a terceros, salvo en los casos previstos por una ley o el presente Reglamento.
Las comunicaciones de datos personales que efectúen los Órganos del Instituto deberán seguir las disposiciones previstas en la Ley General y demás normatividad que resulte aplicable en la materia.
Artículo 8. Los sujetos obligados por este Reglamento no podrán difundir, distribuir o comercializar los datos personales contenidos en los sistemas de datos personales, desarrollados en el ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso, por escrito o por un medio de autenticación similar, de los individuos a que haga referencia la información de acuerdo a la normatividad aplicable; o bien que ello atienda a una obligación legal o a un mandato judicial.
Los Órganos del Instituto que posean por cualquier título bases que contengan datos personales, deberán hacerlo del conocimiento del Comité, a través de la Unidad de Transparencia, quien coadyuvará a mantener el registro actualizado de los sistemas de datos personales en posesión del Instituto, conforme a las reglas que emita dicho órgano colegiado.
Artículo 9. Los Órganos del Instituto podrán formular consultas a la Unidad de Transparencia respecto de aquellos asuntos que impliquen la aplicación del presente Reglamento en el tratamiento de datos personales, conforme al procedimiento que establezca el Comité.
Artículo 10. La aplicación e interpretación de las disposiciones de este Reglamento se hará conforme a lo dispuesto en la Constitución, los Tratados Internacionales de los que el Estado mexicano sea parte, la Ley General, así como las resoluciones y sentencias vinculantes que emitan los órganos nacionales e internacionales especializados, favoreciendo en todo tiempo la protección más amplia a las personas, el derecho a la protección de datos personales y atendiendo a los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad.
Asimismo, se podrán tomar en cuenta los criterios, determinaciones y opiniones de los organismos nacionales e internacionales, en materia de protección de datos personales.
Los casos no previstos en el presente Reglamento serán resueltos por el Comité, con excepción de los
relativos a los datos personales contenidos en el Padrón Electoral, que serán resueltos por los órganos especializados de conformidad con lo establecido en la LGIPE.
Artículo 11. Para la conservación de los datos personales, los Órganos del Instituto se ajustarán a lo previsto en la Ley General y demás normatividad que resulte aplicable en la materia.
Artículo 12. Para el bloqueo y supresión de los datos personales, el Comité, a propuesta de la Unidad de Transparencia, establecerá los procedimientos y plazos de conservación, los cuales deberán ser publicados y difundidos en el portal de Internet del Instituto.
Título Segundo
De los Órganos del Instituto en materia de protección de datos personales
Capítulo I
Atribuciones del Comité
Artículo 13. Además de las previstas en la Ley General y en otras disposiciones internas del Instituto, el Comité tendrá las siguientes atribuciones:
I. Vigilar el cumplimiento de la Ley General, la LGIPE, la LGPP, el presente Reglamento y las demás disposiciones aplicables en la materia;
II. Interpretar en el orden administrativo el presente ordenamiento y las demás disposiciones internas del Instituto aplicables en la materia;
III. Recibir los informes trimestrales y anuales de la Unidad de Transparencia sobre los recursos humanos y materiales empleados por los Órganos del Instituto, para la atención de las solicitudes de los derechos ARCO, así como sobre las actividades realizadas por la Unidad de Transparencia en materia de protección de datos personales;
IV. Requerir cualquier información a los Órganos del Instituto, para el adecuado cumplimiento de sus funciones;
V. Proponer modificaciones al marco normativo interno en materia de protección de datos personales, para su aprobación por parte del Consejo General;
VI. Dar vista a cualquier autoridad competente, de las presuntas irregularidades en materia de datos personales;
VII. Conocer el registro actualizado de las bases de datos personales del Instituto, conforme a las reglas que emita para tal efecto; y
VIII. Las demás que le confiera el Consejo General, este ordenamiento y cualquier otra disposición aplicable.
Capítulo II
Atribuciones de la Unidad de Transparencia
Artículo 14. Además de las previstas en otras disposiciones internas del Instituto, la Unidad de Transparencia tendrá las siguientes atribuciones:
I. Auxiliar y orientar al Titular que lo requiera con relación al ejercicio del derecho a la protección de datos personales;
II. Gestionar las solicitudes para el ejercicio de los derechos ARCO;
III. Establecer mecanismos para asegurar que los datos personales solo se entreguen a su Titular o su representante debidamente acreditado;
IV. Informar al Titular o su representante el monto de los costos a cubrir por la reproducción y envío de los datos personales, con base en lo establecido en las disposiciones aplicables;
V. Proponer al Comité los procedimientos internos que aseguren y fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de los derechos ARCO;
VI. Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes para el ejercicio de los derechos ARCO;
VII. Asesorar a los Órganos del Instituto, en materia de protección de datos personales;
VIII. Presentar al Comité, dentro de los informes trimestrales y anual de desempeño, el reporte sobre los recursos humanos y materiales empleados por los Órganos del Instituto para la atención de las solicitudes de los derechos ARCO, así como sobre las actividades realizadas por la Unidad de Transparencia en materia de protección de datos personales, para lo cual deberá requerir los insumos necesarios a los Órganos del Instituto; y
IX. Las demás que le confiera el Consejo General, este ordenamiento y cualquier otra disposición aplicable.
Título Tercero
De los principios y deberes
Artículo 15. En el tratamiento que los Órganos del Instituto realicen de datos personales, deberán regirse por los principios, deberes y obligaciones previstas en la Ley General, este Reglamento y demás disposiciones que otorguen la protección más amplia a sus Titulares.
Capítulo I
Principios
Artículo 16. El principio de licitud consiste en que el tratamiento de los datos personales deberá sujetarse a las facultades o atribuciones que la normatividad aplicable le confiera a los Órganos del Instituto, La Ley General y demás normatividad aplicable en la materia.
Artículo 17. El principio de finalidad se refiere a que todo tratamiento de datos personales que efectúen los Órganos del Instituto deberá estar justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones que la normatividad aplicable le confiera.
Los Órganos del Instituto podrán tratar datos personales para finalidades distintas a aquéllas establecidas en el aviso de privacidad, siempre y cuando cuente con atribuciones conferidas en la ley y medie el consentimiento del Titular, en los términos previstos en la Ley General y demás disposiciones que resulten aplicables en la materia.
Artículo 18. El principio de lealtad se refiere a que los Órganos del Instituto no deberán obtener y tratar datos personales, a través de medios engañosos o fraudulentos, privilegiando la protección de los intereses de las personas Titulares y la expectativa razonable de privacidad, acorde con la Ley General, el presente Reglamento y la legislación de la materia que les otorgue la protección más amplia.
Artículo 19. El principio de consentimiento consiste en que todo tratamiento de datos personales en posesión de los Órganos del Instituto deberá contar con el consentimiento previo del Titular, salvo las causales de excepción previstas en la Ley General.
Artículo 20. Sólo podrán tratarse datos personales sensibles siempre que se cuente con el consentimiento expreso de su Titular o alguna ley así lo disponga.
Tratándose de datos personales sensibles, los Órganos del Instituto deberán obtener el consentimiento expreso y por escrito del Titular, para su tratamiento a través de su firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que al efecto se establezca, salvo en los casos previstos en el artículo 22 de la Ley General.
Artículo 21. En los casos en que el Instituto recabe y dé tratamiento a datos personales de personas menores de edad, que se encuentren en estado de interdicción o en estado de incapacidad declarada conforme a la ley, la obtención del consentimiento deberá recabarse conforme a lo previsto en las reglas de representación previstas en la legislación civil que resulte aplicable y demás disposiciones que al respecto emita el Instituto.
En el caso de los formatos que requisiten las personas señaladas en el párrafo anterior, recabados de manera personal, en el aviso de privacidad deberá especificarse la finalidad para la que se recaban los mismos.
En todo caso, se deberá privilegiar la mayor protección hacia sus derechos a opinar o tomar sus decisiones, según sea el caso.
Artículo 22. En el tratamiento de datos personales de personas menores de edad, el Instituto deberá considerar, además de la Ley General de los derechos de niñas, niños y adolescentes, lo siguiente:
I. Se deberá privilegiar el interés superior de niñas, niños y adolescentes en términos de las disposiciones legales aplicables;
II. Las niñas, niños y adolescentes tienen derecho a la protección de sus datos personales; y
III. Las personas menores de edad no podrán ser objeto de divulgaciones o difusiones ilícitas de información o datos personales, incluyendo aquélla que tenga carácter informativo a la opinión pública o de noticia que permita identificarlos y que atenten contra su honra, imagen o reputación.
En consecuencia, los Órganos del Instituto adoptarán las medidas conducentes a efecto de que en los
expedientes de los procedimientos administrativos de cualquier índole, los datos personales de las personas menores de edad se resguarden en un cuaderno anexo que preserve su identificación y su derecho a la intimidad.
Artículo 23. Los sujetos obligados por este Reglamento, sólo podrán acceder a los datos de las personas menores de edad, cuando sea estrictamente necesario para el ejercicio de sus funciones.
Artículo 24. El principio de calidad implica que los Órganos del Instituto adopten las medidas necesarias para que los datos personales que traten sean exactos, completos, correctos y actualizados, a fin de que no se altere la veracidad de los mismos, conforme a lo previsto en la Ley General.
Artículo 25. El principio de proporcionalidad implica que los Órganos del Instituto solo deberán tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento, conforme a la Ley General y demás normatividad que resulte aplicable en la materia.
Artículo 26. El principio de información tiene por objeto hacer del conocimiento del Titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto, conforme a la Ley General y demás normatividad que resulte aplicable en la materia.
Artículo 27. El Aviso de privacidad se presentará en dos modalidades: simplificada e integral y deberá contener, según corresponda, la información prevista en los artículos 27 y 28 de la Ley General.
Artículo 28. Para observar el principio de información, los Órganos del Instituto deberán difundir el Aviso de privacidad en su modalidad simplificada e integral a través de los siguientes medios, según corresponda:
I. Las oficinas sede de los Órganos del Instituto;
II. El portal de Internet del Instituto;
III. Los módulos de atención ciudadana;
IV. El servicio de consulta institucional INETEL, y
V. Las tecnologías que desarrolle el Instituto para prestar servicios por medios electrónicos o remotos.
Artículo 29. En los casos que determine el Comité, el Instituto podrá instrumentar medidas compensatorias de comunicación masiva para dar a conocer el Aviso de privacidad. Para tal efecto, se ajustará a los criterios que en esta materia, en su caso emita el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.
Artículo 30. Para cumplir con el principio de responsabilidad, el Instituto deberá acreditar el apego a los principios, deberes y obligaciones establecidos en la Ley General, el presente Reglamento y demás normatividad aplicable, así como implementar los mecanismos previstos en el artículo 30 de la referida Ley.
Asimismo, deberá rendir cuentas sobre el tratamiento que realiza a los datos personales en su posesión al Titular y al INAI.
Capítulo II
De los Deberes
Artículo 31. Para dar cumplimiento al deber de seguridad, los Órganos del Instituto, en sus respectivos ámbitos de competencia, establecerán y mantendrán las medidas de seguridad de carácter administrativo, físico y técnico para la protección de datos personales que posean, contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como para garantizar su confidencialidad, integridad y disponibilidad.
Al efecto, remitirán al Comité, para fines de supervisión y conforme al procedimiento y plazos que dicho órgano colegiado apruebe, el documento de seguridad a que se refiere el artículo 35 de la Ley General, mismo que deberá ser actualizado cuando ocurran las hipótesis previstas en dicho ordenamiento.
Artículo 32. La Unidad de Transparencia implementará el Sistema de Gestión en el que quedarán documentadas y contenidas las acciones que los Órganos del Instituto desarrollen para mantener tales medidas de seguridad.
Artículo 33. Los Órganos del Instituto, en sus respectivos ámbitos de competencia, deberán llevar un registro de las vulneraciones a la seguridad de los datos personales, mediante la bitácora que para el efecto establezca la Unidad de Transparencia, en la que se describa:
I. La vulneración;
II. La fecha en la que ocurrió;
III. El motivo de la misma;
IV. Las acciones correctivas implementadas de forma inmediata y definitiva; y
V. Las acciones preventivas que, en su caso, puedan ser implementadas para evitar vulneraciones posteriores.
Artículo 34. El Órgano del Instituto responsable del tratamiento de los datos personales, deberá informar, sin dilación alguna, al Titular, las vulneraciones que afecten de forma significativa sus derechos patrimoniales o morales, conforme a lo previsto en el artículo 41 de la Ley General, en cuanto:
I. Confirme que ocurrió la vulneración; y que
II. Hubiere empezado a tomar las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación.
Lo anterior, a fin de que los Titulares afectados, puedan tomar las medidas correspondientes, para la defensa de sus derechos.
Artículo 35. Los Órganos del Instituto responsables del tratamiento de los datos personales, además de las acciones anteriores, deberán hacer del conocimiento a la Unidad de Transparencia, acerca de las vulneraciones a que se refiere el artículo anterior, al mismo tiempo que notifiquen a los Titulares, a efecto de que dicha Unidad informe lo conducente al INAI.
Artículo 36. Para dar cumplimiento al deber de confidencialidad, los Órganos del Instituto, deberán establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales, guarden confidencialidad respecto de éstos, obligación que subsistirá, aún después de que haya finalizado la relación entre los mismos. Adicionalmente, el Instituto establecerá cláusulas y obligaciones de confidencialidad dentro de los documentos que formalice con todas aquellas personas con quienes establezca una relación jurídica, con base en la cual intervengan en cualquier fase del tratamiento de datos personales.
Una vez establecidos, los mecanismos y controles a que se refiere el párrafo anterior, los órganos deberán dar aviso a la Unidad de Transparencia, para que a su vez, informe lo conducente al Comité y en su caso, emita las recomendaciones que estime necesarias.
Título Cuarto
De los derechos ARCO y su ejercicio
Capítulo I
De los derechos
Artículo 37. En todo momento el Titular o su representante podrán solicitar al Instituto, el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le conciernen. El ejercicio de cualquiera de los derechos ARCO no es requisito previo, ni impide el ejercicio de otro.
El personal del Instituto y los prestadores de servicios, podrán ejercer sus derechos ARCO respecto de los datos personales que obran en posesión del Instituto, en términos de las disposiciones previstas en la Ley General, el presente Reglamento y demás normatividad aplicable.
Artículo 38. El INETEL tendrá la obligación de orientar e informar a los Titulares de los datos personales, sobre los procedimientos a que se refiere el presente Reglamento para el ejercicio de derechos ARCO.
Capítulo II
Del ejercicio de los derechos
Sección Primera
De las reglas generales
Artículo 39. El ejercicio de los derechos ARCO de los datos personales en posesión del Instituto, se llevará a cabo mediante el procedimiento genérico previsto en el artículo 43 del presente Reglamento.
Para el ejercicio de los derechos ARCO de los datos personales contenidos en el Padrón Electoral a cargo del Registro Federal de Electores, se estará a lo previsto en el artículo 5 de este ordenamiento.
En el caso del ejercicio de los derechos ARCO de los datos personales contenidos en los padrones de militantes de los Partidos Políticos que conoce la DEPPP para ejercer sus facultades de verificación, se estará a lo dispuesto en los Lineamientos aprobados por el Consejo General del Instituto.
Artículo 40. En el ejercicio de los derechos ARCO de personas menores de edad o de personas que se encuentren en estado de interdicción o incapacidad, de conformidad con las leyes civiles, se estará a las reglas de representación dispuestas en la misma legislación.
Artículo 41. Cuando la Unidad de Transparencia reciba una solicitud de ejercicio de derechos ARCO en relación con los datos personales contenidos en el Padrón Electoral, dentro de un plazo de cinco días hábiles contados a partir del día hábil siguiente a la recepción de la solicitud deberá informar al Titular sobre la existencia de los procedimientos a que se refiere el Libro Cuarto, Título Primero de la LGIPE.
Las solicitudes de acceso a los datos personales contenidos en los padrones de militantes de los partidos políticos, procederán ante el Instituto, únicamente respecto de los que fueron verificados.
Cuando la Unidad de Transparencia reciba solicitudes de ejercicio de derechos ARCO respecto de los padrones de militantes vigentes, o bien, cualquier otro dato personal que pueda obrar en posesión de los partidos políticos, deberá orientar a los Titulares, dentro de los 3 días siguientes y por el mismo medio por el cual se haya recibido la solicitud, para presentarla ante los propios partidos políticos como sujetos obligados.
Capítulo III
Procedimiento para el ejercicio de los derechos ARCO
Artículo 42. Las solicitudes para el ejercicio de los derechos ARCO deberán presentarse ante la Unidad de Transparencia, a través del formato físico u otro tipo de medios establecidos por el INAI.
Además de las disposiciones previstas en la Ley General, el procedimiento genérico se regirá por lo siguiente:
I. La identidad del Titular de los datos personales y, en su caso, de su representante legal deberán ser acreditadas previo al ejercicio del derecho ARCO que corresponda, a través de la presentación en original para su cotejo y copia simple, de un documento de identificación oficial vigente, entre ellos: Credencial para Votar, Pasaporte, Cartilla Militar, Cédula Profesional, Licencia para Conducir y/o Documento Migratorio.
Además de lo anterior, en el caso del representante, se deberá presentar el documento en el que consten sus facultades de representación: instrumento público o carta poder simple firmada ante dos testigos, anexando copia simple de las identificaciones oficiales de quienes intervengan en la suscripción del mismo;
II. El ejercicio de los derechos ARCO deberá ser gratuito. Sólo podrán realizarse cobros para recuperar los costos de reproducción, certificación o envío, conforme a la normatividad que resulte aplicable;
III. Los costos de reproducción, certificación o envío deberán ser cubiertos por el Titular de manera previa a la entrega de los datos personales en la cuenta que para tal efecto tenga el Instituto y que se notificará al Titular en la respuesta respectiva;
Cuando el Titular proporcione el medio magnético, electrónico o el mecanismo necesario para reproducir los datos personales, éstos deberán ser entregados sin costo.
La información deberá ser entregada sin costo, cuando los datos personales estén contenidos en hasta veinte hojas simples;
IV. La Unidad de Transparencia podrá exceptuar el pago de reproducción, certificación o envío atendiendo a las circunstancias socio económicas del Titular. En caso de que el Titular pida el acceso a la información de manera gratuita, en atención a su condición socio económica, deberá señalarlo al momento de presentar su solicitud y llenar la solicitud de exención de pago de costos de reproducción, certificación y/o envío, bajo protesta de decir verdad, señalando las razones que le impiden cubrir tales costos, las cuales serán valoradas por la Unidad, quien determinará lo conducente;
V. Cuando los Órganos del Instituto reciban una solicitud para el ejercicio de los derechos ARCO, deberán remitirla a la Unidad de Transparencia dentro del día hábil siguiente, para su registro y trámite correspondiente;
VI. En caso de que la Unidad de Transparencia advierta que la solicitud para el ejercicio de los derechos ARCO corresponda a un derecho diferente de los previstos en el presente Reglamento, deberá reconducir la vía haciéndolo del conocimiento al Titular;
VII. En caso de que la solicitud de derechos ARCO no satisfaga alguno de los requisitos a que se refiere este artículo, y el Instituto no cuente con elementos para subsanarla, se prevendrá al Titular de los datos dentro de los cinco días hábiles siguientes a la presentación de la solicitud para el ejercicio de los derechos ARCO, por una sola ocasión, para que subsane las omisiones dentro de un plazo de diez días hábiles contados a partir del día hábil siguiente al de la notificación.
Transcurrido el plazo sin desahogar la prevención se tendrá por no presentada la solicitud para el ejercicio de los derechos ARCO.
La prevención tendrá el efecto de interrumpir el plazo para dar respuesta a la solicitud de ejercicio de los derechos ARCO. En caso de que el Titular atienda satisfactoriamente el requerimiento de información, el plazo para dar respuesta a la solicitud empezará a correr al día hábil siguiente al del desahogo;
VIII. Cuando sea notoria la incompetencia del Instituto para atender la solicitud de ejercicio de los derechos ARCO, la Unidad de Transparencia deberá hacerlo del conocimiento del Titular dentro de los tres días hábiles siguientes a la presentación de la solicitud, en caso de poderlo determinar, dicha Unidad orientará al Titular hacia el responsable competente;
IX. Cuando el Titular decida desistirse de una solicitud para el ejercicio de los derechos ARCO, deberá manifestarlo mediante escrito libre que podrá presentarse en la Unidad de Transparencia o remitirse a ésta por correo electrónico, al cual deberá acompañar el documento mediante el cual acredite la Titularidad del dato. De ser procedente, la Unidad de Transparencia dará de baja la solicitud de la Plataforma Nacional y del sistema INFOMEX-INE y emitirá la razón correspondiente;
X. El cómputo de los plazos señalados en este Reglamento comenzarán a correr a partir del día hábil siguiente a aquél en que se haya practicado la notificación correspondiente;
XI. La respuesta a las solicitudes de derechos ARCO deberá notificarse al Titular, o en su caso, al representante, a través de la Unidad de Transparencia, en un plazo que no deberá exceder de veinte días hábiles contados a partir del día siguiente a la recepción de la solicitud.
El plazo referido en el párrafo anterior podrá ser ampliado por una sola vez hasta por diez días hábiles cuando así lo justifiquen las circunstancias, y siempre y cuando se le notifique al Titular dentro del plazo de respuesta.
En caso de resultar procedente el ejercicio del derecho ARCO, el mismo se hará efectivo en un plazo que no podrá exceder de quince días hábiles contados a partir del día hábil siguiente en que se haya notificado la respuesta al Titular o a su representante, según sea el caso, y se haya acreditado su identidad o personalidad, respectivamente.
Tratándose de las solicitudes de ejercicio de derechos ARCO, la notificación de la respuesta deberá precisar el costo de reproducción o envío y la modalidad de la entrega de la información, se privilegiará el acceso en la modalidad de entrega y de envío elegidos por el Titular, siempre y cuando el tipo de información lo permita.
XII. Contra la negativa a las solicitudes de ejercicio de derechos ARCO o ante la falta de respuesta a las mismas en el plazo previsto en este Reglamento, procederá el recurso de revisión a que se refiere el artículo 94 de la Ley General;
XIII. En el caso de las solicitudes de acceso a datos personales, el Titular deberá señalar la modalidad en la que prefiere que se otorgue el acceso a sus datos, la cual podrá ser mediante consulta directa, expedición de copias simples o certificadas, o la reproducción en cualquier otro medio, incluidos los digitales.
Los Órganos del Instituto deberán atender la solicitud en la modalidad requerida por el Titular, salvo que exista una imposibilidad física o jurídica que lo limite a reproducir los datos personales en dicha modalidad. En este caso el Órgano del Instituto deberá ofrecer otras modalidades de entrega de los datos personales fundando y motivando dicha actuación.
XIV. Tratándose de solicitudes de rectificación, el Titular en la medida de lo posible, señalará la base de datos en la que obran los datos personales y/o la finalidad para la que fueron recabados, y especificará la corrección o actualización solicitada, para lo cual deberá aportar la documentación que sustente su petición. En caso de que el Titular omita señalar la base de datos, ello no será impedimento para continuar con el desahogo de la solicitud;
XV. En las solicitudes de cancelación, el Titular deberá señalar las causas que lo motiven a solicitar la supresión de sus datos personales en los archivos, registros o bases de datos del Instituto.
El ejercicio del derecho de cancelación, es improcedente, tratándose de los padrones de afiliados verificados por el Instituto, por tratarse de un registro histórico y además constituir información de interés público que debe conservar el Instituto para el ejercicio de sus funciones; y
XVI. En el caso de la solicitud de oposición, el Titular deberá manifestar las causas legítimas o la situación específica que lo llevan a solicitar el cese en el tratamiento, así como el daño o perjuicio que le causaría la persistencia del tratamiento, o en su caso, las finalidades específicas respecto de las cuales requiere ejercer el derecho de oposición.
Artículo 43. En el procedimiento de gestión interna para dar trámite a las solicitudes para el ejercicio de derechos ARCO se deberá atender lo siguiente:
I. El Instituto podrá implementar mecanismos electrónicos para la gestión interna de las solicitudes para el ejercicio de los derechos ARCO.
II. Los Enlaces de Transparencia a que se refiere el Reglamento de Transparencia, fungirán como Enlaces de Protección de Datos Personales, salvo que el Titular de algún Órgano del Instituto determiné nombrar a una persona diferente como Enlace de Protección de Datos Personales.
III. El procedimiento de gestión de las solicitudes para el ejercicio de los derechos ARCO se desahogará conforme lo siguiente:
1. Recibida la solicitud, la Unidad de Transparencia deberá turnarla al Órgano del Instituto al que corresponda el tratamiento, resguardo o posesión de los datos personales materia de la solicitud, dentro del día hábil siguiente a la recepción de la solicitud;
2. Cuando la solicitud para el ejercicio de los derechos ARCO no sea competencia del Órgano del Instituto al que le fue turnada la solicitud, o considere que la solicitud no satisface algún requisito, deberá hacerlo del conocimiento de la Unidad de Transparencia dentro de los dos días hábiles siguientes al turno, fundando y motivando las razones de su incompetencia y, en caso de poderlo determinar, deberá sugerir el turno al órgano que considere competente, o bien, orientar al Titular hacia el responsable competente.
3. Cuando las disposiciones aplicables a determinados tratamientos de datos personales establezcan un trámite o procedimiento específico para solicitar el ejercicio de los derechos ARCO, el Órgano del Instituto al que le fue turnada la solicitud, deberá hacerlo del conocimiento de la Unidad de Transparencia dentro de los dos días hábiles siguiente al turno, a efecto de que ésta lo notifique al Titular en un plazo no mayor a dos días hábiles posteriores, y éste decida si ejerce sus derechos a través del trámite específico o bien por medio del procedimiento genérico.
4. En caso de ser procedente el ejercicio del derecho ARCO de que se trate, el Órgano del Instituto al que le fue turnada la solicitud, deberá notificarlo a la Unidad de Transparencia dentro de los ocho días hábiles siguientes a aquél en que haya recibido la solicitud, quien deberá notificar la respuesta al Titular o su representante, sin exceder el plazo previsto en el artículo anterior.
5. Tratándose de las solicitudes de acceso a datos personales, la acreditación de la identidad del Titular o, en su caso, la identidad y personalidad del representante, deberá realizarse al momento de la entrega de la información, y en el caso de las solicitudes de rectificación, cancelación y oposición, al momento de notificar la respuesta de la procedencia del ejercicio del derecho correspondiente.
Dentro de los dos días hábiles siguientes a la notificación de la procedencia del derecho al Titular o a su representante, la Unidad de Transparencia deberá informarlo al Órgano del Instituto, para que éste haga efectivo el derecho de rectificación, cancelación u oposición que proceda en un plazo que no podrá exceder de diez días hábiles siguientes al aviso de la Unidad de Transparencia, siempre y cuando haya quedado acreditada la identidad y, en su caso, la personalidad del Titular o su representante, según sea el caso. En el mismo plazo, el Órgano del Instituto deberá remitir a la Unidad de Transparencia el documento que haga constar el ejercicio del derecho respectivo, a efecto de que ésta lo notifique al Titular.
De ser procedente el acceso a los datos personales, el Órgano del Instituto deberá entregarlos en formato comprensible e informar al Titular o a su representante, de ser el caso, los costos de reproducción de la información requerida, los cuales deberán pagarse de manera previa a su entrega.
6. Cuando la solicitud del ejercicio de los derechos ARCO no sea procedente, el Órgano del Instituto que haya recibido el turno deberá remitir al Comité, por conducto de la Unidad de Transparencia, en un plazo de cinco días hábiles contados a partir de que recibió la referida solicitud, un oficio en el que funde y motive su determinación, acompañando, en su caso, las pruebas que resulten pertinentes y el expediente correspondiente, para que el Comité resuelva si confirma, modifica o revoca la improcedencia manifestada.
Las causas de improcedencia a que se refiere el párrafo anterior, son:
i. Cuando el titular o su representante no estén debidamente acreditados para ello;
ii. Cuando los datos personales no se encuentren en posesión del responsable;
iii. Cuando exista un impedimento legal;
iv. Cuando se lesionen los derechos de un tercero;
v. Cuando se obstaculicen actuaciones judiciales o administrativas;
vi. Cuando exista una resolución de autoridad competente que restrinja el acceso a los datos personales o no permita la rectificación, cancelación u oposición de los mismos;
vii. Cuando la cancelación u oposición haya sido previamente realizada;
viii. Cuando el responsable no sea competente;
ix. Cuando sean necesarios para proteger intereses jurídicamente tutelados del titular;
x. Cuando sean necesarios para dar cumplimiento a obligaciones legalmente adquiridas por el titular;
xi. Cuando en función de sus atribuciones legales el uso cotidiano, resguardo y manejo sean necesarios y proporcionales para mantener la integridad, estabilidad y permanencia del Estado mexicano, o
xii. Cuando los datos personales sean parte de la información que las entidades sujetas a la regulación y supervisión financiera del sujeto obligado hayan proporcionado a éste, en cumplimiento a requerimientos de dicha información sobre sus operaciones, organización y actividades.
7. En caso de que los datos personales solicitados se encuentren en un documento o expediente que contenga información sobre terceros o temporalmente reservada, el Órgano del Instituto deberá remitir al Comité, por conducto de la Unidad de Transparencia, dentro de los cinco días hábiles siguientes a aquél en que haya recibido la solicitud, un oficio que funde y motive su clasificación, observando lo dispuesto por el artículo 29, párrafo 3, fracción V del Reglamento de Transparencia;
8. Cuando los datos personales no obren en los archivos, registros, sistemas o expedientes del órgano del Instituto al que le fue turnada la solicitud o éste señale su incompetencia, la respuesta que dicho Órgano del Instituto remita al Comité, por conducto de la Unidad de Transparencia, dentro del plazo de cinco días hábiles contados a partir de que recibió la solicitud para el ejercicio de los derechos ARCO, deberá contener un informe fundado y motivado donde se expongan las gestiones que realizó para la ubicación de los datos personales.
9. En ningún caso, los Órganos del Instituto podrán solicitar la ampliación del plazo de respuesta a la solicitud, si los datos personales son inexistentes.
Exceptuando el supuesto del numeral anterior, los Órganos del Instituto, de forma fundada y motivada, podrán pedir una prórroga de hasta 5 días hábiles, mediante correo electrónico, a la Unidad de Transparencia, dentro de los 8 días hábiles siguientes al turno de la solicitud.
La Unidad de Transparencia notificará al Titular dicha prórroga, dentro del plazo de 20 días que establece la Ley General para dar respuesta a la solicitud.
Artículo 44. Las resoluciones del Comité deberán ser emitidas a la brevedad posible, sin más limitante que el plazo de respuesta o a la ampliación del mismo.
La Resolución completa deberá notificarse al Titular, a más tardar dentro de los cinco días hábiles siguientes a su aprobación, en ningún caso podrá excederse el plazo o la ampliación a éste, en términos del presente Capítulo.
Artículo 45. Cuando la respuesta del Órgano del Instituto determine la procedencia de la entrega de la información, la misma deberá reproducirse o certificarse dentro de los tres días hábiles siguientes a aquel en que la Unidad de Transparencia notifique sobre el pago correspondiente.
Una vez realizado el pago de derechos por el Titular, la Unidad de Transparencia deberá entregar la información requerida, en un plazo que no excederá de ocho días hábiles contados a partir de la fecha en que se realizó el pago, siempre que se haya acreditado la identidad del Titular o bien, la personalidad del representante, según sea el caso.
Los Órganos del Instituto deberán reproducir la información hasta en tanto se acredite el pago correspondiente por el Titular y la Unidad de Transparencia se lo solicite, en caso contrario, será devuelta al Órgano del Instituto.
Artículo 46. Las notificaciones, citatorios, requerimientos y entrega de la información que realicen entre si los Órganos del Instituto y la Unidad de Transparencia en el trámite de las solicitudes de datos personales,
deberán efectuarse en días hábiles, de 9:00 a 18:00 horas, atendiendo a las disposiciones siguientes:
1. Las notificaciones a los Titulares surtirán efectos el día en que hubieren sido realizadas. Los plazos empezarán a correr a partir del día hábil siguiente a aquél en que haya surtido efectos la notificación, mismas que se harán conforme a lo siguiente:
i. A través de INFOMEX-INE o de la Plataforma Nacional, cuando el Titular presente su solicitud por esas vías, salvo que indique un medio distinto para tal efecto.
ii. Por correo electrónico, de ser requerido así por el Titular al momento de ingresar su solicitud para el ejercicio de los derechos ARCO, siempre que éste proporcione una cuenta de correo para el efecto;
iii. Personalmente, en el domicilio que al efecto señale el Titular en su solicitud para el ejercicio de los derechos ARCO, o bien, en el último domicilio que la persona a quien se deba notificar haya señalado ante los Órganos del Instituto. Las notificaciones de manera personal que se realicen deberán sujetarse al procedimiento siguiente:
a) Cuando deba realizarse una notificación personal, el notificador deberá cerciorarse, por cualquier medio, que la persona que deba ser notificada tiene su domicilio en el inmueble designado y que es el Titular de los datos, después de ello, practicará la diligencia entregando copia autorizada del acto correspondiente, de lo cual se asentará razón en autos.
b) Si no se encuentra el Titular de los datos o, en su caso, al representante en su domicilio se le dejará con cualquiera de las personas que allí se encuentren un citatorio que contendrá la denominación de la Unidad de Transparencia; los datos del expediente en el cual se dictó el acto que se pretende notificar y referencia del mismo; día y hora en que se deja el citatorio y nombre de la persona a la que se le entrega éste, y el señalamiento de la hora a la que, al día siguiente deberá esperar la notificación.
c) Al día hábil siguiente, en la hora fijada en el citatorio, el notificador, se constituirá nuevamente en el domicilio y si el Titular de los datos o, en su caso, el representante no se encuentra, el notificador deberá asentar dicha circunstancia en la razón correspondiente. En este caso la notificación se realizará por estrados en la oficina de la Unidad de Transparencia o, en su caso, en la Vocalía respectiva.
d) Si a quien se busca se niega a recibir la notificación, o las personas que se encuentran en el domicilio se rehúsan a recibir el citatorio, o no se encuentra nadie en el lugar, éste se fijará en la puerta de entrada, procediéndose a realizar la notificación por estrados en la oficina de la Unidad de Transparencia, o en su caso, en la Vocalía respectiva, asentándose razón de ello en autos.
2. A efecto de cumplimentar lo señalado en el párrafo anterior, se atenderá lo siguiente:
i. Las cédulas de notificación personal deberán contener:
a) Referencia del acto que se notifica;
b) Lugar, hora y fecha en que se realiza la notificación;
c) Nombre de la persona con quien se atiende la diligencia, y
d) Firma del notificador.
ii. En todos los casos, al realizar una notificación personal, se dejará en el expediente la cédula respectiva y copia del acto, asentando la razón de la diligencia.
iii. Cuando el Titular señale un domicilio que no resulte cierto, incompleto o no se logre identificar la ubicación exacta, ésta se practicará por estrados en la oficina de la Unidad de Transparencia, o en su caso, en la Vocalía respectiva.
iv. Las notificaciones personales se podrán realizar por comparecencia del interesado, o bien, de su representante ante la Unidad de Transparencia o ante la Vocalía respectiva.
v. Podrá hacerse la notificación personal al Titular en cualquier lugar en el que se encuentre, siempre y cuando el notificador verifique, a través de los medios de acreditación de la identidad y personalidad previsto en el presente Reglamento, que es el Titular de los datos o, en su caso, su representante.
vi. La notificación de las respuestas que pongan fin al procedimiento, se harán a más tardar dentro
de los tres días hábiles siguientes a aquél en que se dicten entregando al Titular copia de la respuesta.
vii. En los casos en que la notificación no se haya realizado en los términos previstos en el presente ordenamiento, pero la persona que debe ser notificada se muestra sabedora de la diligencia, se tendrá por legalmente hecha la notificación.
viii. Independientemente que las notificaciones se hagan por escrito, las mismas podrán ser comunicadas vía INFOMEX-INE, Plataforma Nacional o correo electrónico al Titular, omitiendo publicitar datos personales.
3. Las notificaciones a Órganos del Instituto que realice la Unidad de Transparencia en el trámite a las solicitudes de datos personales, surtirán efectos el día en que hubieren sido realizadas. Los plazos empezarán a correr a partir del día hábil siguiente a aquel en que haya surtido efectos la notificación.
Todas las notificaciones a los Enlaces de Transparencia designados, se realizarán a través de correo electrónico, y las respuestas que den los Enlaces de Transparencia deberán enviarse a través del sistema INFOMEX-INE.
4. Por estrados, la notificación se fijará, durante tres días hábiles consecutivos, en un lugar visible de fácil acceso al público de la Unidad de Transparencia o, en su caso, de la Vocalía respectiva, cuando se desconozca el domicilio o no se haya señalado medios por parte del Titular para recibir las notificaciones o, en su caso, cuando la persona a quien deba notificarse haya desaparecido o, se encuentre en el extranjero sin haber dejado representante. Se tendrá como fecha de notificación el primer día en el que se publicó.
Artículo 47. Los partidos políticos tramitarán las solicitudes de ejercicio de derechos ARCO, respecto de sus padrones de afiliados vigentes y cualquier otro dato personal en su posesión, a través del procedimiento establecido en la Ley General y su normatividad interna.
Artículo 48. El ejercicio del derecho de oposición, respecto de los padrones de afiliados actualizados, no procederá en el caso de los datos que por disposición legal son considerados públicos.
Artículo 49. Los partidos políticos deberán reflejar en el Sistema de Verificación, las modificaciones a sus padrones de afiliados, que deriven del ejercicio de los derechos de rectificación y cancelación de datos personales contenidos en éstos.
Artículo 50. El Instituto, a través de la DEPPP, en relación con el ejercicio de derechos ARCO respecto de los datos personales contenidos en los padrones actualizados de afiliados, tendrá las siguientes obligaciones:
I. Administrar y operar permanentemente el Sistema, y
II. Implementar las medidas de seguridad necesarias que garanticen en todo momento la protección de los datos personales de los registros capturados por los Partidos Políticos Nacionales y locales en el Sistema de Verificación.
Capítulo IV
Recurso de revisión.
Artículo 51. Contra la negativa a la solicitud de ejercicio de derechos ARCO o la falta de respuesta del Instituto, el Titular por sí mismo o a través de su representante, podrá interponer el recurso de revisión ante el INAI o la Unidad de Transparencia del Instituto.
En caso de que el recurso de revisión sea presentado ante cualquier Órgano del Instituto distinto a la Unidad de Transparencia, aquél deberá enviarlo a esta última dentro del día hábil siguiente a su recepción, a efecto de que la Unidad de Transparencia lo remita al INAI.
Artículo 52. Una vez notificado el recurso de revisión por el INAI, se estará a lo siguiente:
1. La Unidad de Transparencia requerirá al Órgano del Instituto que dio respuesta a la solicitud, para que en un plazo no mayor a dos días hábiles posteriores a la notificación, manifiesten lo que a su derecho convenga, y en su caso, ofrezcan las pruebas que consideren convenientes, exceptuando la confesional por parte de las autoridades y aquellas contrarias a derecho.
2. Recibidos los argumentos y constancias por parte del Órgano del Instituto, la Unidad de Transparencia integrará los documentos necesarios y los remitirá al INAI dentro del término perentorio en que se solicite.
3. Una vez que el INAI notifique la resolución al Instituto, la Unidad de Transparencia deberá hacerla del
conocimiento del Órgano del Instituto, a más tardar al día hábil siguiente. En caso de que la resolución ordene un cumplimiento, el órgano deberá remitir a la Unidad de Transparencia la información que deberá notificarse al recurrente en acatamiento a dicha resolución, en el plazo que fije la Unidad de Transparencia.
4. La Unidad de Transparencia notificará al INAI el cumplimiento dentro del plazo que señale dicho organismo.
Si durante la sustanciación del recurso de revisión, el INAI promueve la conciliación entre las partes estará a lo dispuesto por la Ley General y los Lineamientos que para el efecto emita el INAI; y para su gestión interna, conforme a los plazos que indique la Unidad de Transparencia.
Artículo 53. Los acuerdos que suscriba el Instituto para la transferencia o remisión de datos personales deberán garantizar su protección.
En su caso, toda transferencia o remisión deberá formalizarse mediante la suscripción de cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico, de conformidad con la Ley General y demás normatividad que le resulte aplicable en donde se conozcan los alcances de las obligaciones y responsabilidades asumidas por las partes.
Artículo 54. El Instituto está obligado a prever cláusulas y obligaciones a cargo del encargado para asegurar que realice las actividades de tratamiento de los datos personales sin ostentar poder alguno de decisión sobre el alcance y contenido del mismo, así como limitar sus actuaciones a los términos fijados por el Instituto, considerando al menos, las previstas en el artículo 59 de la Ley General, así como a observar lo dispuesto en el artículo 64 del mismo ordenamiento, tratándose de servicios de cómputo en la nube y otras materias.
Artículo 55. Cuando el encargado incumpla las instrucciones del Instituto y decida por sí mismo sobre el tratamiento de los datos personales, adquiere la calidad de responsable de un nuevo tratamiento de datos personales conforme a la normatividad de datos personales que le resulte aplicable atendiendo a su naturaleza pública o privada.
Artículo 56. El encargado podrá subcontratar servicios que impliquen el tratamiento de datos personales por cuenta del Instituto, siempre y cuando medie la autorización expresa de este último.
Artículo 57. La Unidad de Transparencia será la responsable de la programación e implementación de esquemas de mejores prácticas en la protección de datos personales en el Instituto.
Artículo 58. La Unidad de Transparencia será la responsable de realizar la evaluación de impacto en la protección de datos personales, en los casos previstos en la Ley General.
Artículo 59. El Comité será responsable de proponer al Consejo General, la sujeción voluntaria del Instituto a las auditorías por parte del INAI previstas en la Ley General.
Capítulo V
Responsabilidades y sanciones.
Artículo 60. Para las conductas a que se refiere el artículo 163 de la Ley General, se dará vista a la autoridad competente para que imponga o ejecute la sanción.
Las infracciones cometidas por los Partidos Políticos Nacionales o sus integrantes, en términos de las hipótesis previstas por el numeral señalado en el artículo anterior, serán sancionadas por el Instituto. Para tal efecto, se seguirá el procedimiento sancionador que resulte aplicable.
Por lo que hace a los partidos políticos locales, se dará vista al Organismo Público Local Electoral de la entidad que corresponda.
En los casos en los que el presunto infractor tenga el carácter de servidor público, se llevará a cabo el procedimiento establecido en el artículo 167 de la Ley General.
Transitorios
Primero. Se abrogan los Principios, criterios, plazos y procedimientos para garantizar la protección de datos personales en posesión del Instituto Nacional Electoral, aprobado en sesión extraordinaria del Consejo
General, celebrada el 4 de mayo de 2016, mediante Acuerdo INE/CG312/2016.
Segundo. Se derogan los Lineamientos Décimo octavo, Décimo noveno, Vigésimo, Vigésimo primero, Vigésimo segundo y Vigésimo tercero de los Lineamientos para la Verificación de los padrones de afiliados de los Partidos Políticos Nacionales para la conservación de su registro y su publicidad, así como el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los datos personales en posesión del Instituto Nacional Electoral, aprobados mediante Acuerdo INE/CG172/2016.
Se derogan los Lineamientos Décimo octavo, Décimo noveno, Vigésimo, Vigésimo primero, Vigésimo segundo, Vigésimo tercero, Vigésimo cuarto y Vigésimo Quinto de los Lineamientos para la Verificación de los padrones de afiliados de los partidos políticos para la conservación de su registro y su publicidad, así como criterios generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los datos personales en posesión de los sujetos obligados, aprobados mediante Acuerdo INE/CG851/2016.
Tercero. Las referencias que se hagan en otras disposiciones internas del Instituto a la normatividad en materia de protección de datos se entenderán hechas al presente Reglamento.
Cuarto. El Instituto deberá actualizar los Lineamientos, plazos, términos y condiciones a que se refiere el artículo 6 del presente Reglamento, dentro del plazo de noventa días hábiles contados a partir de la entrada en vigor de este ordenamiento, en la inteligencia de que deberá ajustarse al artículo séptimo transitorio de la Ley General.
Quinto. El Comité deberá emitir el procedimiento a que se refiere el artículo 9 de este Reglamento, en un plazo no mayor a ciento veinte días hábiles posteriores a la entrada en vigor del presente instrumento. Las consultas que se reciban durante el periodo de elaboración del procedimiento, se atenderán por la Unidad de Transparencia en un plazo máximo de 15 días hábiles, el cual se podrá prorrogar hasta por un plazo igual, atendiendo a la complejidad del asunto que se requiera opinar.
Sexto. Para el bloqueo y supresión de los datos personales, el Comité, a propuesta de la Unidad de Transparencia, deberá establecer los procedimientos y plazos a que se refiere el artículo 12 de este Reglamento, dentro de los ciento veinte días hábiles posteriores a la entrada en vigor del mismo, los cuales deberán ser publicados y difundidos en el portal de Internet del Instituto.
SEGUNDO.- El presente Acuerdo entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.
TERCERO.- Publíquese el presente Acuerdo en el Diario Oficial de la Federación, así como en la página de internet del INE.
El presente Acuerdo fue aprobado en sesión ordinaria del Consejo General celebrada el 22 de noviembre de 2017, por votación unánime de los Consejeros Electorales, Licenciado Enrique Andrade González, Maestra Adriana Margarita Favela Herrera, Doctor Benito Nacif Hernández, Maestra Dania Paola Ravel Cuevas, Maestro Jaime Rivera Velázquez, Doctor José Roberto Ruiz Saldaña, Licenciada Alejandra Pamela San Martín Ríos y Valles, Maestra Beatriz Claudia Zavala Pérez y del Consejero Presidente, Doctor Lorenzo Córdova Vianello, no estando presentes durante la votación los Consejeros Electorales, Maestro Marco Antonio Baños Martínez y Doctor Ciro Murayama Rendón.
El Consejero Presidente del Consejo General, Lorenzo Córdova Vianello.- Rúbrica.- El Secretario del Consejo General, Edmundo Jacobo Molina.- Rúbrica.
|
En el documento que usted está visualizando puede haber texto, caracteres u objetos que no se muestren correctamente debido a la conversión a formato HTML, por lo que le recomendamos tomar siempre como referencia la imagen digitalizada del DOF o el archivo PDF de la edición.
|
