ACUERDO mediante el cual se aprueban los Lineamientos que establecen los parámetros, modalidades y procedimientos para la portabilidad de datos personales ACUERDO mediante el cual se aprueban los Lineamientos que establecen los parámetros, modalidades y procedimientos para la portabilidad de datos personales.
Al margen un logotipo, que dice: Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.
CONAIP/SNT/ACUERDO/EXT01-23/101/2018-03
ACUERDO MEDIANTE EL CUAL SE APRUEBAN LOS LINEAMIENTOS QUE ESTABLECEN LOS PARÁMETROS, MODALIDADES Y PROCEDIMIENTOS PARA LA PORTABILIDAD DE DATOS PERSONALES.
Que el Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, con fundamento en lo dispuesto por los artículos 10, 11, 57 y Quinto Transitorio de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, 31, fracción I de la Ley General de Transparencia y Acceso a la Información Pública, 10, fracciones II y VII del Reglamento del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales; y el Acuerdo mediante el cual se aprueba la metodología de procesamiento para la estrategia de implementación de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, tiene dentro de sus atribuciones las de establecer mediante lineamientos los parámetros a considerar para determinar los supuestos en los que se está en presencia de un formato estructurado y comúnmente utilizado, así como las normas técnicas, modalidades y procedimientos para la transferencia de datos personales, así como la de emitir acuerdos para dar cumplimiento a las funciones del Sistema Nacional de Transparencia, establecidas en el artículo 31 de la Ley General de Transparencia y Acceso a la Información Pública y demás disposiciones aplicables.
Que en el punto número 5 del Orden del Día, de la Primera Sesión Extraordinaria de 2018, del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, celebrada el 23 de enero de dos mil dieciocho, fue presentado, sometido a discusión y aprobado por unanimidad el Acuerdo por el cual se emiten los Lineamientos que establecen los parámetros, modalidades y procedimientos para garantizar el ejercicio del derecho a la portabilidad de datos personales, en razón de lo anterior, se emite el siguiente:
ACUERDO
PRIMERO. Se aprueban los Lineamientos que establecen los parámetros, modalidades y procedimientos para la portabilidad de datos personales conforme al Anexo único del Acuerdo CONAIP/SNT/ACUERDO/EXT01-23/01/2018-03.
SEGUNDO. El presente acuerdo entrará en vigor al día siguiente de su publicación en el Diario Oficial de la Federación.
TERCERO. Se instruye al Secretario Ejecutivo del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales a publicar el presente Acuerdo y su Anexo en el Diario Oficial de la Federación, así como en la página del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, mismos que estarán disponibles para su consulta en el vínculo electrónico siguiente:
http://snt.org.mx/images/Doctos/CONAIP/SNT/ACUERDO/EXT01-23/01/2018-03.pdf
De manera adicional, envíese a las direcciones de correo electrónico institucional de los integrantes del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales a través de la dirección de correo del Secretario Ejecutivo (federico.guzman@inai.org.mx).
Así lo acordó el Pleno del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, en su Primera Sesión Extraordinaria de 2018, celebrada el 23 de enero del presente año, en la Ciudad de México, lo que se certifica y se hace constar, con fundamento en el artículo 12 fracción XII y 13 fracciones VII y VIII del Reglamento del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.- El Presidente del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y
Protección de Datos Personales, Francisco Javier Acuña Llamas.- Rúbrica.- Secretario Ejecutivo del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, Federico Guzmán Tamayo.- Rúbrica.
Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos
Personales
CONAIP/SNT/ACUERDO/EXT01-23/101/2018-03
ANEXO ÚNICO DEL ACUERDO CONAIP/SNT/ACUERDO/EXT01-23/01/2018-03
LINEAMIENTOS QUE ESTABLECEN LOS PARÁMETROS, MODALIDADES Y PROCEDIMIENTOS PARA
LA PORTABILIDAD DE DATOS PERSONALES
Capítulo I
De las disposiciones generales
Objeto
Artículo 1. Los presentes Lineamientos tienen por objeto establecer los parámetros a considerar para determinar los supuestos en los que se está en presencia de un formato estructurado y comúnmente utilizado, que contengan datos personales, así como las normas técnicas, modalidades y procedimientos para la transmisión de los referidos datos personales para garantizar la portabilidad de los datos personales a que se refiere la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados o las legislaciones estatales en la materia.
Definiciones
Artículo 2. Además de las definiciones previstas en el artículo 3 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, para los efectos de los presentes Lineamientos se entenderá por:
I. Interoperabilidad: Capacidad de los responsables transmisor y receptor para compartir infraestructura y datos personales a través de la conexión de sus respectivos sistemas o plataformas tecnológicas;
II. Ley General: Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados;
III. Lineamientos: Lineamientos que establecen los parámetros, modalidades y procedimientos para la portabilidad de datos personales;
IV. Metadatos: Información en un formato estructurado y comúnmente utilizado que describe el contexto, calidad, condición o características de los datos personales;
V. Portabilidad de datos personales: Prerrogativa del titular a que se refiere el artículo 57 de la Ley General o los que correspondan en las legislaciones estatales en la materia;
VI. Responsable receptor: Cualquier autoridad, dependencia, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, tribunales administrativos, fideicomisos y fondos públicos y partidos políticos, del orden federal, estatal o municipal, que recibe directamente del responsable transmisor los datos personales, en un formato estructurado y comúnmente utilizado, a petición del titular;
VII. Responsable transmisor: Cualquier autoridad, dependencia, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, tribunales administrativos, fideicomisos y fondos públicos y partidos políticos, del orden federal, estatal o municipal, que comunica los datos personales, en un formato estructurado y comúnmente utilizado, a un responsable receptor a petición del titular;
VIII. Sistemas automatizados: Conjunto de recursos, software, hardware e infraestructura utilizada para el tratamiento de datos personales, y
IX. Transmisión: Toda comunicación de datos personales realizada entre el responsable transmisor y el responsable receptor, a partir de la portabilidad de datos personales. Tratándose de servicios de
cómputo en la nube, la comunicación de datos personales de un servicio o aplicación de un responsable a otro.
Ámbito de validez subjetivo
Artículo 3. Son sujetos obligados a cumplir con las disposiciones previstas en los presentes Lineamientos aquella autoridad, dependencia, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, tribunales administrativos, y fideicomisos y fondos públicos, del orden federal, estatal y municipal, y partidos políticos que cuente con sistemas que permitan generar formatos estructurados y comúnmente utilizados para la portabilidad de datos personales, en términos de lo dispuesto en el artículo 6 de los presentes Lineamientos.
Ámbito de validez objetivo
Artículo 4. Los presentes Lineamientos serán aplicables a la portabilidad de datos personales a que se refiere el artículo 57 de la Ley General o los que correspondan en las legislaciones estatales en la materia.
Lo anterior, sin perjuicio de aquella normatividad que tenga por objeto determinar las bases, principios y políticas para integrar servicios digitales en trámites y servicios públicos, así como para compartir y reutilizar plataformas y sistemas de información en posesión de los tres órdenes de gobierno.
Ámbito de validez territorial
Artículo 5. Los presentes Lineamientos serán aplicables en todo el territorio nacional.
Capítulo II
Del objeto y alcance de la portabilidad de los datos personales
Criterios para determinar un formato estructurado y comúnmente utilizado
Artículo 6. Para efectos de los presentes Lineamientos, se entenderá que un formato adquiere la calidad de estructurado y comúnmente utilizado, con independencia del sistema informático utilizado para su generación y reproducción, cuando se cumplan todos los siguientes supuestos:
I. Se trate de un formato electrónico accesible y legible por medios automatizados, de tal forma que éstos puedan identificar, reconocer, extraer, explotar o realizar cualquier otra operación con datos personales específicos;
II. El formato permita la reutilización y/o aprovechamiento de los datos personales, y
III. El formato sea interoperable con otros sistemas informáticos, de conformidad con lo dispuesto en el artículo 2, fracción I de los presentes Lineamientos.
Objeto de la portabilidad de los datos personales
Artículo 7. La portabilidad de datos personales tiene por objeto que el titular solicite:
I. Una copia de sus datos personales que hubiere facilitado directamente al responsable, en un formato estructurado y comúnmente utilizado, que le permita seguir utilizándolos y, en su caso, entregarlos a otro responsable para su reutilización y aprovechamiento en un nuevo tratamiento, sin que lo impida el responsable al que el titular hubiere facilitado los datos personales, y
II. La transmisión de sus datos personales a un responsable receptor, siempre y cuando sea técnicamente posible, el titular hubiere facilitado directamente sus datos personales al responsable transmisor y el tratamiento de éstos se base en su consentimiento o en la suscripción de un contrato.
Procedencia de la portabilidad de datos personales
Artículo 8. Para los efectos de los presentes Lineamientos, cuando los datos personales se encuentren en un formato estructurado y comúnmente utilizado procederá la portabilidad de los datos personales si se actualiza cada una de las siguientes condiciones:
I. El tratamiento se efectúe por medios automatizados o electrónicos y en un formato estructurado y comúnmente utilizado a que se refiere el artículo 6 de los presentes Lineamientos;
II. Los datos personales del titular se encuentren en posesión del responsable o sus encargados;
III. Los datos personales conciernan al titular, o bien, a personas físicas vinculadas a un fallecido que tengan un interés jurídico;
IV. El titular hubiere proporcionado directamente al responsable sus datos personales, de forma activa y consciente, lo cual incluye los datos personales obtenidos en el contexto del uso, la prestación de un servicio o la realización de un trámite, o bien, aquellos proporcionados por el titular a través de un dispositivo tecnológico, y
V. La portabilidad de los datos personales no afecte los derechos y libertades de terceros.
Además de las condiciones señaladas en las fracciones anteriores del presente artículo, cuando se trate de transmisiones de datos personales en un formato estructurado y comúnmente utilizado a que se refiere el artículo 7, fracción II de los presentes Lineamientos, la portabilidad de los datos personales será procedente cuando exista una relación jurídica entre el responsable receptor y el titular; se dé cumplimiento a una disposición legal, o bien, el titular pretenda ejercer algún derecho.
Información derivada, inferida, creada o generada por el responsable
Artículo 9. La portabilidad de los datos personales impone la obligación al responsable de procesar, filtrar, seleccionar, extraer y diferenciar los datos personales que son objeto de portabilidad de aquella que no queda comprendida por ésta.
Para efecto de lo señalado en el párrafo anterior del presente artículo, no será objeto de la portabilidad de datos personales la siguiente información:
I. Aquella inferida, derivada, creada, generada u obtenida a partir del análisis o el tratamiento efectuado por el responsable sobre los datos personales proporcionados directamente por el titular, como es el caso de los datos que hubieren sido sometidos a un proceso de personalización, recomendación, categorización, creación de perfiles u otros procesos similares o análogos;
II. Los pseudónimos salvo que éstos se encuentren claramente vinculados al titular y puedan identificarlo o lo hagan identificable cuando el responsable cuente con información adicional que permita su individualización e identificación, y
III. Los datos personales sujetos a un proceso de disociación, de tal manera que no puedan asociarse al titular ni permitir la identificación del mismo, salvo aquellos datos personales que por medio de un procedimiento posterior se puedan asociar de nuevo al titular.
Almacenamiento de datos personales
Artículo 10. La portabilidad de los datos personales no impone obligación alguna al responsable de almacenar, preservar, guardar, mantener o conservar todos los datos personales en su posesión en un formato estructurado y comúnmente utilizado, sólo para efecto de garantizar ésta.
Información al titular sobre el alcance de la portabilidad de datos personales
Artículo 11. En el aviso de privacidad integral a que se refiere el artículo 28 de la Ley General o los que correspondan en las legislaciones estatales en la materia, el responsable deberá informar al titular sobre la posibilidad que tiene de solicitar la portabilidad de sus datos personales y su alcance; los tipos o categorías de datos personales que técnicamente sean portables; el o los tipos de formatos estructurados y comúnmente utilizados disponibles para obtener o transmitir sus datos personales, así como los mecanismos, medios y procedimientos disponibles para que el titular pueda solicitar la portabilidad de sus datos personales.
Relación jurídica con el responsable
Artículo 12. La portabilidad de los datos personales no implica el cese o la conclusión de la relación jurídica con el responsable, por lo que el titular podrá seguir utilizando o beneficiándose del servicio o programa proporcionado por el responsable al que hubiere facilitado los datos personales.
Principios de protección de datos personales
Artículo 13. Los datos personales objeto de portabilidad deberán ser tratados conforme a los principios de licitud, lealtad, finalidad, consentimiento, calidad, proporcionalidad, información y responsabilidad, los deberes de seguridad y confidencialidad y demás obligaciones a que se refiere la Ley General o las legislaciones estatales de la materia.
Capítulo III
De las reglas específicas para el ejercicio de la portabilidad de datos personales
Marco general aplicable al ejercicio de la portabilidad de datos personales
Artículo 14. Para el ejercicio de la portabilidad de datos personales, el responsable deberá observar los requisitos, plazos, condiciones, términos y procedimientos establecidos en el Título Tercero, Capítulo II de la Ley General o los que correspondan en las legislaciones estatales en la materia y demás disposiciones que resulten aplicables en la materia, así como lo dispuesto en el presente Capítulo.
Solicitud para la portabilidad de datos personales
Artículo 15. Sin perjuicio de lo dispuesto en el artículo 52 de la Ley General o los que correspondan en las legislaciones estatales en la materia, en la solicitud de portabilidad de datos personales no podrán imponerse mayores requisitos que los siguientes:
I. La petición de solicitar una copia de sus datos personales en un formato estructurado y comúnmente utilizado, o bien, transmitir sus datos personales al responsable receptor;
II. La explicación general de la situación de emergencia en la que se encuentra el titular, a efecto de que los plazos de respuesta sobre la procedencia o improcedencia de su solicitud y, en su caso, para hacer efectiva la portabilidad de sus datos personales sean menores, en términos de lo dispuesto en los artículos 19 y 21 de los presentes Lineamientos, en su caso, y
III. La denominación del responsable receptor y el documento que acredite la relación jurídica entre el responsable y el titular; el cumplimiento de una disposición legal o el derecho que pretende ejercer, en caso de que el titular solicite la transmisión de sus datos personales a que se refiere el artículo 7, fracción II de los presentes Lineamientos.
Si el titular solicita al responsable una copia de sus datos personales en un formato estructurado y comúnmente utilizado podrá acompañar a su solicitud el medio de almacenamiento para la elaboración de la copia correspondiente.
En caso de que el titular no proporcione el medio de almacenamiento a que se refiere el párrafo anterior del presente artículo, el responsable deberá proporcionarlo con el costo razonable que esto implique.
Gratuidad
Artículo 16. En términos de lo dispuesto en el artículo 50 de la Ley General o los que correspondan en las legislaciones estatales en la materia, la portabilidad de datos personales deberá ser gratuita salvo el costo razonable del medio de almacenamiento a través del cual se entregue la copia de los datos personales en un formato estructurado y comúnmente utilizado al titular.
El costo del medio de almacenamiento a que se refiere el párrafo anterior del presente artículo, no resultará aplicable cuando el titular proporcione al responsable dicho medio conforme a lo dispuesto en los artículos 15 y 20 de los presentes Lineamientos.
Interpretación amplia de la portabilidad de datos personales
Artículo 17. En el análisis de la procedencia de la portabilidad de datos personales, el responsable deberá privilegiar la interpretación más amplia sobre los datos personales que conciernen al titular, salvo que se
actualice alguno de los supuestos previstos en el artículo 9 de los presentes Lineamientos.
Metadatos
Artículo 18. El responsable deberá entregar al titular o transmitir al responsable receptor, en la medida de lo posible, el mayor número de metadatos que se hubieren generado y obtenido a partir del tratamiento de los datos personales proporcionados directamente por el titular.
Respuesta del responsable y plazo para emitirla en situación de emergencia
Artículo 19. En caso de que exista una situación de emergencia en la cual el titular requiera una copia de sus datos personales en un formato estructurado o comúnmente utilizado, o bien, la transmisión de los mismos, el plazo a que se refiere el artículo 51, párrafo primero de la Ley General o los que correspondan en las legislaciones estatales en la materia no deberá exceder de diez días contados a partir del día siguiente de la recepción de la solicitud, sin ampliación del mismo.
Presentación o costo del medio de almacenamiento
Artículo 20. En caso de que la respuesta a la solicitud de portabilidad de datos personales del titular resulte procedente y éste no hubiere proporcionado el medio de almacenamiento para la copia de sus datos personales en un formato estructurado y comúnmente utilizado, al momento de presentar su solicitud de portabilidad de datos personales conforme a lo dispuesto en el artículo 15 de los presentes Lineamientos, el responsable deberá señalar en la respuesta lo siguiente:
I. El plazo que tiene el titular para que pueda presentar el medio de almacenamiento para la elaboración de la copia de sus datos personales en un formato estructurado y comúnmente utilizado, el cual no podrá exceder de tres días contados a partir del día siguiente en que se hubiere notificado la respuesta al titular, o
II. El costo del medio de almacenamiento para la elaboración de la copia de los datos personales en un formato estructurado y comúnmente utilizado que, en su caso, corresponda, siempre y cuando no lo proporcione.
Tratándose de la fracción II del presente artículo, el titular tendrá un plazo no menor a tres días para realizar el pago correspondiente contado a partir del día siguiente de que le sea notificada la respuesta a que se refiere el artículo 51, párrafo primero de la Ley General o los que correspondan en las legislaciones estatales en la materia.
Una vez que el titular o, en su caso, su representante realice el pago deberá remitir copia del recibo correspondiente, con la identificación del número de folio de la solicitud de portabilidad de datos personales que corresponda, a más tardar al día siguiente de realizarse el pago y a través del medio que señaló para oír y recibir notificaciones, o bien, presentando personalmente una copia ante la Unidad de Transparencia del responsable.
El responsable deberá señalar en su respuesta el derecho que le asiste al titular para interponer un recurso de revisión ante el Instituto o los organismos garantes conforme a lo dispuesto en la Ley General o las legislaciones estatales en la materia, en caso de que tenga alguna inconformidad por la respuesta recibida.
Plazo para hacer efectiva la portabilidad de datos personales en situación de emergencia
Artículo 21. En caso de que exista una situación de emergencia en la cual el titular requiera una copia de sus datos personales en un formato estructurado o comúnmente utilizado, o bien, la transmisión de los mismos, el plazo a que se refiere el artículo 51, último párrafo de la Ley General o los que correspondan en las legislaciones estatales en la materia no deberá exceder de siete días.
Efectividad de la portabilidad de los datos personales
Artículo 22. La portabilidad de datos personales se hará efectiva cuando:
I. El titular o, en su caso, su representante reciba copia de sus datos personales en un formato estructurado y comúnmente utilizado, que le permita seguir utilizándolos, previo pago del costo del medio de almacenamiento que en su caso corresponda, o
II. El titular, o en su caso, su representante hubiere sido notificado que el responsable transmisor ante el cual ejerció la portabilidad de sus datos personales transmitió éstos al responsable receptor conforme a sus instrucciones.
En caso de que el titular no recoja la copia de sus datos personales en un formato estructurado y comúnmente utilizado, la Unidad de Transparencia del responsable deberá tener a disposición del titular o, en su caso, de su representante la copia durante un plazo máximo de sesenta días, contados a partir del día siguiente en que se hubiere notificado la respuesta de procedencia al titular o, en su caso, a su representante.
Transcurrido el plazo a que se refiere el párrafo anterior, el responsable deberá dar por concluida la atención a la solicitud de portabilidad de datos personales y proceder al borrado seguro de los datos personales portables, a través de la aplicación de políticas, métodos y técnicas orientadas a la supresión definitiva de éste, de tal manera que la probabilidad de recuperar o reutilizar los datos personales sea mínima.
Lo anterior, dejando a salvo el derecho que le asiste al titular de presentar una nueva solicitud de portabilidad de datos personales ante el mismo responsable.
Improcedencia de la portabilidad de datos personales
Artículo 23. Conforme a lo dispuesto en el artículo 55 de la Ley General o los que correspondan en las legislaciones estatales en la materia, el responsable podrá negar la portabilidad de datos personales cuando se trate de información a que se refiere el artículo 9 de los presentes Lineamientos.
Medios de impugnación ante una vulneración de la portabilidad de datos personales
Artículo 24. El titular, su representante o quien acredite tener interés jurídico o legítimo respecto de datos personales de fallecidos podrán interponer un recurso de revisión ante el Instituto o los organismos garantes contra la respuesta o falta de ésta a una solicitud para la portabilidad de datos personales, conforme a los requisitos, plazos, condiciones, términos y procedimientos establecidos en el Título Noveno, Capítulos I, II y III de la Ley General o los que correspondan en las legislaciones estatales en la materia.
Capítulo IV
De las normas técnicas y procedimientos para la transmisión de datos personales
Normas técnicas para la portabilidad de datos personales
Artículo 25. Para la portabilidad de datos personales, el responsable deberá considerar, al menos, las siguientes normas técnicas:
I. Implementar mecanismos, medios y procedimientos idóneos que permitan al titular obtener sus datos personales, sea de manera personal, por vía electrónica, a través de opciones de descarga establecidas en sus páginas oficiales de Internet, o por cualquier otra tecnología que considere pertinente;
II. Informar al titular sobre el o los tipos de formatos estructurados y comúnmente utilizados disponibles, a través de los cuales podrá entregar o transmitir los datos personales al responsable receptor, en función de la naturaleza de los datos personales y la viabilidad para ser objeto de portabilidad conforme a los requisitos establecidos en los presentes Lineamientos. Cuando sea técnicamente posible, el titular tendrá la opción de elegir el formato en el que desea se le entreguen los datos personales o sean transmitidos al responsable receptor;
III. Garantizar, siempre y cuando sea técnicamente posible, la interoperabilidad del formato estructurado y comúnmente utilizado en el que se entreguen los datos personales al titular o los transmita a otros sistemas y bases de datos en posesión del responsable receptor, con la finalidad de que los datos
personales puedan ser comunicados y reutilizados de manera uniforme y eficiente, y
IV. Procurar que los servicios y sistemas electrónicos en su posesión mantengan la capacidad de interoperar con otros sistemas, como una cualidad integral desde su diseño y a lo largo de su ciclo de vida, adoptando protocolos y estándares que permitan el intercambio de datos personales entre diversos sistemas o plataformas tecnológicas, con independencia del lenguaje de programación o plataforma en la que fueron desarrollados.
Condiciones técnicas para la transmisión de datos personales
Artículo 26. Previo a la transmisión de datos personales en un formato estructurado y comúnmente utilizado, a que se refiere el artículo 7, fracción II de los presentes Lineamientos, se deberán observar las siguientes condiciones técnicas:
I. El responsable transmisor y el responsable receptor deberán adoptar protocolos, herramientas, aplicaciones o servicios que permitan el enlace y comunicación eficiente de los datos personales en un formato estructurado y comúnmente utilizado;
II. El responsable transmisor y el responsable receptor deberán establecer medidas de seguridad de carácter administrativo, físico y técnico para la transmisión de los datos personales en un formato estructurado y comúnmente utilizado como son, de manera enunciativa mas no limitativa, mecanismos de autenticación de usuarios, conexiones seguras, o bien, utilizar medios electrónicos de transmisión cifrados;
III. El responsable transmisor y el responsable receptor deberán establecer mecanismos de autenticación para el envío y recepción de los datos personales en un formato estructurado y comúnmente utilizado, los cuales deberán ser de uso exclusivo de éstas;
IV. El responsable transmisor y el responsable receptor deberán establecer controles que les permitan obtener evidencia sobre el envío, recepción e integridad de los datos personales transmitidos, en un formato estructurado y comúnmente utilizado, y
V. Los sistemas o plataformas electrónicas utilizadas para el envío y recepción de los datos personales en un formato estructurado y comúnmente utilizado, deberán llevar un registro de todas las acciones u operaciones realizadas con las transmisiones de éstos como son, de manera enunciativa mas no limitativa, la persona que está autorizada para transmitir los datos personales; la fecha y hora en que se efectuó la transmisión; la fecha y hora en que se recibieron los datos personales en el sistema o plataforma electrónica; la persona autorizada para recibir los datos personales; si la transmisión fue exitosa o fallida y cualquier otra información que se genere con la misma.
Procedimiento para la transmisión de datos personales
Artículo 27. Una vez cumplidas las condiciones técnicas señaladas en el artículo anterior de los presentes Lineamientos, en la transmisión de datos personales en un formato estructurado y comúnmente utilizado se deberá observar el siguiente procedimiento:
I. La Unidad de Transparencia del responsable transmisor deberá dar respuesta al titular sobre la procedencia jurídica y técnica de la transmisión de sus datos personales en el plazo previsto en el artículo 51, párrafo primero de la Ley General o los que corresponda en las legislaciones estatales en la materia, salvo que el titular se encuentre en una situación de emergencia;
II. El responsable transmisor deberá transmitir los datos personales, en un formato estructurado y comúnmente utilizado, al responsable receptor dentro del plazo a que se refiere el artículo 51, último párrafo de la Ley General o los que correspondan en las legislaciones estatales en la materia, salvo que el titular se encuentre en una situación de emergencia;
III. El responsable transmisor deberá enviar los datos personales, en un formato estructurado y comúnmente utilizado, al responsable receptor, previa acreditación de la identidad del titular y, en su caso, la identidad y personalidad de su representante;
IV. El responsable transmisor deberá cifrar los datos personales, en un formato estructurado y comúnmente utilizado, durante su envío al sistema o plataforma electrónica del responsable receptor;
V. El responsable transmisor y el responsable receptor deberán autorizar a una persona que se encargue de vigilar que en la transmisión de los datos personales se observen las condiciones, normas, procedimientos y obligaciones técnicas previstas en los presentes Lineamientos en todo aquello que resulte aplicable;
VI. La Unidad de Transparencia del responsable transmisor y la Unidad de Transparencia del responsable receptor coadyuvarán, en el ámbito de sus respectivas competencias, con la persona a que se refiere la fracción anterior del presente artículo para vigilar el cumplimiento de los presentes Lineamientos en la transmisión de los datos personales;
VII. La Unidad de Transparencia del responsable receptor deberá notificar a la Unidad de Transparencia del responsable transmisor y al titular la recepción de los datos personales, en un formato estructurado y comúnmente utilizado, a más tardar al día siguiente de la recepción de éstos, y
VIII. Las Unidades de Transparencia del responsable transmisor y del responsable receptor deberán coordinar la atención de las solicitudes de portabilidad de datos personales, sin que ello implique realizar o intervenir en el desarrollo de actividades de índole técnico propias de las unidades administrativas competentes.
Transitorios
Primero. Los presentes Lineamientos entrarán en vigor a los ciento ochenta días contados a partir del día siguiente de su publicación en el Diario Oficial de la Federación.
Segundo. Las Comisiones de Protección de Datos Personales y de Tecnologías de la Información y Plataforma Nacional de Transparencia del Sistema Nacional de Transparencia deberán elaborar una ruta crítica para el cumplimiento de los presentes lineamientos respecto de las implicaciones que tendría su entrada en vigor, a partir de los procesos, flujos, plazos y formatos que establezcan las Comisiones unidas antes mencionadas.
Tercero. El Sistema Nacional de Transparencia podrá constituir grupos de trabajo interdisciplinarios que tengan por objeto analizar, definir y proponer la adopción de estructuras mínimas de datos personales y estándares mínimos de seguridad y de comunicación e interoperabilidad de sistemas aplicables a sectores específicos, así como mejores prácticas que coadyuven al cumplimiento de los presentes Lineamientos.
___________________________
En el documento que usted está visualizando puede haber texto, caracteres u objetos que no se muestren correctamente debido a la conversión a formato HTML, por lo que le recomendamos tomar siempre como referencia la imagen digitalizada del DOF o el archivo PDF de la edición.
|