La Vida Es Una Tombola

Miércoles 21 de diciembre de 2011 DIARIO OFICIAL (Tercera Sección)

TERCERA SECCION

PODER EJECUTIVO

SECRETARIA DE ECONOMIA

REGLAMENTO de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Presidencia de la

República.

FELIPE DE JESÚS CALDERÓN HINOJOSA, Presidente de los Estados Unidos Mexicanos, en ejercicio

de la facultad que me confiere el artículo 89, fracción I de la Constitución Política de los Estados Unidos

Mexicanos, con fundamento en los artículos 34 de la Ley Orgánica de la Administración Pública Federal y 3,

fracción X, 18, último párrafo, 45, último párrafo, 46, segundo párrafo, 54, último párrafo, 60, último párrafo y

62, último párrafo de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, he

tenido a bien expedir el siguiente

REGLAMENTO DE LA LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE

LOS PARTICULARES

Capítulo I

Disposiciones Generales

Objeto

Artículo 1. El presente ordenamiento tiene por objeto reglamentar las disposiciones de la Ley Federal de

Protección de Datos Personales en Posesión de los Particulares.

Definiciones

Artículo 2. Además de las definiciones establecidas en el artículo 3 de la Ley Federal de Protección de

Datos Personales en Posesión de los Particulares, para los efectos del presente Reglamento se entenderá

por:

I. Dependencias: Las señaladas en el artículo 26 de la Ley Orgánica de la Administración Pública Federal;

II. Derechos ARCO: Son los derechos de acceso, rectificación, cancelación y oposición;

III. Entorno digital: Es el ámbito conformado por la conjunción de hardware, software, redes, aplicaciones,

servicios o cualquier otra tecnología de la sociedad de la información que permiten el intercambio o

procesamiento informatizado o digitalizado de datos;

IV. Listado de exclusión: Base de datos que tiene por objeto registrar de manera gratuita la negativa del

titular al tratamiento de sus datos personales;

V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión,

soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la

información, así como la concienciación, formación y capacitación del personal, en materia de protección de

datos personales;

VI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la

tecnología, destinados para:

a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la

organización, equipo e información;

b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones;

c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure

su disponibilidad, funcionalidad e integridad, y

d) Garantizar la eliminación de datos de forma segura;

VII. Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado

medible, que se valen de la tecnología para asegurar que:

a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios

identificados y autorizados;

b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades

que requiere con motivo de sus funciones;

(Tercera Sección) DIARIO OFICIAL Miércoles 21 de diciembre de 2011

c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y

d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen

en el tratamiento de datos personales;

VIII. Persona física identificable: Toda persona física cuya identidad pueda determinarse, directa o

indirectamente, mediante cualquier información. No se considera persona física identificable cuando para

lograr la identidad de ésta se requieran plazos o actividades desproporcionadas;

IX. Remisión: La comunicación de datos personales entre el responsable y el encargado, dentro o fuera

del territorio mexicano;

X. Soporte electrónico: Medio de almacenamiento al que se pueda acceder sólo mediante el uso de algún

aparato con circuitos electrónicos que procese su contenido para examinar, modificar o almacenar los datos

personales, incluidos los microfilms;

XI. Soporte físico: Medio de almacenamiento inteligible a simple vista, es decir, que no requiere de ningún

aparato que procese su contenido para examinar, modificar o almacenar los datos personales, y

XII. Supresión: Actividad consistente en eliminar, borrar o destruir el o los datos personales, una vez

concluido el periodo de bloqueo, bajo las medidas de seguridad previamente establecidas por el responsable.

Ámbito objetivo de aplicación

Artículo 3. El presente Reglamento será de aplicación al tratamiento de datos personales que obren en

soportes físicos o electrónicos, que hagan posible el acceso a los datos personales con arreglo a criterios

determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento,

almacenamiento y organización.

No se aplicarán las disposiciones del presente Reglamento cuando para acceder a los datos personales,

se requieran plazos o actividades desproporcionadas.

En términos del artículo 3, fracción V de la Ley, los datos personales podrán estar expresados en forma

numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a una persona física

identificada o persona física identificable.

Ámbito territorial de aplicación

Artículo 4. El presente Reglamento será de aplicación obligatoria a todo tratamiento cuando:

I. Sea efectuado en un establecimiento del responsable ubicado en territorio mexicano;

II. Sea efectuado por un encargado con independencia de su ubicación, a nombre de un responsable

establecido en territorio mexicano;

III. El responsable no esté establecido en territorio mexicano pero le resulte aplicable la legislación

mexicana, derivado de la celebración de un contrato o en términos del derecho internacional, y

IV. El responsable no esté establecido en territorio mexicano y utilice medios situados en dicho territorio,

salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento. Para

efectos de esta fracción, el responsable deberá proveer los medios que resulten necesarios para el efectivo

cumplimiento de las obligaciones que impone la Ley, su Reglamento y demás disposiciones aplicables,

derivado del tratamiento de datos personales. Para ello, podrá designar un representante o implementar el

mecanismo que considere pertinente, siempre que a través del mismo se garantice que el responsable estará

en posibilidades de cumplir de manera efectiva, en territorio mexicano, con las obligaciones que la normativa

aplicable imponen a aquellas personas físicas o morales que tratan datos personales en México.

Cuando el responsable no se encuentre ubicado en territorio mexicano, pero el encargado lo esté, a este

último le serán aplicables las disposiciones relativas a las medidas de seguridad contenidas en el Capítulo III

del presente Reglamento.

En el caso de personas físicas, el establecimiento se entenderá como el local en donde se encuentre el

principal asiento de sus negocios o el que utilicen para el desempeño de sus actividades o su casa habitación.

Tratándose de personas morales, el establecimiento se entenderá como el local en donde se encuentre la

administración principal del negocio; si se trata de personas morales residentes en el extranjero, el local en

donde se encuentre la administración principal del negocio en territorio mexicano, o en su defecto el que

designen, o cualquier instalación estable que permita el ejercicio efectivo o real de una actividad.

Miércoles 21 de diciembre de 2011 DIARIO OFICIAL (Tercera Sección)

Información de personas físicas con actividad comercial y datos de representación y contacto

Artículo 5. Las disposiciones del presente Reglamento no serán aplicables a la información siguiente:

I. La relativa a personas morales;

II. Aquélla que refiera a personas físicas en su calidad de comerciantes y profesionistas, y

III. La de personas físicas que presten sus servicios para alguna persona moral o persona física con

actividades empresariales y/o prestación de servicios, consistente únicamente en su nombre y apellidos, las

funciones o puestos desempeñados, así como algunos de los siguientes datos laborales: domicilio físico,

dirección electrónica, teléfono y número de fax; siempre que esta información sea tratada para fines de

representación del empleador o contratista.

Tratamiento derivado de una relación jurídica

Artículo 6. Cuando el tratamiento tenga como propósito cumplir con una obligación

...