TRANSPARENCIA Y RENDICIÓN DE CUENTAS

UNIDAD 3

INSTITUTO TECNOLOGICO DE CHILPANCINGO.

CARRERA: Contador Público.

Transparencia y acceso a la información pública.

UNIDAD III.

Privacidad y Protección de Datos.

DOCENTE.

Leyva Alarcón Paula.

INTEGRANTES DEL EQUIPO:

ALARCON SERRANO EVA SARAHI
CARBAJAL GONZALEZ DIANA LAURA
CASTILLO RADILLA XOCHIL CITLALI
DIAZ NAVARRETE MARCO ANTONIO
LEONIDES SERAFIN POLO GIOVANNI

3.3 DERECHOS DE LOS TITULARES DE DATOS PERSONALES.

Artículo60.

El titular de los datos personales tiene derecho de manera gratuita a lo siguiente:

I. Acceder a su propia información que obre en poder de los sujetos obligados, así como identificar al destinatario de la información cuando ésta haya sido entregada por la Coordinación, así como la motivación y fundamentación legal que sustente el acuerdo respectivo;

II. Rectificar, actualizar y complementar la información que respecto a su persona esté contenida en bancos de datos, registros y archivos de la Universidad;

III. Cancelar dicha información cuando sea incorrecta o no se justifique la razón de su registro y conservación, previo bloqueo; y

IV. Oponerse a la conservación o tratamiento de los mismos cuando éstos se hayan obtenido sin su autorización.

El tratamiento de los datos personales se refiere a cualquier operación que se realice con tus datos, desde su obtención, uso, divulgación, almacenamiento y hasta su cancelación o supresión.

Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos automatizados, informáticos, manuales, mecánicos, digitales o electrónicos, aplicados a los sistemas de datos personales, relacionados con la obtención, registro, organización, conservación, elaboración, utilización, cesión, difusión, cotejo o interconexión o cualquier otra forma que permita obtener información de los mismos y facilite al interesado el acceso, rectificación, cancelación y oposición de sus datos, así como su bloqueo, supresión o destrucción.

Sistema de Datos Personales: Todo conjunto organizado de archivos, registros, ficheros, bases o banco de datos personales de los entes públicos, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso.

Bibliografía.

http://www.uv.mx/transparencia/preguntas/obtencion-personales/

3.5 PROCEDIMIENTO DE PROTECCIÓN DE DERECHOS.

Artículo 45.- El procedimiento se iniciará a instancia del titular de los datos o de su representante legal, expresando con claridad el contenido de su reclamación y de los preceptos de esta Ley que se consideran vulnerados. La solicitud de protección de datos deberá presentarse ante el Instituto dentro de los quince días siguientes a la fecha en que se comunique la respuesta al titular por parte del responsable.

En el caso de que el titular de los datos no reciba respuesta por parte del responsable, la solicitud de protección de datos podrá ser presentada a partir de que haya vencido el plazo de respuesta previsto para el responsable. En este caso, bastará que el titular de los datos acompañe a su solicitud de protección de datos el documento que pruebe la fecha en que presentó la solicitud de acceso, rectificación, cancelación u oposición.

La solicitud de protección de datos también procederá en los mismos términos cuando el responsable no entregue al titular los datos personales solicitados; o lo haga en un formato incomprensible, se niegue a efectuar modificaciones o correcciones a los datos personales, el titular no esté conforme con la información entregada por considerar que es incompleta o no corresponda a la información requerida.

Recibida la solicitud de protección de datos ante el Instituto, se dará traslado de la misma al responsable, para que, en el plazo de quince días, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que a su derecho convenga.

El Instituto admitirá las pruebas que estime pertinentes y procederá a su desahogo. Asimismo, podrá solicitar del responsable las demás pruebas que estime necesarias. Concluido el desahogo de las pruebas, el Instituto notificará al responsable el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco días siguientes a su notificación.

Para el debido desahogo del procedimiento, el Instituto resolverá sobre la solicitud de protección de datos formulada, una vez analizadas las pruebas y demás elementos de convicción que estime pertinentes, como pueden serlo aquéllos que deriven de la o las audiencias que se celebren con las partes.

El Reglamento de la Ley establecerá la forma, términos y plazos conforme a los que se desarrollará el procedimiento de protección de derechos.

Artículo 46.- La solicitud de protección de datos podrá interponerse por escrito libre o a través de los formatos, del sistema electrónico que al efecto proporcione el Instituto y deberá contener la siguiente información:

I. El nombre del titular o, en su caso, el de su representante legal, así como del tercero interesado, si lo hay;

II. El nombre del responsable ante el cual se presentó la solicitud de acceso, rectificación, cancelación u oposición de datos personales;

III. El domicilio para oír y recibir notificaciones;

IV. La fecha en que se le dio a conocer la respuesta del responsable, salvo que el procedimiento inicie con base en lo previsto en el artículo 50;

V. Los actos que motivan su solicitud de protección de datos, y

VI. Los demás elementos que se considere procedente hacer del conocimiento del Instituto.

La forma y términos en que deba acreditarse la identidad del titular o bien, la representación legal se establecerán en el Reglamento.

Asimismo, a la solicitud de protección de datos deberá acompañarse la solicitud y la respuesta que se recurre o, en su caso, los datos que permitan su identificación. En el caso de falta de respuesta sólo será necesario presentar la solicitud.

En el caso de que la solicitud de protección de datos se interponga a través de medios que no sean electrónicos, deberá acompañarse de las copias de traslado suficientes.

Artículo 50.- El Instituto suplirá las deficiencias de la queja en los casos que así se requiera, siempre y cuando no altere el contenido original de la solicitud de acceso, rectificación, cancelación u oposición de datos personales, ni se modifiquen los hechos o peticiones expuestos en la misma o en la solicitud de protección de datos.

Artículo 51.- Las resoluciones del Instituto podrán:

I. Sobreseer o desechar la solicitud de protección de datos por improcedente, o

II. Confirmar, revocar o modificar la respuesta del responsable.

Artículo 52.- La solicitud de protección de datos será desechada por improcedente cuando:

I. El Instituto no sea competente;

II. El Instituto haya conocido anteriormente de la solicitud de protección de datos contra el mismo acto y resuelto en definitiva respecto del mismo recurrente;

III. Se esté tramitando ante los tribunales competentes algún recurso o medio de defensa interpuesto por el titular que pueda tener por efecto modificar o revocar el acto respectivo;

IV. Se trate de una solicitud de protección de datos ofensiva o irracional, o

V. Sea extemporánea.

Artículo 53.- La solicitud de protección de datos será sobreseída cuando:

I. El titular fallezca;

II. El titular se desista de manera expresa;

III. Admitida la solicitud de protección de datos, sobrevenga una causal de improcedencia, y

IV. Por cualquier motivo quede sin materia la misma.

BIBLIOGRAFIA.

http://dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010

3.6 INFRACCIONES Y SANCIONES.

Artículo 61.- Si con motivo del desahogo del procedimiento de protección de derechos o del procedimiento de verificación que realice el Instituto, éste tuviera conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de esta Ley, iniciará el procedimiento a que se refiere este Capítulo, a efecto de determinar la sanción que corresponda.

Artículo 62.- El procedimiento de imposición de sanciones dará comienzo con la notificación que efectúe el Instituto al presunto infractor, sobre los hechos que motivaron el inicio del procedimiento y le otorgará un término de quince días para que rinda pruebas y manifieste por escrito lo que a su derecho convenga. En caso de no rendirlas, el Instituto resolverá conforme a los elementos de convicción de que disponga.

Artículo 63.- Constituyen infracciones a esta Ley, las siguientes conductas llevadas a cabo por el responsable:

I. No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales, sin razón fundada, en los términos previstos en esta Ley;

II. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, cancelación u oposición de datos personales;

III. Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del responsable;

IV. Dar tratamiento a los datos personales en contravención a los principios establecidos en la presente Ley;

V. Omitir en el aviso de privacidad, alguno o todos los elementos a que se refiere el artículo 16 de esta Ley;

VI. Mantener datos personales inexactos cuando resulte imputable al responsable, o no efectuar las rectificaciones o cancelaciones de los mismos que legalmente procedan cuando resulten afectados los derechos de los titulares;

VII. No cumplir con el apercibimiento a que se refiere la fracción I del artículo 64;

VIII. Incumplir el deber de confidencialidad establecido en el artículo 21 de esta Ley;

IX. Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin observar lo dispuesto por el artículo 12;

X. Transferir datos a terceros sin comunicar a éstos el aviso de privacidad que contiene las limitaciones a que el titular sujetó la divulgación de los mismos;

XI. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable;

XII. Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por la Ley;

XIII. Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que éste sea exigible;

XIV. Obstruir los actos de verificación de la autoridad;

XV. Recabar datos en forma engañosa y fraudulenta;

XVI. Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el Instituto o los titulares;

XVII. Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos de acceso, rectificación, cancelación y oposición establecidos en el artículo 16 de la Constitución Política de los Estados Unidos Mexicanos;

XVIII. Crear bases de datos en contravención a lo dispuesto por el artículo 9, segundo párrafo de esta Ley, y

XIX. Cualquier incumplimiento del responsable a las obligaciones establecidas a su cargo en términos de lo previsto en la presente Ley.

Artículo 64.- Las infracciones a la presente Ley serán sancionadas por el Instituto con:

I. El apercibimiento para que el responsable lleve a cabo los actos solicitados por el titular, en los términos previstos por esta Ley, tratándose de los supuestos previstos en la fracción I del artículo anterior;

II. Multa de 100 a 160,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones II a VII del artículo anterior;

III. Multa de 200 a 320,000 días de salario mínimo vigente en el Distrito Federal, en los casos previstos en las fracciones VIII a XVIII del artículo anterior, y

IV. En caso de que de manera reiterada persistan las infracciones citadas en los incisos anteriores, se impondrá una multa adicional que irá de 100 a 320,000 días de salario mínimo vigente en el Distrito Federal. En tratándose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podrán incrementarse hasta por dos veces, los montos establecidos.

Artículo 65.- El Instituto fundará y motivará sus resoluciones, considerando:

I. La naturaleza del dato;

II. La notoria improcedencia de la negativa del responsable, para realizar los actos solicitados por el titular, en términos de esta Ley;

III. El carácter intencional o no, de la acción u omisión constitutiva de la infracción;

IV. La capacidad económica del responsable, y

V. La reincidencia.

Artículo 67.- Se impondrán de tres meses a tres años de prisión al que estando autorizado para tratar datos personales, con ánimo de lucro, provoque una vulneración de seguridad a las bases de datos bajo su custodia.

Artículo 68.- Se sancionará con prisión de seis meses a cinco años al que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engaño, aprovechándose del error en que se encuentre el titular o la persona autorizada para transmitirlos.

BIBLIGRAFIA.

http://dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010

3.7 CONTRATO D PRIVACIDAD Y PROTECCION DE DATOS.

El Aviso de Privacidad es el primer paso para cumplir con las obligaciones exigidas por le Ley.

El Aviso de Privacidad es un documento generado por la persona física (profesionista, médico, consultor, etc) o moral (empresa o negocio de carácter privado) responsable de la recopilación y tratamiento adecuado de datos personales y debe ser puesto a disposición del titular de los datos (Ej. Pedro Ramírez).

El Aviso de Privacidad puede ser:

Físico (Ej. Escrito en papel)
Electrónico (Ej. colocado en la Página o sitio web)
Sonoro (Ej. Grabación telefónica)

El Aviso de Privacidad debe ser sencillo, de fácil comprensión y debe incluir información clara y específica sobre los siguientes aspectos:

Quién recopila los datos
Qué datos recopila (sensibles o no);
Con qué finalidad los recopila;
Cómo limitar su uso o divulgación;
Cómo revocar su uso;
Cuál es el procedimiento que tiene el titular para ejercer sus derechos de acceso, rectificación, corrección y oposición (mejor conocidos como Derechos ARCO):
La forma en la que se comunican cambios al Aviso de Privacidad; y
La aceptación o negativa para autorizar la transferencia de datos a terceros.

Ley Federal de Protección de Datos Personales en Posesión de Particulares

En el mes de julio de 2010 se publicó en el Diario Oficial de la Federación la Ley Federal de Protección de Datos Personales en Posesión de Particulares. Este tipo de ley no es nueva en el mundo, pues tanto en Europa como en Estados Unidos existen leyes parecidas a la nuestra desde hace varios años.

El objetivo de la ley es proteger los datos personales en posesión de las empresas, así como regular que dichos datos sean usados únicamente para la finalidad que fueron entregados, que se tenga un control de quién y para qué los tiene y que el titular o dueño de los datos siempre esté informado del trato de dichos datos, buscando con lo anterior garantizar la privacidad y el derecho a la autodeterminación informativa de los individuos.

La ley define a los datos personales como cualquier información que haga a una persona identificada o identificable, y a su vez menciona que, son datos personales sensibles aquellos datos que afecten a la esfera más íntima de su titular, como podrían ser estado de salud, preferencias religiosas o sexuales.

La ley les otorga a los titulares de datos personales, léase que esta ley no sólo aplica a los mexicanos, sino a cualquier persona que entregue datos personales, cuatro derechos fáciles de recordar, pero que serán un dolor de cabeza para las empresas. Dichos derechos son:

(1) acceso a sus datos;

(2) rectificación de datos erróneos o incompletos, así como la responsabilidad de que las empresas notifiquen a sus terceros dichas rectificaciones;

(3) Cancelación de los datos, que puede involucrar el que sean bloqueados por un periodo o su total borrado, y

(4) Oposición, por la cual, el titular puede solicitar la exclusión de los datos de cualquier tipo de tratamiento.

Uno de los temas más importantes de la ley es el reparto de responsabilidades. Ahora, la autoridad responsable tiene el poder de realizar verificaciones de oficio o a petición de parte, poner penas de hasta 10 años de prisión o multas de hasta 76 millones de pesos, y por último, publicar los resultados y resoluciones de forma pública, lo que implica un riesgo de reputación, altísimo.

¿QUÉ DEBEMOS HACER?

Como titulares de datos personales, debemos exigir a los responsables del tratamiento de nuestros datos personales, que antes de julio de este año, nos hagan llegar nuestro aviso de privacidad y así poder leerlo a conciencia. Tenemos derecho a que nos expliquen detalladamente aquello que no nos quede claro.
Como empleados de una empresa responsable de protección de datos personales, es necesario estar conscientes de nuestra responsabilidad en la protección de los datos de mi empleador, ya que la inobservancia de esto podría significarle a una persona hasta 10 años de cárcel (Artículo 67,68 y 69). Por otro lado, es imperativo exigir a nuestro empleador que nos comunique el tratamiento de nuestros datos personales (aviso de privacidad) a la mayor brevedad.
Las empresas responsables de protección de datos Requieren tomar en cuenta que estamos a menos de tres meses para que todos los obligados por la ley entreguen a los titulares sus avisos de privacidad y designen al responsable de protección de datos. La mayoría de los responsables no han enviado, publicado o presentado sus avisos de privacidad. En general, existe un desconocimiento al respecto, en algunos casos no saben que lo tienen que hacer, en otros no están al tanto de qué datos personales tienen de los titulares (sus clientes) y, en el peor de los escenarios, creen que sus áreas legales lo pueden hacer en unas semanas antes de la fecha límite (5 de julio del 2011).

Es necesario comprender que no todo el mundo necesita proteger los datos de la misma manera; es imposible pedir el mismo nivel de seguridad a los pequeños comercios que manejan pocos o ningún dato personal, comparado con las grandes compañías internacionales que utilizan millones de datos personales de los clientes.

La visión de los riesgos financieros, operativos o tecnológicos se ha centrado en establecer calificaciones subjetivas para los diferentes factores que influyen en dichos riesgos. Las valoraciones son subjetivas, hay una tendencia para atribuir valores a los riesgos que no reflejan completamente la realidad, atribuyéndose comúnmente esta tarea a la experiencia previa del consultor o de la empresa que lo realiza.

¿Cuál es la solución? Hay que administrar los riesgos relacionados con los datos personales en tres niveles:

Riesgo Accidental: Históricamente, las áreas de TI entienden muy bien este riesgo y elaboran sus planes de recuperación ante desastres, o bien la empresa crea sus procedimientos de continuidad de negocio. Para el tratamiento de este riesgo debemos medir el mejor esfuerzo, donde únicamente una fuente de poder, puerto, enlace o servidor funcione adecuadamente para mitigar este riesgo. La forma en que solventamos los riesgos accidentales es aplicando controles de disponibilidad de los datos y la información.
Riesgo oportunista: La mayor parte de los datos personales está amenazada por este tipo de riesgo; aquí tenemos que aumentar la altura y grosor de nuestras "paredes", ya sean internas o externas. Una analogía de esta propuesta es la siguiente: hay dos automóviles iguales en diferentes situaciones; el primero tiene alarma, bastón para el volante, las ventanillas cerradas y se encuentra en un estacionamiento que cuenta con seguridad y video-grabación continua; el segundo está estacionado en una calle sin luz y con las ventanillas mal cerradas. Si un ladrón roba cualquiera de los dos vehículos, obtiene el mismo beneficio económico, pero si roba el segundo su oportunidad de hacerlo requiere un esfuerzo menor y su riesgo está atenuado por el entorno. El riesgo oportunista es mitigado colocando “la reja más alta de la calle”, es decir, no requerimos tener los controles más estrictos, sino únicamente mejores controles que los que tiene nuestra competencia, el estándar o la industria. “No hay que correr más rápido que el dragón, únicamente, más rápido que el hobbit”. Este riesgo se minimiza implementando la mayor cantidad de controles (entre más mejor) y manteniendo buenas prácticas.
Riesgo intencional: Este riesgo es atendido mediante controles de privacidad y de integridad. Cualquier error en un control podría significar la pérdida de datos.
Si no entendemos esta categoría diferente, no podemos evolucionar en la gestión de riesgos. El riesgo de un presidente de ser asaltado, secuestrado o atacado es tan alto, que los niveles de seguridad que requiere, deben ser los más rigurosos en todo momento. Sus atacantes no lo agredirán por accidente, ni porque exista la oportunidad, lo harán con una intención directa, tendrán tiempo de planear el ataque y por lo mismo los controles deben ser máximos, ya que una sola falla en el sistema de protección provocaría que todo el esquema de seguridad se afectara.

Una vez analizados estos tres tipos de riesgo, y ante la inminente entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de Particulares, debemos tener claro que en la protección de datos, el mayor riesgo es que no exista la administración de riesgos.

Como un método rápido y sencillo de lo qué las empresas deben hacer, sugiero tres pasos muy simples, pero efectivos:

Concientización de los empleados sobre el trato que dan a la información de sus clientes, proveedores y su mismo personal.
Realizar un análisis del impacto de privacidad, en dónde se encuentren las diferencias del estado actual versus el estado de cumplimiento y desarrollar un plan para subsanar dichas deficiencias.
Crear procesos que mantengan al día la protección de datos personales.

BIBLIOGRAFIA.

http://dof.gob.mx/nota_detalle.php?codigo=5150631&fecha=05/07/2010, (http://www.ifai.org.mx)

https://revista.seguridad.unam.mx/autores/juan-carlos-carrillo-d%E2%80%99herrera

Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

Se publicó el Decreto por el que se expide la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados que entrará en vigor el 27 de enero de 2017.

La presente Ley es de orden público y de observancia general en toda la República, reglamentaria de los artículos 6o., Base A y 16, segundo párrafo, de la Constitución Política de los Estados Unidos Mexicanos, en materia de protección de datos personales en posesión de sujetos obligados.

Todas las disposiciones de esta Ley, son de aplicación y observancia directa para los sujetos obligados pertenecientes al orden federal.

La autoridad reguladora y facultada para ejercer las disposiciones de la LGPDPPSO es el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (“INAI”), misma que a la vez, regula y aplica las leyes federales de transparencia y datos personales que preceden a la LGPDPPSO.

La LGPDPPSO forma parte del paquete legislativo en el que se sustenta el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (“Sistema Nacional de Transparencia”), junto con la Ley General de Transparencia y Acceso a la Información Pública y la Ley Federal de Transparencia y Acceso a la Información Pública, mismas que deberán ajustarse a las disposiciones previstas en la LGPDPPSO, en un plazo de seis meses a partir de su entrada en vigor.

Adicionalmente, el Sistema Nacional de Transparencia es una parte esencial dentro del Sistema Nacional Anticorrupción, cuyas leyes fueron publicadas el pasado 18 de julio de 2016.

La LGPDPPSO tiene por objeto establecer los principios y procedimientos para garantizar el derecho de toda persona a la protección de sus datos personales cuando éstos se encuentran en posesión de cualquier autoridad, entidad, órgano u organismo de los poderes ejecutivo, legislativo y judicial, en el ámbito federal, estatal y municipal, así como órganos autónomos, partidos políticos, fideicomisos y fondos públicos (identificados como “Sujetos Obligados”).

La LGPDPPS introduce disposiciones sobre portabilidad de datos y regula la relación entre los Sujetos Obligados, en su carácter de responsables de los datos y quienes intervienen en su procesamiento como encargados. De igual forma regula las transferencias y remisiones de datos personales, establece acciones preventivas durante el proceso; los medios para impugnar el procesamiento ilegal de datos personales y sanciones, así como un procedimiento de verificación que además puede iniciarse de oficio por el INAI.

Se prevé la obligación para las autoridades que conforman el Sistema Nacional de Transparencia, de emitir un “Programa Nacional de Protección de Datos Personales” a más tardar en un año a partir de la entrada en vigor de la LGPDPPS.

Se establece el deber de los Sujetos Obligados, de tramitar, expedir o modificar su normatividad interna a más tardar dentro de los dieciocho meses siguientes a la entrada en vigor de la LGPDPPSO.

La entrada en vigor de la LGPDPPSO deroga todas las disposiciones en materia de protección de datos personales de carácter federal, estatal y municipal que contravengan lo previsto en la LGPDPPSO.

Los datos personales que se encuentren en posesión de personas físicas o morales particulares (incluyendo sindicatos cualquier otra persona física o moral que reciba y ejerza recursos públicos) continuarán procesándose de conformidad con la Ley Federal de Protección de Datos Personales en Posesión de Particulares.

BIBLIOGRAFIA.

http://www.dof.gob.mx/nota_detalle.php?codigo=5469949&fecha=26/01/2017

https://www.creel.mx/noticias/ley-general-de-proteccion-de-datos-personales/

LEY NÚMERO 466 DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO DE GUERRERO.

Ley Publicada en el Periódico Oficial del Estado de Guerrero, el martes 18 de julio de 2017.

Tiene como objetivo Garantizar que toda persona pueda ejercer el derecho a la protección de datos personales en el Estado de Guerrero;

Además de Proteger los datos personales en posesión de los Poderes Ejecutivo, Legislativo y Judicial, Ayuntamientos, Entidades Paraestatales, Establecimientos Públicos de Bienestar Social, Órganos Autónomos o con Autonomía Técnica, Partidos Políticos, Organización o Agrupación Política, Candidatos Independientes, Universidades Públicas, Centros de Investigación, Instituciones de Educación Pública Superior, Fideicomisos, Fondos Públicos del Estado de Guerrero, así como cualquier persona física, moral o sindicato que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito municipal o estatal, con la finalidad de regular su debido tratamiento;

Garantizar la observancia de los principios de protección de datos personales previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia;

Establecer obligaciones, procedimientos y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, mediante procedimientos sencillos y expeditos;

Fijar los estándares y parámetros que permitan la implementación, mantenimiento y actualización de medidas de seguridad de carácter administrativo, técnico y físico que permitan la protección de los datos personales;

Establecer un catálogo de sanciones para aquellas conductas que contravengan las disposiciones previstas en la presente Ley, y

Las demás que se establezcan en otras disposiciones legales aplicables en la materia.

Para entender mejor esta ley es necesario determinar ciertas definiciones, que se señalan en el artículo tercero de la esta ley.

 Aviso de Privacidad: El documento físico, electrónico o en cualquier otro formato generado por el responsable, que es puesto a disposición del titular con el objeto de informarle las características principales del tratamiento al que serán sometidos sus datos personales;

 Bases de datos: El conjunto ordenado de datos personales referentes a una persona física identificada o identificable, condicionado a criterios determinados que permitan su tratamiento, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización;

 Bloqueo: La identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su supresión en la base de datos, archivo, registro, expediente o sistema de información que corresponda;

 Cómputo en la nube: El modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o programa informático, distribuido de modo flexible, mediante procedimientos virtuales, en recursos compartidos dinámicamente;

 Consentimiento: La manifestación de la voluntad libre, específica e informada del titular, mediante la cual autoriza el tratamiento de sus datos personales;

 Datos personales: La información concerniente a una persona física identificada o identificable expresada en forma numérica, alfabética, alfanumérica, gráfica, fotográfica, acústica o en cualquier otro formato. Se considera que una persona es identificable cuando su identidad puede determinarse directa o indirectamente a través de cualquier información, siempre y cuando esto no requiera plazos, medios o actividades desproporcionadas;

 Datos personales sensibles: Los que se refieren a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. Se consideran sensibles, de manera enunciativa más no limitativa, los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud pasado, presente o futuro, creencias religiosas, filosóficas y morales, opiniones políticas, datos genéticos o datos biométricos y preferencia sexual;

CUADRO COMPARATIVO DE LAS LEYES DE PROTECCIÓN DE DATOS PERSONALES.

LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSECION DE SUJETOS OBLIGADOS.	LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES DEL PODER DE PARTICULARES.	LEY 466. DE PROTECCION DE DATOS PERSONALES EN POSESION DE SUJETOS OBLIGADOS DEL ESTADO DE GUERRERO.
1.-Tiene por objeto establecer las bases, principios y procedimientos para garantizar el derecho que tiene toda persona a la protección de sus datos personales, en posesión de sujetos obligados. Son sujetos obligados por esta Ley, en el ámbito federal, estatal y municipal, cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos. 2. Son objetivos de la presente Ley: I. Distribuir competencias entre los Organismos garantes de la Federación y las Entidades Federativas, en materia de protección de datos personales en posesión de sujetos obligados; II. Establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de los datos personales 3. PRINCIPIOS. Artículo 16. El responsable deberá observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento de datos personales. Artículo 17. El tratamiento de datos personales por parte del responsable deberá sujetarse a las facultades o atribuciones que la normatividad aplicable le confiera. Artículo 18. Todo tratamiento de datos personales que efectúe el responsable deberá estar justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones que la normatividad aplicable les confiera. 4. DEBERES. Con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe, el responsable deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad. 5. RELACIÓN RESPONSABLE ENCARGADO. rtículo 58. El encargado deberá realizar las actividades de tratamiento de los datos personales sin ostentar poder alguno de decisión sobre el alcance y contenido del mismo, así como limitar sus actuaciones a los términos fijados por el responsable. Artículo 59. La relación entre el responsable y el encargado deberá estar formalizada mediante contrato o cualquier otro instrumento jurídico que decida el responsable, de conformidad con la normativa que le resulte aplicable, y que permita acreditar su existencia, alcance y contenido.	1.-La Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. 2. Sujetos Regulados y Excepciones Los sujetos regulados por la ley son los particulares sean personas físicas o morales de carácter privado que lleven a cabo el tratamiento de datos personales. El Artículo 2 exceptúa a las sociedades de información crediticia (bancos y buros de credito) en los supuestos previstos en su propia regulación y a las personas que lleven a cabo la recolección y almacenamiento de datos personales, que sea para uso exclusivamente personal, y sin fines de divulgación o utilización comercial como pudiera ser el caso de las universidades y centros de investigación. 3. Definiciones La legislación prevé en su Articulo 3 diecinueve numerales con definiciones. 4. Límites de la Legislación El Artículo 4 establece que los principios y derechos previstos en la Ley, tendrán como límite en cuanto a su observancia y ejercicio, la protección de la seguridad nacional, el orden, la seguridad y la salud públicos, así como los derechos de terceros. 5. Supletoriedad y Legislación Aplicable a Procedimientos de Protección de Datos El Artículo 5 prevé que a falta de disposición expresa en la Ley, se aplicarán de manera supletoria las disposiciones del Código Federal de Procedimientos Civiles y de la Ley Federal de Procedimiento Administrativo; y para la substanciación de los procedimientos de protección de derechos, de verificación e imposición de sanciones se observarán las disposiciones contenidas en la Ley Federal de Procedimiento Administrativo 6. Principios de Protección de Datos Personales La legislación contiene un capítulo relativo a los principios internacionales que los responsables del tratamiento de datos deberán observar y que son: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad. 7. Licitud El Artículo 7 señala que los datos personales deberán recabarse y tratarse de manera lícita conforme a las disposiciones establecidas por la Ley y la normatividad aplicable y su obtención no debe hacerse a través de medios engañosos o fraudulentos. 8. Consentimiento La ley regula el consentimiento que es uno de los requisitos esenciales en todo tratamiento de datos personales. El Artículo 8 estipula que todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas por la Ley. Esta disposición prevé que el consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.	1. Objeto. La presente Ley es de orden público y observancia obligatoria en el Estado de Guerrero y tiene por objeto garantizar el derecho que tiene toda persona a la protección de sus datos personales en posesión de sujetos obligados del Estado de Guerrero. 2. Objetivos específicos. I. Garantizar que toda persona pueda ejercer el derecho a la protección de datos personales en el Estado de Guerrero. II. Proteger los datos personales en posesión de los Poderes Ejecutivo, Legislativo y Judicial, Ayuntamientos, Entidades Paraestatales, Establecimientos Públicos de Bien estar Social, Órganos Autónomos o con Autonomía Técnica, Partidos Políticos, Organización o Agrupación Política, Candidatos Independientes, Universidades Públicas, Centros de Investigación, Instituciones de Educación Pública Superior, Fideicomisos, Fondos Públicos del Estado de Guerrero, así como cualquier persona física, moral o sindicato que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito municipal o estatal, con la finalidad de regular su debido tratamiento; III. Garantizar la observancia de los principios de protección de datos personales previstos en la presente Ley y demás disposiciones que resulten aplicables en la materia; IV. Establecer obligaciones, procedimientos y condiciones homogéneas que regirán el tratamiento de los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, mediante procedimientos sencillos y expeditos; V. Fijar los estándares y parámetros que permitan la implementación, mantenimiento y actualización de me didas de seguridad de carácter administrativo, técnico y físico que permitan la protección de los datos personales; 3. Excepciones generales del derecho a la protección de datos personales. Los principios, deberes y derechos previstos en la presente Ley y demás normatividad aplicable tendrán como límite en cuanto a su observancia y ejercicio la protección de disposiciones de orden público, la seguridad pública, la salud pública o la protección de los derechos de terceros. Las limitaciones y restricciones deberán reconocerse de manera expresa en una norma con rango de ley y deberán ser necesarias y proporcionales en una sociedad democrática, respetando, en todo momento, los derechos y las libertades fundamentales de los titulares.