Martes 23 de enero de 2018 DIARIO OFICIAL (Primera Sección)
XI. Los mecanismos o procedimientos que adoptará el responsable para que la política pública,
programa, sistema o plataforma informática, ap licación electrónica o cualquier otra tecnología que
implique un tratamiento intensivo o relevante de datos personales cumpla, desde el diseño y por
defecto, con las obligaciones previstas en la Ley General o las legislaciones estatales en la materia y
demás disposiciones aplicables;
XII. La opinión técnica del oficial de protección de datos personales respecto del tratamiento intensivo o
relevante de datos personales que implique la política pública, programa, sistema o plataforma
informática, aplicación electrónica o cualquier otra tecnología, en su caso, y
XIII. Cualquier otra información que considere pertinente atendiendo a las circunstancias del caso en
particular.
Con relación a la fracción X del presente artículo, si durante la valoración de la evalu ación de impacto en
la protección de datos personales por parte del Instituto o los organismos garantes, el responsable advierte un
cambio en los riesgos identificados respecto al tratamiento intensivo o relevante de datos personales, deberá
presentar las modificaciones que resulten procedentes a la gestión de riesgos entregada en su momento, en
el domicilio del Instituto o de los organismos garantes, o bien, a través de cualquier otro medio que éstos
habiliten para tal efecto, de manera inmediata.
Lo anterior, tendrá el efecto de reiniciar el plazo que tiene el Instituto o los organismos garantes para emitir
el dictamen en términos de lo dispuesto en la Ley General o las legislaciones estatales en la materia, las
presentes Disposiciones administrativas y demás normatividad aplicable.
Sentido del dictamen del Instituto o los organismos garantes
Artículo 28. El Instituto o los organismos garantes deberán emitir un dictamen dentro de los treinta días,
contados a partir del día siguiente a la recepción de la eva luación de impacto en la protección de datos
personales, en el cual, de manera fundada y motivada, señalará:
I. Que la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier
otra tecnología que implique un tratamie nto intensivo o relevante de datos personales cumple con lo
dispuesto en la Ley General o las legislaciones estatales y demás normatividad aplicable, y por lo
tanto, no será necesario emitir recomendaciones no vinculantes al respecto, o
II. Que la política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier
otra tecnología que implique un tratamiento intensivo o relevante de datos personales no cumple con
lo dispuesto en la Ley General o las legislaciones estatales y demá s normatividad aplicable, y por lo
tanto, será necesario emitir recomendaciones no vinculantes al respecto.
Alcance del dictamen del Instituto o los organismos garantes
Artículo 29. Tratándose del dictamen a que se refiere el artículo anterior, el Institut o o los organismos
garantes deberán pronunciarse sobre la pertinencia de:
I. Los controles y medidas que el responsable adoptará para eliminar, mitigar, transferir o retener los
riesgos identificados;
II. Los mecanismos o procedimientos que adoptará el res ponsable para que la política pública,
programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que
implique un tratamiento intensivo o relevante de datos personales cumpla, desde el diseño y por
defecto, con las obligaciones previstas en la Ley General o las legislaciones estatales en la materia y
demás disposiciones aplicables, y
III. La puesta en operación o modificación de la política pública, programa, sistema o plataforma
informática, aplicación electrónica o cual quier otra tecnología que implique un tratamiento intensivo o
relevante de datos personales, en cuanto a la protección que de éstos se refiere.
Aunado a lo previsto en el párrafo anterior del presente artículo, el dictamen emitido por el Instituto o los
organismos garantes podrá orientar al responsable para el fortalecimiento y mejor cumplimiento de las
obligaciones previstas en la Ley General o las legislaciones estatales en la materia y demás disposiciones
aplicables, señalando medidas, acciones y sugeren cias específicas en función de las características
generales y particularidades de la política pública, programa, sistema o plataforma informática, aplicación
electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales.
Efectos de los dictámenes del Instituto y los organismos garantes
Artículo 30. El dictamen del Instituto o de los organismos garantes a que se refiere el artículo anterior no
tendrá por efecto:
I. Impedir la puesta en operación o modificación de la política pública, programa, sistema o plataforma
informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o
relevante de datos personales, y
(Primera Sección)
DIARIO OFICIAL
Martes 23 de enero de 2018
II.
Validar el presunto cumplimiento de las obligaciones previstas en la Ley General o las legislaciones
estatales en la materia y demás disposiciones aplicables, en perjuicio de las atribuciones conferidas
al Instituto y los organismos garantes.
Lo anterior, dejando a salvo la atribución que tiene el Instituto o los organismos garantes para iniciar, en su
momento, procedimientos de verificación respecto a los tratamientos intensivos o relevantes de datos
personales que son sometidos a una evaluación de impacto en la protección de datos personales de
conformidad con la Ley General, las legislaciones estatales en la materia, las presentes Disposiciones
administrativas y demás normatividad aplicable.
Dictámenes
sobre
evaluaciones
de
impacto
en
la
protección
de
datos
personales
interinstitucionales
Artículo 31. Tratándose de una evaluación de impacto en la protección de datos personales
interinstitucional a que se refiere el artículo 11 de las presentes Disposiciones administrativas, el Instituto y los
organismos garantes deberán emitir su dictamen en función de los procesos de datos personales que estén a
cargo del o los responsables que les competa conocer en el ámbito de sus respectivas atribuciones.
Aunado a lo previsto en el párrafo anterior, el Instituto y los organismos garantes podrán llevar a cabo
gestiones coordinadas para evitar la emisión de dictámenes contradictorios.
Informe de implementación de las recomendaciones no vinculantes
Artículo 32. El Instituto o los organismos garantes podrán solicitar al responsable que informe sobre la
implementación de las recomendaciones no vinculantes emitidas en un plazo máximo de veinte días,
contados a partir del día siguiente a la recepción del requerimiento.
Lo anterior, con la finalidad de que el Instituto y los organismos garantes puedan conocer la incidencia de
sus recomendaciones no vinculantes en la política pública, programa, sistema o plataforma informática,
aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos
personales implementada o modificada, en el marco de un proceso de mejora continua de sus procesos
relacionadas con las evaluaciones de impacto en la protección de datos personales, o bien, en cumplimiento
de otras atribuciones.
Capítulo V
De la exención de la presentación de evaluaciones de impacto en la protección de datos personales
Exención para la presentación de evaluaciones de impacto en la protección de datos personales
Artículo 33. De conformidad con el artículo 79 de la Ley General o los que correspondan en las
legislaciones estatales en la materia, el responsable no deberá realizar y presentar una evaluación de impacto
en la protección de datos personales cuando pretenda poner en operación o modificar una política pública,
programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un
tratamiento intensivo o relevante de datos personales y a su juicio:
I.
Se comprometan los efectos que se pretenden lograr con la posible puesta en operación o
modificación de política pública, programa, sistema o plataforma informática, aplicación electrónica o
cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos personales, o
II.
Se trate de situaciones de emergencia o urgencia.
Presentación y contenido del informe de exención
Artículo 34. Tratándose del artículo anterior el responsable deberá presentar un informe en el domicilio
del Instituto o de los organismos garantes, o bien, a través de cualquier otro medio que éstos habiliten para tal
efecto durante los primeros treinta días posteriores a la fecha de la puesta en operación o modificación de la
política pública, programa, sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología
que implique un tratamiento intensivo o relevante de datos personales, contados a partir del primer día de la
puesta en operación o modificación de ésta, a través del cual, de manera fundada y motivada, señale, al
menos, lo siguiente:
I.
La denominación y los objetivos generales y específicos que persigue la política pública, programa,
sistema o plataforma informática, aplicación electrónica o cualquier otra tecnología que implique un
tratamiento intensivo o relevante de datos personales;
II.
Las finalidades del tratamiento intensivo o relevante de datos personales;
Martes 23 de enero de 2018 DIARIO OFICIAL (Primera Sección)
III. Las razones o mo tivos que le permitieron determinar que la evaluación de impacto en la protección
de datos personales compromete los efectos de la política pública, programa, sistema o plataforma
informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o
relevante de datos personales que pretende implementar o modificar, o bien, la situación de
emergencia o urgencia que hacen inviable la presentación de ésta;
IV. Las consecuencias negativas que se derivarían de la elaboración y presentación de la evaluación de
impacto en la protección de datos personales;
V. El fundamento legal que habilitó el tratamiento de datos personales en el marco de la política pública,
programa, sistema o plataforma informática, aplicación electrónica o c ualquier otra tecnología que se
pretende poner en operación o modificar;
VI. La fecha en que se puso en operación o modificó la política pública, programa, sistema o plataforma
informática, aplicación electrónica o cualquier otra tecnología que implique un tratamiento intensivo o
relevante de datos personales, así como su periodo de duración;
VII. La opinión técnica del oficial de protección de datos personales respecto del tratamiento intensivo o
relevante de datos personales que implique la política públi ca, programa, sistema o plataforma
informática, aplicación electrónica o cualquier otra tecnología, en su caso, y
VIII. Los mecanismos o procedimientos adoptados por el responsable para que la política pública,
programa, sistema o plataforma informática, a plicación electrónica o cualquier otra tecnología que
implique un tratamiento intensivo o relevante de datos personales cumpla, desde el diseño y por
defecto, con todas las obligaciones previstas en la Ley General o las legislaciones estatales en la
materia y demás disposiciones aplicables.
Notificación de admisión o de requerimiento de información
Artículo 35. Una vez presentado el informe ante el Instituto o los organismos garantes, éstos deberán
emitir una notificación, dentro de los cinco días contados a partir del día siguiente a la recepción de éste, en la
cual:
I. Se tenga por presentado el informe para su valoración, o
II. Se requiera información al responsable por no actualizarse lo dispuesto en la fracción anterior del
presente artículo.
Requerimiento de información al responsable sobre el informe
Artículo 36. Si en el informe a que se refiere el presente Capítulo, el responsable no cumple con alguno
de los requisitos previstos en el artículo 34, el Instituto o los organismos garantes deberán requer ir al
responsable, por una sola ocasión y en el plazo previsto en el artículo anterior, la información que subsane las
omisiones.
El responsable contará con un plazo máximo de cinco días, contados a partir del día siguiente de la
recepción del requerimient o de información, para subsanar las omisiones con el apercibimiento de que en
caso de no cumplir se tendrá por no presentado el informe.
El requerimiento de información tendrá el efecto de interrumpir el plazo que tiene el Instituto o los
organismos garantes para emitir su respuesta, por lo que se reanudará el cómputo de dicho plazo a partir del
día siguiente de su desahogo.
Respuesta del Instituto o los organismos garantes del informe
Artículo 37. El Instituto o los organismos garantes deberán analizar el informe del responsable a que se
refiere el presente Capítulo en un plazo máximo de quince días contados a partir del día siguiente de su
recepción y emitir una respuesta en los siguientes sentidos:
I. Determinando que la presentación de la evaluación de i mpacto en la protección de datos personales
comprometía los efectos de política pública, programa, sistema o plataforma informática, aplicación
electrónica o cualquier otra tecnología que implique un tratamiento intensivo o relevante de datos
personales que se pretender poner en operación o modificar;
II. Reconociendo la situación de emergencia o urgencia planteada por el responsable, o
III. Ordenando la presentación de la evaluación de impacto en la protección de datos personales por no
actualizarse los su puestos a que se refieren los artículos 79 de la Ley General o los que
correspondan en las legislaciones estatales en la materia y 33 de las presente Disposiciones
administrativas ante el Instituto y los organismos garantes, en un plazo máximo de diez días
contados a partir del día siguiente de la notificación de la respuesta conforme a lo dispuesto en dicho
ordenamiento o las legislaciones estatales en la materia, las presentes Disposiciones administrativas
y demás normatividad aplicable.
Transitorios
Único. Las presentes Disposiciones administrativas entrarán en vigor al día siguiente de su publicación en
el Diario Oficial de la Federación.
(R.- 461459)
(Primera Sección) DIARIO OFICIAL Martes 23 de enero de 2018
ACUERDO mediante el cual se aprueban los criterios generales para la instrumentación de medidas
compensatorias en el sector público del orden federal, estatal y municipal.
Al margen un logotipo , que dice: Sistema Nacional de Transparencia, Acceso a la Información Pública y
Protección de Datos Personales.
CONAIP/SNT/ACUERDO/ORD01-15/12/2017-05
ACUERDO MEDIANTE EL CUAL SE APRUEBAN LOS CRITERIOS GENERALES PARA LA INSTRUMENTACIÓN DE
MEDIDAS COMPENSATORIAS EN EL SECTOR PÚBLICO DEL ORDEN FEDERAL, ESTATAL Y MUNICIPAL.
Que el Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y
Protección de Datos Personales, con fundamento en lo dispuesto por los artículos 10, 12 y 14, 26 y quinto
transitorio de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, 31,
fracción I de la Ley General de Transparencia y Ac ceso a la Información Pública, 10, fracciones II y VII del
Reglamento del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y
Protección de Datos Personales; y el Acuerdo mediante el cual se aprueba la metodología de p rocesamiento
para la estrategia de implementación de la Ley General de Protección de Datos Personales en Posesión de
Sujetos Obligados, tiene dentro de sus atribuciones las de emitir los criterios para la instrumentación de
medidas compensatorias de comunicación masiva, así como la de emitir acuerdos para dar cumplimiento a las
funciones del Sistema Nacional de Transparencia establecidas en el artículo 31 de la Ley General de
Transparencia y Acceso a la Información Pública y demás disposiciones aplicables.
Que en el punto número 7 del Orden del Día, de la Sesión Ordinaria de 2017, del Consejo Nacional del
Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales,
celebrada el 15 de diciembre de dos mil diecisiete, fu e presentado, sometido a discusión y aprobado por
unanimidad el Dictamen que emite la Comisión de Protección de Datos Personales del Sistema Nacional
sobre el Proyecto de Criterios Generales para la instrumentación de medidas compensatorias en el sector
público del orden federal, estatal y municipal, en razón de lo anterior, se emite el siguiente:
ACUERDO
PRIMERO.- Se aprueban los Criterios Generales para la instrumentación de medidas compensatorias en
el sector público del orden federal, estatal y municipa l, conforme al Anexo 1 del Acuerdo
CONAIP/SNT/ACUERDO/ORD01-15/12/2017-05.
SEGUNDO.- El presente acuerdo entrará en vigor al día siguiente de su publicación en el Diario Oficial de
la Federación.
TERCERO.- Se instruye al Secretario Ejecutivo a publicar el presente Acuerdo y su Anexo en el Diario
Oficial de la Federación, así como en la página del Sistema Nacional de Transparencia, mismos que estarán
disponibles para su consulta en el vínculo electrónico siguiente:
http://snt.org.mx/images/Doctos/CONAIP/SNT/ACUERDO/ORD01-15/12/2017-05.pdf
De manera adicional, envíese a las direcciones de correo electrónico institucional de los integrantes del
Sistema Nacional, a través de la dirección de correo del Secretario Ejecutivo ([email protected]).
Así lo ac ordó el Pleno del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la
Información Pública y Protección de Datos Personales, en su Sesión Ordinaria de dos mil diecisiete, celebrada
el 15 de diciembre del presente año, en la Ciudad de México, lo que se certifica y se hace constar, con
fundamento en el artículo 12 fracción XII y 13 fracciones VII y VIII del Reglamento del Consejo Nacional del
Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales. - El
Presidente del Consejo Nacional del Sistema Nacional de Transparencia, Acceso a la Información Pública y
Protección de Datos Personales , Francisco Javier Acuña Llamas .- Rúbrica.- El Secretario Ejecutivo del
Consejo Nacional del Sistema Nacional de Trans parencia, Acceso a la Información Pública y Protección de
Datos Personales, Federico Guzmán Tamayo.- Rúbrica.
Martes 23 de enero de 2018 DIARIO OFICIAL (Primera Sección)
ANEXO 1 DEL ACUERDO CONAIP/SNT/ACUERDO/ORD01-15/12/2017-05
CRITERIOS GENERALES PARA LA INSTRUMENTACIÓN DE MEDIDAS COMPENSATORIAS EN EL
SECTOR PÚBLICO DEL ORDEN FEDERAL, ESTATAL Y MUNICIPAL.
Capítulo I
De las disposiciones generales
Objeto
Artículo 1. Los presentes Criterios Generales tienen por objeto establecer los parámetros a través de los
cuales cualquier autoridad, dependencia, entidad, órgano u organismo de los Poderes Ejecutivo, Legislativo y
Judicial, organismos constitucionales autónomos, tribunales administrativos, fideicomisos y fondos públicos,
del orden federal, estatal y municipal, así como partidos políticos podrán instrumentar medidas
compensatorias.
Consideraciones
Artículo 2. Además de las consideraciones previstas en el artículo 3 de la Ley General de Protección de
Datos Personales en Posesión de Sujetos Obligados, para los efectos de los presentes Criterios Generales se
entenderá por:
I. Criterios Generales: Criterios Generales para la instrumentación de medidas compensatorias en el
sector público del orden federal, estatal y municipal;
II. Imposibilidad de dar a conocer al titular el aviso de privacidad de forma directa: se presenta
cuando el responsable no cuenta con los datos personales necesarios que le permitan tener un
contacto directo con el titular, ya sea porque no existen en sus archivos, registros, expedientes,
bases o sistemas de datos personales, o bien, porque los mismo s se encuentran desactualizados,
incorrectos, incompletos o inexactos;
III. Esfuerzos desproporcionados para dar a conocer al titular el aviso de privacidad de forma
directa: cuando el número de titulares sea tal, que el hecho de poner a disposición de cad a uno de
éstos el aviso de privacidad, de manera directa, le implique al responsable un costo excesivo
atendiendo a su suficiencia presupuestaria, o comprometa la viabilidad de su presupuesto
programado o la realización de sus funciones o atribuciones que la normatividad aplicable le confiera;
o altere de manera significativa aquellas actividades que lleva a cabo cotidianamente en el ejercicio
de sus funciones o atribuciones;
IV. Ley General: Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, y
V. Obtención directa de los datos personales : cuando el titular proporciona personalmente sus datos
personales a quien representa al responsable o a través de algún medio que permita su entrega
directa como podrían ser sistemas o medios el ectrónicos, ópticos, sonoros, visuales, vía telefónica,
Internet o cualquier otra tecnología o medio físico.
Ámbito de validez subjetivo
Artículo 3. Son sujetos obligados a cumplir con las disposiciones de los presentes Criterios Generales
cualquier autori dad, dependencia, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y
Judicial, organismos constitucionales autónomos, tribunales administrativos, fideicomisos y fondos públicos,
del orden federal, estatal y municipal, así como partidos pol íticos que requieran difundir el aviso de privacidad
simplificado a través de medidas compensatorias, con la finalidad de cumplir con el principio de información
previsto en el artículo 26 de la Ley General o los que correspondan en las legislaciones estatales en la materia
y demás disposiciones aplicables.
Ámbito de validez objetivo
Artículo 4. Los presentes Criterios Generales serán aplicables a la instrumentación de medidas
compensatorias a que se refieren los artículos 3, fracción XIX y 26, último párra fo de la Ley General o los que
correspondan en las legislaciones estatales en la materia y demás disposiciones aplicables.
Ámbito de validez territorial
Artículo 5. Los presentes Criterios Generales serán aplicables en todo el territorio nacional.
Capítulo II
De los tipos de medidas compensatorias, condiciones para su aplicación y modalidades para su
instrumentación
Principio de información
Artículo 6. El responsable deberá informar al titular, a través del aviso de privacidad, la existencia y
características principales del tratamiento al que serán sometidos sus datos personales, de conformidad con
lo dispuesto en los artículos 26, 27 y 28 de la Ley General o los que correspondan en las legislaciones
estatales de la materia y demás disposiciones aplicables.
(Primera Sección)
DIARIO OFICIAL
Martes 23 de enero de 2018
Cuando sea imposible para el responsable dar a conocer al titular el aviso de privacidad simplificado de
manera directa o ello exija esfuerzos desproporcionados, podrá instrumentar medidas compensatorias de
conformidad con lo previsto en los presentes Criterios Generales.
Naturaleza y objeto de las medidas compensatorias
Artículo 7. Las medidas compensatorias son mecanismos alternos para dar a conocer a los titulares el
aviso de privacidad simplificado, a través de su difusión por medios masivos de comunicación u otros
mecanismos de amplio alcance.
Medios para comunicar el aviso de privacidad
Artículo 8. En la instrumentación de medidas compensatorias, el responsable podrá difundir su aviso de
privacidad simplificado a través de los siguientes medios masivos de comunicación:
I.
Diario Oficial de la Federación o diarios de circulación nacional;
II.
Diarios o gacetas oficiales de las entidades federativas, o diarios de circulación regional o local, o
bien, revistas especializadas;
III.
Página de Internet o cualquier otra plataforma o tecnología oficial del responsable;
IV.
Carteles informativos;
V.
Cápsulas informativas radiofónicas, o
VI.
Cualquier otro medio alterno de comunicación masivo.
Selección del medio para difundir el aviso de privacidad
Artículo 9. Para seleccionar el o los medios de publicación del aviso de privacidad simplificado, a través
de medidas compensatorias, el responsable deberá elegir aquellos que resulten más eficientes, que impliquen
menor costo y que permitan abarcar al mayor número posible de titulares.
Adicionalmente a la obligación prevista en el párrafo anterior, el responsable deberá considerar los
siguientes factores:
I.
El perfil de los titulares a quienes irán dirigidas las medidas compensatorias, como puede ser, de
manera enunciativa mas no limitativa, su lugar de residencia; edad; género; nivel de instrucción; nivel
socioeconómico; ocupación; en su caso, gustos y preferencias y el acceso efectivo a las tecnologías
de la información y del conocimiento;
II.
Sus características propias, con especial énfasis en:
a.
Las vías o canales a través de los cuales atiende los requerimientos de la sociedad o presta sus
servicios, y
b.
Los medios que tienen habilitados para mantener una comunicación general o personalizada con
la sociedad, y
III.
Las características del o los medios a través de los cuales se pretende publicar el aviso de privacidad
simplificado, como puede ser, de manera enunciativa mas no limitativa, el alcance geográfico;
impacto; relevancia; formato; accesibilidad, temporalidad o permanencia.
Criterios para la publicación del aviso de privacidad en los diferentes medios de comunicación
Artículo 10. De conformidad con lo dispuesto en los artículos 8 y 9, fracción III de los presentes Criterios
Generales, el responsable podrá difundir el aviso de privacidad simplificado:
I.
En el Diario Oficial de la Federación o diarios de circulación nacional: cuando tenga
conocimiento de que los titulares a los que serán dirigidas las medidas compensatorias se
encuentran localizados a lo largo del territorio nacional o en más de una entidad federativa;
II.
En los diarios o gacetas oficiales de las entidades federativas, diarios de circulación regional
o local, o revistas especializadas: cuando tenga conocimiento de que los titulares a los que irán
dirigidas las medidas compensatorias residen en la región, entidad federativa o localidad en la que
circula el diario local o gaceta oficial; o bien, estén relacionados con la actividad materia de la revista
especializada;
III.
En la página de Internet o cualquier otra plataforma o tecnología oficial del responsable:
cuando los datos personales hubieren sido recabados por esos mismos medios; o bien, a partir del
perfil de los titulares a los que irán dirigidas las medidas compensatorias, las vías o canales a través
de los cuales atiende los requerimientos de la sociedad en general o presta sus servicios, o los
medios que tiene habilitados para mantener una comunicación general o personalizada con la
sociedad, permitan suponer a éste, de manera razonable, que éstos tienen acceso a ese medio y lo
visitan con determinada frecuencia;