Lineamientos_2018.pdf

Type: Document | Status: ready
← All sources

Martes 23 de enero de 2018 DIARIO OFICIAL (Primera Sección)
IV. En carteles informativos ubicados en las instalaciones del responsable y opcionalmente en lugares exteriores de importante afluencia: cuando suponga, de manera razonable a p artir del perfil de los titulares; las vías o canales a través de los cuales atiende los requerimientos de la sociedad o presta sus servicios, o los medios que tiene habilitados para mantener una comunicación general o personalizada con la sociedad, que és tos visitan las instalaciones o lugares exteriores en donde estarán ubicados los carteles, o V. En cápsulas informativas radiofónicas a través de radiodifusoras con alcance nacional, regional o local o radio comunitaria: cuando suponga de manera razonable a partir del perfil de los titulares, o los medios que tiene habilitados para mantener una comunicación general o personalizada con la sociedad en general que éstos tienen un alto grado de preferencia por este medio de comunicación sobre otros medios. Además de lo señalado en las fracciones anteriores del presente artículo, el responsable deberá considerar el medio de comunicación que le implique el menor costo posible. Cumplimiento del principio de calidad Artículo 11 . Previo a la implementación de cualqui er medida compensatoria, el responsable deberá cumplir con el principio de calidad y suprimir todos aquellos datos personales que hubieren dejado de ser necesarios para el cumplimiento de las finalidades que originaron su tratamiento, en términos de lo dis puesto en los artículos 3, fracción XXX, 23, párrafo tercero y 24 de la Ley General o los que correspondan en las legislaciones estatales en la materia y demás disposiciones aplicables. Modalidades para la aplicación de medidas compensatorias Artículo 12. El responsable podrá instrumentar medidas compensatorias: I. Sin la autorización expresa del Instituto o de los organismos garantes: cuando el tratamiento de datos personales actualice las condiciones previstas en el artículo 13 de los presentes Criterios Generales, o II. Con la autorización expresa del Instituto o de los organismos garantes: cuando el tratamiento de datos personales no actualice las condiciones a que se refiere el artículo 13 de los presentes Criterios Generales. Capítulo III De la instrumentación de medidas compensatorias sin la autorización expresa del Instituto o los organismos garantes Condiciones para la implementación de medidas compensatorias sin autorización expresa del Instituto o los organismos garantes Artículo 13. El responsable podrá instrumentar medidas compensatorias sin la autorización expresa del Instituto o de los organismos garantes cuando cumpla con las siguientes condiciones: I. Cuando el tratamiento de los datos personales que se pretende dar a conocer al titular a trav és de medidas compensatorias, hubiere iniciado con anterioridad a la entrada en vigor de la Ley General o de las legislaciones estatales en la materia y continúe vigente; II. La existencia de una imposibilidad de dar a conocer al titular el aviso de privac idad de forma directa, o en su caso, la realización de esfuerzos desproporcionados a que se refiere el artículo 2, fracciones II y III de los presentes Criterios Generales; III. Las finalidades del tratamiento actual de los datos personales sean iguales, a nálogas o compatibles con aquellas que motivaron de origen el tratamiento de los datos personales, y IV. El responsable esté exento de obtener el consentimiento del titular para el tratamiento actual de sus datos personales, incluyendo para aquellas finalidades que no requieren del consentimiento del titular o para la realización de transferencias de éstos, en ambos casos por actualizarse alguno de los supuestos previstos en los artículos 22 y 70 de la Ley General o los que correspondan en las legislaciones estatales en la materia y demás disposiciones aplicables. Cuando el responsable no cumpla con las condiciones a que se refiere el presente artículo y requiera de la instrumentación de medidas compensatorias para cumplir con el principio de información, se rá necesario que solicite, de manera expresa, al Instituto o los organismos garantes la autorización respectiva para la aplicación de éstas de conformidad con lo dispuesto en el Capítulo IV de los Criterios Generales. Características del aviso de privacidad simplificado Artículo 14. El aviso de privacidad simplificado que se divulgue a través de las medidas compensatorias instrumentadas sin autorización expresa del Instituto o de los organismos garantes deberá caracterizarse por ser sencillo, con la información necesaria, expresado en lenguaje claro y comprensible, atendiendo al perfil de los titulares a quienes irá dirigido y con una estructura y diseño que facilite su entendimiento. (Primera Sección) DIARIO OFICIAL Martes 23 de enero de 2018 En el aviso de privacidad simplificado queda prohibido: I. Usar frases inexactas, ambiguas o vagas; II. Incluir textos que induzcan al titular al error en lo que respecta a la comprensión de las características generales o particulares que distinguen el tratamiento de sus datos personales, y III. Remitir al titular a textos o documentos que no estén disponibles. Lo anterior, sin perjuicio de lo dispuesto en la Ley General o las legislaciones estatales en la materia y normatividad aplicable en el orden federal, estatal y municipal. Contenido de las medidas compensatorias instrumentadas sin autorización expresa del Instituto o de los organismos garantes Artículo 15. En el aviso de privacidad simplificado que se divulgue a través de las medidas compensatorias instrumentadas sin autorización expresa del Instituto o de los organismos garantes, el responsable deberá informar, al menos, lo siguiente: I. Su denominación; II. Las finalidades del tratamiento; III. Las transferencias de datos personales que, en su caso, efectúe sin que éstas requieran del consentimiento del titular, indicando: a. Las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales de carácter privado, nacionales y/o internacionales, a las que se transfieren los datos personales, y b. Las finalidades de estas transferencias; IV. En su caso, los elementos informativos previstos en la Ley General o las legislaciones estatales en la materia y demás normatividad aplicable, y V. El sitio donde el titular podrá consultar el aviso de privacidad integral. El responsable deberá incluir información adicional que permita a los titulares identificarse como destinatarios del aviso de privacidad simplificado, publicado a través de las medidas compensatorias. Denominación del responsable Artículo 16. En el aviso de privacidad simplificado a que se refiere el artículo anterior de los presentes Criterios Generales, el responsable deberá señalar su denominación completa y procurará incluir el nombre, la denominación o las abreviaturas, siglas y acrónimos con las que es identificado comúnmente por el público en general o, concretamente, por los titulares a quienes irán dirigidas las medidas compensatorias. En caso de que la denominación del responsable hubiera cambiado a través del tiempo, en las medidas compensatorias se deberán indicar las denominaciones que hubiere tenido éste en el periodo que corresponda al tratamiento de datos personales que se informe en el aviso de privacidad simplificado, así como su denominación actual. Finalidades del tratamiento Artículo 17. En el aviso de privacidad simplificado al que hace referencia el artículo 15 de los presentes Criterios Generales, el responsable deberá describir puntualmente cada una de las finalidades que motivaron de origen el tratamiento de los datos personales, así como aquellas que justifiquen el tratamiento actual de los datos personales conforme lo siguiente: I. El listado de finalidades deberá ser completo y no utilizar frases inexactas y/o ambiguas, como “entre otras finalidades", "otros fines análogos" o "por ejemplo”, y II. Las finalidades descritas en el aviso de privacidad deberán ser específicas, redactadas con claridad y de tal manera que el titular identifique cada una de éstas y no tenga confusión sobre el alcance de las mismas. Transferencias de datos personales Artículo 18. En el aviso de privacidad simplificado a que se refiere el artículo 15 de los presentes Criterios Generales, el responsable deberá informar, clasificando por categorías o de manera individual, cada una las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales de carácter privado, nacionales y/o internacionales, con las que, en su caso, hubiere transferido los datos personales en su posesión, así como las finalidades que motivaron, en su momento, estas transferencias.

Martes 23 de enero de 2018 DIARIO OFICIAL (Primera Sección)
Además de lo previsto en el párrafo anterior del presente artículo, el responsable deberá indicar, clasificando por categorías o de manera individual, cada una de las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales de carácter privado, nacionales y/o internacionales, con los que, en su caso, actualmente transfiere o transferirá datos personales, así como las finalidades que motivan estas transferencias. Consulta del aviso de privacidad integral Artículo 19. En el aviso de privacidad simplificado a que se refiere el artículo 15 de los presentes Criterios Generales, el responsable deberá señalar el sitio, lu gar o mecanismo habilitado para que los titulares puedan conocer el aviso de privacidad integral. Para la elección del sitio, lugar o mecanismo, el responsable deberá seleccionar, considerando el perfil de los titulares y la forma en que mantiene contacto o comunicación con éstos, aqu ellos que sean gratuitos; de fácil acceso para los titulares; con la mayor cobertura posible y que estén debidamente habilitados y disponibles en todo momento. Aviso de privacidad integral Artículo 20. La puesta a disposición d el aviso de privacidad simplificado a través de las medidas compensatorias instrumentadas sin autorización expresa del Instituto o de los organismos garantes, no exime al responsable de su obligación de poner a disposición del titular el aviso de privacida d integral a que se refiere el artículo 28 de la Ley General o los que correspondan en las legislaciones estatales en la materia y demás disposiciones aplicables. El aviso de privacidad integral a que se refiere el artículo 15, fracción V de los presentes Criterios Generales, deberá referirse de manera específica a las características del tratamiento de los datos personales que actualmente lleve a cabo el responsable y al cual le resultan aplicables las medidas compensatorias, de conformidad con lo dispuesto en la Ley General o las legislaciones estatales en la materia, este ordenamiento y demás normatividad aplicable. Carga de la prueba Artículo 21. Corresponderá al responsable acreditar el cumplimiento de cada una de las condiciones previstas en el artículo 13 de los presentes Criterios Generales, en caso de que sea requerido por el Instituto o los organismos garantes en un momento posterior a la aplicación de las medidas compensatorias conforme a la modalidad a la que se refiere el presente Capítulo. Capítulo IV De la instrumentación de medidas compensatorias con autorización expresa del Instituto o los organismos garantes Presentación de solicitud para autorización expresa de medidas compensatorias Artículo 22. El procedimiento para que el Instituto o los organismos garantes autoricen expresamente el uso de medidas compensatorias siempre deberá iniciar a petición del responsable. El responsable podrá presentar su solicitud en el domicilio del Instituto o los organismos garantes, o bien, a través de cualquier otro medio que éstos habiliten para tal efecto. Contenido de la solicitud para la autorización expresa de medidas compensatorias Artículo 23. En la solicitud para la implementación de medidas compensatorias con autorización expresa del Instituto o de los organismos garantes, el responsable deberá señalar la siguiente información: I. Su denominación; II. El nombre completo y cargo de la persona que ostente su representación; III. El domicilio para recibir notificaciones; IV. El nombre completo y cargo de las personas que autoriza para recibir notificaciones, en su caso; V. La descripción del tratamiento de datos personales indicando las finalidades del tratamiento actual y de aquél para el cual se recabaron los datos personales de origen; el tipo de datos p ersonales tratados; las transferencias que, en su caso, se efectúen en la actualidad o se pretendan realizar, así como cualquier otra información relevante para el caso concreto; VI. Las particularidades de los titulares indicando su edad; ubicación geográ fica; nivel educativo y socioeconómico, así como cualquier otra información relevante para el caso concreto; VII. Las causas o razones de la imposibilidad que tiene para dar a conocer al titular el aviso de privacidad de manera directa, o bien, el esfuerzo desproporcionado que esto le exige; VIII. El número de titulares afectados; (Primera Sección) DIARIO OFICIAL Martes 23 de enero de 2018 IX. La antigüedad de los datos personales; X. La información relacionada con la existencia o ausencia de contacto directo con los titulares; XI. El medio o medios a través de los cuales se pretende difundir el aviso de privacidad simplificado; XII. El periodo de publicación de la medida compensatoria a través del medio o medios propuestos; XIII. El texto del aviso de privacidad simplificado para la medida compensatoria, y XIV. Cualquier otra información adicional que considere necesaria hacer del conocimiento del Instituto o los organismos garantes. Adicionalmente a lo dispuesto en las fracciones anteriores del presente artículo, el responsable deberá acompañar a su solicitud, para su cotejo, original y copia simple de la identificación oficial de la persona que ostente su representación y del documento que acredite su personalidad conforme a la normatividad que resulte aplicable, así como cualquier otro documento que considere pertinente hacer del conocimiento del Instituto o los organismos garantes. Características del aviso de privacidad Artículo 24. En el texto del aviso de privacidad simplificado a que se refiere la fracción XIII del artículo anterior, el responsable, además de observar lo dispuesto en el artículo 14 de los presentes Criterios Generales, deberá evitar la inclusión de declaraciones a través de las cuales afirme o dé por hecho que el titular ha otorgado su consentimiento para el tratamiento de sus datos personales, o bien, para la transferencia de los mismos, en su caso. Elementos informativos del texto aviso de privacidad simplificado Artículo 25. En el texto del aviso de privacidad simplificado a que se refiere la fracción XIII del artículo 23 de los presentes Criterios Generales, el responsable deberá informar, al menos, lo siguiente: I. Su denominación; II. Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquellas que requieran del consentimiento del titular; III. Las transferencias de datos personales que requieran del consentimiento del titular, precisando: a. Las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales de carácter privado, nacionales y/o internacionales, a las que se transfieren los datos personales, y b. Las finalidades de estas transferencias; IV. Los mecanismos y medios disponibles para que el titular, en su caso, pueda manifestar su negativa para el tratamiento de sus datos personales para finalidades y transferencias de datos personales que requieran del consentimiento del titular; V. En su caso, los elementos informativos previstos en la Ley General o las legislaciones estatales en la materia y demás normatividad aplicable, y VI. El sitio donde el titular podrá consultar el aviso de privacidad integral. El responsable deberá incluir información adicional que permita a los titulares identificarse como destinatarios del aviso de privacidad simplificado, publicado a través de las medidas compensatorias. Denominación del responsable en el texto del aviso de privacidad propuesto Artículo 26. En el texto del aviso de privacidad simplificado a que se refiere la fracción XIII del artículo 23 con relación al artículo 25, fracción I de los presentes Criterios Generales, el responsable deberá señalar su denominación conforme lo dispuesto en el artículo 16 de este ordenamiento en lo que resulte aplicable. Finalidades del tratamiento en el texto del aviso de privacidad propuesto Artículo 27. En el texto del aviso de privacidad simplificado a que se refiere la fracción XIII del artículo 23 con relación al artículo 25, fracción II de los presentes Criterios Generales, el responsable deberá describir las finalidades que motivaron de origen el tratamiento de los datos personales, así como aquellas que justifican el tratamiento actual de los datos personales, distinguiendo de estas últimas las que requieran del consentimiento del titular conforme lo dispuesto en el artículo 17 de este ordenamiento. Transferencias de datos personales en el texto del aviso de privacidad propuesto Artículo 28. En el texto del aviso de privacidad simplificado a que se refiere la fracción XIII del artículo 23 con relación al artículo 25, fracción III de los presentes Criterios Generales, el responsable deberá informar lo dispuesto en el artículo 17, primer párrafo de este ordenamiento e indicar, clasificando por categorías o de

Page 4 of 25