Miércoles 17 de diciembre de 2025 DIARIO OFICIAL
La información deberá ser entregada sin costo cuando implique la entrega de no más de 20 hojas simples.
La Unidad de Transparencia podrá exceptuar el pago de reproducción y envío para atender las circunstancias
socioeconómicas de la persona solicitante.
Las cuotas de los derechos aplicables serán las que establezca la Ley Federal de Derechos vigente a la
fecha en que deba realizarse el pago correspondiente.
Artículo 75. En caso de que el Instituto posea una versión electrónica de la información solicitada, podrá
entregarla a la persona solicitante sin costo alguno y ponerla a su disposición en el Sitio Web institucional o a
través del sistema informático o en los formatos determinados por la Autoridad garante para tal fin, y
comunicarle los datos que le permitan acceder a la misma.
Ante la falta de respuesta a una solicitud en el plazo previsto y en caso de que proceda el acceso, los
costos de reproducción y envío correrán a cargo del Instituto.
El Instituto buscará, en todo momento, que la información generada tenga un lenguaje sencillo para
cualquier persona y se procurará, en la medida de lo posible, su accesibilidad y traducción a lenguas
indígenas, braille o cualquier formato accesible correspondiente, en forma eficiente.
El acceso se dará en la modalidad de entrega y, en su caso, de envío elegidos por la persona solicitante.
Cuando la información no pueda entregarse o enviarse en la modalidad elegida, el Instituto deberá ofrecer las
modalidades de entrega posibles.
En cualquier caso, se deberá fundar y motivar la necesidad de ofrecer otras modalidades. Salvo que exista
impedimento justificado para hacerlo, el Instituto deberá atender la solicitud de las personas particulares
respecto de la forma de envío de la información solicitada, la cual podrá realizarse en la oficina designada
para ello, por correo electrónico, correo postal, mensajería, telégrafo, verbalmente o cualquier medio aprobado
por el Sistema Nacional, con acuse de recibo, siempre y cuando las personas solicitantes hayan cubierto o
cubran el costo del servicio respectivo.
El Instituto deberá otorgar acceso a los documentos que se encuentren en sus archivos o que estén
obligados a documentar de acuerdo con sus facultades, competencias o funciones en el formato en que la
persona solicitante manifieste, de entre aquellos formatos existentes, conforme a las características físicas de
la información o del lugar donde se encuentre, así lo permita. En el caso de que la información solicitada
consista en bases de datos, se deberá privilegiar la entrega de esta en Formatos Abiertos.
Artículo 76. El Instituto podrá reproducir la información solicitada en copias simples o certificadas, medios
magnéticos, ópticos, sonoros, visuales u otros, a petición de la persona solicitante. En esos casos y para
efectos del cobro respectivo a las personas solicitantes, las cuotas de los derechos aplicables serán
establecidas en términos del último párrafo del artículo 74 de los presentes Lineamientos.
El pago correspondiente deberá efectuarse por las personas solicitantes en forma previa a la reproducción
y/o envío de la información.
Artículo 77. De manera excepcional, cuando, de forma fundada y motivada, así lo determinen las
Unidades o Áreas Administrativas o el Comité de Transparencia, en aquellos casos en que la información
solicitada que ya se encuentre en su posesión implique análisis, estudio o procesamiento de documentos cuya
entrega o reproducción sobrepase las capacidades técnicas disponibles en el Instituto para cumplir con la
solicitud, en los plazos establecidos para dicho efecto, se podrán poner a disposición de la persona solicitante
los documentos en consulta directa, salvo la información clasificada.
En los casos en que la información y/o documentación sobrepase el límite de carga en los medios
electrónicos establecidos para dar respuesta a las solicitudes, se deberá informar a la persona solicitante la
disponibilidad de la información en medio distinto y se entregará previo pago del costo que corresponda.
En todo caso se facilitará en copia simple o certificada, así como su reproducción por cualquier medio
disponible en las instalaciones del Instituto o que, en su caso, aporte la persona solicitante.
Artículo 78. El pago del costo de la reproducción y/o envío de la información deberá ser acreditado por la
persona solicitante ante la Unidad de Transparencia o bien ante el Enlace Estatal con quien se haya
planteado la solicitud de acceso a la información o de ejercicio de Derechos ARCO.
TÍTULO V
DE LOS DATOS PERSONALES
CAPÍTULO I
DEL TRATAMIENTO Y PROTECCIÓN DE DATOS PERSONALES
Artículo 79. Cualquier información que contenga datos personales concernientes a una persona
identificada o identificable será confidencial, independientemente de que haya sido obtenida por el Instituto
directamente de la Persona Titular o por cualquier otro medio. Se considera que una persona es identificable
cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información.
De manera enunciativa más no limitativa, los datos personales se pueden catalogar como datos
identificativos; de origen; ideológicos; sobre la salud; laborales; patrimoniales; sobre la situación jurídica o
legal; académicos; de tránsito y movimientos migratorios; electrónicos como la firma y/o correo electrónico, y
biométricos, siempre que identifiquen o hagan identificable a la persona titular.
Se consideran sensibles los datos personales que pueden revelar aspectos como origen racial o étnico,
estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, opiniones
políticas y preferencia sexual.
Artículo 80. Las Unidades y Áreas Administrativas para el tratamiento de datos personales observarán los
principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad
en el tratamiento de datos personales, en términos de la Ley General de Datos Personales, los Lineamientos y
demás disposiciones aplicables.
La persona servidora pública del Instituto, encargada de recabar el consentimiento de la Persona Titular
de los datos personales para su transferencia, deberá entregar, en forma previa a cada transmisión, la
información suficiente acerca de las implicaciones de otorgar, de ser el caso, su consentimiento.
Así mismo, se deberá otorgar el acceso a aquellos datos que no se consideren como confidenciales por
ubicarse en los supuestos establecidos en los artículos 65, 119, 132 y 216 de la Ley General, así como en
términos del artículo 16 de la Ley General de Datos Personales.
Artículo 81. En los términos establecidos en los artículos 119 de la Ley General y 16 de la Ley General de
Datos Personales, el Instituto en su carácter de sujeto obligado, no estará obligado a recabar el
consentimiento de la Persona Titular para el tratamiento de sus datos personales en los casos siguientes:
I.
La información se encuentre en registros públicos o fuentes de acceso público;
II.
Por ley tenga el carácter de pública;
III.
Por razones de seguridad nacional y salubridad general, o para proteger los derechos de
terceros, se requiera su publicación;
IV.
Cuando se transmita entre sujetos obligados y entre estos, y los sujetos de derecho
internacional, en términos de los tratados y los acuerdos interinstitucionales, siempre que la
información se utilice para el ejercicio de facultades propias de los mismos;
V.
Cuando una legislación aplicable así lo disponga, debiendo dichos supuestos ser acordes con
las bases, principios y disposiciones establecidos en esta Ley, y en ningún caso podrán
contravenirla;
VI.
Cuando las transferencias que se realicen entre responsables sean sobre datos personales que
se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que
motivó el tratamiento de los datos personales;
VII.
Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad
competente;
VIII.
Para el reconocimiento o defensa de derechos de la persona titular ante autoridad competente;
IX.
Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones
derivadas de una relación jurídica entre la persona titular y el responsable;
X.
Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en
su persona o en sus bienes;
XI.
Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención,
diagnóstico o la prestación de asistencia sanitaria;
XII.
Cuando los datos personales se sometan a un procedimiento previo de disociación, y
XIII.
Cuando la persona titular de los datos personales sea una persona reportada como
desaparecida en los términos de las disposiciones jurídicas en la materia.
Artículo 82. En ninguno de los supuestos previstos en los artículos 119 de la Ley General y 16 de la Ley
General de Datos Personales, a que hacen referencia los artículos 48 y 81 de los presentes Lineamientos, se
requerirá el consentimiento de la Persona Titular de la información confidencial para su acceso, fuera de los
casos mencionados en los artículos citados, deberá mediar el consentimiento expreso o tácito de la Persona
Titular de la información, según corresponda.
DIARIO OFICIAL Miércoles 17 de diciembre de 2025 El consentimiento podrá manifestarse de forma expresa o tácita, según corresponda. Se deberá entender que el consentimiento es expreso cuando la voluntad de la Persona Titular se manifieste verbalmente, por escrito, por medios electrónicos, ópticos, signos inequívocos o por cualquier otra tecnología. El consentimiento será tácito cuando habiéndose puesto a disposición de la Persona Titular el aviso de privacidad, esta no manifieste su voluntad en sentido contrario. Por regla general será válido el consentimiento tácito, salvo que las disposiciones aplicables exijan que la voluntad de la Persona Titular se manifieste expresamente. En la obtención del consentimiento de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad declarada conforme a las disposiciones jurídicas aplicables, se estará a lo dispuesto en las reglas de representación previstas en la legislación civil que resulten aplicables. Tratándose de datos personales sensibles, las Unidades y Áreas Administrativas deberán obtener el consentimiento expreso y por escrito de la Persona Titular o de quien legalmente la represente, para su tratamiento, a través de su firma autógrafa, firma electrónica o cualquier mecanismo de autentificación que al efecto establezcan, salvo en los casos previstos en el artículo 16 de la Ley General de Datos Personales. Se podrán tratar datos personales para finalidades distintas a aquellas establecidas en el aviso de privacidad, siempre y cuando se cuente con atribuciones conferidas en la legislación aplicable y medie el consentimiento de la Persona Titular, salvo que sea una persona reportada como desaparecida, en los términos previstos en la Ley General de Datos Personales y demás disposiciones que resulten aplicables en la materia. Artículo 83. Cuando las personas entreguen al Instituto información que deba ser considerada como confidencial en términos de lo dispuesto en el último párrafo del artículo 115 de la Ley General, en correlación con el tercer y quinto párrafos del artículo 46 de los presentes Lineamientos y demás disposiciones aplicables, al clasificar la información se deberá indicar el fundamento legal o normativo que le dio el derecho a la persona de que la información proporcionada tenga tal carácter. CAPÍTULO II DE LOS SISTEMAS DE TRATAMIENTO DE LOS DATOS PERSONALES Artículo 84. La Unidad de Transparencia en coordinación con las Unidades y Áreas Administrativas verificará la elaboración de un inventario de datos personales y de los Sistemas de tratamiento que deberá contener el documento de seguridad , en cumplimiento a lo establecido por los artículos 27 fracción III y 29 fracción I de la Ley General de Datos Personales, en el cual se indicará el objeto del sistema, el tipo de datos que contiene, el uso que se le da, la Unidad o Área Administrativa que los administra y el nombre de la persona responsable de los mismos. Cada Unidad o Área Administrativa responsable de un Sistema de tratamiento deberá adoptar las medidas necesarias para mantener seguros, exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de estos. Se presume que se cumple con la calidad en los datos personales cuando son proporcionados directamente por la Persona Titular y hasta que esta no manifieste y acredite lo contrario. Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones aplicables, deberán ser suprimidos, previo bloqueo, en su caso, y una vez que concluya su plazo de conservación. El bloqueo consistirá en la identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de datos que corresponda. Los plazos de conservación de los datos personales no deberán exceder aquellos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales. La actualización de los Sistemas de tratamiento debe realizarse por las Unidades o Áreas Administrativas responsables de su administración; la Persona Titular de estas remitirá a la Unidad de Transparencia en el formato que se establezca para tal efecto, así como la modificación, actualización o cancelación de dichos sistemas. Las Unidades y Áreas Administrativas responsables de Sistemas de tratamiento deberán establecer y documentar los procedimientos para la conservación y, en su caso, bloqueo y supresión de los datos personales que lleven a cabo, en los cuales se incluyan los periodos de conservación de estos, de conformidad con lo dispuesto en los artículos 17 y 18 de la Ley General de Datos Personales, así como al presente artículo. En los procedimientos a que se refiere el párrafo anterior, las Unidades y Áreas Administrativas responsables de Sistemas de tratamiento deberán incluir mecanismos que les permitan cumplir con los plazos fijados para la supresión de los datos personales, así como para realizar una revisión periódica sobre la necesidad de conservar los datos personales en el Instituto. Artículo 85. Corresponderá a la persona titular de la Unidad o Área Administrativa responsable establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales guarden confidencialidad respecto de estos, obligación que subsistirá inclusive después de finalizar su relación con el Instituto. Con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe, la persona titular de la Unidad Administrativa o Área responsable deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico y se coordinará con la Dirección General de Informática para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, garantizar su confidencialidad, integridad y disponibilidad, así como solicitar su intervención en ejercicio de las atribuciones que le confiere el Reglamento Interior del Instituto. Para lo dispuesto en el párrafo anterior, las Unidades y Áreas Administrativas responsables de la administración de Sistemas de tratamiento, en caso de ser necesario, solicitarán el apoyo de la Dirección General de Informática y de la Dirección General Adjunta de Recursos Materiales y Servicios Generales en el ámbito de sus respectivas competencias. Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales que implementen las Unidades y Áreas Administrativas responsables de Sistemas de tratamiento deberán estar documentadas y contenidas en el sistema de que se trate, en términos de lo dispuesto por la Ley General de Datos Personales, los Lineamientos y demás disposiciones normativas aplicables. En caso de existir alguna vulneración en los Sistemas de tratamiento, la persona titular de la Unidad Administrativa o Área responsable, o la persona servidora pública responsable designada en términos del artículo 86 de los presentes Lineamientos, deberá reportar el hecho a través de la Mesa de Ayuda, de conformidad con lo dispuesto en los Lineamientos de Seguridad de la Información Estadística y Geográfica del INEGI. Corresponderá a la Dirección de Transparencia y Atención a Instancias Fiscalizadoras, en coordinación con la Dirección General de Informática, llevar una bitácora de las vulneraciones a la seguridad a que hace referencia el artículo 33 de la Ley General de Datos Personales, en la que se describa la fecha en la que ocurrió, el motivo y las acciones correctivas implementadas de forma inmediata y definitiva. La Unidad de Transparencia deberá informar sin dilación alguna a la Persona Titular de los datos personales, y según corresponda a la Autoridad garante, las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales, en cuanto se confirme que ocurrió la vulneración. De materializarse el supuesto referido, la Dirección General Adjunta de Control Interno y Transparencia en coordinación con la Dirección General de Informática, deberá tomar acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, a fin de que las Personas Titulares afectadas puedan tomar las medidas correspondientes para la defensa de sus derechos. El aviso emitido por la Unidad de Transparencia a que hace referencia el párrafo anterior deberá contener cuando menos los aspectos a que hace referencia el artículo 35 de la Ley General de Datos Personales y demás disposiciones administrativas aplicables. Artículo 86. Cada Unidad o Área Administrativa designará una persona servidora pública responsable del o los Sistemas de tratamiento, quien deberá contar con nivel mínimo de Subdirección de Área y será la encargada de apoyar a la persona titular de la Unidad o Área Administrativa de su adscripción para realizar lo establecido en el artículo 85 de los presentes Lineamientos y tendrá las funciones siguientes: Miércoles 17 de diciembre de 2025 DIARIO OFICIAL
I. Proponer y apoyar la adopción de las medidas de seguridad para el resguardo del o los Sistemas de tratamiento bajo su responsabilidad, en soporte físico, de manera que se evite su alteración, pérdida o acceso no autorizado; II. Autorizar expresamente, en los casos en que no esté previsto por un instrumento jurídico o disposición normativa, a las personas usuarias, y llevar una relación actualizada de las personas que tengan acceso al o los Sistemas de tratamiento que se encuentran en forma física, y III. Aplicar y vigilar el cumplimiento de las medidas y estándares de seguridad para la conservación y resguardo de Sistemas de tratamiento del Instituto, que para tal efecto determine el Comité de Transparencia, a través de la aprobación y actualización del documento de seguridad al que hace referencia el artículo 29 de la Ley General de Datos Personales, y el artículo 21, fracción X de los presentes Lineamientos, el cual es de observancia general para las Unidades o Áreas Administrativas que cuenten con los referidos Sistemas. Artículo 87. En el momento en que se recaben datos personales, cada Unidad y Área Administrativa deberá hacer del conocimiento de la Persona Titular de los datos, tanto en los formatos físicos como en los medios electrónicos utilizados para ese fin, el aviso de privacidad del Instituto, el cual precisará la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto. Para que el aviso de privacidad cumpla de manera eficiente con su función de informar, deberá estar redactado y estructurado de manera clara y sencilla. Cuando resulte imposible dar a conocer a la Persona Titular el aviso de privacidad, de manera directa o ello exija esfuerzos desproporcionados, el Instituto podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios que para tal efecto emita la Secretaría. Artículo 88. Para informar a la Persona Titular de los datos personales que obren en Sistemas de tratamiento que las Unidades y Áreas Administrativas del Instituto resguarden en ejercicio de atribuciones y funciones relativas a información correspondiente a la gestión administrativa del Instituto, deberá ponerse a su disposición el aviso de privacidad en dos modalidades: simplificado e integral. El aviso de privacidad integral deberá contener, al menos, la siguiente información: I. La denominación y domicilio del Instituto; II. Los datos personales que serán sometidos a tratamiento, identificando aquellos que son sensibles; III. El fundamento legal que faculta a quien será responsable de llevar a cabo el tratamiento; IV. Las finalidades del tratamiento para las cuales se obtienen los datos personales, con distinción de aquellas que requieren el consentimiento de la Persona Titular; V. Los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO; VI. El domicilio de la Unidad de Transparencia; VII. Cuando se realicen transferencias de datos personales que requieran consentimiento, se deberá informar: a. Las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales a las que se transfieren los datos personales, y b. Las finalidades de estas transferencias; VIII. Los mecanismos y medios disponibles para que la Persona Titular, en su caso, pueda manifestar su negativa para el tratamiento de sus datos personales para finalidades y transferencias de datos personales que requieren el consentimiento de la Persona Titular, y IX. Los medios a través de los cuales la persona responsable comunicará a las Personas Titulares los cambios al aviso de privacidad. Los mecanismos y medios a los que se refiere la fracción VIII de este artículo, deberán estar disponibles para que la Persona Titular pueda manifestar su negativa al tratamiento de sus datos personales para las finalidades o transferencias que requieran su consentimiento, previo a que ocurra dicho tratamiento. Artículo 89. El aviso de privacidad simplificado deberá contener la información a que se refieren las fracciones I, IV, VII y VIII del artículo anterior, y señalar el sitio en el que se podrá consultar el aviso de privacidad integral. Artículo 90. Las transferencias y remisiones de datos personales que realicen las Unidades o Áreas Administrativas del Instituto en ejercicio de sus atribuciones o funciones se sujetan a lo dispuesto en el Título Quinto de la Ley General de Datos Personales. CAPÍTULO III GESTIÓN DEL EJERCICIO DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN (ARCO) DE DATOS PERSONALES Artículo 91. Las solicitudes para el ejercicio de los Derechos ARCO deberán presentarse ante la Unidad de Transparencia, a través de escrito libre, formatos, medios electrónicos o cualquier otro medio en términos de las disposiciones aplicables. El Instituto deberá dar trámite a toda solicitud para el ejercicio de los Derechos ARCO y entregar el acuse de recibo que corresponda. Los medios y procedimientos habilitados por el Instituto en su carácter de responsable para atender las solicitudes para el ejercicio de los Derechos ARCO deberán ser de fácil acceso y con la mayor cobertura posible considerando el perfil de las Personas Titulares y la forma en que mantienen contacto cotidiano o común con la persona responsable. Artículo 92. El ejercicio de los Derechos ARCO será gratuito y el Instituto solo podrá realizar cobros para recuperar los costos de reproducción, certificación o envío, conforme a la normatividad que resulte aplicable. Cuando la Persona Titular proporcione el medio magnético, electrónico o el mecanismo necesario para reproducir los datos personales, los mismos le deberán ser entregados sin costo. La información deberá ser entregada sin costo, cuando implique la entrega de no más de 20 hojas simples, de la misma manera, la Unidad de Transparencia podrá exceptuar del pago de reproducción y envío para atender las circunstancias socioeconómicas de la Persona Titular. Para la presentación de las solicitudes del ejercicio de los Derechos ARCO, el Instituto no podrá establecer ningún servicio o medio que implique un costo a la Persona Titular. Artículo 93. En la solicitud para el ejercicio de los Derechos ARCO no podrán imponerse mayores requisitos que los siguientes: I. El nombre de la Persona Titular y su domicilio o cualquier otro medio para recibir notificaciones; II. Los documentos que acrediten la identidad de la Persona Titular y, en su caso, la personalidad e identidad de su representante; III. De ser posible, la Unidad o Área responsable que trata los datos personales y ante la cual se presenta la solicitud; IV. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los Derechos ARCO, salvo que se trate del derecho de acceso; V. La descripción del Derecho ARCO que se pretende ejercer, o bien, lo que solicita la Persona Titular, y VI. Cualquier otro elemento o documento que facilite la localización de los datos personales, en su caso. Tratándose de una solicitud de acceso a datos personales, la Persona Titular o su representante deberá señalar la modalidad en la que prefiere que estos se reproduzcan. Las Unidades y Áreas Administrativas deberán atender la solicitud en la modalidad requerida por la Persona Titular, salvo que exista una imposibilidad física o jurídica que las limite a reproducir los datos personales en dicha modalidad, en cuyo caso, deberán ofrecer otras modalidades de entrega de los datos personales, así como fundar y motivar dicha actuación. En caso de que la solicitud de protección de datos no satisfaga alguno de los requisitos a que se refiere este artículo y el Instituto no cuente con elementos para subsanarla, se prevendrá a la Persona Titular de los datos dentro de los cinco días hábiles siguientes a la presentación de la solicitud de ejercicio de los Derechos ARCO, por una sola ocasión, para que subsane las omisiones dentro de un plazo de 10 días hábiles contados a partir del día hábil siguiente al de la notificación. Transcurrido dicho plazo sin que la Persona Titular o su representante desahogue la prevención se tendrá por no presentada la solicitud de ejercicio de los Derechos ARCO. La prevención tendrá el efecto de interrumpir el plazo que tiene el Instituto, para resolver la solicitud de ejercicio de Derechos ARCO.