Artículo 38. La integración, implementación y funcionamiento del registro de datos es lícita cuando se ajusta a los principios que establece esta ley y su reglamentación.

En ningún caso el registro de datos puede tener un fin contrario a la ley o la moral.

Los datos personales y los relativos a condenas y sanciones penales, sólo se pueden tratar automatizadamente para su acceso al público o a institución no competente con el permiso previo del interesado y siempre que el responsable de los datos garantice la disociación de estos.

Artículo 39. Los datos personales colectados deben ser adecuados, ciertos, pertinentes y proporcionales al ámbito y fin para el que se colectan.

La colecta de datos se debe hacer por medios lícitos que garanticen el respeto a las garantías individuales y, especialmente, de los derechos al honor y a la intimidad de la persona y la de su familia.

Artículo 40. Los datos personales sólo pueden ser utilizados para los fines que motivaron su obtención, o para fines compatibles con estos.

Los datos personales objeto de tratamiento deben ser exactos y actualizados de manera que sean congruentes con los concernientes al interesado.

Los datos personales no incluidos, incompletos, inexactos o que estén en desacuerdo con la realidad de los que corresponden a la persona que conciernen, deben ser incluidos, complementados, actualizados, rectificados o cancelados, según corresponda.

Los datos personales deben ser almacenados de modo que permitan el ejercicio del derecho de acceso por parte del interesado.

Los datos personales deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para los fines para los que fueron colectados.

 

Artículo 41. La información será confidencial en los casos siguientes:

I. Los datos personales de una persona física identificada o identificable relativos a:

a) Origen étnico o racial;
b) Características físicas;
c) Características morales;
d) Características emocionales;
e) Vida afectiva;
f) Vida familiar;
g) Domicilio;
h) Número telefónico;
i) Patrimonio;
j) Ideología;
k) Afiliación política;
l) Creencia o convicción religiosa;
m) Estado de salud física;
n) Estado de salud mental;
o) Preferencia sexual;
p) Otras análogas que afecten su intimidad, y
q) Además de la anterior, la que se entregue con tal carácter por los particulares.

Regresar

Artículo 42. Todo interesado tiene derecho a que se le informe de manera expresa y suficiente:

I. De la existencia de un registro de datos de carácter personal, el ámbito y la finalidad de la colección de éstos y de los destinatarios de la información;

II. Del carácter obligatorio o potestativo de su respuesta a las preguntas planteadas para la colecta de datos;

III. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos;

IV. De la posibilidad de ejercitar los derechos de acceso, inclusión, complementación, rectificación, suspensión, reserva y cancelación de los datos personales que le conciernan y de la forma y términos en que puede ejercitarlos, y

V. De la identidad, dirección y domicilio del responsable de los datos.

Artículo 43. El interesado cuyos datos de carácter personal hayan sido integrados a un registro de datos, tendrá los derechos siguientes:

I. Solicitar y obtener gratuitamente información de sus datos de carácter personal y del origen de estos;

II. No verse sometido a decisiones con efectos jurídicos o que le afecte, que se hayan basado exclusivamente en datos de carácter personal destinados a evaluar determinados aspectos de su personalidad;

III. Impugnar actos administrativos o decisiones privadas que solamente deriven de valoraciones de sus características y personalidad obtenidas de datos de carácter personal, en cuyo caso tendrán derecho de obtener información sobre los criterios de valoración usados. La valoración del comportamiento de un individuo basada en el tratamiento de datos de carácter personal, sólo tendrá valor probatorio a petición del interesado;

IV. Solicitar que se realicen gratuitamente las rectificaciones o cancelaciones de los datos de carácter personal que le correspondan y que no se apeguen a esta ley o que resulten inexactos o incompletos. El responsable de los datos deberá hacer efectivo este derecho dentro de los diez días hábiles siguientes al en que se enteró de aquellos, de conformidad con esta ley;

V. Recibir una indemnización proporcional al daño o lesión ocasionada en sus bienes o derechos, y

VI. Conocer gratuitamente el contenido del registro de datos dos veces por año.

Estos derechos podrán ejercerse a través del procedimiento previsto en esta ley.

Artículo 44. El interesado, sin su responsabilidad, tiene el derecho de revocar su consentimiento para eltratamiento automatizado de datos, dando aviso oportuno e indubitable al responsable de los datos.

La revocación a que hace referencia el párrafo anterior, se resolverá por parte del responsable conforme lo dispone el título quinto, capítulo II de esta ley.

Artículo 45. No se requiere el consentimiento del interesado cuando se obtengan para el ejercicio de las funciones propias de las entidades públicas en el ámbito de su competencia, ni cuando se refieran a personas vinculadas por una relación comercial, laboral, administrativa, contractual y sean necesarios para el mantenimiento de la relación o para el cumplimiento del contrato y que no tengan un fin ilícito.

Artículo 46. Los datos personales sólo pueden ser obtenidos y tratados por razones de interés general previstas en la ley, cuando previamente el interesado ha otorgado su consentimiento, o cuando se obtengan y traten con fines estadísticos o científicos, siempre que no se puedan atribuir a persona identificada o identificable.

Artículo 47. Todo interesado que se identifique tiene derecho de solicitar y obtener informes de los datos personales que le conciernan y obren en un registro de datos.

Los informes que se otorguen conforme al párrafo anterior, pueden consistir en la simple observación o la comunicación por cualquier medio fiable que garantice la comunicación integra, y la constancia de su envío y recepción.

El informe se debe proporcionar dentro de los quince días hábiles posteriores a la recepción de la solicitud.

El derecho de información a que se refiere este artículo sólo se puede ejercer de manera gratuita a intervalos no menores de tres meses, salvo que el afectado acredite un interés legítimo, caso en el cual puede ejercerlo antes y cuantas veces sea necesario.

En el caso de que el interesado haya fallecido, el representante legítimo de la sucesión puede solicitar y recibir la información a que se refiere este artículo, previa la acreditación de su carácter.

Artículo 48. Los informes se deben realizar de manera clara y sencilla, de forma que se puedan entender por el interesado, cumpliendo los aspectos siguientes:

I. La información debe ser completa y concerniente al interesado, aunque éste haya solicitado sólo parte de la información, pero no se podrán revelar datos relativos a terceros aunque estos se relacionen con aquél, y

II. Los informes se suministrarán, dependiendo de la capacidad técnica del responsable de los datos impresos en papel, en medios electrónicos, ópticos o cualquiera otro que determine el interesado.

Artículo 49. El responsable de los datos tiene prohibido formular juicios de valor sobre los datos personales que trate automatizadamente, así como registrarlos cuando no se reúnan las condiciones técnicas de integridad o seguridad.

Artículo 50. El responsable de los datos debe adoptar las medidas técnicas y de organización necesarias para evitar la adulteración, pérdida, inexactitud, insuficiencia, falta, consulta, reserva, cancelación o tratamiento no autorizado de datos.

El reglamento de esta ley determinará los requisitos y condiciones mínimas de seguridad y de organización, en función del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos.

Artículo 51. El responsable de los datos y quienes intervengan en la colecta y el tratamiento de los datos personales están obligados a guardar el secreto profesional, incluso aún después de que concluyan sus relaciones con el interesado.

El responsable de los datos, o quienes intervengan en la obtención o el tratamiento de los datos personales los deben revelar cuando se les solicite en cumplimiento de una resolución judicial o relativas a la seguridad pública o nacional, o a la salud pública.

Artículo 52. Los datos personales relativos a los antecedentes penales o faltas administrativas sólo pueden ser tratados por la autoridad administrativa, ministerial o jurisdiccional en el ámbito de su competencia.

Artículo 53. Los organismos públicos o privados de salud y los profesionales vinculados a las ciencias de la salud, pueden colectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hayan estado bajo tratamiento de aquellos, respetando en todo caso el secreto profesional, y siempre que esos datos se disocien.

Regresar

Artículo 54. Todo registro de datos personales que se organice o implemente se debe inscribir en el Registro Estatal de Datos Personales, que al efecto realice la Comisión.

El Registro a que se refiere el párrafo anterior, cuando menos debe recabar del titular del registro de datos personales, la información siguiente:

I. El nombre, dirección y domicilio del responsable del registro de datos;

II. En el caso de personas jurídicas de derecho privado, nombre del representante legal, integrantes del consejo de administración, objeto de la sociedad o asociación, razón social, fecha de constitución y registro federal de contribuyentes;

III. Características y finalidad del archivo;

IV. Categorías de datos personales que se han de obtener y tratar;

V. Forma, tiempo y lugar de obtención y actualización de los datos;

VI. Destino de los datos y personas físicas, jurídicas o entidades públicas a las que se pueden transmitir o se les puede permitir la consulta;

VII. Procedimiento para relacionar la información colectada y tratada;

VIII. Metodologías y procedimientos técnicos para asegurar la información obtenida y tratada;

IX. Nombre y domicilio de las personas que intervienen en la obtención y tratamiento de los datos;

X. Tiempo durante el cual se han de conservar los datos, y

XI. Formas y procedimientos por los cuales las personas pueden acceder a los datos personales que les conciernen, o por los cuales se puede solicitar su inclusión, complementación, actualización, rectificación, reserva y cancelación.

Cualquier modificación a la información contenida en el registro debe ser comunicada por el responsable dentro de los tres días hábiles siguientes al en que haya tenido lugar.

El incumplimiento de las normas anticipadas dará lugar a las sanciones previstas en esta ley.

Artículo 55. El registro de datos personales de carácter público sólo se pueden crear, modificar o extinguir por medio de disposiciones que dicte el titular de la entidad pública competente, observando lo dispuesto en esta ley y demás normatividad aplicable.
.
Esta resolución se deberá publicar en el Periódico Oficial del Gobierno del Estado de Tlaxcala, y deberá dar parte a la Comisión.

Artículo 56. Las disposiciones a que hace referencia el artículo anterior, deben indicar:

I. La dependencia o entidad responsable del registro de datos y órgano de gobierno de la que dependa, en su caso;

II. La estructura básica, características y finalidad del registro de datos;

III. Las personas de las que se pretende obtener datos y el carácter potestativo u obligatorio del suministro de la información;

IV. Categorías de datos personales que se han de obtener y tratar;

V. Forma, tiempo y lugar de obtención y actualización de los datos;

VI. Cesiones, transferencias o interconexiones previstas, y

VII. Dependencia o entidad pública ante los que el interesado puede solicitar los derechos de inclusión, complementación, actualización, rectificación, reserva, suspensión o cancelación.

En la resolución o disposición que determine la cancelación del registro de datos personales, se debe precisar el destino de los mismos o las medidas tomadas para su destrucción.

Artículo 57. Los registros de datos personales obtenidos y tratados para fines administrativos, deben permanecer indefinidamente y estarán sujetos al régimen general de esta ley.

La obtención y tratamiento automatizado de datos personales que se hayan realizado con fines de seguridad pública, se limitarán a prevenir un peligro inminente de seguridad pública, policial o para la represión de infracciones penales, se almacenarán en archivos específicos establecidos al efecto y se clasificarán por categorías en función de su grado de fiabilidad.

Los datos personales con fines de seguridad pública o policiales se cancelarán luego que se haya cumplido el objeto para el cual fueron colectados y tratados o ya no sean útiles para el mismo objeto.

Artículo 58. Los particulares que formen algún registro de datos personales que no sean para uso exclusivamente personal, deben registrarse conforme a lo dispuesto en el artículo 55 de esta ley.

Artículo 59. Los terceros que presten servicios de tratamiento automatizado de datos personales, no pueden aplicarlos o utilizarlos para fin distinto del que figure en el contrato de servicios, ni cederlos a persona diversa, aún para fines de conservación.

Cumplida la prestación contractual, los datos personales tratados que hayan quedado en poder del prestador de servicios deberán ser destruidos, salvo que medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrá almacenar con las debidas condiciones de seguridad por un periodo de hasta dos años.

Artículo 60. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y de crédito sólo podrán tratar automatizadamente datos de carácter personal obtenidos de fuentes accesibles al público, facilitados por el interesado o con su consentimiento previo.

Los datos personales concernientes al cumplimiento de las obligaciones pecuniarias pueden ser tratados automatizadamente cuando sean facilitados por el acreedor, con su consentimiento previo o por quien actúe en su nombre y cuenta.

El responsable de los datos referido en los párrafos anteriores, dentro de los treinta días siguientes a su registro, debe comunicar a los interesados los datos que se hayan incluido y el derecho que les asiste para recabar el informe total de ellos, en los términos establecidos en esta ley.

En caso de que el interesado lo solicite, el responsable del registro de datos le informará de los datos que le conciernen, las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos tres meses y el nombre, domicilio y dirección del cesionario.

Sólo se pueden archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo se extinga la obligación, debiéndose hacer constar dicho hecho.

La prestación de servicios de información crediticia no requerirá el previo consentimiento del interesado, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.

El responsable de los datos personales rendirá informes sobre la solvencia patrimonial y de crédito de los interesados sin calificar la viabilidad de éstos para ser sujetos de obligaciones pecuniarias.

La información relativa al buró de crédito, se regirá por la legislación federal aplicable en la materia.

Artículo 61. Los registros de datos destinados al reparto de documentos, publicidad, venta directa u otras actividades análogas sólo pueden incorporar datos personales con el consentimiento de la persona a la cual concierne, cuando ésta los ha facilitado, o cuando los datos obren en fuentes accesibles al público.

El interesado puede acceder sin costo alguno al registro de datos referidos en el párrafo anterior.

Artículo 62. Sólo se pueden obtener y tratar automatizadamente datos de carácter personal por encuestas de opinión, investigación científica y actividades análogas si el interesado otorga su consentimiento.

Los datos personales a que hace referencia el párrafo anterior se deben destinar exclusivamente al cumplimiento de la finalidad para la que fueron recabados y sólo se pueden ceder con el consentimiento previo del interesado.

Regresar

Artículo 63. Los datos que obren en un registro de datos sólo se pueden ceder a persona con interés legítimo, con el previo consentimiento del interesado, al que se debe informar suficientemente sobre la identidad del cesionario, y la finalidad de la cesión.

Artículo 64. El consentimiento de la cesión es revocable, mediante notificación indubitable al responsable de los datos.

La cesión no requiere el consentimiento del interesado, cuando:

I. La ley no lo exija;

II. La cesión se realice entre dependencias y organismos públicos en forma directa, en el ejercicio de sus atribuciones y en el ámbito de sus competencias;

III. Por razones de interés social, de seguridad pública o nacional, o salud pública, y

IV. Se aplique un procedimiento de disociación de datos de manera que no se puedan atribuir a persona identificada o identificable.

Artículo 65. El cesionario queda sujeto a las mismas obligaciones legales y reglamentadas del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el órgano de control y el interesado.

Artículo 66. La transferencia de datos con otros estados u organismos internacionales procederá en los casos siguientes, por:

I. Colaboración judicial internacional;

II. Intercambio de datos en materia de salud, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica;

III. Transferencias bancarias o bursátiles, conforme a la legislación que le resulte aplicable;

IV. Cuando la transferencia se acuerde en un tratado, convenio o instrumento internacional vigente en el que el Estado Mexicano sea parte, y

V. Cuando la transferencia tenga por objeto la cooperación internacional para la lucha contra el crimen organizado, el terrorismo, el narcotráfico y delitos contra la humanidad.

Artículo 67. La transferencia de datos personales a Estados u organismos internacionales se sujetará a la legislación federal en la materia y será hecha, en todo caso, por conducto de las autoridades federales competentes, según lo determine la ley o estipulen los convenios de colaboración al respecto.

Artículo 68. El responsable de los datos puede negar la inclusión, complementación, actualización, rectificación, reserva o cancelación de datos personales solicitada, por resolución debidamente fundada y motivada en ley, la cual debe ser notificada al interesado.

Los interesados tienen derecho de acceder a los datos personales que les conciernan y que obren en archivos, registros, bases o bancos de datos con el fin de ejercer cabalmente su derecho de defensa.

Artículo 69. El procedimiento para solicitar la modificación, cancelación, inclusión, complementación, rectificación, suspensión, reserva y cancelación de los datos personales que le conciernan al interesado, la hará constar por escrito sin más formalidad que su manifestación expresa de que es su voluntad llevar a cabo cualquiera de los actos jurídicos anteriormente mencionados.

El responsable de los datos en primera instancia, deberá resolver su petición dentro del término de quince días hábiles contados a partir de la recepción de la solicitud, informándole por escrito de manera completa, clara y sencilla el tratamiento realizado.

Artículo 70. En el caso de que la información se haya cedido o transferido, el responsable de los datos, sin cargo alguno para el interesado, debe comunicar la inclusión, complementación, rectificación, actualización o cancelación de los datos al cesionario, dentro de los tres días hábiles siguientes al en que se haya resuelto el tratamiento correspondiente.

Artículo 71. La cancelación de los datos no procede por razones de interés social, de seguridad pública o nacional, de salud pública o por afectarse derechos de terceros, en los términos que lo disponga la ley.

Artículo 72. Durante el procedimiento que se siga para complementar, rectificar, actualizar, reservar, suspender o cancelar los datos personales que conciernan al interesado, el responsable de los datos, debe bloquear los datos materia de la solicitud conforme al estado que guarden al momento de la solicitud.