LIC. ULISES ERNESTO RUIZ ORTIZ, GOBERNADOR CONSTITUCIONAL DEL ESTADO LIBRE Y SOBERANO DE OAXACA, A SUS HABITANTES HACE SABER:
QUE LA LEGISLATURA DEL ESTADO, HA TENIDO A BIEN, APROBAR LO SIGUIENTE:
DECRETO Nº 672
LA SEXAGÉSIMA LEGISLATURA CONSTITUCIONAL DEL ESTADO LIBRE Y SOBERANO DE OAXACA,
D E C R E T A:
LEYCIÓN DE DATOS LEY DE PROTECCIÓN DE DATOS PERSONALES DEL ESTADO DE OAXACA
TÍTULO PRIMERO.- GENERALIDADES
CAPÍTULO PRIMERO.- DISPOSICIONES GENERALES
Artículo 1º.- La presente Ley es de orden público e interés general y tiene como objeto:
I. Garantizar la protección de los datos personales en poder de los sujetos obligados a que se refiere este ordenamiento;
II. Regular el registro, almacenamiento, distribución, transmisión, modificación, eliminación, duración, y en general, el tratamiento de datos personales asentados en archivos, registros, bases de datos, u otros medios similares en soporte manual o automatizado y a toda modalidad de uso posterior de estos datos por el sector público.
Artículo 2º.- La presente Ley privilegiará la protección de los datos sensibles considerándose como tales, los que por su naturaleza íntima o confidencial revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a los estados de salud físico o mental, las preferencias sexuales u otras análogas que afecten su intimidad.
Artículo 3º.- Se regirán por las disposiciones legales específicas los datos personales contenidos en:
I. Los sistemas de datos personales regulados por la legislación electoral;
II. Los que sirvan a fines exclusivos de estadística pública amparados por la legislación federal;
III. Los que se conformen para la prevención, investigación y persecución de delitos y conductas antisociales. En este caso, el sujeto obligado deberá comunicar la existencia del mismo al Instituto Estatal de Acceso a la Información Pública, indicando sus características generales y su finalidad; y
IV. Los que sean sometidos a una regulación específica como materia clasificada, ya sea reservada o confidencial.
Artículo 4º.- No serán objeto de protección y regulación de ésta Ley, los datos impersonales, anónimos o disasociados y los destinados a fines estadísticos o de encuestas.
Artículo 5º.- Los sujetos obligados de esta Ley son:
I. El Poder Ejecutivo;
II. Las administraciones públicas estatal y municipales, incluyendo a los organismos desconcentrados y descentralizados, a las empresas de participación estatal y municipal y los fideicomisos públicos estatales o municipales;
III. El Poder Legislativo y la Auditoria Superior del Estado;
IV. El Poder Judicial y el Tribunal Estatal Electoral;
V. El Tribunal de lo Contencioso Administrativo, la Comisión para la Defensa de los Derechos Humanos, la Comisión Estatal de Arbitraje Médico, el Instituto Estatal de Acceso a la Información Pública, las Universidades e Instituciones de Educación Superior Públicas, el Instituto Estatal Electoral en los términos de ésta Ley y cualquier órgano autónomo del Estado;
VI. Las Juntas en materia del trabajo; y
VII. Las personas físicas y morales que administren datos personales derivados del ejercicio de recursos públicos o la prestación de servicios públicos concesionados, además de los entregados por los sujetos obligados en esta Ley.
Artículo 6º.- Para los efectos de esta Ley se entenderá por:
I. Datos personales. Toda la información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a una persona física, identificada o identificable, entre otra, la relativa a su origen étnico o racial, o que esté referida a las características físicas, morales o emocionales, a su vida afectiva y familiar, domicilio, número telefónico, patrimonio, ideología y opiniones políticas, creencias o convicciones religiosas o filosóficas, los estados de salud físico o mental y las preferencias sexuales.
Los datos personales pueden ser públicos y sensibles.
II. Datos públicos. Datos calificados como tales según los mandatos de la Ley o de la Constitución Política y todos aquellos que no sean sensibles, de conformidad con la presente Ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no tengan la clasificación de información reservada y los relativos al estado civil de las personas;
III. Datos sensibles. Los que por su naturaleza íntima o confidencial revelan origen racial y étnico, o que estén referidos a las características físicas, morales o emocionales, a su vida afectiva y familiar, domicilio, número telefónico, patrimonio, ideología y opiniones políticas, creencias o convicciones religiosas o filosóficas, los estados de salud físico o mental y las preferencias sexuales;
IV. Sistema de datos personales. Conjunto organizado de datos personales que están en posesión de los sujetos obligados, contenidos en archivos, registros, ficheros, bases o bancos de datos, cualquiera que fuere la modalidad de su creación, almacenamiento, organización o acceso;
V. Archivo público. Es el que puede ser consultado por cualquier persona por no encontrarse restringido su acceso por disposición legal;
VI. Titular de la información o Titular de los datos personales. Es la persona física a quien se refieren los datos personales que sean objeto de tratamiento;
VII. Consentimiento. Manifestación expresa, libre, inequívoca, específica e informada, mediante la cual el titular de la información consiente el tratamiento de sus datos personales;
VIII. Habeas Data. Es la acción que concede esta Ley al titular de los datos personales de acceder a los registros en poder de los sujetos obligados, para conocer la información que existe sobre su persona y solicitar su rectificación, actualización o supresión.
IX. Cesión de datos. Comunicación o transmisión autorizada de datos personales hacia una persona distinta del titular;
X. Tratamiento de datos. Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, evaluación, bloqueo, destrucción, administración y en general el procesamiento de datos personales, así como su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias;
XI. Tratamientos informatizados. Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado;
XII. Proceso de disociación. Tratamiento de los datos personales de modo que los datos resultantes no puedan relacionarse de ninguna forma o medio con persona identificada o identificable.
XIII. Unidad de Enlace. Las áreas responsables del sector público de tramitar las solicitudes de acceso a la información;
XIV. Ley. La Ley de Protección de Datos Personales del Estado de Oaxaca;
XV. Ley de Transparencia. La Ley de Transparencia y Acceso a la Información Pública para el Estado de Oaxaca; y
XVI. Instituto. El Instituto Estatal de Acceso a la Información Pública, autoridad encargada de la aplicación del presente ordenamiento.
Artículo 7º.- La información personal recabada o suministrada de conformidad con la Ley, podrá ser entregada de manera verbal, escrita, o puesta a disposición de las siguientes personas y en los siguientes términos:
I. A los titulares o a las personas debidamente autorizadas por estos mediante el procedimiento de consulta previsto en la Ley;
II. A los usuarios de la información, dentro de los parámetros y con las excepciones de la Ley;
III. A cualquier autoridad judicial, previa orden fundada y motivada;
IV. A las entidades públicas del Poder Ejecutivo, cuando el conocimiento de dicha información corresponda directamente al cumplimiento de sus funciones; y
V. A los órganos de control y demás dependencias de investigación penal, fiscal y administrativa, cuando la información sea necesaria para el desarrollo de una investigación.
CAPÍTULO SEGUNDO.- PRINCIPIOS GENERALES DE LOS DATOS PERSONALES
Artículo 8º.- La obtención y el tratamiento de datos personales por parte de los sujetos obligados, será lícita siempre que se haga en los términos de la presente ley y demás ordenamientos aplicables. En todo caso se deberá respetar el pleno ejercicio de los derechos fundamentales de los titulares de los datos personales y de las facultades que esta Ley les reconoce.
La obtención y tratamiento de datos personales no pueden tener finalidades contrarias a las Leyes.
Artículo 9º.- La información contenida en cualquier sistema de datos personales debe ser veraz, completa, exacta, actualizada, comprobable, comprensible, adecuada, pertinente y no excesiva en relación al ámbito y finalidad para los que se hubieren obtenido.
Se prohíbe el registro y divulgación de datos personales que por no cumplir con las características descritas en el párrafo anterior induzcan a error.
Artículo 10.- Los propósitos para los cuales se solicitan datos personales deben ser especificados al momento de su obtención, y el uso subsecuente de ellos debe limitarse al cumplimiento de tales propósitos u otros compatibles con éstos, y que sean especificados en cada caso en que varíen los propósitos iniciales.
La obtención de datos personales no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones legales aplicables.
Artículo 11.- Los datos personales no serán divulgados o puestos a disposición de terceros para usos diferentes a los especificados por quien los obtuvo, excepto en los casos que prevean expresamente las Leyes.
Los sujetos obligados salvaguardarán los datos personales contenidos en los padrones de beneficiarios de los programas que desarrollen, cuando la publicación de estos datos pueda inducir o produzcan discriminación o estigmatización en la sociedad.
Artículo 12.- Los Sistemas de Datos Personales deben ser protegidos contra riesgos de pérdida o de acceso, destrucción, uso, modificación o divulgación no autorizados.
Artículo 13.- Los sujetos obligados deben dar aviso en términos claros y entendibles a los titulares de la información, respecto de las prácticas de privacidad de los que gozará la información que compartan. Esto incluye:
I. Los tipos de personas u organizaciones a quienes podrá compartirse la información;
II. Las opciones que se ofrezcan al titular respecto del uso o divulgación de la información que proporcione.
Artículo 14.- Toda persona, física o moral que intervengan en la administración de datos personales, está obligada en todo tiempo a garantizar la confidencialidad de la información, inclusive después de finalizada su relación con la administración de los datos.
Artículo 15.- La información del titular no podrá suministrarse a usuarios o terceros aún cuando deje de servir para la finalidad del Sistema de datos personales, salvo los casos previstos en la presente Ley.
CAPÍTULO TERCERO.- DE LOS DERECHOS DEL TITULAR DE LOS DATOS PERSONALES
Artículo 16.- Para el tratamiento de los datos personales, será necesario el consentimiento del titular de la información, con excepción de los siguientes casos:
I. Cuando se trate de la realización de las funciones propias de la administración pública en su ámbito de competencia;
II. Cuando se transmitan entre sujetos obligados, siempre y cuando los datos personales se utilicen para el ejercicio de sus facultades;
III. Cuando exista una solicitud u orden de autoridad en materia de procuración o administración de justicia;
IV. Cuando se trate de los datos personales de las partes en contratos civiles, laborales, comerciales o administrativos;
V. Cuando sean necesarios para el tratamiento médico del titular;
VI. Cuando se trate de razones estadísticas, científicas o de interés general previstas en la ley, siempre que no puedan asociarse los datos personales con el individuo a quien se refieren;
VII. A terceros, cuando se contrate la prestación de un servicio que requiera el tratamiento de datos personales. Dichos terceros no podrán utilizar los datos personales para propósitos distintos a aquellos para los cuales se les hubieren transmitido; y
VIII. En los demás casos que establezcan las leyes.
El titular de la información podrá revocar el consentimiento mencionado en este Artículo, pero no tendrá efectos retroactivos.
Los servidores públicos, profesionales, trabajadores y otras personas físicas o morales de naturaleza privada, que por razón de sus actividades tengan acceso a Sistemas de datos personales, en poder de los sujetos obligados estarán obligados a mantener la confidencialidad de los mismos. Esta obligación subsistirá aún después de finalizar las relaciones que les dieron acceso a los datos personales. La contravención a esta disposición será sancionada de conformidad con la legislación penal.
Los datos personales relativos a la salud deberán ser operados por profesionales e instituciones de acuerdo con la legislación sanitaria local o federal, conservando la confidencialidad de los mismos de acuerdo con la presente Ley.
Artículo 17.- Toda persona podrá solicitar información a los sujetos obligados relativa a la existencia de sistemas de datos personales, sus finalidades y la identidad de sus responsables; pero únicamente tendrán acceso en lo que se refiere a sus propios datos personales.
Artículo 18.- El titular de los datos personales, previa acreditación de su identidad, tendrá derecho a solicitar y obtener en forma gratuita, información de sus propios datos personales en intervalos no inferiores a doce meses, salvo que se acredite un interés legítimo al efecto. En su caso el solicitante cubrirá únicamente los gastos de envío y reproducción aplicables.
Se exceptúan de lo dispuesto en el párrafo anterior, los actos que por disposición de las Leyes generen el pago de derechos.
Para el caso de personas fallecidas, el derecho de acceso corresponderá a sus sucesores.
Artículo 19.- La información debe ser suministrada a su titular en forma explícita y exenta de codificaciones.
La información debe ser amplia y versar sobre la totalidad del registro perteneciente al titular, aún cuando el requerimiento sólo comprenda un aspecto de los datos personales. En ningún caso la información entregada podrá revelar datos personales pertenecientes a terceros, aun cuando se vinculen con el interesado.
La información, a opción del titular de los datos personales, podrá suministrarse por escrito, por medios electrónicos u otro idóneo a tal fin.
Artículo 20.- Toda persona tiene derecho a que sean rectificados, actualizados y, cuando corresponda suprimir o someter a confidencialidad sus datos personales, en forma ágil, expedita y gratuita.
Artículo 21.- Los sujetos obligados deben rectificar, suprimir o actualizar los datos personales del titular, realizando las operaciones necesarias en el plazo máximo de quince días hábiles siguientes a la presentación de la solicitud. Este plazo podrá ampliarse por una sola vez, por un periodo igual, siempre que exista causa justificada.
Artículo 22.- En el supuesto de cesión o transferencia de datos, a que se refiere el Artículo 33 los sujetos obligados deberán notificar la rectificación, supresión o actualización al cesionario dentro de los diez días hábiles siguientes al trámite.
La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando exista una obligación legal de conservar los datos personales.
Artículo 23.- Durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el encargado del tratamiento deberá consignar al proveer información relativa al mismo la circunstancia de que se encuentra sometida a revisión. Lo anterior, sin perjuicio del derecho del titular de solicitar información de sus datos recolectados.
Artículo 24.– Los datos personales deben ser conservados durante los plazos previstos en las disposiciones legales aplicables o en su caso, en las contractuales establecidas entre la fuente de información, operador de información o usuario del sistema de datos personales y el titular de la información.
Artículo 25.- Los sujetos obligados podrán, mediante decisión fundada y motivada, denegar el acceso, rectificación o la supresión de datos personales en función de la protección del orden y la seguridad pública, o de la protección de los derechos e intereses de terceros.
La información sobre datos personales será denegada cuando su entrega obstaculice actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos y la verificación de infracciones administrativas. La resolución que así lo disponga deberá ser fundada, motivada y notificada al solicitante.
CAPÍTULO CUARTO.- DEBERES DE LOS SUJETOS OBLIGADOS
Artículo 26.- Los sujetos obligados serán responsables de la protección de los datos personales y, en relación con éstos, deberán:
I. Establecer mecanismos y procedimientos adecuados para recibir y responder las solicitudes de acceso y corrección de datos, así como capacitar a los servidores públicos y dar a conocer información sobre sus políticas en relación con la protección de tales datos, de conformidad con los lineamientos que al respecto establezca el Instituto;
II. Tratar datos personales sólo cuando éstos sean adecuados, pertinentes y no excesivos en relación con los propósitos para los cuales se hayan obtenido;
III. Poner a disposición de los individuos, a partir del momento en el cual se recaben datos personales, el documento en el que se establezcan los propósitos para su tratamiento, en términos de los lineamientos que establezca el Instituto o la instancia competente;
IV. Permitir en todo momento al titular de la información el ejercicio del derecho a conocer sobre sus datos personales, a solicitar su corrección o cancelación, así como a oponerse en los términos de esta ley, a que los mismos sean cedidos;
V. Garantizar que los datos personales sean exactos y actualizados;
VI. Sustituir, rectificar o completar, de oficio, los datos personales que fueren inexactos, ya sea total o parcialmente, o incompletos, en el momento en que tengan conocimiento de esta situación;
VII. Proceder a la cancelación de los datos personales cuando éstos dejen de ser necesarios para la finalidad para la cual se obtuvieron. No se considerará como finalidad distinta, el tratamiento que con posterioridad se les dé con objetivos estadísticos o científicos, siempre que no puedan atribuirse a persona determinada o determinable, así como para fines históricos;
VIII. Adoptar las medidas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, transmisión y acceso no autorizado; y
IX. Las demás que se deriven de la presente ley o les señalen otros ordenamientos jurídicos aplicables.
Artículo 27.- Cuando proceda la supresión total o parcial de los sistemas de datos personales, se determinará su baja documental o destino final, conforme a lo dispuesto por la Ley de Archivos del Estado de Oaxaca y otras disposiciones aplicables.
CAPÍTULO SEXTO.- CESIÓN DE DATOS PERSONALES
Artículo 28.- Los sujetos obligados podrán ceder a terceros datos personales que tengan en su poder, cuando se cumplan las siguientes condiciones:
I. Que haya mediado el consentimiento expreso del titular; y
II. Que el uso que le pretenda dar el cesionario sea compatible con la finalidad para la que se obtuvieron.
El titular podrá revocar en cualquier momento el consentimiento otorgado para la cesión de datos, mediante aviso por escrito al sujeto obligado, salvo lo dispuesto en el Artículo 17 de esta Ley.
Artículo 29.- El cesionario deberá guardar confidencialidad sobre los datos personales transmitidos y por ningún motivo podrá realizar con terceros, alguno de los actos no comprendidos en la cesión.
Artículo 30.- No se considerará cesión el acceso que un tercero tenga a los datos personales, con motivo de la prestación de un servicio de instalación, operación o mantenimiento a los sistemas de datos personales.
TÍTULO SEGUNDO.- DEL PROCEDIMIENTO DE ACCESO A LA INFORMACIÓN PERSONAL
CAPÍTULO PRIMERO.- DEL HABEAS DATA
Artículo 31.- Sólo los titulares de la información o sus representantes, podrán solicitar y obtener gratuitamente, previa acreditación ante la Unidad de Enlace correspondiente el acceso, consulta, rectificación o cancelación de la información personal del titular, registrada en los sistemas de datos personales de los sujetos obligados. Se exceptúan de lo anterior, los actos que por disposición de las Leyes generen el pago de derechos.
La entrega, modificación o cancelación de dicha información, se realizará en un plazo no mayor a 15 días hábiles contados desde la presentación de la solicitud. Este plazo podrá ser ampliado por una sola vez por un período igual, siempre que exista causa justificada. Esta disposición no se aplicará para los sistemas de datos personales que se encuentren regulados por disposiciones legales específicas.
Artículo 32.- Si transcurrido el plazo a que se refiere el Artículo anterior, y en su caso la prórroga sin que el sujeto obligado haya respondido a la solicitud planteada, operará la afirmativa fícta, cuyo efecto será como si se hubiese obsequiado la petición en sentido afirmativo.
Artículo 33.- La solicitud de acceso a los datos personales se presentará ante la Unidad de Enlace, verbalmente, mediante escrito libre o en los formatos que apruebe el Instituto ya sea por vía electrónica indubitable o personalmente. La solicitud deberá contener:
I. El nombre y nacionalidad del solicitante así como domicilio o medio para recibir notificaciones;
II. La descripción clara precisa de lo solicitado, así como los datos que faciliten su búsqueda y localización; y
III. La modalidad en la que prefiere se entregue la información.
Al solicitar una corrección o cancelación de datos personales se deberán acompañar los medios idóneos para acreditar la procedencia de la acción ejercitada.
Artículo 34.- Si los elementos proporcionados por el solicitante no bastan para localizar la información personal o son erróneos, la Unidad de Enlace podrá requerir, por una vez y dentro de los cinco días hábiles siguientes a la presentación de la solicitud, que indique otros elementos o corrija los datos para que en un término igual y en la misma forma, la complemente o la aclare. En caso de no cumplir con dicha prevención se tendrá por concluida la solicitud. Este requerimiento interrumpirá el plazo establecido en el Artículo 38.
Artículo 35.- Si los datos personales a que se refiere la solicitud obran en los sistemas de datos personales del sujeto obligado y éste considera improcedente la solicitud de acceso, rectificación o cancelación, deberá emitir una resolución fundada y motivada al respecto. Contra la negativa de entregar o corregir datos personales, y ante la omisión de respuesta a las solicitudes en los plazos establecidos, procederá la impugnación correspondiente.
CAPÍTULO SEGUNDO.- DEL RECURSO DE REVISIÓN
Artículo 36.- El recurso de revisión tiene por objeto garantizar que en los actos y resoluciones de los sujetos obligados se respeten las garantías de legalidad, seguridad jurídica y el cumplimiento de esta Ley.
El solicitante a quien se le niegue el acceso, consulta, corrección, supresión o modificación de sus datos personales podrá interponer por sí mismo o a través de su representante, el recurso de revisión ante el Instituto o ante la Unidad de Enlace que haya conocido del asunto, dentro de los quince días hábiles siguientes a la fecha de la notificación. La Unidad de Enlace deberá remitirlo al Instituto dentro de los tres días siguientes a su recepción.
ARTICULO 37.- El recurso procederá cuando:
I. El sujeto obligado no entregue los datos personales solicitados, o lo haya hecho en formato incomprensible;
II. El sujeto obligado se niegue a modificar, corregir o suprimir los datos personales o lo haga en términos distintos a los solicitados;
III. El solicitante no esté conforme con el tiempo, el costo o la modalidad de entrega;
IV. El solicitante considere que la información entregada es incompleta o no corresponda a la información requerida en la solicitud; y
V. Habiendo operado la afirmativa ficta, haya transcurrido el término de diez días hábiles sin que se le haya proporcionado la información solicitada o modificado, corregido o suprimido los datos personales.
Artículo 38.- El Instituto suplirá las deficiencias en los recursos interpuestos por los particulares.
Artículo 39.- El recurso de revisión se tramitará en los términos previstos en la Ley de Transparencia.
CAPÍTULO TERCERO.- DEL INSTITUTO ESTATAL DE ACCESO A LA INFORMACIÓN PÚBLICA
Artículo 40.- El Instituto será el organismo responsable de la tutela de los derechos consignados en la presente Ley.
Artículo 41.- El Instituto tendrá las facultades siguientes:
I. Interpretar en el orden administrativo esta Ley;
II. Emitir las autorizaciones y las instrucciones previstas por la presente Ley;
III. Proporcionar apoyo técnico a los sujetos obligados en la elaboración y ejecución de sus programas de protección de datos personales;
IV. Elaborar los formatos de solicitudes de acceso y corrección de datos personales;
V. Establecer los lineamientos y políticas generales para el manejo, mantenimiento, seguridad y protección de los datos personales, que estén en posesión de los sujetos obligados;
VI. Hacer del conocimiento de los órganos internos de control de los sujetos obligados, los hechos que sean o pudieran ser constitutivos de infracciones a esta Ley y su Reglamento;
VII. Incluir en su informe anual, las resoluciones finales que dicten los órganos internos de control y que hayan causado estado;
VIII. Diseñar, promover y, en su caso, ejecutar en coordinación con los Comités de Información previstos en la Ley de Transparencia, la capacitación de los servidores públicos en materia de protección de datos personales;
IX. Difundir entre los servidores públicos y los particulares los beneficios de la protección de datos personales y su tratamiento;
X. Elaborar y publicar estudios e investigaciones para difundir y ampliar el conocimiento sobre la materia de esta Ley;
XI. Celebrar convenios y acuerdos para el cumplimiento de esta Ley, con los sujetos obligados, la Federación, las Entidades Federativas, los Municipios, y sus órganos de transparencia y acceso a la información, con organismos nacionales e internacionales y la sociedad civil;
XII. Orientar y auxiliar a las personas para ejercer el derecho de acceso y protección de sus datos personales;
XIII. Elaborar y mantener actualizado el Registro Estatal de Protección de Datos Personales; y
XIV. Las demás que le confieran esta Ley, la Ley de Transparencia en materia de protección de datos personales, su Reglamento Interior y cualquier otra disposición aplicable.
Artículo 42.- El Instituto conformará el Registro Estatal de Protección de Datos Personales, el cual tendrá por objeto llevar un control sobre la existencia y finalidad de los sistemas de datos personales en poder de los sujetos obligados.
Artículo 43.- Los sujetos obligados deberán proporcionar al Instituto, en los plazos y términos que se establezcan en sus lineamientos, la información relativa a sus sistemas de datos personales, especificando ubicación, finalidad, características, la cesión de datos que en su caso hayan realizado y las modificaciones que hubiere.
Artículo 44.- Toda persona tiene derecho de solicitar al Instituto, información sobre la existencia y finalidad de los Sistemas de datos personales inscritos en el Registro Estatal.
CAPÍTULO CUARTO.- DE LAS RESPONSABILIDADES Y SANCIONES
Artículo 45.- Son causas de responsabilidad administrativa de los servidores públicos las siguientes:
I. Usar, sustraer, destruir, ocultar, inutilizar, divulgar o alterar, total o parcialmente y de manera indebida los datos personales que se encuentren bajo su custodia, a los cuales tengan acceso con motivo de su empleo, cargo o comisión;
II. Negar sin causa justificada, la corrección o cancelación de datos personales ;
III. Efectuar la corrección o cancelación de los datos personales fuera de los plazos establecidos ;
IV. Realizar la cesión de datos en contravención a lo dispuesto por ésta Ley; y
V. No atender el sentido de una resolución favorable para el recurrente, emitida con motivo de la interposición del recurso de revisión.
Artículo 46.- Las responsabilidades a que se refiere el Artículo anterior o cualquiera otra derivada del incumplimiento de las obligaciones establecidas en esta Ley, será sancionada en los términos de la Ley de Responsabilidades de los Servidores Públicos del Estado y Municipios de Oaxaca, independientemente de las de orden civil o penal que procedan.
T R A N S I T O R I O S :
PRIMERO.- La presente Ley entrará en vigor al día siguiente de su publicación en el Periódico Oficial del Gobierno del Estado.
SEGUNDO.- El Instituto Estatal de Acceso a la Información Pública contará con un plazo de ciento cincuenta días naturales contados a partir de la vigencia de la presente Ley, para instituir el Registro Estatal de Protección de Datos Personales y aprobar los lineamientos y políticas generales para el manejo, mantenimiento, seguridad y protección de los datos personales.
Lo tendrá entendido el Gobernador del Estado y hará que se publique y se cumpla.
DADO EN EL SALÓN DE SESIONES DEL H. CONGRESO DEL ESTADO.- San Raymundo Jalpan, Centro, Oaxaca, 7 de Agosto de 2008.
DIP. JOSÉ HUMBERTO CRUZ RAMOS, PRESIDENTE.
DIP. CRISTÓBAL CARMONA MORALES, SECRETARIO
DIP. SILVIA ESTELA ZARATE GONZÁLEZ, SECRETARIA.
Por lo tanto mando que se imprima, publique, circule y se le dé el debido cumplimiento.
Oaxaca de Juárez, Oaxaca, a 07 de Agosto de 2008.
EL GOBERNADOR CONSTITUCIONAL DEL ESTADO, LIC. ULISES ERNESTO RUIZ ORTIZ
EL SECRETARIO GENERAL DE GOBIERNO. ING. TEOFILO MANUEL GARCÍA CORPUS
Y lo comunico a usted, para su conocimiento y fines consiguientes.
SUFRAGIO EFECTIVO. NO REELECCIÓN. «EL RESPETO AL DERECHO AJENO ES LA PAZ»
Oaxaca de Juárez, Oaxaca, a 07 de Agosto de 2008. EL SECRETARIO GENERAL DE GOBIERNO. ING. TEOFILO MANUEL GARCÍA CORPUS.