Iniciativa de Ley Federal de Protección de Datos Personales, presentada por el Senador Antonio García Torres, del Grupo Parlamentario del PRI, en la sesión de la Comisión Permanente del Miércoles 14 de Febrero de 2001
Antonio García Torres, senador de la República por el Estado Libre y Soberano de Michoacán de Ocampo, en ejercicio de la facultad que me concede el artículo 71, fracción II, de la Constitución Política de los Estados Unidos Mexicanos, someto a la consideración y, en su caso, aprobación de esa Asamblea, iniciativa de Ley Federal de Protección de Datos Personales, apoyándome para ello en la siguiente:
Exposición de motivos
La historia muestra la importancia que ha tenido la información en el desarrollo de la sociedad humana.
Sin embargo, la información, su tratamiento, nunca antes tuvo la potencialidad de daño que tiene actualmente por la misma fuerza de las nuevas tecnologías. Ahora, gracias a las computadoras que se conectan en una red local, o mundial, por ejemplo, se pueden conocer y manipular datos de las personas, físicas o jurídicas.
Esto ha hecho evidente la necesidad de contener los efectos nocivos de estas nuevas tecnologías sobre los derechos fundamentales de las personas.
Con este objetivo, han surgido nuevas garantías procesales en las que se puede reconocer al habeas data1 y otros recursos.
En el exterior existen antecedentes diversos de esta nueva garantía procesal y de los recursos que se han establecido para la defensa de la intimidad y el honor de la persona en el tratamiento de sus datos.
Antecedentes externos
En el orden internacional destacan como antecedentes de la protección de la intimidad y el honor de la persona en el tratamiento de sus datos:
La Declaración Universal de los Derechos Humanos
La Declaración Americana de los Derechos y Deberes del Hombre
Incluso, cabe destacar el Proyecto de Convención Americana sobre Autodeterminación informativa de 1997, compuesto de 21 artículos en los que se propone una regulación para la protección y movimiento internacional de datos, y el cual aborda temas importantes como el derecho a la información en la recolección de los datos, el consentimiento del afectado, la calidad, categorías, seguridad y cesión de los datos, los derechos y las garantías de las personas, el habeas data, las sanciones, los recursos, la agencia de protección de datos y el registro de datos.
En Europa
En Alemania
El 7 de abril de 1970, el Parlamento del estado alemán de Hesse, promulga su normativa de protección de datos Datenshutz convirtiéndose en el primer territorio con una norma dirigida a la protección de datos.
Después, el 27 de febrero de 1977, el Parlamento Federal de Alemania aprueba la Datenshutz Federal. En estos casos, se crea un Comisario Federal para la Protección de Datos (Bundesbeauftragter fur den Datenshutz).
En Francia
En 1978 se establece la Comisión Nacional de la Informática y de las Libertades, un organismo colegiado que tiene por objeto establecer un registro de bancos de datos de consulta ciudadana.
En España
Desde 1978, la Constitución, en su artículo 18, apartado 4, dice: «La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos … »
Relacionada con esta disposición constitucional, en España se ha publicado la Ley Orgánica 5/1992, de 29 de octubre, de regulación de tratamiento automatizado de los datos de carácter personal que tiene como objeto básico la protección de la intimidad y el honor de las personas.
En los Estados Unidos de América
El 31 de diciembre de 1974, el Congreso expide el «Privacy Act (literalmente acto de retiro)», con el objeto de proteger a los individuos en sus libertades y derechos fundamentales frente a la recolección y tratamiento automatizado de datos personales por parte de las agencias federales.
En América Latina
En Brasil
En 1988 la Constitución Brasileña, en su artículo 5, numeral LXXII, se refiere al «conocimiento de informaciones relativas a la persona de la impetrante…» y a la rectificación de datos.
Aproximadamente 10 años más tarde, en Brasil se expide la Ley número 9.507, de 12 de noviembre de 1997 que reglamenta la disposición constitucional, con base en 23 artículos.
En Colombia
A partir de 1991, el artículo 15 de la Constitución de este país reconoce al habeas data como un derecho fundamental aún no reglamentado.
En Paraguay
Es a partir de 1992, teniendo como antecedente los registros obrantes en poder de la Policía Nacional, que la Constitución, en su artículo 135 reconoce el derecho de las personas para acceder a la información que le corresponda en archivos públicos y privados, para conocer la finalidad de esos registros y para actualizar, rectificar o destruir los mismos datos.
En Perú
Desde 1993, el artículo 200, inciso 3, de la Constitución establece de manera expresa el habeas data con los objetivos de que el interesado pueda acceder a la información pública, con ciertas limitantes, y evitar la difamación de la persona por la difusión o suministro a terceros de informaciones que afecten la intimidad personal y familiar.
En Ecuador
El artículo 30 de la Constitución vigente establece el habeas data con los objetos de acceder a los registros, bancos o bases de datos, conocer su uso y finalidad, así como para solicitar la rectificación, actualización, eliminación o anulación de los datos, en caso de que éstos sean erróneos o afecten ilegítimamente los derechos de las personas.
La ley de Control Constitucional de 1997 ya ha reglamentado la acción de habeas data.
En Argentina
La nueva Constitución de 1994, en su artículo 43, en su párrafo tercero, establece el habeas data como un amparo especial.
Sin embargo, pese a la gran demanda porque se regulara en ley secundaria el habeas data, es hasta el año 2000 que se expide la Ley 25326 de Protección de los Datos Personales, publicada en el Boletín Oficial correspondiente al 2 de noviembre del año mencionado.
En Argentina, el habeas data ha tenido gran recepción, y muestra de ello es que las provincias de Buenos Aires (artículo 20, inciso c de la Constitución local), Córdoba (artículo 50 de su Constitución), Chubut (artículo 56 de su Ley primaria) y Jujuy (artículo 23, inciso 6, de su Constitución), entre otras, prevén el habeas data.
En México, no obstante la gran tradición y entramado constitucional que se posee, no se ha otorgado a los gobernados la garantía procesal del habeas data. México no puede quedarse atrás de los países europeos y latinoamericanos, máxime si se toma en cuenta que los países que ya regulan el habeas data limitan el movimiento internacional de datos con aquellos países que no brinden condiciones equivalentes de seguridad a las propias, de donde se sigue que México, en alguna medida, se encontraría marginado de este movimiento internacional de datos en diferentes materias en las que pueden incluirse la comercial y económica.
La autonomía, la inviolabilidad y la dignidad de la persona
En un estado democrático que se consolida cada día más como el mexicano, se reconocen a las personas prerrogativas de libertad, de igualdad, de equidad, de seguridad, como el derecho de tránsito, de elegir el trabajo que más le acomode, de asociación con todo fin lícito, de un salario digno y remunerador, el derecho a la tierra, el derecho a un proceso justo, entre otras.
Estas prerrogativas descansan en los principios de autonomía, inviolabilidad y dignidad de la persona que se traducen en una esfera de derecho, en la legitimación para buscar la felicidad en el modo particular que se entienda, privilegiando el interés general, pero sin demérito de la persona en lo particular, quien además puede, en cierta medida y en ciertos casos limitar sus derechos.
Sobre estos principios, es natural, descansa el derecho a la integridad física y moral de la persona, el derecho a que se proteja su intimidad, personal y familiar, y su honor.
Paralelos a estos derechos se ubica la garantía procesal del habeas data que tiene el objeto de su tutela efectiva.
Objeto jurídico
Se propone que la garantía procesal tenga por objeto:
1. Que el interesado pueda acceder a los datos personales que le conciernen.
2. Que toda persona pueda acceder a los registros, archivos y bancos de datos públicos o privados de carácter público, y conocer su uso o fin para el que están destinados.
3. Que el interesado pueda pedir la inclusión, actualización, complementación, rectificación, reserva, suspensión y cancelación de los datos relativos a su persona.
Bienes protegidos
Los bienes protegidos se identifican con el honor, la intimidad y cualquiera otra garantía del gobernado.
Legitimación activa
Del interesado, esto es, de la persona a la que corresponden o conciernen los datos registrados o archivados, para acceder a ellos, para incluir datos, para actualizarlos, complementarlos, rectificarlos, reservarlos, suspenderlos o cancelarlos.
De toda persona para acceder a los registros, archivos o bancos de datos públicos o privados de carácter público, así como para conocer el uso o fin para el que están destinados.
Legitimación pasiva
Son sujetos pasivos del proceso los archivos, registros, bancos o bases de datos públicos o privados en sus diferentes hipótesis.
En esta tesitura se propone que al artículo 16 de la Constitución Política de los Estados Unidos Mexicanos se adicionen la garantía procesal indicada, en documento por separado y que de ninguna manera condiciona la procedencia de esta proposición, pues ésta sólo tiene por objeto ampliar el marco de garantías existente, no su limitación, además de que esta iniciativa no se contrapone a lo dispuesto en la proposición de reforma constitucional indicada.
En esta iniciativa se comprenden V capítulos, el primero relativo a las disposiciones generales, el segundo a los derechos de los interesados o titulares de los datos, así como a los responsables de los registros, el tercero al Instituto Federal de Protección de Datos Personales, el cuarto a las sanciones, y el quinto a la acción protectora de datos.
En el Capítulo I, se mencionan los objetos de la ley, las expresiones equivalentes, el ámbito de validez, y los principios sobre los cuales descansa la ley, sobresaliendo la circunstancia de que en ningún caso se pueden afectar los archivos, registros, bases o bancos de datos ni las fuentes de información periodísticas.
En el Capítulo II, se regulan los derechos de los interesados, estableciendo un catálogo de obligaciones correspondientes a los organismos públicos y privados titulares de los datos.
De este apartado conviene resaltar los derechos de los interesados para solicitar al Instituto Federal de Protección de Datos Personales la existencia de registros personales, las finalidades y la identidad de los responsables, así como el derecho de pedir a los responsables de archivos, registros, bases o bancos de datos informes, y de pedir de igual manera la inclusión, actualización, complementación, rectificación, reserva, suspensión y cancelación de los registros de datos que les correspondan, siempre que no se lesionen derechos de terceros o se atente contra intereses de carácter general o social.
Asimismo, en este Capítulo II, se habla de las responsabilidades de los titulares de los Registros de las diversas categorías (públicos y privados) de bases o bancos de datos, quienes deben adoptar todas las medidas necesarias para la seguridad y conservación idónea de los datos, imponiéndoseles, incluso, el deber de secreto que se extiende a todos aquellos que hayan intervenido en el tratamiento automatizado de los datos.
En el Capítulo III, se establecen las líneas generales para la creación y operación del organismo que tendrá por objeto el control de los responsables de los registros, bases o bancos de datos, así como sus atribuciones, en las que destaca la facultad de sancionar a los responsables de los archivos o registros por la comisión de violaciones leves y graves a esta ley.
En el Capítulo IV, se propone la regulación específica de las sanciones, que van desde el apercibimiento hasta la cancelación de los registros, archivos, bases o bancos de datos.
En el Capítulo V, se propone la regulación de un procedimiento especial del que conozcan los juzgados de distrito competentes con relación a causas federales, pues ello persigue que se resuelvan las controversias de manera pronta y sin obstáculos en tiempos más breves que los que corresponden, incluso a los juicios de amparo, pues una administración de justicia que no se otorgue en esos términos, prácticamente inutilizaría el recurso.
El objeto, los bienes protegidos, la legitimación pasiva y la legitimación activa, han quedado ya establecidas con anterioridad.
Cabe señalar que este procedimiento se establece con entera independencia de los procedimientos que correspondan en tratándose de responsabilidad civil, administrativa o penal.
Finalmente, en las disposiciones transitorias se prevé que los archivos, bases o bancos de datos existentes se puedan registrarse, conforme lo determine el reglamento, en un lapso posterior al establecimiento del Instituto Federal de Protección de Datos.
En estos términos, y de conformidad con lo dispuesto en los artículos 55, fracción II, y 56 del Reglamento para el Gobierno Interior del Congreso General de los Estados Unidos Mexicanos, presento a la consideración de esa Asamblea, la siguiente iniciativa de
Ley Federal de Protección de Datos Personales
Capítulo I
Disposiciones generales
Artículo 1.
3. En ningún caso se podrán afectar los registros y fuentes periodísticas.
Artículo 2.
I. De titularidad pública cuyo objeto por ley sea almacenar datos para su publicidad con carácter general;
II. Cuyo titular sea una persona física y tengan un fin exclusivamente personal;
III. De información científica, tecnológica o comercial que reproduzcan datos ya publicados en medios de comunicación oficial;
IV. De resoluciones judiciales publicadas en medios de comunicación oficial; y,
V. Administrados por los partidos políticos, sindicatos, iglesias y asociaciones religiosas, sola y exclusivamente en lo tocante a los datos que se refieren a sus asociados, miembros o ex miembros y que se relacionen con su objeto, sin perjuicio de que la cesión de datos quede sometida a lo dispuesto en esta ley.
3. Se regulan por sus disposiciones específicas los archivos, registros, bases o bancos de datos:
I. Electorales, conforme a los ordenamientos aplicables;
II. Referentes al registro civil, a la prevención, persecución y sanción de los delitos, así como a la ejecución de las sanciones penales;
III. Con fines exclusivamente estadísticos, regulados por la Ley del Instituto Nacional de Geografía, Estadística e Informática; y,
IV. Personales concernientes a integrantes de las fuerzas armadas y los cuerpos de seguridad pública o a datos relativos a esos cuerpos.
4. los archivos, registros, bancos o bases de datos relativos a la prevención, persecución, sanción de los delitos, ejecución de sanciones penales, o a los datos correspondientes a los cuerpos de las fuerzas armadas y de seguridad pública o a sus integrantes, serán reservados, y se actualizarán, complementarán, corregirán, suspenderán, o cancelarán en los términos de sus propias disposiciones, sin que les resulte aplicable el régimen general de esta ley.
Artículo 3.
3. Los datos sensibles y los relativos a condenas y sanciones penales, sólo se pueden tratar automatizadamente para su acceso al público o a institución no competente con el permiso previo del interesado y siempre que el responsable del archivo, registro, base o banco de datos garantice, a satisfacción del Instituto Federal de Protección de Datos Personales, la disociación de datos.
Artículo 4.
II. Datos sensibles: Aquellos que revelan el origen racial, étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, salud o vida sexual;
III. Archivo, registro, base o banco de datos: Conjunto de datos personales organizados, tratados automatizadamente;
IV. Tratamiento de datos: Operaciones y procedimientos sistemáticos que tienen por objeto recolectar, guardar, ordenar, modificar, relacionar, cancelar y cualquiera otra que implique el procesamiento de datos, o su cesión a terceros a través de comunicaciones, consultas, interconexiones y transferencias;
V. Responsable del archivo, registro, base o banco de datos: Persona física o jurídica que ostenta la titularidad del archivo, registro, banco o base de datos;
VI. Datos informáticos: Los datos personales tratados automatizadamente;
VII. Usuario de datos: Toda persona física, jurídica, pública o privada que trata datos personales de manera voluntaria, ya sea en archivos, registros, bancos de datos propios o a través de conexión con los mismos;
VIII. Disociación de datos: Todo tratamiento de datos personales que impida asociarlos a persona determinada o determinable; y,
IX. Interesado: La persona física o jurídica a la que conciernen los datos personales.
Artículo 5.
3. Los datos sólo pueden ser utilizados para los fines que motivaron su obtención, o para fines compatibles con estos.
4. Los datos objeto de tratamiento deben ser exactos y actualizados de manera que sean congruentes con los concernientes al interesado.
5. Los datos no incluidos, incompletos, inexactos o que estén en desacuerdo con la realidad de los que corresponden a la persona que conciernen, deben ser incluidos, complementados, actualizados, rectificados o cancelados, según corresponda.
6. Los datos deben ser almacenados de modo que permitan el ejercicio del derecho de acceso por parte del interesado.
7. Los datos deben ser cancelados cuando hayan dejado de ser necesarios o pertinentes para los fines para los que fueron colectados.
Capítulo II
De los interesados y los responsables de los registros
Artículo 7.
II. Del carácter obligatorio o potestativo de su respuesta a las preguntas planteadas para la colecta de datos;
III. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos;
IV. De la posibilidad de ejercitar los derechos de acceso, inclusión, complementación, rectificación, suspensión, reserva y cancelación de los datos personales que le conciernan y de la forma y términos en que puede ejercitarlos; y,
V. De la identidad, dirección y domicilio del responsable del archivo, registro, base o banco de datos.
Artículo 8.
3. No se requiere el consentimiento del interesado, cuando los datos de carácter personal se colecten de fuentes de información de acceso público, cuando se recojan para el ejercicio de las funciones propias de entidades y organismos públicos en el ámbito de su competencia, ni cuando se refieran a personas vinculadas por una relación comercial, laboral, administrativa, contractual y sean necesarios para el mantenimiento de la relación o para el cumplimiento del contrato.
Artículo 9.
3. Queda prohibida la formación de archivos, registros, bases o bancos que revelen datos sensibles, salvo lo dispuesto en esta ley.
4. Los datos personales relativos a los antecedentes penales o faltas administrativas sólo pueden ser tratados por los órganos y organismos públicos correspondientes en la esfera de su competencia.
5. Queda prohibido a los responsables de los archivos, registros, bancos o bases de datos formular juicios de valor sobre los datos personales que traten automatizadamente.
Artículo 10.
3. El reglamento de esta ley determinará los requisitos y condiciones mínimas de seguridad y de organización, en función del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos.
Artículo 12.
Artículo 13.
3. La cesión no requiere el consentimiento del interesado, cuando:
I. La ley no lo exija;
II. La cesión se realice entre dependencias y organismos públicos en forma directa, en el ejercicio de sus atribuciones y en el ámbito de sus competencias;
III. Por razones de interés social, de seguridad pública o nacional, o salud pública; y,
IV. Se aplique un procedimiento de disociación de datos de manera que no se puedan atribuir a persona determinada o determinable.
4. El cesionario queda sujeto a las mismas obligaciones legales y reglamentadas del cedente y éste responderá solidaria y conjuntamente por la observancia de las mismas ante el organismo de control y el interesado.
Artículo 14.
I. Colaboración judicial internacional;
II. Intercambio de datos en materia de salud, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica;
III. Transferencias bancarias o bursátiles, conforme a la legislación que le resulte aplicable;
IV. Cuando la transferencia se acuerde en un tratado, convenio o instrumento internacional vigente en el que el Estado Mexicano sea parte; y,
V. Cuando la transferencia tenga por objeto la cooperación internacional para la lucha contra el crimen organizado, el terrorismo, el narcotráfico y delitos contra la humanidad.
Artículo 15.
Artículo 16.
El informe se debe proporcionar dentro de los diez días hábiles posteriores a la recepción de la solicitud; vencido el plazo sin que se haya rendido el informe, el interesado puede promover la acción de protección de datos personales prevista en esta ley.
3. El derecho de información a que se refiere este artículo sólo se puede ejercer de manera gratuita a intervalos no menores de tres meses, salvo que el afectado acredite un interés legítimo, caso en el cual puede ejercerlo antes y cuantas veces sea necesario.
4. Para el caso de que el interesado directo haya fallecido, el representante legítimo de la sucesión pueden solicitar y recibir la información a que se refiere este artículo, previa la acreditación de su carácter.
Artículo 18.
3. Los informes se suministrarán, dependiendo de la capacidad técnica del responsable del archivo, registro, base o banco de datos: impresos en papel, en medios electrónicos, ópticos o cualquiera otro que determine el interesado.
Artículo 19.
3. Si el titular del archivo, registro, base o banco de datos no cumple con la obligación que le impone el inciso anterior, el interesado puede ejercitar la acción de protección de datos o habeas data prevista en esta ley.
4. En el caso de que la información se haya cedido o transferido, el responsable del archivo, registro, base o banco de datos, sin cargo alguno para el interesado, debe comunicar la inclusión, complementación, rectificación, actualización o cancelación de los datos al cesionario, dentro de los tres días hábiles siguientes al en que se haya resuelto el tratamiento correspondiente.
5. La cancelación de los datos no procede por razones de interés social, de seguridad pública o nacional, de salud pública o por afectarse derechos de terceros, en los términos que lo disponga la ley.
6. Durante el procedimiento que se siga para complementar, rectificar, actualizar, reservar, suspender o cancelar los datos personales que conciernan al interesado, el titular del archivo, registro, base o banco de datos, debe bloquear los datos materia de la solicitud o consignar al proveer la información relativa que se tramita un procedimiento con determinado objeto.
7. Los datos se deben conservar por el tiempo que determinen la ley o las disposiciones contractuales vigentes entre las partes.
Artículo 20.
Artículo 21.
I. El nombre, dirección y domicilio del responsable;
II. En el caso de personas jurídicas de derecho privado, nombre del representante legal, integrantes del consejo de administración, objeto de la sociedad o asociación, razón social, fecha de constitución y registro federal de causantes;
III. Características y finalidad del archivo;
IV. Categorías de datos personales que se han de colectar y tratar;
V. Forma, tiempo y lugar de recolección y actualización de los datos;
VI. Destino de los datos y personas físicas o jurídicas a las que se pueden transmitir o se les puede permitir la consulta;
VII. Procedimiento para relacionar la información colectada y tratada;
VIII. Metodologías y procedimientos técnicos para asegurar la información colectada y tratada;
IX. Nombre y domicilio de las personas que intervienen en la colecta y tratamiento de los datos;
X. Tiempo durante el cual se han de conservar los datos; y,
XI. Formas y procedimientos por los cuales las personas pueden acceder a los datos personales que les conciernen, o por los cuales se puede solicitar su inclusión, complementación, actualización, rectificación, reserva y cancelación.
3. Cualquier modificación a la información contenida en el registro debe ser comunicada por el responsable dentro de los tres días hábiles siguientes al en que haya tenido lugar.
4. El incumplimiento de las normas anticipadas dará lugar a las sanciones previstas en esta Ley.
Artículo 22.
I. El órgano u organismo público responsable del archivo, registro, base o banco de datos, y dependencia o entidad pública de la que dependa, en su caso;
II. Estructura básica, características y finalidad del archivo;
III. Personas de las que se pretende colectar datos y el carácter potestativo u obligatorio del suministro de la información;
IV. Categorías de datos personales que se han de colectar y tratar;
V. Forma, tiempo y lugar de recolección y actualización de los datos;
VI. Cesiones, transferencias o interconexiones previstas; y,
VII. Organos u organismos públicos ante los que el interesado puede solicitar los derechos de inclusión, complementación, actualización, rectificación, reserva, suspensión o cancelación.
3. En la resolución o disposición que determine la cancelación de archivos, registros, bases o bancos de datos personales, se debe precisar el destino de los mismos o las medidas tomadas para su destrucción.
Artículo 23.
3. Los datos personales con fines de seguridad pública o policiales se cancelarán luego que se haya cumplido el objeto para el cual fueron colectados y tratados o ya no sean útiles para el mismo objeto.
Artículo 24.
Artículo 26.
3. Los titulares de los archivos, registros, bancos o bases de los datos referidos en los incisos anteriores, dentro de los treinta días siguientes a su registro, deben comunicar a los interesados los datos que se hayan incluido y el derecho que les asiste para recabar informe total de ellos, en los términos establecidos en la ley.
4. En caso de que el interesado lo solicite, el responsable del archivo le informará los datos que le conciernen, las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos tres meses y el nombre, domicilio y dirección del cesionario.
5. Sólo se pueden archivar, registrar o ceder los datos personales que sean significativos para evaluar la solvencia económico financiera de los afectados durante los últimos cinco años. Dicho plazo se reducirá a dos años cuando el deudor cancele o de otro modo se extinga la obligación, debiéndose hacer constar dicho hecho.
6. La prestación de servicios de información crediticia no requerirá el previo consentimiento del interesado, cuando estén relacionados con el giro de las actividades comerciales o crediticias de los cesionarios.
7. Los responsables de los archivos, registros, bancos o bases de datos rendirán informes sobre la solvencia patrimonial y de crédito de los interesados sin calificar la viabilidad de éstos para ser sujetos de obligaciones pecuniarias.
Artículo 27.
3. El interesado tiene en todo tiempo el derecho de conocer el origen de sus datos personales, el destino de los mismos, y a que se cancelen, bastando en este caso su simple solicitud.
Artículo 28.
Capítulo III
Del Instituto Federal de Protección de Datos Personales
Artículo 29.
1. El Instituto Federal de Protección de Datos Personales es el organismo público descentralizado de la administración pública federal, con personalidad jurídica y patrimonio propios que tiene por objeto el control de los responsables de los archivos, registros, bases o bancos de datos personales y la protección de éstos.
II. Dictar las normas y disposiciones administrativas necesarias para la realización de su objeto en el ámbito de su competencia;
III. Llevar un registro actualizado y completo de los archivos, registros, bases o bancos de datos personales;
IV. Vigilar que las normas sobre integridad y seguridad de los datos personales se respeten y apliquen por los titulares de los archivos, registros, bases o bancos de datos correspondientes;
Con ese objeto, podrá solicitar a la autoridad judicial competente autorización para inspeccionar los inmuebles, equipos, herramientas y programas de captura y tratamiento de datos;
V. Solicitar la información que requiera para el cumplimiento de su objeto a las entidades públicas y privadas titulares de los archivos, registros, bases o bancos de datos personales, garantizando en todo caso la seguridad, la integridad y confidencialidad de la información;
VI. Imponer las sanciones administrativas que correspondan a los infractores de esta ley;
VII. Formular y presentar las denuncias y querellas por violaciones a lo dispuesto en esta ley; y,
VIII. Cerciorarse de que los archivos, registros, bases o bancos de datos personales destinados a suministrar informes cuenten con los requisitos necesarios para que proceda su inscripción en el Registro de Archivos, Registros, Bases o Bancos de Datos.
Artículo 31.
1. El Director del Instituto será nombrado y removido libremente por el Titular del Poder Ejecutivo Federal.
Artículo 32.
II. Tener 30 años cumplidos al momento de ser designado;
III. Tener título oficial de profesión afín al objeto del Instituto;
IV. Haberse destacado por sus estudios y/o aplicaciones en el ámbito de la informática o de las nuevas tecnologías de la información; y,
V. No haber sido condenado por la comisión de delito intencional.
Artículo 33.
II. Dirección General;
III. Consejo Consultivo;
IV. Dirección del Registro de Archivos, Registros, Bases o Banco de Datos;
V. Dirección Seguridad y Protección de Datos;
VI. Dirección de Programas y Comunicaciones, y,
VII. Dirección Jurídica.
2. El Instituto contará con el personal profesional, técnico y administrativo que autorice el presupuesto.
Artículo 34.
II. El Secretario de Gobernación, como Secretario;
III. El Secretario de Energía, como vocal;
IV. El Secretario de Educación Pública, como vocal;
V. El Secretario de Hacienda y Crédito Público, como vocal;
VI. El Secretario de Economía, como vocal;
VII. Un representante de la Cámara de Diputados, como vocal;
VIII. Un representante de la Cámara de Senadores, como vocal;
IX. Un representante del Poder Judicial Federal, como vocal; y,
X. Un representante del Consejo Nacional de Ciencia y Tecnología, como vocal.
2. La Junta de Gobierno se considera válidamente constituida con la asistencia de la mitad más uno de sus integrantes.
3. Las decisiones se tomarán por mayoría de votos de los integrantes presentes y, en caso de empate, el Presidente tiene voto de calidad.
Artículo 35.
1. Compete a la Junta de Gobierno:
III. Supervisar y dar seguimiento a los trabajos realizados por el Instituto;
IV. Aprobar el informe semestral que le presente el Director General;
V. Emitir las recomendaciones e instrucciones que estime necesarias para el correcto funcionamiento del Instituto;
VI. Nombrar a los directores de las diversas áreas del Instituto que le proponga el Director General, removiéndolos en su caso; y,
VII. Las demás que le correspondan conforme al derecho vigente.
Artículo 36.
Artículo 37.
II. Un representante designado por los titulares de archivos, registros, bases o bancos de datos reconocidos oficialmente;
III. Un representante de la Comisión Nacional de Derechos Humanos; y,
IV. Un representante de la Procuraduría General de la República.
2. Los integrantes del Consejo Consultivo durarán en su encargo tres años, y será honorífico.
3. El Consejo Consultivo es el órgano de asesoría de la Junta de Gobierno y de la Dirección General del Instituto.
4. El funcionamiento del Consejo Consultivo se determinará en el Reglamento de esta ley.
Artículo 38.
Capítulo IV
De las sanciones
Artículo 39.
II. Incumplir las instrucciones dictadas por el Director General del Instituto; y,
III. Cualquiera otra de carácter puramente formal o documental que no pueda ser catalogada como grave.
Artículo 40.
II. Colectar o tratar automatizadamente datos de carácter personal para constituir, o implementar archivos, registros, bases o bancos de datos de titularidad privada, sin el consentimiento del interesado o de quien legítimamente puede otorgarlo;
III. Colectar, tratar automatizadamente o administrar datos de carácter personal con violación de los principios que rigen esta ley o de las disposiciones que sobre protección y seguridad de datos sean vigentes;
IV. Impedir u obstaculizar el ejercicio del derecho de acceso, así como negar injustificadamente la información solicitada;
V. Violentar el secreto profesional que debe guardar por disposición de esta ley;
VI. Mantener archivos, registros, bases o bancos de datos, inmuebles, equipos o herramientas sin las condiciones mínimas de seguridad requeridas por las disposiciones aplicables; y,
VII. Obstruir las inspecciones que realice el Instituto.
Artículo 41.
II. Suspensión de operaciones;
III. Multa hasta por el equivalente de 1 a 100 días de salario mínimo vigente en el Distrito Federal al momento de comisión de la infracción; y,
IV. Clausura o cancelación del archivo, registro o banco de datos.
2. En el caso de infracciones leves a esta ley, se aplicarán al infractor, dependiendo de las circunstancias del caso, del daño causado y de las condiciones del propio infractor, la sanción que corresponda conforme a las fracciones de la I a la III de este artículo.
3. En el caso de infracciones graves, se impondrán al infractor dependiendo de las circunstancias del caso, del daño causado y de las condiciones del propio infractor, la sanción que corresponda conforme a las fracciones III y IV de este artículo.
Capítulo V
De la acción de protección de datos personales
Artículo 42.
II. En los casos en que se presuma la falsedad, inexactitud, desactualización, omisión, total o parcial, o ilicitud de la información de que se trata, para exigir su rectificación, actualización, inclusión, complementación, reserva, suspensión o cancelación.
Artículo 43.
3. En el proceso podrá intervenir en forma coadyuvante el Defensor Público Federal.
Artículo 44.
I. Cuando se interponga en contra de los responsables de archivos, registros, bancos o bases de datos públicos de órganos u organismos públicos federales; y,
II. Cuando los archivos, bases o bancos de datos de datos de carácter público o privado se encuentren interconectados en redes interestatales, nacionales o internacionales.
Artículo 46.
II. El nombre del actor y del demandado;
III. El objeto de la acción;
IV. Con la mayor precisión que sea posible, el nombre y domicilio del archivo, registro, banco o base de datos y, en su caso, el nombre y responsable del usuario del mismo;
V. En el caso de archivos, registros, bancos o bases de datos públicos, se procurará establecer el organismo estatal del cual dependen;
VI. los hechos en que el actor funde su petición, narrando sucintamente, con claridad y precisión, los motivos en los que apoya su acción, y por los cuales considera que los registros, archivos, bancos o bases de datos son omisos, incompletos, incorrectos, falsos, inexactos, o por los cuales considera que los datos deben reservarse, suspenderse, o cancelarse y destruirse;
VII. El interesado o quien promueva en su nombre y representación pueden solicitar que se asiente mientras dure el proceso que la información cuestionada se encuentra sujeta a proceso judicial;
VIII. El juez puede disponer de oficio, por causa fundada y motivada, la suspensión o reserva de los datos personales;
IX. El fundamento de derecho; y,
X. Lo que se pida, designándolo con toda exactitud, en términos claros y precisos.
Artículo 47.
Artículo 48.
1. De la demanda admitida, se correrá traslado a la persona contra la que se proponga, emplazándola para que la conteste dentro de los tres días siguientes.
Artículo 49.
Artículo 51.
3. La improcedencia de la acción no presume responsabilidad alguna en la que pudiera incurrir el demandante.
4. La sentencia, cualquiera que sea el sentido en que se pronuncie, se comunicará inmediatamente al Instituto Federal de Protección de Datos Personales, con el objeto de que lleve un registro al efecto.
Artículo 53.
Artículo primero. La presente ley entrará en vigor a los 180 días siguientes al de su publicación en el Diario Oficial de la Federación.
Artículo segundo. El Ejecutivo Federal establecerá el Instituto Federal de Protección de Datos Personales dentro de los 30 días siguientes a la entrada en vigor de la presente ley.
Artículo tercero. El Ejecutivo Federal reglamentará esta ley dentro de los 180 días siguientes a su publicación.
Artículo cuarto. El Ejecutivo Federal determinará en el reglamento de esta ley la forma, términos y plazos en que los archivos, registros, bancos o bases de datos destinados a otorgar informes deben registrarse en el organismo a que se refiere el artículo 33, fracción IV.
Artículo quinto. Se derogan las disposiciones legales, reglamentarias y administrativas que se opongan a lo dispuesto en esta ley.
México Distrito Federal, enero 31 de 2001.
Túrnese a las Comisiones de Puntos Constitucionales y de Estudios legislativos de la Cámara de Senadores y Publíquese en la Gaceta Parlamentaria y en el Diario de los Debates. Febrero 14 de 2001.
Notas:
1 Habeas data significa, en términos generales, un recurso pronto y expedito para lograr que un dato que obre en archivos, registros, bancos o bases de datos sea complementado, actualizado, corregido, suspendido, bloqueado, destruido, o bien que una sede de datos sean incluidos en esos mismos registros, archivos, bancos o bases de datos, además de que se pueda acceder a registros o bancos de datos.