Ley Proteccion Datos Personales 2017

Ley de Protección de Datos Personales en Posesión de Sujetos Obligados para el Estado de Colima
Dirección de Procesos Legislativos
LEY PUBLICADA EN EL PERIODICO OFICIAL “EL ESTADO DE COLIMA”, NO. 48, 26

JULIO 2017.
DECRETO No. 330
POR EL QUE SE EXPIDE LA LEY DE PROTECCIÓN DE DATOS PERSONALES

EN POSESIÓN DE SUJETOS OBLIGADOS PARA EL ESTADO DE COLIMA.
JOSÉ IGNACIO PERALTA SÁNCHEZ, Gobernador Constitucional del Estado Libre y

Soberano de Colima, a sus habitantes sabed: Que el H. Congreso del Estado me ha
dirigido para su publicación el siguiente
DECRETO
EL HONORABLE CONGRESO CONSTITUCIONAL DEL ESTADO LIBRE Y SOBERANO

DE COLIMA, EN EJERCICIO DE LAS FACULTADES QUE LE CONFIEREN LOS
ARTÍCULOS 33 FRACCIÓN II Y 39 DE LA CONSTITUCIÓN POLÍTICA LOCAL, EN
NOMBRE DEL PUEBLO, Y
A N T E C E D E N TE S
1.- El Lic. José Ignacio Peralta Sánchez, Gobernador Constitucional del Estado Libre y
Soberano de Colima y la Licda. Roció Campos Anguiano, Comisionada Presidenta del
Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos del Estado
de Colima, con fecha del 04 de mayo de 2017, remitieron al H. Congreso del Estado, una
iniciativa de ley con proyecto de decreto, relativa a expedir la Ley de Protección de Datos
Personales en Posesión de Sujetos Obligados para el Estado de Colima.
La cual, mediante oficio DPL/1215/017, de fecha 11 de mayo de 2017, suscrito por los
diputados secretarios de la Mesa Directiva del Congreso del Estado, se turnó a esta Comisión
de Estudios Legislativos y Puntos Constitucionales, la iniciativa descrita en el párrafo anterior,
para efectos de su estudio, análisis y elaboración del dictamen correspondiente.
2.- El Diputado Luis Humberto Ladino Ochoa y demás Diputados integrantes del Grupo
Parlamentario del Partido Acción Nacional, con fecha 13 de julio de 2017, presentaron ante la
Asamblea Legislativa, una iniciativa de ley con proyecto de decreto, relativa a expedir la Ley
de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Colima.
La cual, mediante oficio DPL/1448/017, de fecha 13 de julio de 2017, suscrito por los
Diputados Secretarios de la Mesa Directiva del Congreso del Estado, turnaron a esta
Comisión de Estudios Legislativos y Puntos Constitucionales, la iniciativa descrita en el
párrafo anterior, para efectos de su estudio, análisis y elaboración del dictamen
correspondiente.
3.-Es por ello que los integrantes de la Comisión que dictamina, procedemos a realizar el
siguiente:
ANÁLISIS DE LAS INICIATIVAS
1
I.- La iniciativa presentada por el Lic. José Ignacio Peralta Sánchez,Gobernador

Constitucional del Estado Libre y Soberano de Colima y la Licda. Roció Campos Anguiano,
Comisionada Presidenta del Instituto de Transparencia, Acceso a la Información Pública y
Protección de Datos del Estado de Colima, dentro de su exposición de motivos, señalan
sustancialmente lo siguiente:
“El 7 de febrero de 2014 fue publicado en el Diario Oficial de la Federación el Decreto por el que se
reformaron y adicionaron diversas disposiciones de la Constitución Política de los Estados Unidos
Mexicanos, en materia de transparencia.
Que dentro del contenido del Decreto se previó el derecho humano de protección de datos personales
conforme al régimen en materia de transparencia, acceso a la información, protección de datos
personales y archivos, en los artículos 6 y 16 de la Constitución Federal al prever que:
Artículo 6°. …
…
…
…
A. …
I. …
II. La información a que se refiere a la vida privada y los datos personales será protegida en los
términos y con las excepciones que fijen las leyes.
II. Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá
acceso gratuito a la información pública, sus datos personales o la ratificación de éstos.
IV a la VIII. …
B. …
Artículo 16. …
Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y
cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la
cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por
razones de seguridad nacional, disposiciones de orden público, seguridad y salud pública o para
proteger los derechos de terceros.
El artículo segundo transitorio del referido Decreto, estableció la obligación para el Congreso de la Unión
de expedir la Ley General del Artículo 6° de la Constitución Federal, así como las reformas que
corresponden a la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, la
Ley Federal de Datos Personales en Posesión de Particulares al Código Federal de Instituciones y
Procedimientos Electorales, a la Ley General del Sistema de Medios de Impugnación en Materia Electoral
y los demás ordenamientos necesarios, en un plazo de un año contado a partir de la fecha de publicación
del presente Decreto.
En acatamiento de la disposición transitoria el 4 de mayo de 2015, se publicó en el Diario Oficial de la

Federación la Ley General de Transparencia y Acceso a la Información, que funge como la primera
columna del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos
Personales, e incorporó normas comunicantes con el derecho humano de protección de datos personales.
II. Mandato fijado por el Legislador Federal
El 26 de enero de 2017, fue publicada en el Diario Oficial de la Federación la Ley General de Protección
de Datos Personales en Posesión de Sujetos Obligados, la cual establece bases, principios y
procedimientos para los tres órdenes de gobierno con el fin de garantizar el derecho que tiene toda
persona a la protección de sus datos personales, en posesión de sujetos obligados; así como distribuir
competencias entre los organismos garantes de la Federación y las Entidades Federativas, en esta
materia.
Que el artículo segundo transitorio de la citada Ley, en su párrafo primero establece la obligación de que
la Ley Federal de Transparencia y Acceso a la Información Pública, las demás leyes federales y leyes
2
vigentes de las Entidades Federativas en materia de protección de datos personales se ajusten a las
disposiciones previstas en dicha norma en un plazo de seis meses siguientes contado a partir de su
entrada en vigor (26 de enero de 2017).
Asimismo, en el párrafo segundo se determinó que en el caso de que las Legislaturas de las Entidades
Federativas omitieran total o parcialmente realizar las adecuaciones legislativas a que haya lugar, en el
plazo establecido en el párrafo anterior, resultará aplicable de manera directa la Ley General.
III. Armonización y contenido de la Iniciativa
De conformidad a los términos expresados, es menester observar las disposiciones de la Constitución

Federal y de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados para
generar una normativa estatal que se encuentre en plena armonización a las nuevas disposiciones que en
materia del Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos
Personales regirán tanto a nivel nacional como en las entidades federativas.
En ese tenor, la presente Iniciativa de Ley que propone la expedición de la Ley de Protección de Datos
Personales en Posesión de Sujetos Obligados para el Estado de Colima tiene como principal finalidad
garantizar el derecho humano de protección de datos personales estableciendo las bases, principios y
procedimientos que deberán observar tanto el Organismo Garante Estatal (Instituto de Transparencia,
Acceso a la Información Pública y Protección de datos del Estado de Colima), así como los sujetos
obligados.
Al respecto, lo que se pretende en el ámbito estatal es definir claramente los sujetos obligados en la
materia; establecer la competencias entre los sujetos obligados y el Organismo Garante; trazar las bases
y condiciones que regularán el tratamiento de los datos personales, su protección, cumplimiento y
aplicación de los medios de apremio y procedimientos para el ejercicio de los derechos ARCO; determinar
los principios y deberes que para la aplicación e interpretación de la Ley se deberán observar; y
establecer claramente las únicas limitaciones del derecho humano a la protección de datos personales.
Asimismo, el presente proyecto de Ley establece la definición y contenido de los derechos ARCO de los
titulares del derecho humano de protección de datos personales, que coadyuvarán a su efectiva
protección en el uso y manejo de sus datos personales, a saber:
Derecho de Acceso:
Derecho del titular a obtener información sobre sí, así como, si la misma está siendo objeto de
tratamiento y el alcance del mismo.
Derecho de Rectificación:
Derecho del titular a que se modifiquen los datos que resulten ser inexactos o incompletos.
Derecho de Cancelación:
Derecho del titular que da lugar a que se supriman los datos que resulten ser inadecuados o
excesivos.
Derecho de Oposición:
Prerrogativa que consiste en oponerse al uso de datos personales para una determinada
finalidad.”
II.- La iniciativa presentada por el Diputado Luis Humberto Ladino Ochoa y demás Diputados
integrantes del Grupo Parlamentario del Partido Acción Nacional, dentro de su exposición de
motivos, señalan lo siguiente:
“El concepto del derecho fundamental o lo protección de datos personales se entiende como el poder de
disposición que faculta o su titular o decidir cuáles de sus datos proporciona o un tercero, así como saber
quién posee esos datos y paro qué, pudiendo oponerse a eso posesión o uso.
En tanto, lo privacidad es concebido como el derecho de ser dejado solo, el derecho a no ser molestado,
o no ser que medie orden o mandato de autoridad competente que funde y motive el acto de molestia.
3
Por su parte, la intimidad puede concebirse como el ámbito donde el individuo ejerce plenamente su
autonomía personal, el reducto último de lo personalidad, ahí donde uno persono es lo que es.
Conforme o lo señalado, el derecho o lo protección de datos personales es un derecho fundamental

autónomo y distinto al resto de los derechos fundamentales que si bien puede guardar una cercana
relación con derechos como el de privacidad e intimidad, posee características propios y por tanto tiene
objetivos e implicaciones diversas.
En particular, el derecho de protección de datos personales está asociado o lo evolución tecnológico que
vivimos en nuestros días, en lo que el flujo de información personal es incuantificable. Así, fue necesario
lo generación de un nuevo derecho a la protección de datos personales o a la autodeterminación
informativa que respondiera de manera efectiva a los retos que el uso de los datos personales implicó en
el contexto de los desarrollos tecnológicos modernos.
En el año 2002, se expidió lo Ley Federal de Transparencia, en ello se incorporó el derecho a la

protección de datos personales en el marco jurídico mexicano, como límite o contrapeso al derecho de
acceso a lo información en la transparencia, con algunos escuetos menciones a lo largo del articulado. En
esta ley, la protección de datos personales todavía era insoslayable y dependiente del derecho de acceso
a la información y no con el carácter de un derecho autónomo. En consonancia con lo anterior, nuestro
estado, Colima, expidió en el mes de Junio de 2003 lo Ley de Protección de Datos Personales, y se
convirtió en lo primero entidad federativa en todo el país en legislar al respecto.
Fue en el año 2005 cuando se publicaron en el Diario Oficial de lo Federación los Lineamientos de
Protección de Datos Personales, los cuales representan una regulación sin precedentes en México al ser
el primer instrumento normativo, estrictamente en materia de protección de datos personales, que
desarrollo aspectos sustantivos en la materia tales como principios, deberes y derechos.
A partir del año 2006, y en el contexto de la reforma al artículo 6 de lo Constitución Política de los Estados
Unidos Mexicanos, en materia de transparencia y acceso a la información, se hace la primera referencia
constitucional al derecho o la protección de datos personales, pero sin regularlo sustancialmente,
reiterando el papel de este derecho como contrapeso del derecho de acceso a la información.
Debido a la estrecha relación que existe entre el derecho a la privacidad y a la intimidad con el derecho de
protección de datos personales, este derecho se dotó de contenido, tres años después, con una adición
de un párrafo segundo al artículo 16 constitucional en el que se establece que:"Toda persona tiene
derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así
como o manifestar su oposición, en los términos que fije lo ley, lo cual establecerá los supuestos de
excepción o los principios que rijan el tratamiento de datos, por rozones de seguridad nacional,
disposiciones de orden público, seguridad y salud públicos o poro proteger los derechos de terceros".
Así pues quedo de manifiesto en nuestra carta magna que el derecho de protección de datos personales
es un derecho distinto y autónomo de otros derechos humanos.
Conjuntamente con lo reforma al artículo I6 constitucional, se adicionó la fracción XXIX-O del artículo 73,
en donde se establece como facultad exclusivo del Congreso de lo Unión, legislar en materia de
protección de datos personales en posesión de los particulares. Con ello, esta materia se constituye como
materia federal, no concurrente, por lo que las entidades federativas no cuentan con facultades para
legislar al respecto.
No obstante lo anterior, el 7 de febrero de 2014, fue publicado en el Diario Oficial de lo Federación, el

Decreto por el que se reforman y adicionan diversos disposiciones de lo Constitución Política de los
Estados Unidos Mexicanos, en materia de transparencia, el artículo segundo transitorio de dicho decreto
establece que "El Congreso de la Unión deberá expedir la Ley General del Artículo 6 de esta Constitución,
así como las reformas que correspondan a la Ley Federal de Transparencia y Acceso a la Información
Pública Gubernamental, a la Ley Federal de Datos Personales en Posesión de los Particulares, al Código
Federal de Instituciones y Procedimientos Electorales, a la Ley General del Sistema de Medios de
Impugnación en Materia Electoral y los demás ordenamientos necesarios, en un plazo de un año contado
a partir de la fecha de publicación del presente Decreto."
Derivado de dicho decreto, el 26 de enero del presente año se publicó en el Diario Oficial de la Federación
la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
4
El artículo segundo transitorio de dicha Ley establece la obligación de las entidades federativas de
armonizar su legislación a las disposiciones previstas en dicha norma en un plazo de seis meses
siguientes contados a partir de la entrado en vigor de la misma, especificando además que en el coso de
que los Legislaturas de los Entidades Federativos omitan total o parcialmente realizar las adecuaciones
legislativos a que haya lugar, en el plazo establecido en el transitorio de referencia, les resultará aplicable
de manera directa la presente Ley, con la posibilidad de seguir aplicando de manera supletoria las leyes
preexistentes en todo aquello que no se oponga a Ia misma, hasta en tanto no se cumpla la condición
impuesta en el dicho artículo.
A fin de dar cumplimiento a lo dispuesto en el párrafo que antecede, el Grupo Parlamentario del Partido
Acción Nacional, pretende con la presentación de esta iniciativa, dotar a los Ciudadanos Colimenses de
una legislación vanguardista en el ámbito de los derechos primordiales con el objeto de dotarlos de
herramientas jurídicas que les permitan imponer un límite a las actuaciones de las autoridades que
pudieran conculcar su esfera de derechos. En el coso concreto, un límite para ejercer de manera plena el
derecho a la autodeterminación informativa de manera que cada Ciudadano del Estado decida libremente
sobre el uso y destino de sus datos personales, teniendo en todo momento el derecho a acceder,
rectificar, cancelar y oponerse legítimamente a determinados tratamientos de datos en posesión de los
sujetos obligados.
Lo anterior porque al igual que el legislador federal, coincidimos en considerar que el contenido sustantivo
del derecho de protección de datos personales contenido en la Constitución Federal, así como el que
deviene de los tratados internacionales en materia de derechos humanos, de acuerdo al artículo 1 de
dicho ordenamiento, debe desarrollarse en leyes específicas y especializadas en materia de protección de
datos personales, mismos que deberán estar armonizados con el marco constitucional local.
Atendiendo a que Ia privacidad es uno de los derechos humanos fundamentales que protege la
Constitución del Estado de Colima en su artículo primero, fracción lV, inciso b), y considerando que los
avances tecnológicos han incrementado los riesgos de un uso inadecuado de los datos personales, pues
cado día resulta más fácil integrar este tipo de datos de varias fuentes, posibilitando con ello que se
identifiquen características privados de las personas, podemos concluir entonces quela protección de los
datos de carácter personal es uno de los elementos esenciales de la privacidad, y en consecuencia
proponemos la creación de una legislación que delimite de manera precisa los derechos y obligaciones o
que deberán constreñir su actuar los sujetos obligados en materia de tratamiento de datos personales. La
iniciativa que hoy presentamos se compone de 201 artículos, l4 títulos, 23 capítulos y ocho artículos
transitorios…”
III.- Que los diputados que integramos esta Comisión, solicitamos a la Secretaría de
Planeación y Finanzas del Gobierno del Estado de Colima, la emisión del criterio técnico
respecto a las iniciativas señaladas en las fracciones que anteceden, ello mediante oficio
DJ/541/2017,lo anterior en observancia a lo establecido por el artículo 58 de la Ley de
Planeación Democrática para el Desarrollo del Estado de Colima y el artículo 16 de la Ley de
Disciplina Financiera de las Entidades Federativas y de los Municipios.
Al respecto, el C.P. Carlos Arturo Noriega García, Secretario de Planeación y Finanzas,

instruyó al Lic. Fidel Vega Gudiño, Director General Jurídico, a la C.P. Marina Nieto Carrazco,
Directora General de Egresos y al Mtro. Eduardo Rosales Ochoa, Director General de
Planeación y Control de Planeación y Control, todos ellos adscritos a la Secretaría de
Planeación y Finanzas, dar respuesta mediante oficios DGJ/63/2017 y DGJ/65/2017, en los
cuales refieren lo siguiente:
En lo que respecta al oficio DGJ/63/2017, la Dirección General de Egresos, concluye que la

iniciativa que se pone a consideración, es parcialmente procedente, toda vez que en general
sus disposiciones no generan costos de implementación, con excepción a lo dispuesto en el
Capítulo II denominado Del Programa Estatal y Municipal de Datos Personales, por lo que se
emite el dictamen en sentido parcialmente positivo. Asimismo, la Dirección de Planeación y
5
Control, manifiesta que los aspectos a los que se refiere la iniciativa, se alinea con el Eje 4
Transversal 1.- Colima con un Gobierno Moderno, Efectivo y Transparente, del Plan Estatal de
Desarrollo 2016-2021, por lo que se considera viable para su discusión.
En lo que respecta al oficio DGJ/65/2017, la Dirección General de Egresos, concluye que la

iniciativa que se pone a consideración, no compromete las finanzas públicas del Estado, toda
vez que sus disposiciones no generan costos de implementación, ni generan obligaciones
financieras adicionales, por lo que no impacta en las partidas asignadas en el presupuesto de
egresos estatal, en tal sentido no es necesario realizar ajustes o modificaciones al mismo, por
lo que se emite el dictamen en sentido positivo. Asimismo, la Dirección de Planeación y
Control, manifiesta que los aspectos a los que se refiere la iniciativa, se alinea con el Eje 4
Transversal 1.- Colima con un Gobierno Moderno, Efectivo y Transparente, del Plan Estatal de
Desarrollo 2016-2021, por lo que se considera viable para su aprobación.
IV.-Que los integrantes de esta Comisión, dentro de las actividades de estudio y análisis,
mediante oficio No. DJ/395/017, de fecha 30 de mayo de 2017solicitamosla emisión de un
Criterio Técnico Jurídico, al Instituto de Transparencia, Acceso a la Información Pública y
Protección de Datos del Estado de Colima (INFOCOL), quien a su vez, mediante oficio
INFOCOL/OCP/16272017, con fecha 02 de junio de 2017, refirió su beneplácito con la
iniciativa. Destacando que así como se indica en la misma, en su oportunidad el proyecto ya
había sido aprobado por el Pleno del órgano garante para que conjuntamente con el titular del
Poder Ejecutivo fuera enviada al Congreso del Estado.
De la misma forma, informaron que dicho proyecto era necesario para que tanto el Organismo
Garante y los sujetos obligados cuenten con los mecanismos legales que les otorguen las
facultades necesarias para interactuar de manera coordinada en la protección de datos
personales.
V.- Leídas y analizadas las iniciativas en comento, los Diputados que integramos la Comisión
de Estudios Legislativos y Puntos Constitucionales, mediante citatorio emitido por el
Presidente de la misma, sesionamos al interior de la Sala de Juntas “Francisco J. Múgica”, a
efecto de realizar el proyecto de dictamen correspondiente, con fundamento en el artículo 91
de la Ley Orgánica del Poder Legislativo del Estado, con base a los siguientes:
CONSIDERANDOS
PRIMERO.- Una vez realizado el estudio y análisis de las iniciativas indicadas en los
antecedentes del presente dictamen, la Comisión de Estudios Legislativos y Puntos
Constitucionales, determinóque es competente para conocer y resolver sobre las mismas, de
conformidad a lo dispuesto por la fracción III del artículo 53 del Reglamento de la Ley
Orgánica del Poder Legislativo del Estado.
SEGUNDO.- Esta Comisión, en su ejercicio responsable de dictaminar los asuntos que le son
turnados, considera importante puntualizar que las iniciativas materia del presente dictamen,
tienen su origen desde la reforma a la Constitución Federal del 07 de febrero de 2014,
mediante la cual se reformaron los artículos 6 y 16 de la misma para preverse el derecho
humano de protección de datos personales conforme al régimen en materia de transparencia,
acceso a la información, protección de datos personales y archivos.
6
Derivado de lo anterior, y con el objeto de dar cumplimiento a la referida reforma

constitucional, con fecha 26 de enero de 2017, fue publicada en el Periódico Oficial de la
Federación la Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados, mediante la cual se establecen las bases, principios y procedimientos para los tres
órdenes de gobierno a efecto de garantizar a toda persona la protección de sus datos
personales en posesión de sujetos obligados, así como distribuir las competencias entre los
organismos garantes, tanto nacional como locales.
La referida Ley General, en su transitorio segundo dispone la obligación de ajustar las

legislaciones locales en materia de protección de datos personales a lo dispuesto en ésta,
como se lee a continuación:
Segundo. La Ley Federal de Transparencia y Acceso a la Información Pública, las

demás leyes federales y las leyes vigentes de las Entidades Federativas en materia de
protección de datos personales, deberán ajustarse a las disposiciones previstas en
esta norma en un plazo de seis meses siguientes contado a partir de la entrada en
vigor de la presente Ley.
En caso de que el Congreso de la Unión o las Legislaturas de las Entidades

Federativas omitan total o parcialmente realizar las adecuaciones legislativas a que
haya lugar, en el plazo establecido en el párrafo anterior, resultará aplicable de
manera directa la presente Ley, con la posibilidad de seguir aplicando de manera
supletoria las leyes preexistentes en todo aquello que no se oponga a la misma, hasta
en tanto no se cumpla la condición impuesta en el presente artículo.
Lo cual hace necesario que en nuestro Estado se lleven a cabo las reformas correspondientes
y cumplir con lo dispuesto por el transitorio segundo de la citada Ley General, máxime que el
plazo para cumplir con tal disposición tiene como fecha límite el próximo 26 de julio de 2017.
Contextualizado lo anterior, ante la existencia de dos iniciativas relativas a expedir la Ley de

Protección de Datos Personales en Posesión de Sujetos Obligados, constituyen elementos
fundamentales para la elaboración del presente dictamen y asimismo dar cumplimiento al
transitorio segundo de la Ley General en la materia.
Ante ello, es nuestro deber como legisladores, acatar y armonizar nuestra ley local, con
relación a la legislación general, con el objeto de armonizar nuestra legislación a la realidad
legislativa en materia de transparencia. Al respecto, es importante mencionar que la Suprema
Corte de Justicia de la Nación, mediante jurisprudencia número P./J. 5/2010, señala que las
leyes generales son normas expedidas por el Congreso de la Unión, que distribuyen
competencias entre los distintos niveles de gobierno, en las materias pertinentes que ostentan
procedimientos para su regulación, buscando ser la plataforma mínima a partir de la cual,
desde las instancias legislativas, puedan emitir la normativa que les corresponda, tomando en
cuenta la realidad social de la Federación y de los estados, según corresponda el caso, y de
ser así, poner un mayor énfasis en determinados aspectos que sean preocupantes para una
región específica o para el país en el ámbito federal.
Así pues, siendo la intención de esta Legislatura acatar el término para la implementación de
dicha Ley, es pertinente dictaminar de manera conjunta las iniciativas referidas en los
antecedentes del presente documento, ya que ambas iniciativas cumplen con las
7
adecuaciones legislativas que nos mandata la Ley General y cumplir con la armonización
legislativa correspondiente a la realidad social, política e institucional del Estado de Colima.
TERCERO.- A juicio de los integrantes de esta Comisión, ambas iniciativas son jurídicamente
viables, sin embargo, para efectos del presente dictamen, se toma como documento base la
presentada por el titular del Poder Ejecutivo conjuntamente el INFOCOL, porque del análisis a
la misma se advierte que dicho documento se elaboró partiendo de un modelo de ley que el
propio Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales puso a disposición de las entidades federativas, el cual, fue fortalecido con el
organismo garante local, como lo es el Instituto de Transparencia, Acceso a la Información
Pública y Protección de Datos del Estado de Colima. Circunstancias que para los integrantes
de esta Comisión, cobran vital importancia, en virtud de que el mismo cuenta con el punto de
vista de quienes han de aplicar la ley y hacer efectivo el derecho humano a la protección de
datos personales en posesión de sujetos obligados.
No obstante lo anterior, es importante mencionar que ambas iniciativas coinciden en

aproximadamente un 90%, lo cual hace notar el alto nivel de coincidencia entre ambos
proyectos. Destacando que en lo relativo a la iniciativa presentada por los integrantes del
Partido Acción Nacional no se comparte la propuesta de que exista un Programa Estatal y
Municipal de Protección de Datos Personales, siendo que la Ley General ya considera un
Programa Nacional de Protección de Datos Personales, lo cual hace innecesario que a nivel
local exista uno con el mismo objetivo, ya que por su característica de “nacional” resulta
aplicable para todos los órdenes de gobierno.
Asimismo, en lo que respecta a la figura del “Oficial de protección de datos personales”,

contrario a lo que proponen el titular del Poder Ejecutivo y el propio INFOCOL, esta Comisión
determina que el mismo no forme parte del Comité de Transparencia, sino que sea como lo
propone el Partido Acción Nacional y la propia Ley General, esto es, que forme parte de la
Unidad de Transparencia de cada sujeto obligado, ya que por sus funciones hace necesario
que exista a ese nivel, , con la precisión de que contará con la facultad de proponer al Comité
de Transparencia los procedimiento internos que aseguren y fortalezcan mayor eficiencia en
la gestión de las solicitudes de los derechos ARCO.
Sobre el mismo tema, consideramos oportuno que la figura del “Oficial de protección de datos
personales” tenga el carácter de obligatoria para todos los sujetos obligados, con la
posibilidad de que su nombramiento o designación recaiga en algún trabajador existente del
sujeto obligado o la contratación de alguien más si su capacidad presupuestal se lo permite,
ya que es importante puntualizar que no todos los sujetos obligados, como lo pueden ser
asociaciones y partidos políticos, no ejercen presupuestos muy holgados que les permitan la
contratación de personal en lo específico para las funciones propias del Oficial de protección
de datos personales.
Continuando con el análisis, en lo conducente a los transitorios, particularmente en el cuarto y

quinto del presente dictamen, nos inclinamos por lo propuesto por el Partido Acción Nacional,
ya que su propuesta tiene coincidencia con lo dispuesto por la Ley General, esto es, otorgarle
un plazo de un año a partir de la entrada en vigor de la Ley a los responsables para que
observen lo dispuesto por el Capítulo II del Título Segundo, y el mismo plazo al Organismo
Garante Local para que expida los lineamientos, parámetros, criterios y demás disposiciones
de las diversas materias que regula la Ley que se propone.
8
De la misma forma, se modifica el transitorio sexto de la iniciativa para precisar que será el
Poder Ejecutivo del Estado, por conducto de la Secretaría de Planeación y Finanzas la que
hará las previsiones presupuestales que estime necesarias en el proyecto de presupuesto de
egresos del Estado que sea remitido al Congreso del Estado.
Por último, se precisa que en lo relativo al transitorio séptimo deviene innecesaria su

existencia, en virtud de que ya ha entrado en vigor la Ley General de Responsabilidades
Administrativas, la Ley General del Sistema Nacional Anticorrupción y la propia Ley del
Sistema Anticorrupción del Estado. Por lo cual, no es indispensable puntualizar en esta ley
que los asuntos de responsabilidad se les aplicará la ley vigente a la entrada en vigor de este
proyecto.
Es por lo anterior, que los diputados que integramos esta Comisión dictaminadora,
consideramos viable la propuesta presentada de manera conjunta por el titular del Poder
Ejecutivo y los integrantes del INFOCOL, a la cual se le hacen las modificaciones precisadas
en los párrafos que anteceden, quedando integrado el proyecto de ley que se propone por
159 artículos, distribuida en 11 Títulos, como se indica a continuación:
Titulo Primero intitulado “Disposiciones Generales”, Titulo Segundo intitulado “Principios y

Deberes”, Titulo Tercero intitulado “Derechos de los Titulares y su Ejercicio”, Titulo Cuarto
intitulado “Relación del Responsable y del Encargado”, Titulo Quinto intitulado
“Comunicaciones: Transferencias y Remisiones de Datos Personales”, Titula Sexto intitulado
“Acciones Preventivas en Materia de Protección de Datos Personales”, Titulo Séptimo
intitulado “Responsables en Materia de Protección de Datos Personales en Posesión de
Sujetos Obligados”, Título Octavo intitulado “Del Organismo Garante”, “Titulo Noveno
intitulado “ Del Recurso de Revisión ante el Organismo Garante”, Titulo Décimo intitulado
“Facultad de Verificación del Organismo Garante” y Titulo Décimo Primero intitulado “Medidas
de Apremio, Responsabilidades y Sanciones”.
Por lo anteriormente expuesto se expide el siguiente:
D E C R E T O No. 330
ÚNICO. Se expide la Ley de Protección de Datos Personales en Posesión de Sujetos

Obligados para el Estado de Colima, en los siguientes términos:
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN

DE SUJETOS OBLIGADOS PARA EL ESTADO DE COLIMA
TÍTULO PRIMERO
DISPOSICIONES GENERALES
CAPÍTULO ÚNICO
DIPOSICIONES GENERALES
Artículo 1. Objeto de la ley
1. La presente ley es de orden público y de observancia general en el Estado de Colima,

y tiene como objeto regular el derecho a la protección de los datos personales en
posesión de sujetos obligados, estableciendo los principios, bases, procedimientos,
9
mecanismos y garantías para el efectivo ejercicio del derecho que tiene toda persona
a la protección de datos personales en posesión de sujetos obligados.
Artículo 2. Objetivos de la ley
1. Son objetivos de esta Ley:
I. Garantizar la observancia de los principios de protección de datos personales

previstos en la presente Ley y demás disposiciones que resulten aplicables en la
materia;
II. Proteger los datos personales en posesión de cualquier autoridad, entidad, órgano y
organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos,
partidos políticos, fideicomisos y fondos públicos, del Estado y los municipios; con la
finalidad de regular su debido tratamiento;
III. Garantizar que toda persona pueda ejercer el derecho a la protección de los datos
personales;
IV. Promover, fomentar y difundir una cultura de protección de datos personales;
V. Establecer los mecanismos para garantizar el cumplimiento de las resoluciones y

determinaciones del Organismo Garante; y
VI. Los demás que se establezcan en otras disposiciones jurídicas aplicables.
Artículo 3. Destinatarios de la ley
1. Son sujetos de esta ley los sujetos obligados estatales y municipales, en relación con
el ejercicio del derecho de protección de datos personales.
2. Para efectos de esta ley son sujetos obligados en el ámbito estatal y municipal,
cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo
y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos.
3. Los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos
públicos o realice actos de autoridad en el ámbito estatal y municipal serán
responsables de los datos personales, de conformidad con la normatividad aplicable
para la protección de datos personales en posesión de los particulares.
Artículo 4. Definiciones
1. Para los efectos de la presente Ley se entenderá por:
I. Aviso de privacidad: Documento a disposición del titular de forma física,

electrónica o en cualquier formato generado por el responsable, a partir del
momento en el cual se recaben sus datos personales, con el objeto de
informarle los propósitos del tratamiento de los mismos;
10
II. Bases de datos: Conjunto ordenado de datos personales referentes a una

persona física identificada o identificable, condicionados a criterios
determinados, con independencia de la forma o modalidad de su creación, tipo
de soporte, procesamiento, almacenamiento y organización;
III. Bloqueo: La identificación y conservación de datos personales una vez

cumplida la finalidad para la cual fueron recabados, con el único propósito de
determinar posibles responsabilidades en relación con su tratamiento, hasta el
plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los
datos personales no podrán ser objeto de tratamiento y transcurrido éste, se
procederá a su cancelación en la base de datos que corresponda;
IV. Comité de Transparencia: Instancia a la que hace referencia el artículo 51 de

la Ley de Transparencia y Acceso a la Información Pública del Estado de
Colima;
V. Cómputo en la nube: Modelo de provisión externa de servicios de cómputo

bajo demanda, que implica el suministro de infraestructura, plataforma o
programa informático, distribuido de modo flexible, mediante procedimientos
virtuales, en recursos compartidos dinámicamente;
VI. Consentimiento: Manifestación de la voluntad libre, específica e informada del

titular de los datos personales mediante la cual se efectúa el tratamiento de los
mismos;
VII. Datos personales: Cualquier información concerniente a una persona física

identificada o identificable. Se considera que una persona es identificable
cuando su identidad pueda determinarse directa o indirectamente a través de
cualquier información;
VIII. Datos personales sensibles: Aquellos que se refieran a la esfera más íntima
de su titular, o cuya utilización indebida pueda dar origen a discriminación o
conlleve un riesgo grave para éste. De manera enunciativa más no limitativa,
se consideran sensibles los datos personales que puedan revelar aspectos
como origen racial o étnico, estado de salud presente o futuro, información
genética, creencias religiosas, filosóficas y morales, opiniones políticas y
preferencia sexual;
IX. Derechos ARCO: Los derechos de acceso, rectificación, cancelación y

oposición al tratamiento de datos personales;
X. Días: Días hábiles;
XI. Disociación: El procedimiento mediante el cual los datos personales no

pueden asociarse al titular, ni permitir, por su estructura, contenido o grado de
desagregación, la identificación del mismo;
11
XII. Documento de seguridad: Instrumento que describe y da cuenta de manera

general sobre las medidas de seguridad técnicas, físicas y administrativas
adoptadas por el responsable para garantizar la confidencialidad, integridad y
disponibilidad de los datos personales que posee;
XIII. Encargado: La persona física o jurídica, pública o privada, ajena a la

organización del responsable, que sola o conjuntamente con otras, trate datos
personales a nombre y por cuenta del responsable;
XIV. Evaluaciones de impacto en la protección de datos personales:

Documento mediante el cual los sujetos obligados que pretendan poner en
operación o modificar políticas públicas, programas, sistemas o plataformas
informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique
el tratamiento intensivo o relevante de datos personales, valoran los impactos
reales respecto de determinado tratamiento de datos personales, a efecto de
identificar y mitigar posibles riesgos relacionados con los principios, deberes y
derechos de los titulares, así como los deberes de los responsables y
encargados, previstos en la normativa aplicable;
XV. Fuentes de acceso público: Aquellas bases de datos, sistemas o archivos

que por disposición de ley puedan ser consultadas públicamente cuando no
exista impedimento por una norma limitativa y sin más exigencia que, en su
caso, el pago de una contraprestación, tarifa o contribución. No se considerará
fuente de acceso público cuando la información contenida en la misma sea
obtenida o tenga una procedencia ilícita, conforme a las disposiciones
establecidas por la presente Ley y demás normativa aplicable;
XVI. Instituto Nacional: Instituto Nacional de Transparencia, Acceso a la

Información y Protección de Datos Personales;
XVII. Ley General: Ley General de Protección de Datos Personales en Posesión de

Sujetos Obligados;
XVIII. Medidas compensatorias: Mecanismos alternos para dar a conocer a los

titulares el aviso de privacidad, a través de su difusión por medios masivos de
comunicación u otros de amplio alcance;
XIX. Medidas de seguridad: Conjunto de acciones, actividades, controles o

mecanismos administrativos, técnicos y físicos que permitan proteger los datos
personales;
XX. Medidas de seguridad administrativas: Políticas y procedimientos para la

gestión, soporte y revisión de la seguridad de la información a nivel
organizacional, la identificación, clasificación y borrado seguro de la
información, así como la sensibilización y capacitación del personal, en materia
de protección de datos personales;
12
XXI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos para

proteger el entorno físico de los datos personales y de los recursos
involucrados en su tratamiento. De manera enunciativa más no limitativa, se
deben considerar las siguientes actividades:
a. Prevenir el acceso no autorizado al perímetro de la organización, sus

instalaciones físicas, áreas críticas, recursos e información;
b. Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas

de la organización, recursos e información;
c. Proteger los recursos móviles, portátiles y cualquier soporte físico o

electrónico que pueda salir de la organización; y
d. Proveer a los equipos que contienen o almacenan datos personales de

un mantenimiento eficaz, que asegure su disponibilidad e integridad.
XXII. Medidas de seguridad técnicas: Conjunto de acciones y mecanismos que se

valen de la tecnología relacionada con hardware y software para proteger el
entorno digital de los datos personales y los recursos involucrados en su
tratamiento. De manera enunciativa más no limitativa, se deben considerar las
siguientes actividades:
a. Prevenir que el acceso a las bases de datos o a la información, así como

a los recursos, sea por usuarios identificados y autorizados;
b. Generar un esquema de privilegios para que el usuario lleve a cabo las

actividades que requiere con motivo de sus funciones;
c. Revisar la configuración de seguridad en la adquisición, operación,

desarrollo y mantenimiento del software y hardware; y
d. Gestionar las comunicaciones, operaciones y medios de

almacenamiento de los recursos informáticos en el tratamiento de datos
personales.
XXIII. Organismo Garante: Instituto de Transparencia, Acceso a la Información

Pública y Protección de Datos del Estado de Colima, el cual es el Organismo
Garante en el Estado en materia de protección de datos personales en
posesión de los sujetos obligados, como lo define el artículo 72 de la Ley de
Transparencia y Acceso a la Información Pública del Estado de Colima;
XXIV. Periódico Oficial: Periódico Oficial “El Estado de Colima” editado de forma
impresa y electrónica;
13
XXV. Plataforma Nacional: Plataforma Nacional de Plataforma Nacional de

Transparencia a que hace referencia el artículo 49 de la Ley General de
Transparencia y Acceso a la Información Pública;
XXVI. Remisión: Toda comunicación de datos personales realizada exclusivamente

entre el responsable y encargado, dentro o fuera del territorio mexicano;
XXVII. Responsable: Los sujetos obligados a que se refiere el artículo 3, párrafos

segundo y tercero de la presente Ley que deciden sobre el tratamiento de
datos personales, así como al definición de los fines, medios, alcances y
demás cuestiones relacionadas con el tratamiento de datos personales;
XXVIII. Sistema Nacional: Sistema Nacional de Transparencia, Acceso a la

Información y Protección de Datos Personales a que hace referencia el artículo
27 de la Ley General de Transparencia y Acceso a la Información Pública;
XXIX. Supresión: Baja archivística de los datos personales conforme a la normativa

archivística aplicable, que resulte en la eliminación, borrado o destrucción de
los datos personales bajo las medidas de seguridad previamente establecidas
por el responsable;
XXX. Titular: Persona física a quien corresponden los datos personales;
XXXI. Transferencia: Toda comunicación de datos personales dentro o fuera del

territorio mexicano, realizada a persona distinta del titular, del responsable o
del encargado;
XXXII. Tratamiento: Cualquier operación o conjunto de operaciones efectuadas

mediante procedimientos manuales la automatizados aplicados a los datos
personales, relacionadas con la obtención, uso, registro, organización,
conservación, elaboración, utilización, comunicación, difusión,
almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación,
transferencia o disposición de datos personales; y
XXXIII. Unidad de Transparencia: Instancia a la que hace referencia el artículo 55

de la Ley de Transparencia y Acceso a la Información Pública del Estado de
Colima.
Artículo 5. Datos personales sensibles
1. Por regla general no podrán tratarse datos personales sensibles, salvo que se
cuente con el consentimiento expreso de su titular o en su defecto, se trate de
los casos establecidos en el artículo 31 de esta Ley.
Artículo 6. Datos personales de menores de edad
14
1. En el tratamiento de datos personales de menores de edad se deberá

privilegiar el interés superior de la niña, el niño y el adolescente, en términos de
las disposiciones legales aplicables.
Artículo 7. Fuentes de acceso público
1. Para efectos de la presente Ley, se considerarán como fuentes de acceso

público:
I. Las páginas de internet o medios remotos o locales de comunicación electrónica,

óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos
personales esté concebido para facilitar información al público y esté abierto a la
consulta general;
II. Los directorios telefónicos en términos de la normativa específica;
III. Los diarios, gacetas o boletines oficiales, de acuerdo con su normativa;
IV. Los medios de comunicación social;
V. Los registros públicos conforme a las disposiciones que les resulten aplicables;
VI. Cualquier medio de comunicación impreso o electrónico cuya difusión sea

masiva y de libre acceso al público en general, siempre y cuando se haya
concebido para facilitar su consulta; y
VII. Las demás que así se califiquen por otras disposiciones normativas aplicables.
2. Para que los supuestos enumerados en el presente artículo sean considerados

fuentes de acceso público será necesario que su consulta pueda ser realizada
por cualquier persona no impedida por una norma limitativa, o sin más exigencia
que, en su caso, el pago de una contra prestación, derecho o tarifa. No se
considerará una fuente de acceso público cuando la información contenida en la
misma sea o tenga una procedencia ilícita.
Artículo 8. Garantía de privacidad de datos personales
1. Las autoridades del Estado y sus municipios garantizarán en el ámbito de su

competencia y en los términos de la Ley General la privacidad de los individuos
y deberán velar porque terceras personas no incurran en conductas que
puedan afectarla arbitrariamente.
Artículo 9. Limitación al derecho de protección de datos personales
1. El derecho a la protección de los datos personales solamente podrá limitarse, en

términos de ley, por razones de:
15
I. Orden público;
II. Seguridad pública;
III. Salud pública; y
IV. Protección de los derechos de terceros.
Artículo 10. Interpretación
1. En la interpretación y aplicación del derecho a la protección de datos

personales, se estará a lo establecido en la Constitución Política de los Estados
Unidos Mexicanos en materia de protección de datos personales y en los
tratados internacionales de los que el Estado Mexicano sea parte aplicables en
dicha materia, así como lo previsto en la Constitución Política del Estado en la
materia, favoreciendo en todo tiempo a las personas la protección más amplia,
salvo restricciones previstas constitucionalmente.
2. Para el caso de la interpretación, se podrán tomar en cuenta los criterios,

determinaciones y opiniones de los organismos nacionales e internacionales,
en materia de protección de datos personales.
Artículo 11. Supletoriedad
1. En lo no previsto en esta ley o en caso de deficiencia de regulación tratándose

de cuestiones procedimentales o adjetivas, se estará, en el orden de mención
siguiente, a lo establecido en los siguientes cuerpos normativos:
I. Ley de Procedimiento Administrativo para el Estado de Colima y sus

Municipios; y
II. Código de Procedimientos Civiles para el Estado de Colima.
2. Asimismo, en cualquiera de los supuestos de las fracciones anteriores, se

observarán los lineamientos, directrices y demás normatividad que establezca
el Instituto Nacional y, en su caso, a los que expida el Sistema Nacional.
Artículo 12. Aplicación material de la ley
1. La presente Ley será aplicable a cualquier tratamiento de datos personales que

obren en soportes físicos o electrónicos, con independencia de la forma o
modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y
organización.
Artículo 13. Parámetro de configuración normativa

16
1. La regulación contenida en esta ley y la normatividad que de ella derive seguirá

los principios, bases, mecanismos y procedimientos constitucionales
establecidos en dicha materia y los de la Ley General, así como por los
dispositivos de la Constitución Política del Estado Libre y Soberano de Colima,
sin perjuicio de la normatividad establecida en los Tratados Internacionales en
materia de Derechos Humanos, en especial lo relativo al derecho de protección
Artículo 14. Acuerdos institucionales especializados
1. Los sujetos obligados promoverán acuerdos con instituciones públicas

especializadas y de los sectores social y privado, que pudieran auxiliarles a la
recepción y trámite de las solicitudes inherentes a la protección de datos
personales. Los sujetos obligados promoverán, en su caso, que la información
relativa a la protección de datos personales se realice en lengua indígena,
braille o cualquier formato accesible que hagan más eficiente, efectivo y eficaz
la protección de datos personales.
TÍTULO SEGUNDO
PRINCIPIOS Y DEBERES
CAPÍTULO I
DE LOS PRINCIPIOS
Artículo 15. Principios relevantes en materia de datos personales
1. El responsable, en el manejo de datos personales, deberá observar los

principios siguientes:
I. Licitud;
II. Finalidad;
III. Lealtad;
IV. Consentimiento;
V. Calidad;
VI. Proporcionalidad;
VII. Información; y
VIII. Responsabilidad en el tratamiento de los datos personales.
17
Artículo 16. Principio de licitud
1. El tratamiento de datos personales por parte del responsable deberá sujetarse

a las facultades o atribuciones que la normatividad aplicable le confiera.
Artículo 17. Objeto del aviso de privacidad
1. El responsable deberá informar al titular, a través del aviso de privacidad, la

existencia y características principales del tratamiento al que serán sometidos
sus datos personales, a fin de que pueda tomar decisiones informadas al
respecto.
Artículo 18. Modalidades de aviso de privacidad
1. El aviso de privacidad a que se refiere el artículo anterior, se pondrá a

disposición del titular en dos modalidades, simplificado e integral, a partir del
momento en el cual se recaben sus datos personales.
Artículo 19. Aviso de privacidad simplificado
1. El aviso de privacidad simplificado deberá contener la siguiente información:
I. La denominación del responsable;
II. Las finalidades del tratamiento para las cuales se obtienen los datos
personales, distinguiendo aquéllas que requieran el consentimiento del titular;
III. Cuando se realicen transferencias de datos personales que requieran

consentimiento, se deberá informar:
a. Las autoridades, poderes, entidades, órganos y organismos

gubernamentales de los tres órdenes de gobierno y las personas físicas o
morales a las que se transfieren los datos personales; y
b. Las finalidades de estas transferencias.
IV. Los mecanismos y medios disponibles para que el titular, en su caso, pueda
manifestar su negativa para el tratamiento de sus datos personales para
finalidades y transferencias de datos personales que requieren el
consentimiento del titular; y
V. El sitio donde se podrá consultar el aviso de privacidad integral.
2. La puesta a disposición del aviso de privacidad al que refiere este artículo no

exime al responsable de su obligación de proveer los mecanismos para que el
titular pueda conocer el contenido del aviso de privacidad integral.
18
3. Los mecanismos y medios a los que refiere la fracción IV de este artículo,

deberán estar disponibles para que el titular pueda manifestar su negativa al
tratamiento de sus datos personales para las finalidades o transferencias que
requieran el consentimiento del titular, previo a que ocurra dicho tratamiento.
Artículo 20. Aviso de privacidad integral
1. Además de lo dispuesto en el artículo anterior de la presente Ley, el aviso de

privacidad integral deberá contener, al menos, la siguiente información:
I. El domicilio del responsable;
II. Los datos personales que serán sometidos a tratamiento, identificando aquéllos
que son sensibles;
III. El fundamento legal que faculta al responsable para llevar a cabo el

tratamiento;
IV. Las finalidades del tratamiento para las cuales se obtienen los datos
personales, distinguiendo aquéllas que requieren el consentimiento del titular;
V. Los mecanismos, medios y procedimientos disponibles para ejercer los

derechos ARCO;
VI. El domicilio de la Unidad de Transparencia;
VII. Los medios a través de los cuales el responsable comunicará a los titulares los
cambios al aviso de privacidad;
VIII. Las transferencias de datos personales que, en su caso, efectúe el responsable

y que no requieran del consentimiento del titular, señalando los receptores o
destinatarios de los datos personales; las finalidades que motivan dichas
transferencias y el fundamento legal que habilita al responsable para la
realización de éstas; y
IX. Las demás previstas en otras disposiciones jurídicas aplicables.
Artículo 21. Difusión del aviso de privacidad
1. Por regla general, el aviso de privacidad deberá ser difundido por los medios
electrónicos y físicos con que cuente el responsable.
2. Para que el aviso de privacidad cumpla de manera eficiente con su función de

informar, deberá estar redactado y estructurado de manera clara y sencilla. Se
promoverá que éste sea redactado en lengua indígena o cualquier formato
19
accesible, incluyendo el sistema braille, cuando por las condiciones del titular
así se requiera para su debida comprensión.
Artículo 22. Medidas compensatorias de comunicación para difundir aviso de

privacidad
1. Cuando resulte imposible dar a conocer al titular el aviso de privacidad, de

manera directa o ello exija esfuerzos desproporcionados, el responsable podrá
instrumentar medidas compensatorias de comunicación masiva de acuerdo con
los criterios que para tal efecto emita el Sistema Nacional.
Artículo 23. Obligación de documentar procedimientos para la conservación,

bloqueo y supresión
1. El responsable deberá establecer y documentar los procedimientos para la

conservación y, en su caso, bloqueo y supresión de los datos personales que
lleve a cabo, en los cuales se incluyan los periodos de conservación de los
mismos, de conformidad con lo dispuesto en el artículo 36 de la presente Ley.
2. En los procedimientos a que se refiere el párrafo anterior, el responsable

deberá incluir mecanismos que le permitan cumplir con los plazos fijados para
la supresión de los datos personales, así como para realizar una revisión
periódica sobre la necesidad de conservarlos.
Artículo 24. Principio de proporcionalidad
1. El responsable sólo deberá tratar los datos personales que resulten adecuados,
relevantes y estrictamente necesarios para la finalidad que justifica su
tratamiento.
Artículo 25. Tratamiento de los datos personales con finalidades distintas
1. El responsable podrá tratar datos personales para finalidades distintas a

aquéllas establecidas en el aviso de privacidad, siempre y cuando cuente con
atribuciones conferidas en ley y medie el consentimiento del titular, salvo que
sea una persona reportada como desaparecida, en los términos previstos en la
presente Ley y demás disposiciones que resulten aplicables en la materia.
Artículo 26. Principio de lealtad
1. El responsable no deberá obtener y tratar datos personales, a través de medios

engañosos o fraudulentos, privilegiando la protección de los intereses del titular
y la expectativa razonable de privacidad.
Artículo 27. Principio de calidad
20
1. El responsable deberá adoptar las medidas necesarias para mantener exactos,

completos, correctos y actualizados los datos personales en su posesión, a fin
de que no se altere la veracidad de éstos.
Artículo 28. Principio de finalidad
1. Todo tratamiento de datos personales que efectúe el responsable deberá estar

justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas
con las atribuciones que la normatividad aplicable les confiera.
Artículo 29. Presunción de calidad de datos personales
1. Se presume que se cumple con la calidad en los datos personales cuando

éstos son proporcionados directamente por el titular y hasta que éste no
manifieste y acredite lo contrario.
Artículo 30. Formas de manifestación del consentimiento
1. El consentimiento podrá manifestarse de forma expresa o tácita. Se deberá

entender que el consentimiento es expreso cuando la voluntad del titular se
manifieste verbalmente, por escrito, por medios electrónicos, ópticos, signos
inequívocos o por cualquier otra tecnología.
2. El consentimiento será tácito cuando habiéndose puesto a disposición del

titular el aviso de privacidad, éste no manifieste su voluntad en sentido
contrario.
3. Por regla general será válido el consentimiento tácito, salvo que la ley o las
disposiciones aplicables exijan que la voluntad del titular se manifieste
expresamente.
Artículo 31. Supuestos en los que no se necesita el consentimiento del titular
1. El responsable no estará obligado a recabar el consentimiento del titular para el

tratamiento de sus datos personales en los siguientes casos:
I. Cuando una ley así lo disponga, debiendo dichos supuestos ser acordes con las
bases, principios y disposiciones establecidos en esta Ley, en ningún caso,
podrán contravenirla;
II. Cuando exista una orden judicial, resolución o mandato fundado y motivado de
autoridad competente;
III. Para el reconocimiento o defensa de derechos del titular ante autoridad

competente;
21
IV. Cuando los datos personales se requieran para ejercer un derecho o cumplir
obligaciones derivadas de una relación jurídica entre el titular y el responsable;
V. Cuando exista una situación de emergencia que potencialmente pueda dañar a

un individuo en su persona o en sus bienes;
VI. Cuando los datos personales sean necesarios para efectuar un tratamiento para
la prevención, diagnóstico o la prestación de asistencia sanitaria;
VII. Cuando los datos personales figuren en fuentes de acceso público;
VIII. Cuando los datos personales se sometan a un procedimiento previo de

disociación; y
IX. Cuando el titular de los datos personales sea una persona reportada como
desaparecida en los términos de la ley en la materia.
Artículo 32. Consentimiento para el tratamiento de datos personales
1. Cuando no se actualice algunas de las causales de excepción previstas en el

artículo 31de esta Ley, el responsable deberá contar con el consentimiento
previo del titular para el tratamiento de los datos personales, el cual deberá
otorgarse de forma:
I. Libre: sin que medie error, mala fe, violencia o dolo que puedan afectar la
manifestación de voluntad del titular;
II. Específica: referida a finalidades concretas, lícitas, explícitas y legítimas que

justifiquen el tratamiento; y
III. Informada: que el titular tenga conocimiento del aviso de privacidad previo al
tratamiento a que serán sometidos sus datos personales.
Artículo 33. Consentimiento de menores de edad, personas en estado de

interdicción o incapacidad
1. En la obtención del consentimiento de menores de edad o de personas que se

encuentren en estado de interdicción o incapacidad declarada conforme a Ley,
se estará a lo dispuesto en las reglas de representación previstas en la
legislación civil que resulte aplicable.
Artículo 34. Consentimiento de datos personales sensibles para su tratamiento
1. Tratándose de datos personales sensibles el responsable deberá obtener el

consentimiento expreso y por escrito del titular para su tratamiento, a través de
su firma autógrafa, firma electrónica o cualquier mecanismo de autenticación
22
que al efecto se establezca, salvo en los casos previstos en el artículo 31de

esta ley.
Artículo 35. Principio de responsabilidad
1. El responsable deberá implementar los mecanismos previstos en el artículo 37

de esta Ley para acreditar el cumplimiento de los principios, deberes y
obligaciones establecidos en esta ley y rendir cuentas sobre el tratamiento de
datos personales en su posesión al titular o al Organismo Garante, caso en el
cual deberá observar la Constitución Política de los Estados Unidos Mexicanos,
los Tratados Internacionales en los que el Estado mexicano sea parte y en la
Constitución Política del Estado Libre y Soberano de Colima; en lo que no se
contraponga con la normativa mexicana podrá valerse de estándares o mejores
prácticas nacionales o internacionales para tales fines.
2. El responsable deberá informar semestralmente al Organismo Garante, a más

tardar el 31 de enero y el 31 de julio, el inventario y los sistemas de tratamiento
a que se refiere el artículo 42 fracción III de esta Ley; para el caso de que
existiese cambios en su inventario o sistemas de tratamiento, solo se
informarán estos.
Artículo 36. Plazos de conservación de datos personales
1. Cuando los datos personales hayan dejado de ser necesarios para el

cumplimiento de las finalidades previstas en el aviso de privacidad y que
motivaron su tratamiento conforme a las disposiciones que resulten aplicables,
deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el
plazo de conservación de los mismos.
2. Los plazos de conservación de los datos personales no deberán exceder de

aquéllos que sean necesarios para el cumplimiento de las finalidades que
justificaron su tratamiento, y deberán atender a las disposiciones aplicables en
la materia de que se trate y considerar los aspectos administrativos, contables,
fiscales, jurídicos e históricos de los datos personales.
Artículo 37. Mecanismos para el cumplimiento del principio de responsabilidad
1. Entre los mecanismos que deberá adoptar el responsable para cumplir con el
principio de responsabilidad establecido en la presente Ley están, por lo menos
los siguientes:
I. Destinar recursos autorizados para tal fin para la instrumentación de programas

y políticas de protección de datos personales;
II. Elaborar políticas y programas de protección de datos personales, obligatorios

y exigibles al interior de la organización del responsable;
23
III. Poner en práctica un programa de capacitación y actualización del personal

sobre las obligaciones y demás deberes en materia de protección de datos
personales;
IV. Revisar periódicamente las políticas y programas de seguridad de datos

personales para determinar las modificaciones que se requieran;
V. Establecer un sistema de supervisión y vigilancia interna y/o externa,

incluyendo auditorías, para comprobar el cumplimiento de las políticas de
protección de datos personales;
VI. Establecer procedimientos para recibir y responder dudas y quejas de los

titulares;
VII. Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios,

sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra
tecnología que implique el tratamiento de datos personales, de conformidad
con las disposiciones previstas en la presente Ley y las demás que resulten
aplicables en la materia;
VIII. Garantizar que sus políticas públicas, programas, servicios, sistemas o

plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología
que implique el tratamiento de datos personales, cumplan por defecto con las
obligaciones previstas en la presente Ley, la Ley General y las demás que
resulten aplicables en la materia; y
IX. Los demás previstos en las disposiciones jurídicas aplicables.
CAPÍTULO II
DE LOS DEBERES
Artículo 38. Elementos del documento de seguridad
1. De manera particular, el responsable deberá elaborar un documento de

seguridad que contenga, por lo menos lo siguiente:
I. El inventario de datos personales y de los sistemas de tratamiento;
II. Las funciones y obligaciones de las personas que traten datos personales;
III. El análisis de riesgos;
IV. El análisis de brecha;
V. El plan de trabajo;
24
VI. Los mecanismos de monitoreo y revisión de las medidas de seguridad;
VII. El programa general de capacitación;
VIII. Los mecanismos de restauración y/o recuperación de los datos personales en

caso de destrucción o perdida; y
IX. Los demás previstos en las disposiciones jurídicas aplicables.
Artículo 39. Actualización del documento de seguridad
1. El responsable deberá actualizar el documento de seguridad cuando ocurran

los siguientes eventos:
I. Se produzcan modificaciones sustanciales al tratamiento de datos personales

que deriven en un cambio en el nivel de riesgo;
II. Como resultado de un proceso de mejora continua, derivado del monitoreo y

revisión del sistema de gestión;
III. Como resultado de un proceso de mejora para mitigar el impacto de una

vulneración a la seguridad ocurrida;
IV. Implementación de acciones correctivas y preventivas ante una vulneración de

seguridad; y
V. Los demás previstos en las disposiciones jurídicas aplicables.
Artículo 40. Medidas de seguridad en el tratamiento de datos personales
1. Con independencia del tipo de sistema en el que se encuentren los datos

personales o el tipo de tratamiento que se efectúe, el responsable deberá
establecer y mantener las medidas de seguridad de carácter administrativo,
físico y técnico para la protección de los datos personales, que permitan
protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o
tratamiento no autorizado, así como garantizar su confidencialidad, integridad y
disponibilidad.
Artículo 41. Consideraciones previstas en las medidas de seguridad
1. Las medidas de seguridad adoptadas por el responsable deberán considerar,

cuando menos:
I. El riesgo inherente a los datos personales tratados;
25
II. La sensibilidad de los datos personales tratados;
III. El desarrollo tecnológico;
IV. Las posibles consecuencias de una vulneración para los titulares;
V. Las transferencias de datos personales que se realicen;
VI. El número de titulares;
VII. Las vulneraciones previas ocurridas en los sistemas de tratamiento;
VIII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los
datos personales tratados para una tercera persona no autorizada para su
posesión; y
IX. Las demás previstas en las disposiciones jurídicas aplicables.
Artículo 42. Actividades para establecer y mantener las medidas de seguridad
1. Para establecer y mantener las medidas de seguridad para la protección de los

datos personales, el responsable deberá realizar, por lo menos las siguientes
actividades interrelacionadas:
I. Crear políticas internas para la gestión y tratamiento de los datos personales,

que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de
vida de los datos personales, es decir, su obtención, uso y posterior supresión;
II. Definir las funciones y obligaciones del personal involucrado en el tratamiento

de datos personales;
III. Elaborar un inventario de datos personales y de los sistemas de tratamiento;
IV. Realizar un análisis de riesgo de los datos personales, considerando las

amenazas y vulnerabilidades existentes para los datos personales y los
recursos involucrados en su tratamiento, como pueden ser, de manera
enunciativa más no limitativa, hardware, software, personal del responsable,
entre otros;
V. Realizar un análisis de brecha, comparando las medidas de seguridad

existentes contra las faltantes en la organización del responsable;
VI. Elaborar un plan de trabajo para la implementación de las medidas de

seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las
políticas de gestión y tratamiento de los datos personales;
26
VII. Monitorear y revisar de manera periódica las medidas de seguridad

implementadas, así como las amenazas y vulneraciones a las que están
sujetos los datos personales;
VIII. Diseñar y aplicar diferentes niveles de capacitación del personal bajo su

mando, dependiendo de sus roles y responsabilidades respecto del tratamiento
de los datos personales; y
Artículo 43. Sistema de gestión para las medidas de seguridad
1. Las acciones relacionadas con las medidas de seguridad para el tratamiento de

los datos personales deberán estar documentadas y contenidas en un sistema
de gestión.
2. Se entenderá por sistema de gestión al conjunto de elementos y actividades

interrelacionadas para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar el tratamiento y seguridad de los datos personales, de
conformidad con lo previsto en esta ley y las demás disposiciones que resulten
aplicables en la materia.
Artículo 44. Controles sobre confidencialidad
1. El responsable deberá establecer controles o mecanismos que tengan por

objeto que todas aquellas personas que intervengan en cualquier fase del
tratamiento de los datos personales, guarden confidencialidad respecto de
éstos, obligación que subsistirá aún después de finalizar sus relaciones con el
mismo.
2. Lo anterior, sin menoscabo de lo establecido en las disposiciones de acceso a

la información pública.
Artículo 45. Información que debe otorgar el responsable al titular
1. El responsable deberá informar al titular, por lo menos lo siguiente:
I. La naturaleza del incidente;
II. Los datos personales comprometidos;
III. Las recomendaciones al titular acerca de las medidas que éste pueda adoptar
para proteger sus intereses;
IV. Las acciones correctivas realizadas de forma inmediata;
27
V. Los medios donde puede obtener más información al respecto;
VI. Las acciones legales para garantizar la no afectación de sus intereses o la

recuperación de lo afectado; y
VII. La demás información que se establezca en las disposiciones jurídicas

aplicables.
Artículo 46. Acciones a realizarse en caso de vulneración a la seguridad
1. En caso de que ocurra una vulneración a la seguridad, el responsable deberá

analizar las causas por las cuales se presentó e implementar en su plan de
trabajo las acciones preventivas y correctivas para adecuar las medidas de
seguridad y el tratamiento de los datos personales, si fuese el caso, a efecto de
evitar que la vulneración se repita.
Artículo 47. Vulneración a la seguridad
1. Además de las que señalen las leyes respectivas y la normatividad aplicable,

se considerarán como vulneraciones de seguridad, en cualquier fase del
tratamiento de datos, al menos, las siguientes:
I. La pérdida o destrucción no autorizada;
II. El robo, extravío o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado; y
IV. El daño, la alteración o modificación no autorizada.
Artículo 48. Bitácora de las vulneraciones a la seguridad
1. El responsable deberá llevar una bitácora de las vulneraciones a la seguridad

en la que se describan los datos siguientes:
I. La fecha en la que ocurrió;
II. El motivo de ésta;
III. Las acciones correctivas implementadas de forma inmediata y definitiva;
IV. Nombre del responsable o responsables;
V. Encargado, cuando la vulneración de seguridad devenga de un tratamiento de

datos personales efectuado por el responsable;
28
VI. Origen de las vulneraciones;
VII. Número de vulneración o recurrencia de éstas; y
VIII. Los demás que se establezcan en las disposiciones jurídicas aplicables.
Artículo 49. Obligación del responsable de informar las vulneraciones al titular y

al Organismo Garante
1. El responsable deberá informar sin dilación alguna al titular y al Organismo

Garante, las vulneraciones que afecten de forma significativa los derechos
patrimoniales o morales, en cuanto se confirme que ocurrió la vulneración y
que el responsable haya empezado a tomar las acciones encaminadas a
detonar un proceso de revisión exhaustiva de la magnitud de la afectación, a fin
de que los titulares afectados puedan tomar las medidas correspondientes para
la defensa de sus derechos.
TÍTULO TERCERO
DERECHOS DE LOS TITULARES Y SU EJERCICIO
CAPÍTULO I
DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y
OPOSICIÓN (ARCO)
Artículo 50. Ejercicio de los derechos ARCO
1. En todo momento el titular o su representante podrán solicitar al responsable,

el acceso, rectificación, cancelación u oposición al tratamiento de los datos
personales que le conciernen, así como el derecho de portabilidad de datos
personales, de conformidad con lo establecido en este Título. El ejercicio de
cualquiera de los derechos ARCO no es requisito previo, ni impide el ejercicio
de otro derecho.
Artículo 51. Derecho del titular al acceso a sus datos personales
1. El titular tendrá derecho de acceder a sus datos personales que obren en

posesión del responsable, así como conocer la información relacionada con las
condiciones y generalidades de su tratamiento.
Artículo 52. Supuestos en que opera la rectificación y corrección de datos

personales
1. El titular tendrá derecho a solicitar al responsable la rectificación o corrección

de sus datos personales, cuando éstos resulten ser:
I. Inexactos;
29
II. Incompletos;
III. No se encuentren actualizados; o
IV. Cualquier otro supuesto que implique rectificar o corregir.
Artículo 53. Derecho del titular a la cancelación de datos personales
1. El titular tendrá derecho a solicitar la cancelación de sus datos personales de

los archivos, registros, expedientes y sistemas del responsable, a fin de que los
mismos ya no estén en su posesión y dejen de ser tratados por éste último.
Artículo 54. Supuestos en los que opera la oposición al tratamiento de datos

personales
1. El titular podrá oponerse al tratamiento de sus datos personales o exigir que se

cese en el mismo, cuando:
I. Aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su
persistencia cause un daño o perjuicio al titular;
II. Sus datos personales sean objeto de un tratamiento automatizado, el cual le

produzca efectos jurídicos no deseados o afecte de manera significativa sus
intereses, derechos o libertades, y estén destinados a evaluar, sin intervención
humana, determinados aspectos personales del mismo o analizar o predecir,
en particular, su rendimiento profesional, situación económica, estado de salud,
preferencias sexuales, fiabilidad o comportamiento; y
III. Los demás supuestos previstos en las disposiciones jurídicas aplicables.
CAPÍTULO II
DEL EJERCICIO DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN (ARCO)
Artículo 55. Requisitos para el ejercicio de los derechos ARCO
1. Para el ejercicio de los derechos ARCO, y del derecho de portabilidad de datos

personales, será necesario acreditar la identidad del titular en el momento de
su solicitud, y en su caso, la identidad y personalidad con la que actúe el
representante.
2. El ejercicio de los derechos ARCO por persona distinta a su titular o a su

representante, será posible, excepcionalmente, en aquellos supuestos
previstos por disposición legal, o en su caso, por mandato judicial.
30
3. En el ejercicio de los derechos ARCO de menores de edad o de personas que

se encuentren en estado de interdicción o incapacidad de conformidad con las
leyes civiles, se estará a las reglas de representación dispuestas en la misma
legislación.
4. Tratándose de datos personales concernientes a personas fallecidas, la

persona que acredite tener un interés jurídico, de conformidad con las leyes
aplicables, podrá ejercer los derechos que le confiere el presente Capítulo,
siempre que el titular de los derechos hubiere expresado fehacientemente su
voluntad en tal sentido, o que exista un mandato judicial para dicho efecto.
Artículo 56. Tratamiento específico de datos personales
1. Cuando las disposiciones aplicables a determinados tratamientos de datos

personales establezcan un trámite o procedimiento específico para solicitar el
ejercicio de los derechos ARCO y del derecho de portabilidad de datos
personales,, el responsable deberá informar al titular sobre la existencia del
mismo, en un plazo no mayor a cinco días siguiente a la presentación de la
solicitud para el ejercicio de los derechos ARCO, a efecto de que este último
decida si ejerce sus derechos a través del trámite específico, o bien, por medio
del procedimiento que el responsable haya institucionalizado para la atención
de solicitudes para el ejercicio de los derechos ARCO conforme a las
disposiciones establecidas en este Capítulo.
Artículo 57. Disposiciones comunes a solicitudes de derechos ARCO
1. Las solicitudes para el ejercicio de los derechos ARCO y del derecho de

portabilidad de datos personales, deberán presentarse ante la Unidad de
Transparencia del responsable, que el titular considere competente, a través de
escrito libre, formatos, medios electrónicos o cualquier otro medio que al efecto
establezca el Organismo Garante.
2. El responsable deberá dar trámite a toda solicitud para el ejercicio de los

derechos ARCO y del derecho de portabilidad de datos personales y entregar
el acuse de recibo que corresponda.
3. El Organismo Garante podrá establecer formularios, sistemas y otros métodos

simplificados para facilitar a los titulares el ejercicio de los derechos ARCO y
del derecho de portabilidad de datos personales.
4. Los medios y procedimientos habilitados por el responsable para atender las

solicitudes para el ejercicio de los derechos ARCO y del derecho de
portabilidad de datos personales deberán ser de fácil acceso y con la mayor
cobertura posible considerando el perfil de los titulares y la forma en que
mantienen contacto cotidiano o común con el responsable.
31
5. Tratándose de una solicitud de acceso a datos personales, el titular deberá

señalar la modalidad en la que prefiere que éstos se reproduzcan. El
responsable deberá atender la solicitud en la modalidad requerida por el titular,
salvo que exista una imposibilidad física o jurídica que lo limite a reproducir los
datos personales en dicha modalidad, en este caso deberá ofrecer otras
modalidades de entrega de los datos personales fundando y motivando dicha
actuación.
Artículo 58. Gratuidad en el ejercicio de los derechos ARCO
1. El ejercicio de los derechos ARCO y del derecho de portabilidad de datos

personales deberá ser gratuito. Sólo podrán realizarse cobros para recuperar
los costos de reproducción, certificación o envío, conforme a la normatividad
que resulte aplicable.
Artículo 59. Costos de reproducción y certificación
1. Para efectos de acceso a datos personales, las leyes que establezcan los
costos de reproducción y certificación deberán considerar en su determinación
que los montos permitan o faciliten el ejercicio de este derecho.
2. Cuando el titular proporcione el medio magnético, electrónico o el mecanismo

necesario para reproducir los datos personales, los mismos deberán ser
entregados sin costo para éste.
3. La información deberá ser entregada sin costo, cuando implique la entrega de

no más de veinte hojas simples. Las unidades de transparencia podrán
exceptuar el pago de reproducción y envío atendiendo a las circunstancias
socioeconómicas del titular.
4. El responsable no podrá establecer para la presentación de las solicitudes del

personales algún servicio o medio que implique un costo al titular.
Artículo 60. Requisitos de la solicitud
1. En la solicitud para el ejercicio de los derechos ARCO y del derecho de

portabilidad de datos personales no podrán imponerse mayores requisitos que
los siguientes:
I. El nombre del titular y su domicilio o cualquier otro medio para recibir

notificaciones;
II. Los documentos que acrediten la identidad del titular, o en su caso, la

personalidad e identidad de su representante;
32
III. La descripción clara y precisa de los datos personales respecto de los que se
busca ejercer alguno de los derechos ARCO o del derecho de portabilidad de
datos personales, salvo que se trate del derecho de acceso;
IV. La descripción del derecho ARCO, o en su caso del derecho de portabilidad

de datos personales que se pretende ejercer, o bien, lo que solicita el titular; y
V. Cualquier otro elemento o documento que facilite la localización de los datos

personales, en su caso.
Artículo 61. Plazo para dar respuesta a las solicitudes para el ejercicio de los
derechos ARCO
1. El responsable deberá establecer procedimientos sencillos que permitan el

personales, cuyo plazo de respuesta no deberá exceder de veinte días
contados a partir del día siguiente a la recepción de la solicitud.
2. El plazo referido en el párrafo anterior podrá ser ampliado por una sola vez
hasta por diez días cuando así lo justifiquen las circunstancias, y siempre y
cuando se le notifique al titular dentro del plazo de respuesta.
3. En caso de resultar procedente el ejercicio de los derechos ARCO del derecho

de portabilidad de datos personales, el responsable deberá hacerlo efectivo en
un plazo que no podrá exceder de quince días contados a partir del día
siguiente en que se haya notificado la respuesta al titular.
Artículo 62. Prevención para subsanar omisiones
1. En caso de que la solicitud para el ejercicio de los derechos ARCO o del

derecho de portabilidad de datos personales no satisfaga alguno de los
requisitos a que se refiere el artículo 60 de la presente Ley, y el responsable no
cuente con elementos para subsanarla, se prevendrá al titular de los datos
dentro de los cinco días siguientes a la presentación de la solicitud de ejercicio
de derechos ARCO o del derecho de portabilidad de datos personales, por una
sola ocasión, para que subsane las omisiones dentro de un plazo de diez días
contados a partir del día siguiente al de la notificación.
2. Transcurrido el plazo sin desahogar la prevención se tendrá por no presentada

la solicitud de ejercicio de derechos ARCO o del derecho de portabilidad de
datos personales.
3. La prevención tendrá el efecto de interrumpir el plazo que tiene el responsable

para resolver la solicitud de ejercicio de los derechos ARCO o del derecho de
portabilidad de datos personales.
33
Artículo 63. Reconducción de la solicitud
1. En caso de que el responsable advierta que la solicitud para el ejercicio de

derechos ARCO o del derecho de portabilidad de datos personales
corresponda a un derecho diferente de los previstos en la presente Ley, deberá
reconducir la vía haciéndolo del conocimiento al titular en un término no mayor
de 48 horas.
Artículo 64. Inexistencia de datos personales
1. En caso de que el responsable declare inexistencia de los datos personales en

sus archivos, registros, sistemas o expediente, dicha declaración deberá
constar en una resolución del Comité de Transparencia que confirme la
inexistencia de los datos personales.
Artículo 65. Solicitud de cancelación
1. Con relación a una solicitud de cancelación, el titular deberá señalar las causas
que lo motiven a solicitar la supresión de sus datos personales en los archivos,
registros o bases de datos del responsable.
Artículo 66. Solicitud de oposición
1. En el caso de la solicitud de oposición, el titular deberá manifestar las causas

legítimas o la situación específica que lo llevan a solicitar el cese en el
tratamiento, así como el daño o perjuicio que le causaría la persistencia del
tratamiento, o en su caso, las finalidades específicas respecto de las cuales
requiere ejercer el derecho de oposición.
Artículo 67. Incompetencia del responsable
1. Cuando el responsable no sea competente para atender la solicitud para el

ejercicio de derechos ARCO o del derecho de portabilidad de datos personales,
deberá hacer del conocimiento del titular dicha situación dentro de los tres días
siguientes a la presentación de la solicitud, y en caso de poderlo determinar,
orientarlo hacia el responsable competente.
Artículo 68. Causas de improcedencia del ejercicio de los derechos ARCO
1. Las únicas causas en las que el ejercicio de los derechos ARCO no será
procedente son:
I. Cuando el titular o su representante no estén debidamente acreditados para

ello;
II. Cuando los datos personales no se encuentren en posesión del responsable;

34
III. Cuando exista un impedimento legal;
IV. Cuando se lesionen los derechos de un tercero;
V. Cuando se obstaculicen actuaciones judiciales o administrativas;
VI. Cuando exista una resolución de autoridad competente que restrinja el acceso
a los datos personales o no permita la rectificación, cancelación u oposición de
los mismos o la portabilidad de datos personales;
VII. Cuando la cancelación u oposición haya sido previamente realizada;
VIII. Cuando el responsable no sea competente;
IX. Cuando sean necesarios para proteger intereses jurídicamente tutelados del
titular; y
X. Cuando sean necesarios para dar cumplimiento a obligaciones legalmente

adquiridas por el titular.
2. En todos los casos anteriores, el responsable deberá informar al titular el

motivo de su determinación, en el plazo de hasta veinte días a los que se
refiere el primer párrafo del artículo 61 de esta ley y demás disposiciones
aplicables, y por el mismo medio en que se llevó a cabo la solicitud,
acompañando en su caso, las pruebas que resulten pertinentes.
Artículo 69. Negativa de trámite o falta de respuesta
1. Contra la negativa de dar trámite a una solicitud para el ejercicio de los

derechos ARCO o por falta de respuesta del responsable, procederá la
interposición del recurso de revisión previsto en esta Ley.
CAPÍTULO III
DE LA PORTABILIDAD DE LOS DATOS PERSONALES
Artículo 70. Lineamientos establecidos por el Sistema Nacional
1. El Organismo Garante observará los lineamientos que establezca el Sistema

Nacional respecto de los parámetros a considerar para determinar los
supuestos en los que se está en presencia de un formato estructurado y
comúnmente utilizado, así como las normas técnicas, modalidades y
procedimientos para la transferencia de datos personales.
Artículo 71. Tratamiento de datos personales por vía electrónica
35
1. Cuando se traten datos personales por vía electrónica en un formato

estructurado y comúnmente utilizado, el titular tendrá derecho a obtener del
responsable una copia de los datos objeto de tratamiento en un formato
electrónico estructurado y comúnmente utilizado que le permita seguir
utilizándolos.
2. Cuando el titular haya facilitado los datos personales y el tratamiento se base

en el consentimiento o en un contrato, tendrá derecho a transferir dichos datos
personales y cualquier otra información que haya facilitado y que se conserve
en un sistema de tratamiento automatizado a otro sistema en un formato
electrónico comúnmente utilizado, sin impedimentos por parte del responsable
del tratamiento de quien se retiren los datos personales.
TÍTULO CUARTO
RELACIÓN DEL RESPONSABLE Y DEL ENCARGADO
CAPÍTULO ÚNICO
IMPLICACIONES DE LA RELACIÓN ENTRE EL RESPONSABLE
Y EL ENCARGADO
Artículo 72. Encargado del tratamiento de los datos personales
1. El encargado deberá realizar las actividades de tratamiento de los datos

personales sin ostentar poder alguno de decisión sobre el alcance y contenido
del mismo, así como limitar sus actuaciones a los términos fijados por el
responsable.
2. La relación entre el responsable y el encargado deberá estar formalizada

mediante contrato o cualquier otro instrumento jurídico que decida el
responsable, de conformidad con la normativa que le resulte aplicable, y que
permita acreditar su existencia, alcance y contenido.
Artículo 73. Requisitos del contrato o instrumento jurídico formalizado entre el

responsable y el encargado
1. En el contrato o instrumento jurídico que decida el responsable se deberán

prever, al menos, las siguientes cláusulas generales relacionadas con los
servicios que preste el encargado:
I. Realizar el tratamiento de los datos personales conforme a las instrucciones del

responsable;
II. Abstenerse de tratar los datos personales para finalidades distintas a las
instruidas por el responsable;
36
III. Implementar las medidas de seguridad conforme a los instrumentos jurídicos

aplicables;
IV. Informar al responsable cuando ocurra una vulneración a los datos personales
que trata por sus instrucciones;
V. Guardar confidencialidad respecto de los datos personales tratados;
VI. Suprimir o devolver los datos personales objeto de tratamiento una vez
cumplida la relación jurídica con el responsable, siempre y cuando no exista
una previsión legal que exija la conservación de los datos personales;
VII. Abstenerse de transferir los datos personales salvo en el caso de que el

responsable así lo determine, o la comunicación derive de una subcontratación,
o por mandato expreso de la autoridad competente. Los acuerdos entre el
responsable y el encargado relacionados con el tratamiento de datos
personales no deberán contravenir la presente Ley y demás disposiciones
aplicables, así como lo establecido en el aviso de privacidad correspondiente;
VIII. Permitir al responsable o al organismo garante realizar inspecciones y

verificaciones en el lugar o establecimiento donde se lleva a cabo el tratamiento
de los datos personales; y
IX. Generar, actualizar y conservar la documentación necesaria que le permita

acreditar el cumplimiento de sus obligaciones.
Artículo 74. Responsabilidades del encargado
1. Cuando el encargado incumpla las instrucciones del responsable y decida por

sí mismo sobre el tratamiento de los datos personales, asumirá el carácter de
responsable conforme a la legislación en la materia que le resulte aplicable.
Artículo 75. Subcontratación
1. El encargado podrá, a su vez, subcontratar servicios que impliquen el

tratamiento de datos personales por cuenta del responsable, siempre y cuando
medie la autorización expresa de este último. El subcontratado asumirá el
carácter de encargado en los términos de la presente la Ley y demás
disposiciones que resulten aplicables en la materia.
2. Cuando el contrato o el instrumento jurídico mediante el cual se haya

formalizado la relación entre el responsable y el encargado, prevea que este
último pueda llevar a cabo a su vez las subcontrataciones de servicios, la
autorización a la que refiere el párrafo anterior se entenderá como otorgada a
través de lo estipulado en éstos.
37
3. Una vez obtenida la autorización expresa del responsable, el encargado deberá

formalizar la relación adquirida con el subcontratado a través de un contrato o
cualquier otro instrumento jurídico que decida, de conformidad con la
normatividad que le resulte aplicable, y permita acreditar la existencia, alcance
y contenido de la prestación del servicio en términos de lo previsto en el
presente Capítulo.
4. El responsable podrá contratar o adherirse a servicios, aplicaciones e

infraestructura en el cómputo en la nube, y otras materias que impliquen el
tratamiento de datos personales, siempre y cuando el proveedor externo
garantice políticas de protección de datos personales equivalentes a los
principios y deberes establecidos en la presente Ley y demás disposiciones
que resulten aplicables en la materia.
5. En su caso, el responsable deberá delimitar el tratamiento de los datos

personales por parte del proveedor externo a través de cláusulas contractuales
u otros instrumentos jurídicos.
Artículo 76. Tratamiento de datos personales por el encargado
1. Para el tratamiento de datos personales en servicios, aplicaciones e

infraestructura de cómputo en la nube y otras materias, en los que el
responsable se adhiera a los mismos mediante condiciones o cláusulas
generales de contratación, sólo podrá utilizar aquellos servicios en los que el
proveedor:
I. Cumpla por lo menos con lo siguiente:
a. Tener y aplicar políticas de protección de datos personales afines a los

principios y deberes aplicables que establece la presente Ley y demás
normativa aplicable;
b. Transparentar las subcontrataciones que involucren la información sobre

la que se presta el servicio;
c. Abstenerse de incluir condiciones en la prestación del servicio que le

autoricen o permitan asumir la titularidad o propiedad de la información sobre la
que preste el servicio; y
d. Guardar confidencialidad respecto de los datos personales sobre los que

se preste el servicio.
II. Cuente con mecanismos por lo menos para:
a. Dar a conocer cambios en sus políticas de privacidad o condiciones del

servicio que presta;
38
b. Permitir al responsable limitar el tipo de tratamiento de los datos

personales sobre los que se presta el servicio;
c. Establecer y mantener medidas de seguridad para la protección delos

datos personales sobre los que se preste el servicio;
d. Garantizar la supresión de los datos personales una vez que haya

concluido el servicio prestado al responsable y que este último haya podido
recuperarlos; y
e. Impedir el acceso a los datos personales a personas que no cuenten con

privilegios de acceso, o bien, en caso de que sea a solicitud fundada y
motivada de autoridad competente, informar de ese hecho al responsable.
2. En cualquier caso, el responsable no podrá adherirse a servicios que no

garanticen la debida protección de los datos personales, conforme a la
TÍTULO QUINTO
COMUNICACIONES: TRANSFERENCIAS Y REMISIONES DE DATOS
PERSONALES
CAPÍTULO ÚNICO
REGLAS PARA LA TRANSFERENCIA Y REMISIÓN DE DATOS PERSONALES
Artículo 77. Consentimiento para la transferencia de datos personales
1. Toda transferencia de datos personales, sea ésta nacional o internacional, se

encuentra sujeta al consentimiento de su titular, salvo las excepciones
previstas en el artículo 82 de esta Ley.
Artículo 78. Formalización de las comunicaciones, transferencias y remisiones

de datos personales
1. Toda transferencia deberá formalizarse mediante la suscripción de cláusulas

contractuales, convenios de colaboración o cualquier otro instrumento jurídico,
de conformidad con la normatividad que le resulte aplicable al responsable, que
permita demostrar el alcance del tratamiento de los datos personales, así como
las obligaciones y responsabilidades asumidas por las partes.
2. Lo dispuesto en el párrafo anterior, se exceptúa en los siguientes casos:
I. Cuando la transferencia sea nacional y se realice entre responsables en virtud

del cumplimiento de una disposición legal o en el ejercicio de atribuciones
expresamente conferidas a éstos; y
39
II. Cuando la transferencia sea internacional y se encuentre prevista en una ley o

Tratado Internacional suscrito y ratificado por México, o bien, se realice a
petición de una autoridad extranjera u organismo internacional competente en
su carácter de receptor, siempre y cuando las facultades entre el responsable
transferente y receptor sean homólogas, o bien, las finalidades que motivan la
transferencia sean análogas o compatibles respecto de aquéllas que dieron
origen al tratamiento del responsable transferente.
Artículo 79. Transferencias de datos personales nacionales
1. Cuando la transferencia sea nacional, el receptor de los datos personales

deberá tratar los datos personales, comprometiéndose a garantizar su
confidencialidad y únicamente los utilizará para los fines que fueron
transferidos atendiendo a lo convenido en el aviso de privacidad que le será
comunicado por el responsable transferente, en virtud de que por recibir los
datos personales adquiere el carácter de responsable.
Artículo 80. Transferencias de datos personales internacionales
1. El responsable sólo podrá transferir o hacer remisión de datos personales fuera

del territorio nacional cuando el tercero receptor o el encargado se obligue a
proteger los datos personales conforme a los principios y deberes que
establece la presente Ley y las disposiciones que resulten aplicables en la
materia.
Artículo 81. Previsiones generales de las transferencias de datos personales
1. En toda transferencia de datos personales, el responsable deberá comunicar al

receptor de los datos personales el aviso de privacidad conforme al cual se
tratan los datos personales frente al titular.
2. Las remisiones nacionales e internacionales de datos personales que se

realicen entre responsable y encargado no requerirán ser informadas al titular,
ni contar con su consentimiento.
Artículo 82. Excepción al consentimiento del titular respecto a las transferencias

de datos personales
1. El responsable podrá realizar transferencias de datos personales sin necesidad

de requerir el consentimiento del titular, en los siguientes supuestos:
I. Cuando la transferencia esté prevista en esta Ley u otras leyes, convenios o

Tratados Internacionales suscritos y ratificados por México;
40
II. Cuando la transferencia se realice entre responsables, siempre y cuando los

datos personales se utilicen para el ejercicio de facultades propias, compatibles
o análogas con la finalidad que motivó el tratamiento de los datos personales;
III. Cuando la transferencia sea legalmente exigida para la investigación y

persecución de los delitos, así como la procuración o administración de justicia;
IV. Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa

de un derecho ante autoridad competente, siempre y cuando medie el
requerimiento de esta última;
V. Cuando la transferencia sea necesaria para la prevención o el diagnóstico

médico, la prestación de asistencia sanitaria, tratamiento médico o la gestión
de servicios sanitarios, siempre y cuando dichos fines sean acreditados;
VI. Cuando la transferencia sea precisa para el mantenimiento o cumplimiento de

una relación jurídica entre el responsable y el titular; y
VII. Cuando la transferencia sea necesaria por virtud de un contrato celebrado o

por celebrar en interés del titular, por el responsable y un tercero.
2. La actualización de algunas de las excepciones previstas en este artículo, no

exime al responsable de cumplir con las obligaciones previstas en el presente
Capítulo que resulten aplicables.
TÍTULO SEXTO
ACCIONES PREVENTIVAS EN MATERIA DE PROTECCIÓN DE DATOS
PERSONALES
CAPÍTULO I
DE LAS MEJORES PRÁCTICAS
Artículo 83. Acciones preventivas y mejores prácticas
1. Para el cumplimiento de las obligaciones previstas en la presente Ley, el

responsable podrá desarrollar o adoptar, en lo individual o en acuerdo con
otros responsables, encargados u organizaciones, esquemas de mejores
prácticas que tengan por objeto:
I. Elevar el nivel de protección de datos personales;
II. Armonizar el tratamiento de datos personales en un sector específico;
III. Facilitar el ejercicio de los derechos ARCO y del derecho a la portabilidad de

datos personales por parte de los titulares;
41
IV. Facilitar las transferencias de datos personales;
V. Complementar las disposiciones previstas en la normatividad que resulte

aplicable en materia de protección de datos personales; y
VI. Demostrar ante el Organismo Garante, el cumplimiento de la normatividad que

resulte aplicable en materia de protección de datos personales.
Artículo 84. Validación y reconocimiento de mejores prácticas
1. Todo esquema de mejores prácticas que busque la validación o reconocimiento

por parte del Organismo Garante deberá:
I. Cumplir con los parámetros que para tal efecto emita, el Organismo Garante
conforme a los criterios que fije; y
II. Ser notificado ante el Organismo Garante de conformidad con el procedimiento

establecido en los parámetros señalados en la fracción anterior, a fin de que
sean evaluados y, en su caso, validados o reconocidos e inscritos en el registro
al que refiere el último párrafo de este artículo.
2. El Organismo Garante, deberán emitir las reglas de operación de los registros

en los que se inscribirán aquellos esquemas de mejores prácticas validados o
reconocidos.
CAPÍTULO II
DE LAS BASES DE DATOS EN POSESIÓN DE INSTANCIAS DE SEGURIDAD,
PROCURACIÓN Y ADMINISTRACIÓN DE JUSTICIA
Artículo 85. Datos personales e instancias de seguridad, procuración y

administración de justicia
1. La obtención y tratamiento de datos personales, en términos de lo que dispone

esta ley, por parte de los sujetos obligados competentes en instancias de
seguridad, procuración y administración de justicia, está limitada a aquellos
supuestos y categorías de datos que resulten necesarios y proporcionales para
el ejercicio de las funciones en materia de seguridad pública, o para la
prevención o persecución de los delitos. Deberán ser almacenados en las
bases de datos establecidas para tal efecto.
2. Las autoridades que accedan y almacenen los datos personales que se

recaben por los particulares en cumplimiento de las disposiciones legales
correspondientes, deberán cumplir con las disposiciones señaladas en esta ley.
Artículo 86. Obligación de cumplir con los principios en el tratamiento de datos

personales
42
1. En el tratamiento de datos personales así como en el uso de las bases de

datos para su almacenamiento, que realicen los sujetos obligados competentes
de las instancias de seguridad, procuración y administración de justicia deberá
cumplir con los principios establecidos en esta ley y disposiciones jurídicas
aplicables.
Artículo 87. Comunicaciones privadas
1. Exclusivamente la autoridad judicial federal, a petición de la autoridad que

faculte la ley o del titular del Ministerio Público, podrá autorizar la intervención
de cualquier comunicación privada.
Artículo 88. Medidas de seguridad de nivel alto
1. Los responsables de las bases de datos a que se refiere este Capítulo,

deberán establecer medidas de seguridad de nivel alto, para garantizar la
integridad, disponibilidad y confidencialidad de la información, que permitan
proteger los datos personales contra daño, pérdida, alteración, destrucción o el
uso, acceso o tratamiento no autorizado.
CAPÍTULO III
EVALUACIONES DE IMPACTO DE LA PROTECCIÓN DE DATOS PERSONALES
Artículo 89. Deber de presentar evaluaciones de impacto para la protección de

datos personales
1. Cuando el responsable pretenda poner en operación o modificar políticas

públicas, programas, servicios, sistemas o plataformas informáticas,
aplicaciones electrónicas o cualquier otra tecnología que implique el
tratamiento intensivo o relevante de datos personales, deberá presentar ante el
Organismo Garante una evaluaciones de impacto en la protección de datos
personales cuyo contenido estará determinado por las disposiciones que para
tal efecto emita el Sistema Nacional.
Artículo 90. Factores que determinan el tratamiento intensivo o relevante de

datos personales
1. Para efectos de esta Ley, se considerará que se está en presencia de un

tratamiento intensivo o relevante de datos personales, si concurre cualquiera
de los factores siguientes:
I. Existan riesgos inherentes a los datos personales a tratar;
II. Se traten de datos personales sensibles;
43
III. Se efectúen o pretendan efectuar transferencia de datos personales; y
IV. La relevancia del tratamiento de datos personales en atención al impacto social

o, económico del mismo, o bien, del interés público que se persigue.
2. Además, se deberán atender a los criterios adicionales que, en su caso, el

Sistema Nacional emita con sustento en parámetros objetivos en términos de lo
previsto por el artículo 76 de la Ley General.
Artículo 91. Plazo para la presentación de las evaluaciones de impacto en la

protección de datos personales
1. El responsable deberá presentar la evaluaciones de impacto en la protección

de datos personales a que se refiere el presente Capítulo, treinta días
anteriores a la fecha en que se pretenda implementar o modificar la política
pública, el programa, servicio, sistema de información o tecnología, a efecto de
que el Organismo Garante emitan el dictamen correspondiente.
Artículo 92. Plazo para la emisión del dictamen de las evaluaciones de impacto
en la protección de datos personales
1. El Organismo Garante deberá emitir un dictamen sobre las evaluaciones de

impacto en la protección de datos personales, servicio, sistema de información
o tecnología presentado por el responsable en un plazo de treinta días
contados a partir del día siguiente a la presentación de la evaluación, el cual
deberá sugerir recomendaciones no vinculante que permitan mitigar y reducir la
generación de los impactos y riesgos que se detecten en materia de protección
Artículo 93. Evaluaciones de impacto a la protección de datos personales de

oficio
1. El Organismo Garante podrá llevar a cabo manifestaciones de impacto a la

privacidad de oficio respecto de aquellos programas, políticas públicas,
servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o
cualquier otra tecnología que impliquen el tratamiento intensivo o relevante de
datos personales, conforme a los lineamientos que para tal efecto emita.
CAPÍTULO IV
DEL OFICIAL DE PROTECCIÓN DE DATOS PERSONALES
Artículo 94. Designación
1. Los responsables que en el ejercicio de sus funciones sustantivas lleven a cabo

tratamientos de datos personales, relevantes o intensivos, deberán designar a
un Oficial de Protección de Datos Personales, el cual formará parte de la
44
Unidad de Transparencia, quién podrá ser designado del mismo personal

existente
2. La persona designada como Oficial de Protección de Datos Personales deberá

proponer al Comité de Transparencia, los procedimientos internos que
aseguren y fortalezcan mayor eficiencia en la gestión de las solicitudes de los
derechos ARCO.
3. El referido Oficial será designado atendiendo a su experiencia y cualidades

profesionales, en particular, a sus conocimientos especializados en la materia y
deberá contar con recursos suficientes para llevar a cabo su cometido.
4. Previo a la designación del Oficial de Protección de Datos Personales, el

responsable comunicará la intensión de nombrarlo al Organismo Garante,
informando su nombre, experiencia y cualidades profesionales, para que a su
vez el Organismo Garante emita la recomendación respectiva en el término de
diez días, la cual no será obstáculo para designarlo por el responsable.
Artículo 95. Funciones del Oficial de Protección de Datos Personales
1. El Oficial de Protección de Datos Personales tendrá las siguientes

atribuciones:
I. Asesorar al Comité de Transparencia respecto a los temas que sean sometidos

a su consideración en materia de protección de datos personales;
II. Diseñar, ejecutar, supervisar y evaluar políticas, programas, acciones y demás

actividades que correspondan para el cumplimiento de la presente Ley y
demás disposiciones que resulten aplicables en la materia, en coordinación con
el Comité de Transparencia;
III. Asesorar permanentemente a las áreas adscritas al responsable en materia de

protección de datos personales; y
IV. Las demás que determine la normatividad aplicable.
TÍTULO SÉPTIMO
RESPONSABLES EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES EN
POSESIÓN DE LOS SUJETOS OBLIGADOS
CAPÍTULO I
COMITÉ DE TRANSPARENCIA
Artículo 96. Aspectos generales del Comité de Transparencia
45
1. Cada responsable contará con un Comité de Transparencia, el cual se

integrará y funcionará conforme a lo dispuesto en la Ley de Transparencia y
Acceso a la Información Pública del Estado y demás normativa aplicable.
2. El Comité de Transparencia será la autoridad máxima en materia de protección

Artículo 97. Funciones del Comité de Transparencia
1. Para los efectos de la presente Ley, el Comité de Transparencia tendrá las

siguientes funciones:
I. Coordinar, supervisar y realizar las acciones necesarias para garantizar el

derecho a la protección de datos personales en la organización del
responsable, de conformidad con las disposiciones previstas en la presente Ley
y en aquellas disposiciones que resulten aplicables en la materia;
II. Instituir, en su caso, procedimientos internos para asegurar la mayor eficiencia

en la gestión de las solicitudes para el ejercicio de los derechos ARCO y del
derecho a la portabilidad de datos personales;
III. Confirmar, modificar o revocar las determinaciones en las que se declare la

inexistencia de datos personales, o se niegue por cualquier causa el ejercicio
de alguno de los derechos ARCO y del derecho a la portabilidad de datos
personales;
IV. Establecer y supervisar la aplicación de criterios específicos que resulten

necesarios para una mejor observancia de la presente Ley y en aquellas
disposiciones que resulten aplicables en la materia;
V. Supervisar, en coordinación con las áreas o unidades administrativas

competentes, el cumplimiento de las medidas, controles y acciones previstas
en el documento de seguridad;
VI. Dar seguimiento y cumplimiento a las resoluciones emitidas por el Organismo

Garante;
VII. Establecer programas de capacitación y actualización para los servidores

públicos en materia de protección de datos personales;
VIII. Dar vista al órgano interno de control o instancia equivalente en aquellos casos
en que tenga conocimiento, en el ejercicio de sus atribuciones, de una presunta
irregularidad respecto de determinado tratamiento de datos personales;
particularmente en casos relacionados con la declaración de inexistencia que
realicen los responsables; y
46
CAPÍTULO II
DE LA UNIDAD DE TRANSPARENCIA
Artículo 98. Funciones de la Unidad de Transparencia en materia de protección

de datos personales
1. Cada responsable contará con una Unidad de Transparencia, se integrará y

funcionará conforme a lo dispuesto en la Ley de Transparencia y Acceso a la
Información Pública del Estado, y demás normativa aplicable, que tendrá las
siguientes funciones:
I. Auxiliar y orientar al titular que lo requiera con relación al ejercicio del derecho
a la protección de datos personales;
II. Gestionar las solicitudes para el ejercicio de los derechos ARCO y del derecho
a la portabilidad de datos personales;
III. Establecer mecanismos para asegurar que los datos personales solo se
entreguen a su titular o su representante debidamente acreditados;
IV. Informar al titular o su representante el monto de los costos a cubrir por la

reproducción y envío de los datos personales, con base en lo establecido en
las disposiciones normativas aplicables;
V. Proponer al Comité de Transparencia los procedimientos internos que

aseguren y fortalezcan mayor eficiencia en la gestión de las solicitudes para el
ejercicio de los derechos ARCO y del derecho a la portabilidad de datos
personales;
VI. Aplicar instrumentos de evaluación de calidad sobre la gestión de las

solicitudes para el ejercicio de los derechos ARCO y del derecho a la
portabilidad de datos personales;
VII. Asesorar a las áreas adscritas al responsable en materia de protección de

datos personales; y
VIII. Promover los acuerdos con instituciones públicas especializadas que pudieran
auxiliarles a la recepción, trámite y entrega de las respuestas a solicitudes de
información, en la lengua indígena, braille o cualquier formato accesible
correspondiente, en forma más eficiente.
Artículo 99. Designación del titular de la Unidad Transparencia
47
1. En la designación del titular de la Unidad de Transparencia, el responsable

estará a lo dispuesto en la Ley de Transparencia y Acceso a la Información
Pública del Estado y demás normativa aplicable.
Artículo 100. Acciones afirmativas para grupos vulnerables
1. El responsable procurará que las personas con algún tipo de discapacidad o

grupos vulnerables, puedan ejercer, en igualdad de circunstancias, su derecho
a la protección de datos personales.
TÍTULO OCTAVO
DEL ORGANISMO GARANTE
CAPÍTULO I
FUNCIONES DEL ORGANO GARANTE EN MATERIA DE PROTECCIÓN DE
DATOS PERSONALES
Artículo 101. Integración, procedimiento y funcionamiento del Instituto de

Transparencia, Acceso a la Información Pública y Protección de Datos del
Estado de Colima
1. En la integración, procedimiento de designación y funcionamiento del

Organismo Garante, se estará a lo dispuesto por la Ley de Transparencia y
Acceso a la Información Pública del Estado y demás normativa aplicable.
Artículo 102. Competencias en materia de protección de datos personales en

posesión de sujetos obligados
1. Sin perjuicio de las facultades del Organismo Garante previstas en la Ley de

Transparencia y Acceso a la Información Pública del Estado, en materia de
datos personales, tendrá las facultades siguientes:
I. Conocer, sustanciar y resolver los recursos de revisión interpuestos por los

titulares, en términos de lo dispuesto en la presente Ley y demás disposiciones
que resulten aplicables en la materia;
II. Presentar petición fundada al Instituto Nacional para que conozca de los
recursos de revisión que por su interés y trascendencia así lo ameriten, en
términos de lo previsto en la presente Ley, la Ley General y demás
disposiciones que resulten aplicables en la materia;
III. Imponer las medidas de apremio para asegurar el cumplimiento de sus

resoluciones;
IV. Promover y difundir el ejercicio del derecho a la protección de datos

personales;
48
V. Brindar asesoría y apoyo técnico a los responsables y titulares;
VI. Emitir disposiciones generales de carácter administrativo;
VII. Coordinarse con las autoridades competentes para que las solicitudes para el
ejercicio de los derechos ARCO o del derecho a la portabilidad de datos
personales y los recursos de revisión que se presenten en lenguas indígenas,
sean atendidos en la misma lengua;
VIII. Garantizar condiciones de accesibilidad para que los titulares que pertenecen a
grupos vulnerables puedan ejercer, en igualdad de circunstancias, su derecho
a la protección de datos personales;
IX. Elaborar y publicar estudios e investigaciones para difundir y ampliar el

conocimiento sobre la materia de la presente ley;
X. Hacer del conocimiento de las autoridades competentes, la probable

responsabilidad derivada del incumplimiento de las obligaciones previstas en la
presente ley y en las demás disposiciones que resulten aplicables;
XI. Suscribir convenios de colaboración con el Instituto Nacional para el

cumplimiento de los objetivos previstos en la presente ley y demás
disposiciones aplicables;
XII. Vigilar el cumplimiento de la presente ley y demás disposiciones que resulten

aplicables en la materia;
XIII. Llevar a cabo acciones y actividades que promuevan el conocimiento del

derecho a la protección de datos personales, así como de sus prerrogativas;
XIV. Aplicar indicadores y criterios para evaluar el desempeño de los responsables

respecto del cumplimiento de la presente ley, la Ley General y demás
disposiciones que resulten aplicables;
XV. Promover la capacitación y actualización en materia de protección de datos

personales entre los responsables;
XVI. Administrar la Plataforma Nacional;
XVII. Según corresponda, interponer acciones de inconstitucionalidad en contra de

leyes expedidas por el Congreso del Estado, que vulneren el derecho a la
protección de datos personales;
49
XVIII. Emitir, en su caso, las recomendaciones no vinculantes correspondientes a la

evaluación de impacto en la protección de datos personales que le sean
presentadas;
XIX. Solicitar la cooperación del Instituto Nacional en los términos del artículo 89,
fracción XXX de la Ley General; y
XX. Las demás que se le otorguen en otras disposiciones jurídicas.
CAPÍTULO II
DE LA COORDINACIÓN Y PROMOCIÓN DEL DERECHO A LA PROTECCIÓN DE
DATOS PERSONALES
Artículo 103. Capacitación
1. Los responsables deberán colaborar con el Organismo Garante, según

corresponda, para capacitar y actualizar de forma permanente a todos sus
servidores públicos en materia de protección de datos personales, a través de
la impartición de cursos, seminarios, talleres y cualquier otra forma de
enseñanza y entrenamiento que se considere pertinente.
Artículo 104. Obligaciones de capacitación
1. El Organismo Garante, a través de los mecanismos de coordinación que al

efecto se establezcan, podrá:
I. Proponer, entre las instituciones públicas y privadas de educación superior, la

creación de centros de investigación, difusión y docencia en contenidos sobre
el derecho a la protección de datos personales, así como una cultura sobre el
ejercicio y respeto de éste;
II. Establecer, con las instituciones públicas de educación, acuerdos para la

elaboración y publicación de materiales que fomenten la cultura del derecho a
la protección de datos personales que promuevan el conocimiento sobre este
tema y coadyuven en sus tareas sustantivas;
III. Promover, en coordinación con autoridades federales, de otras entidades

federativas y municipales, la participación ciudadana y de organizaciones
sociales en talleres, seminarios y actividades que tengan por objeto la difusión
de los temas de transparencia;
IV. Desarrollar programas de formación de usuarios de este derecho para

incrementar su ejercicio y aprovechamiento, privilegiando a integrantes de
sectores vulnerables o marginados de la población;
50
V. Impulsar estrategias que pongan al alcance de los diversos sectores de la

sociedad los medios para el ejercicio del derecho de protección de datos
personales, acordes a su contexto sociocultural;
VI. Desarrollar con el concurso de centros comunitarios digitales y bibliotecas

públicas, universitarias, gubernamentales y especializadas, programas para la
asesoría y orientación de sus usuarios en el ejercicio y aprovechamiento del
derecho de protección de datos personales; y
VII. Las demás que se establezcan en las disposiciones jurídicas aplicables.
TÍTULO NOVENO
DEL RECURSO DE REVISIÓN ANTE EL ORGANISMO GARANTE
CAPÍTULO I
DEL RECURSO DE REVISIÓN
Artículo 105. Recurso de revisión
1. El titular o su representante podrá interponer un recurso de revisión ante el

Organismo Garante, o bien, ante la Unidad de Transparencia del responsable
que haya conocido de la solicitud para el ejercicio de los derechos ARCO, a
través de los siguientes medios:
I. Por escrito libre en el domicilio del Organismo Garante, o en las oficinas

habilitadas que al efecto establezcan;
II. Por correo certificado con acuse de recibo;
III. Por formatos que al efecto emita el Organismo Garante;
IV. Por los medios electrónicos que para tal fin se autoricen; y
V. Por cualquier otro medio que al efecto establezca el Organismo Garante.
2. Se presumirá que el titular acepta que las notificaciones le sean efectuadas por
el mismo conducto que presentó su escrito, salvo que acredite haber señalado
uno distinto para recibir notificaciones.
Artículo 106. Interés jurídico en la interposición del recurso de revisión de

personas fallecidas
1. La interposición del recurso de revisión de datos personales concernientes a

personas fallecidas, podrá realizarla la persona que acredite tener un interés
jurídico o legítimo.
51
Artículo 107. Acreditación de identidad del titular
1. El titular podrá acreditar su identidad de manera previa o al momento de hacer

efectivo el derecho, a través de cualquiera de los siguientes medios:
I. Identificación oficial;
II. Firma electrónica avanzada o del instrumento electrónico que lo sustituya;
III. Mecanismos de autenticación autorizados por el Organismo Garante,

publicados mediante Acuerdo General en el Periódico Oficial; y
IV. Cualquier otro medio que se establezca en las disposiciones jurídicas

aplicables.
Artículo 108. Actuación y acreditación de la personalidad del representante
1. Cuando el titular actúe mediante un representante, éste deberá acreditar su

personalidad en los siguientes términos:
I. Si se trata de una persona física, a través de carta poder simple suscrita ante
dos testigos anexando copia de las identificaciones de los suscriptores; o
instrumento público, o declaración en comparecencia personal del titular y del
representante ante el Organismo Garante;
II. Si se trata de una persona moral, mediante instrumento público; y
III. Cualquier otra forma que se establezca en las disposiciones jurídicas

aplicables.
2. Sin perjuicio de lo anterior, el interesado o su representante mediante escrito

firmado podrá autorizar a la persona o personas que estime pertinente para oír
y recibir notificaciones, y para realizar trámites, gestiones y comparecencias
que fueran necesarios para la tramitación del procedimiento.
Artículo 109. Requerimientos de información
1. El titular, el responsable y el Organismo Garante o cualquier autoridad deberán

atender los requerimientos de información en los plazos y términos que el
Organismo Garante, establezcan.
Artículo 110. Medios de prueba
1. En la sustanciación del recurso de revisión, las partes podrán ofrecer las

siguientes pruebas:
52
I. Documental pública;
II. Documental privada;
III. Inspección;
IV. Pericial;
V. Testimonial;
VI. Confesional, excepto cuando se trate de autoridades;
VII. Imágenes fotográficas, páginas electrónicas, escritos y demás elementos

aportados por la ciencia y tecnología; y
VIII. Presuncional legal y humana.
2. El Organismo Garante, podrá allegarse de los medios de prueba que considere

necesarios, sin más limitación que las establecidas en las disposiciones
jurídicas aplicables.
Artículo 111. Tipos de notificación
1. Las notificaciones podrán efectuarse:
I. Personalmente en los siguientes casos:
a. Se trate de la primera notificación;
b. Se trate del requerimiento de un acto a la parte que deba cumplirlo;
c. Se trate de la solicitud de informes o documentos;
d. Se trate de la resolución que ponga fin al procedimiento de que se trate;

y
e. En los demás casos que disponga la ley.
II. Por correo certificado con acuse de recibo o medios digitales o sistemas
autorizados por el Organismo Garante, según corresponda, y publicados
mediante acuerdo general en el Periódico Oficial, cuando se trate de
requerimientos, emplazamientos, solicitudes de informes o documentos y
resoluciones que puedan ser impugnadas;
III. Por correo postal ordinario o por correo electrónico ordinario cuando se trate de
actos distintos de los señalados en las fracciones anteriores;
53
IV. Por estrados, cuando la persona a quien deba notificarse no sea localizable en
su domicilio, se ignore éste o el de su representante; y
V. Por cualquier otro medio que se establezca en las disposiciones jurídicas

aplicables.
Artículo 112. Notificaciones del recurso de revisión
1. En la sustanciación del recurso de revisión, las notificaciones que emita el

Organismo Garante, surtirán efectos el mismo día en que se practiquen.
Artículo 113. Cómputo de plazos
1. El cómputo de los plazos señalados en el presente Título comenzará a correr a

partir del día siguiente a aquél en que haya surtido efectos la notificación
correspondiente.
Artículo 114. Preclusión
1. Concluidos los plazos fijados a las partes, se tendrá por perdido el derecho que
dentro de ellos debió ejercitarse, sin necesidad de acuse de rebeldía por parte
del Organismo Garante.
Artículo 115. Firma electrónica avanzada o instrumento similar
1. La utilización de la firma electrónica avanzada o del instrumento electrónico

que lo sustituya eximirá de la presentación de la copia del documento de
identificación.
Artículo 116. Consecuencias de la negativa o entorpecimiento de las

actuaciones del Organismo Garante
1. Cuando el titular, el responsable, el Organismo Garante o cualquier autoridad

se nieguen a atender o cumplimentar los requerimientos, solicitudes de
información y documentación, emplazamientos, citaciones o diligencias
notificadas por el Organismo Garante, o facilitar la práctica de las diligencias
que hayan sido ordenadas, o entorpezca las actuaciones del Organismo
Garante, tendrán por perdido su derecho para hacerlo valer en algún otro
momento del procedimiento y el Organismo Garante, tendrá por ciertos los
hechos materia del procedimiento y resolverá con los elementos que disponga.
CAPÍTULO II
REGLAS DE PROCEDIMIENTO DEL RECURSO DE REVISIÓN
Artículo 117. Plazo para interponer el recurso de revisión

54
1. El titular, por sí mismo o a través de su representante, podrán interponer el

recurso de revisión ante el Organismo Garante o la Unidad de Transparencia
del responsable que haya conocido de la solicitud para el ejercicio de los
derechos ARCO o del derecho a la portabilidad de datos personales, dentro de
un plazo que no podrá exceder de quince días contados a partir del siguiente a
la fecha de la notificación de la respuesta del responsable.
2. Transcurrido el plazo previsto para dar respuesta a una solicitud para el

ejercicio de los derechos ARCO sin que se haya emitido ésta, el titular o, en su
caso, su representante podrán interponer el recurso de revisión dentro de los
quince días siguientes al que haya vencido el plazo para dar respuesta ante el
Organismo Garante o la Unidad de Transparencia del responsable que haya
conocido de la solicitud para el ejercicio de los derechos ARCO.
Artículo 118. Requisitos del escrito para interponer el recurso de revisión
1. Los únicos requisitos exigibles en el escrito de interposición del recurso de

revisión serán los siguientes:
I. El nombre del titular que recurre o su representante y, en su caso, del tercero

interesado, así como el domicilio o medio que señale para recibir notificaciones;
II. La fecha en que fue notificada la respuesta al titular, o bien, en caso de falta de
respuesta, la fecha de la presentación de la solicitud para el ejercicio de los
derechos ARCO o del derecho a la portabilidad de datos personales;
III. El acto que se recurre y los puntos petitorios, así como las razones o motivos
de inconformidad;
IV. En su caso, copia de la respuesta que se impugna y de la notificación

correspondiente; y
V. Los documentos que acrediten la identidad del titular y, en su caso, la

personalidad e identidad de su representante.
2. Al recurso de revisión se podrán acompañar las pruebas y demás elementos

que considere el titular procedentes someter a juicio del Organismo Garante.
En ningún caso será necesario que el titular ratifique el recurso de revisión
interpuesto.
Artículo 119. Procedencia del recurso de revisión
1. El recurso de revisión procederá en los siguientes supuestos:
55
I. Se clasifiquen como confidenciales los datos personales sin que se cumplan

las características señaladas en las leyes que resulten aplicables;
II. Se declare la inexistencia de los datos personales;
III. Se declare la incompetencia por el responsable;
IV. Se entreguen datos personales incompletos;
V. Se entreguen datos personales que no correspondan con lo solicitado;
VI. Se niegue el acceso, rectificación, cancelación u oposición de datos

personales;
VII. No se dé respuesta a una solicitud para el ejercicio de los derechos ARCO o

del derecho a la portabilidad de datos personales dentro de los plazos
establecidos en la presente Ley y demás disposiciones que resulten aplicables
en la materia;
VIII. Se entregue o ponga a disposición datos personales en una modalidad o

formato distinto al solicitado, o en un formato incomprensible;
IX. El titular se inconforme de los costos de reproducción, envío o tiempos de

entrega de los datos personales;
X. Se obstaculice el ejercicio de los derechos ARCO o del derecho a la

portabilidad de datos personales, a pesar de que fuese notificada la
procedencia de los mismos;
XI. No se dé trámite a una solicitud para el ejercicio de los derechos ARCO o del
derecho a la portabilidad de datos personales; y
XII. En los demás casos que dispongan las leyes.
Artículo 120. Conciliación
1. Una vez admitido el recurso de revisión, el Organismo Garante podrá buscar

una conciliación entre el titular y el responsable.
2. De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos

vinculantes. El recurso de revisión quedará sin materia y el Organismo
Garante, deberá verificar el cumplimiento del acuerdo respectivo.
Artículo 121. Procedimiento de la conciliación entre las partes
56
1. Admitido el recurso de revisión, el Organismo Garante promoverá la

conciliación entre las partes, de conformidad con el siguiente procedimiento:
I. El Organismo Garante, requerirá a las partes que manifiesten, por cualquier

medio, su voluntad de conciliar, en un plazo no mayor a siete días, contados a
partir de la notificación de dicho acuerdo, mismo que contendrá un resumen del
recurso de revisión y de la respuesta del responsable si la hubiere, señalando
los elementos comunes y los puntos de controversia.
La conciliación podrá celebrarse presencialmente, por medios remotos o

locales de comunicación electrónica o por cualquier otro medio que determine
el Organismo Garante. En cualquier caso, la conciliación habrá de hacerse
constar por el medio que permita acreditar su existencia.
Queda exceptuado de la etapa de conciliación, cuando el titular sea menor de

edad y se haya vulnerado alguno de los derechos contemplados en la Ley de
los Derechos de Niñas, Niños y Adolescentes del Estado de Colima, vinculados
con la Ley y el Reglamento, salvo que cuente con representación legal
debidamente acreditada;
II. Aceptada la posibilidad de conciliar por ambas partes, el Organismo Garante,

señalará el lugar o medio, así como el día y hora para la celebración de una
audiencia de conciliación, la cual deberá realizarse dentro de los diez días
siguientes en que el Organismo Garante haya recibido la manifestación de la
voluntad de conciliar de ambas partes, en la que se procurará avenir los
intereses entre el titular y el responsable.
El conciliador podrá, en todo momento en la etapa de conciliación, requerir a

las partes que presenten en un plazo máximo de cinco días, los elementos de
convicción que estime necesarios para la conciliación.
El conciliador podrá suspender cuando lo estime pertinente o a instancia de

ambas partes la audiencia por una ocasión. En caso de que se suspenda la
audiencia, el conciliador señalará día y hora para su reanudación dentro de los
cinco días siguientes.
De toda audiencia de conciliación se levantará el acta respectiva, en la que

conste el resultado de la misma. En caso de que el responsable, el titular o sus
respectivos representantes no firmen el acta, ello no afectará su validez,
debiéndose hacer constar dicha negativa;
III. Si alguna de las partes no acude a la audiencia de conciliación y justifica su

ausencia en un plazo de tres días, será convocado a una segunda audiencia de
conciliación, en el plazo de cinco días; en caso de que no acuda a esta última,
se continuará con el recurso de revisión.
57
Cuando alguna de las partes no acuda a la audiencia de conciliación sin

justificación alguna, se continuará con el procedimiento;
IV. De no existir acuerdo en la audiencia de conciliación, se continuará con el

recurso de revisión;
V. De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos

vinculantes. El recurso de revisión quedará sin materia y el Organismo
Garante, deberán verificar el cumplimiento del acuerdo respectivo; y
VI. El cumplimiento del acuerdo dará por concluido la sustanciación del recurso de
revisión, en caso contrario, el Organismo Garante reanudará el procedimiento.
El plazo al que se refiere el artículo 122 de la presente Ley será suspendido

durante el periodo de cumplimiento del acuerdo de conciliación.
Artículo 122. Plazos de resolución del recurso de revisión
1. El Organismo Garante resolverá el recurso de revisión en un plazo que no

podrá exceder de cuarenta días, el cual podrá ampliarse hasta por veinte días
por una sola vez.
Artículo 123. Suplencia de la queja en el procedimiento del recurso de revisión
1. Durante el procedimiento a que se refiere el presente Capítulo, el Organismo

Garante, deberá aplicar la suplencia de la queja a favor del titular, siempre y
cuando no altere el contenido original del recurso de revisión, ni modifique los
hechos o peticiones expuestas en el mismo, así como garantizar que las partes
puedan presentar los argumentos y constancias que funden y motiven sus
pretensiones.
Artículo 124. Requerimiento de documentación o información faltante en el

procedimiento del recurso de revisión
1. Si en el escrito de interposición del recurso de revisión el titular no cumple con

alguno de los requisitos previstos en el artículo 118de la presente Ley, y el
Organismo Garante no cuenten con elementos para subsanarlos, deberá
requerir al titular, por una sola ocasión, la información que subsane las
omisiones.
2. El titular contará con un plazo que no podrá exceder de cinco días, contados a
partir del día siguiente al de la notificación de la prevención, para subsanar las
omisiones, con el apercibimiento de que en caso de no cumplir con el
requerimiento, se desechará el recurso de revisión.
58
3. La prevención tendrá el efecto de interrumpir el plazo que tienen el Organismos

Garante para resolver el recurso, por lo que comenzará a computarse a partir
del día siguiente a su desahogo.
Artículo 125. Determinaciones en el recurso de revisión
1. Las resoluciones del Organismo Garante en los recursos de revisión podrán:
I. Sobreseer o desechar el recurso de revisión por improcedente;
II. Confirmar la respuesta del responsable;
III. Revocar o modificar la respuesta del responsable; y
IV. Ordenar la entrega de los datos personales, en caso de omisión del

responsable.
2. Las resoluciones establecerán, en su caso, los plazos y términos para su

cumplimiento y los procedimientos para asegurar su ejecución. Los
responsables deberán informar al Organismo Garante el cumplimiento de sus
resoluciones.
3. Ante la falta de resolución por parte del Organismo Garante, se entenderá

confirmada la respuesta del responsable.
4. Cuando el Organismo Garante, determine durante la sustanciación del recurso

de revisión que se pudo haber incurrido en una probable responsabilidad por el
incumplimiento a las obligaciones previstas en la presente Ley y demás
disposiciones que resulten aplicables en la materia, deberá hacerlo del
conocimiento del órgano interno de control o de la instancia competente para
que ésta inicie, en su caso, el procedimiento de responsabilidad respectivo.
Artículo 126. Causales de improcedencia del recurso de revisión
1. El recurso de revisión podrá ser desechado por improcedente cuando:
I. Sea extemporáneo por haber transcurrido el plazo establecido en el artículo

117 de la presente Ley;
II. El titular o su representante no acrediten debidamente su identidad o la

personalidad de este último;
III. El Organismos Garante haya resuelto anteriormente en definitiva sobre la

materia del mismo;
59
IV. No se actualice alguna de las causales del recurso de revisión previstas en el

artículo 119 de la presente Ley;
V. Se esté tramitando ante los tribunales competentes algún recurso o medio de

defensa interpuesto por el recurrente, o en su caso, por el tercero interesado,
en contra del acto recurrido ante el Organismo Garante, según corresponda;
VI. El recurrente modifique o amplíe su petición en el recurso de revisión,

únicamente respecto de los nuevos contenidos; y
VII. El recurrente no acredite interés jurídico.
2. El desechamiento no implica la preclusión del derecho del titular para

interponer ante el Organismo Garante un nuevo recurso de revisión.
Artículo 127. Causales de sobreseimiento del recurso de revisión
1. El recurso de revisión solo podrá ser sobreseído cuando:
I. El recurrente se desista expresamente;
II. El recurrente fallezca;
III. Admitido el recurso de revisión, se actualice alguna causal de improcedencia

en los términos de la presente Ley;
IV. El responsable modifique o revoque su respuesta de tal manera que el recurso

de revisión quede sin materia; y
V. Quede sin materia el recurso de revisión.
Artículo 128. Efectos de la notificación de la resolución del recurso de revisión
1. El Organismo Garante deberá notificar a las partes y publicar las resoluciones,

en versión pública, a más tardar, al tercer día siguiente de su aprobación.
2. Las resoluciones del Organismo Garante serán vinculantes, definitivas e

inatacables para los responsables.
Artículo 129. Medios de impugnación de la resolución del recurso de revisión
1. Contra las resoluciones al recurso de revisión, los particulares podrán optar por
acudir ante el Instituto Nacional interponiendo el recurso de inconformidad
previsto en la Ley General o ante el Poder Judicial de la Federación mediante
el Juicio de Amparo.
60
2. Las resoluciones emitidas por el Organismo Garante, son inatacables por los
responsables o terceros en funciones de responsables.
TÍTULO DÉCIMO
FACULTAD DE VERIFICACIÓN DEL ORGANISMO GARANTE
CAPÍTULO ÚNICO
FACULTAD Y PROCEDIMIENTO DE VERIFICACIÓN
Artículo 130. Facultad de verificación
1. El Organismo Garante tendrá la atribución de vigilar y verificar el cumplimiento

de las disposiciones contenidas en la presente Ley y demás ordenamientos
que se deriven de ésta y contará con fe pública para estos fines.
2. En el ejercicio de las funciones de vigilancia y verificación, el personal del

Organismo Garante estará obligado a guardar confidencialidad sobre la
información a la que tengan acceso en virtud de la verificación correspondiente.
3. El responsable no podrá negar el acceso a la documentación solicitada con

motivo de una verificación, o a sus bases de datos personales, ni podrá invocar
la reserva o la confidencialidad de la información.
Artículo 131. Inicio de las facultades de verificación
1. La verificación podrá iniciarse:
I. De oficio cuando el Organismo Garante cuente con indicios que hagan

presumir fundada y motivada la existencia de violaciones a las leyes
correspondientes; y
II. Por denuncia del titular cuando considere que ha sido afectado por actos del
responsable que puedan ser contrarios a lo dispuesto por la presente Ley y
demás normativa aplicable, o en su caso, por cualquier persona cuando tenga
conocimiento de presuntos incumplimientos a las obligaciones previstas en la
2. Previo a la verificación respectiva, el Organismo Garante podrá desarrollar

investigaciones previas, con el fin de contar con elementos para fundar y
motivar el acuerdo de inicio respectivo.
Artículo 132. Denuncias por violaciones a la Ley
1. El derecho a presentar una denuncia precluye en el término de un año contado

a partir del día siguiente en que se realicen los hechos u omisiones materia de
61
la misma. Cuando los hechos u omisiones sean de tracto sucesivo, el término

empezará a contar a partir del día hábil siguiente al último hecho realizado.
Artículo 133. Requisitos de la denuncia por violaciones a la Ley
1. Para la presentación de una denuncia no podrán solicitarse mayores requisitos

que los que a continuación se describen:
I. El nombre de la persona que denuncia, o en su caso, de su representante;
II. El domicilio o medio para recibir notificaciones de la persona que denuncia;
III. La relación de hechos en que se basa la denuncia y los elementos con los que
cuente para probar su dicho;
IV. El responsable denunciado y su domicilio, o en su caso, los datos para su

identificación y/o ubicación; y
V. La firma del denunciante, o en su caso, de su representante. En caso de no

saber firmar, bastará la huella digital.
2. La denuncia podrá presentarse por escrito libre, o a través de los formatos,

medios electrónicos o cualquier otro medio que al efecto establezca el
Organismo Garante.
3. Una vez recibida la denuncia, el Organismo Garante, deberá acusar recibo

de la misma. El acuerdo correspondiente se notificará al denunciante.
Artículo 134. Improcedencia de la facultad de verificación
1. La verificación no procederá en los supuestos de procedencia del recurso de

revisión previstos en la presente Ley.
Artículo 135. Procedimiento de verificación y plazo de conclusión
1. La verificación iniciará mediante una orden escrita que funde y motive la

procedencia de la actuación por parte del Organismo Garante, la cual tendrá
por objeto requerir al responsable la documentación e información necesaria
vinculada con la presunta violación y/o realizar visitas a las oficinas o
instalaciones del responsable, o en su caso, en el lugar donde estén ubicadas
las bases de datos personales respectivas.
2. Para la verificación en instancias de seguridad pública, se requerirá en la

resolución, la aprobación del Pleno del Organismo Garante; así como de una
fundamentación y motivación reforzada de la causa del procedimiento,
debiéndose asegurar la información sólo para uso exclusivo de la autoridad y
62
para el establecimiento de las medidas que deberá adoptar el responsable en

el plazo que el mismo determine.
3. El procedimiento de verificación deberá tener una duración máxima de

cincuenta días.
Artículo 136. Medidas cautelares
1. El Organismo Garante podrá ordenar medidas cautelares, si del desahogo de

la verificación advierten un daño inminente o irreparable en materia de
protección de datos personales, siempre y cuando no impidan el cumplimiento
de las funciones ni el aseguramiento de bases de datos de los sujetos
obligados.
2. Estas medidas sólo podrán tener una finalidad correctiva y será temporal hasta
entonces los sujetos obligados lleven a cabo las recomendaciones hechas por
el Organismo Garante.
Artículo 137. Conclusión del procedimiento de verificación
1. El procedimiento de verificación concluirá con la resolución que emita el

Organismo Garante, en la cual se establecerán las medidas que deberá
adoptar el responsable en el plazo que la misma determine.
Artículo 138. Procedimiento voluntario de verificación
1. Los responsables podrán voluntariamente someterse a la realización de

auditorías por parte del Organismo Garante, que tengan por objeto verificar la
adaptación, adecuación y eficacia de los controles, medidas y mecanismos
implementados para el cumplimiento de las disposiciones previstas en la
presente Ley y demás normativa que resulte aplicable.
2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y

controles implementados por el responsable, identificar sus deficiencias, así
como proponer acciones correctivas complementarias, o bien,
recomendaciones que en su caso correspondan.
TÍTULO DÉCIMO PRIMERO

MEDIDAS DE APREMIO, RESPONSABILIDADES Y SANCIONES
CAPÍTULO I
DE LAS MEDIDAS DE APREMIO
Artículo 139. Medidas de apremio
63
1. El Organismo Garante para asegurar el cumplimiento de sus determinaciones,

podrá imponer las siguientes medidas de apremio:
I. La amonestación pública;
II. La multa, equivalente a la cantidad de ciento cincuenta hasta mil quinientas

Unidades de Medida y Actualización; y
III. Las demás previstas en las disposiciones jurídicas aplicables.
Artículo 140. Requisitos para calificar las medidas de apremio
1. Para calificar las medidas de apremio establecidas en este capítulo, el

Organismo Garante deberá considerar:
I. La gravedad de la falta del responsable, determinada por elementos tales como

el daño causado; los indicios de intencionalidad; la duración del incumplimiento
de las determinaciones del Organismo Garante;
II. La afectación al ejercicio de sus atribuciones;
III. La condición económica del infractor; y
IV. La reincidencia, en su caso.
2. El Organismo Garante establecerá, mediante lineamientos de carácter general,

las atribuciones de las áreas encargadas de calificar la gravedad de la falta de
observancia a sus determinaciones y de la notificación y ejecución de las
medidas de apremio que apliquen e implementen, conforme a los elementos
desarrollados en este Capítulo.
Artículo 141. Cumplimiento de resoluciones
1. Para el cumplimiento de las resoluciones emitidas por el Organismo Garante,

éste y el responsable, en su caso, deberán observar lo dispuesto en el Capítulo
I del Título Séptimo de la Ley de Transparencia y Acceso a la Información
Pública del Estado.
Artículo 142. Requerimiento al superior jerárquico
1. Si a pesar de la ejecución de las medidas de apremio previstas en el artículo

anterior no se cumpliere con la resolución, se requerirá el cumplimiento al
superior jerárquico para que en el plazo de cinco días lo obligue a cumplir sin
demora.
64
2. De persistir el incumplimiento, se aplicarán sobre el superior jerárquico las

medidas de apremio establecidas en el artículo 140de esta Ley.
3. Transcurrido el plazo, sin que se haya dado cumplimiento, se dará vista a la

autoridad competente en materia de responsabilidades.
Artículo 143. Incumplimiento de resoluciones
1. El incumplimiento de los sujetos obligados será difundido en los portales de

obligaciones de transparencia del Organismo Garante y considerados en las
evaluaciones que realicen éstos.
2. En caso de que el incumplimiento de las determinaciones del Organismo

Garante implique la presunta comisión de un delito o una de las conductas
señaladas en el artículo 151 de esta Ley, deberán denunciar los hechos ante la
autoridad competente. Las medidas de apremio de carácter económico no
podrán ser cubiertas con recursos públicos.
Artículo 144. Requerimiento de información al infractor para cuantificar las

multas
1. El Organismo Garante podrá requerir al infractor la información necesaria para

determinar su condición económica, apercibido de que en caso de no
proporcionar la misma, las multas se cuantificarán con base a los elementos
que se tengan a disposición, entendidos como los que se encuentren en los
registros públicos, los que contengan medios de información o sus propias
páginas de internet y, en general, cualquiera que evidencie su condición,
quedando facultado el Organismo Garante para requerir aquella
documentación que se considere indispensable para tal efecto a las
autoridades competentes.
Artículo 145. Aplicación de las medidas de apremio
1. Las medidas de apremio a que se refiere este capítulo, deberán ser aplicadas
por el Organismo Garante, por sí mismo o con el apoyo de la autoridad
competente, de conformidad con los procedimientos que establezcan las leyes
respectivas.
Artículo 146. Plazo para aplicar las medidas de apremio
1. Las medidas de apremio deberán aplicarse e implementarse en un plazo

máximo de quince días, contados a partir de que sea notificada la medida de
apremio al infractor.
Artículo 147. Efectividad de las multas
65
1. Las multas que fije el Organismo Garante se harán efectivas a través de la

Secretaría de Planeación y Finanzas, observando los procedimientos que las
leyes establezcan.
Artículo 148. Amonestación pública
1. La amonestación pública será impuesta por el Organismo Garante y será

ejecutada por el superior jerárquico inmediato del infractor con el que se
relacione.
Artículo 149. Reincidencia
1. En caso de reincidencia el Organismo Garante podrá imponer una multa

equivalente hasta del doble de la que se hubiera determinado.
2. Se considerará reincidente al que habiendo incurrido en una infracción que

haya sido sancionada, cometa otra del mismo tipo o naturaleza.
Artículo 150. Recurso en contra de la imposición de las medidas de apremio
1. En contra de la imposición de medidas de apremio, procede el Juicio

Contencioso ante el Tribunal de Justicia Administrativa del Estado de Colima.
CAPÍTULO II
RESPONSABILIDADES ADMINISTRATIVAS
Artículo 151. Causas de sanción
1. Serán causas de sanción para los sujetos obligados, responsables o terceros

en funciones de responsables, por incumplimiento de las obligaciones
establecidas en la materia de la presente Ley, las siguientes:
I. Actuar con negligencia, dolo o mala fe durante la sustanciación de las

solicitudes para el ejercicio de los derechos ARCO;
II. Incumplir los plazos de atención previstos en la presente Ley para responder
las solicitudes para el ejercicio de los derechos ARCO o para hacer efectivo el
derecho de que se trate;
III. Incumplir los plazos de atención previstos en la presente Ley;
IV. Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o
parcialmente y de manera indebida datos personales, que se encuentren bajo
su custodia o a los cuales tengan acceso o conocimiento con motivo de su
empleo, cargo o comisión;
66
V. Dar tratamiento, de manera intencional, a los datos personales en

contravención a los principios y deberes establecidos en la presente Ley;
VI. No contar con el aviso de privacidad, o bien, omitir en el mismo alguno de los
elementos a que refiere el artículo 19 o 20 de la presente Ley, según sea el
caso, y demás disposiciones que resulten aplicables en la materia;
VII. Clasificar como confidencial, con dolo o negligencia, datos personales sin que
se cumplan las características señaladas en las leyes que resulten aplicables.
La sanción sólo procederá cuando exista una resolución previa, que haya
quedado firme, respecto del criterio de clasificación de los datos personales;
VIII. Incumplir el deber de confidencialidad establecido en el artículo 44 de la

presente Ley;
IX. No establecer las medidas de seguridad en los términos que establecen los
artículos 40, 41 y 42 de la presente Ley;
X. Presentar vulneraciones a los datos personales por la falta de implementación

de medidas de seguridad según los artículos 40, 41 y 42 de la presente Ley;
XI. Llevar a cabo la transferencia de datos personales, en contravención a lo

previsto en la presente Ley;
XII. Obstruir los actos de verificación de la autoridad;
XIII. Crear bases de datos personales en contravención a lo dispuesto por el artículo

7 de la presente Ley;
XIV. No acatar las resoluciones emitidas por el Organismo Garante; y
XV. Omitir la entrega del informe anual y demás informes a que se refiere el artículo
54 fracción VII de la Ley de Transparencia y Acceso a la Información Pública
del Estado, o bien, entregar el mismo de manera extemporánea.
2. Las causas de responsabilidad previstas en las fracciones I, II, V, VII, XI, XIII y
XV, así como la reincidencia en las conductas previstas en el resto de las
fracciones de este artículo, serán consideradas como graves para efectos de
su sanción administrativa.
3. En caso de que la presunta infracción hubiere sido cometida por algún

integrante de un partido político, la investigación y, en su caso, sanción,
corresponderán a la autoridad electoral competente.
4. Las sanciones de carácter económico no podrán ser cubiertas con recursos

públicos.
67
Artículo 152. Denuncia ante autoridad competente
1. En caso de que el incumplimiento de las determinaciones del Organismo

Garante implique la presunta comisión de un delito, deberá denunciar los
hechos ante la autoridad competente.
Artículo 153. Independencia de las responsabilidades administrativas
1. Las responsabilidades que resulten de los procedimientos administrativos

correspondientes, derivados de la violación a lo dispuesto por el artículo 151 de
esta Ley, son independientes de las del orden civil, penal o de cualquier otro
tipo que se puedan derivar de los mismos hechos.
2. Dichas responsabilidades se determinarán, en forma autónoma, a través de los

procedimientos previstos en las leyes aplicables y las sanciones que, en su
caso, se impongan por las autoridades competentes, también se ejecutarán de
manera independiente.
3. Para tales efectos, el Organismo Garante podrá denunciar ante las autoridades
competentes cualquier acto u omisión violatoria de esta Ley y aportar las
pruebas que se consideren pertinentes, en los términos de las leyes aplicables.
Artículo 154. Infractores con calidad de servidor público
1. En aquellos casos en que el presunto infractor tenga la calidad de servidor

público, el Organismo Garante deberá remitir a la autoridad competente, junto
con la denuncia correspondiente, un expediente en que se contengan todos los
elementos que sustenten la presunta responsabilidad administrativa.
2. La autoridad que conozca del asunto, deberá informar de la conclusión del

procedimiento y en su caso, de la ejecución de la sanción al Organismo
Garante.
3. A efecto de sustanciar el procedimiento citado en este artículo, el Organismo

Garante deberá elaborar una denuncia dirigida a la Contraloría General del
Estado, o al Órgano Interno de Control correspondiente, con la descripción
precisa de los actos u omisiones que, a su consideración, repercuten en la
adecuada aplicación de esta ley y que pudieran constituir una posible
responsabilidad.
4. Asimismo, deberá elaborar un expediente que contenga todos aquellos

elementos de prueba que considere pertinentes para sustentar la existencia de
la posible responsabilidad. Para tal efecto, se deberá acreditar el nexo causal
existente entre los hechos controvertidos y las pruebas presentadas.
68
5. La denuncia y el expediente deberán remitirse a la Contraloría General del

Estado, o al Órgano Interno de Control correspondiente dentro de los quince
días siguientes a partir de que el Organismo Garante tenga conocimiento de los
hechos.
Artículo 155. Vista a la autoridad competente
1. Las causas a que se refiere el artículo anterior, cuando se concreten se harán

del conocimiento, mediante la vista respectiva, de la autoridad competente para
que imponga o ejecute la sanción.
Artículo 156. Vistas por incumplimiento de partidos políticos, fideicomisos o

fondos públicos
1. Ante incumplimientos por parte de los partidos políticos, el Organismo Garante,

dará vista, según corresponda, al Organismo Público Electoral del Estado, para
que resuelvan lo conducente, sin perjuicio de las sanciones establecidas para
los partidos políticos en las leyes aplicables.
2. En el caso de probables infracciones relacionadas con fideicomisos o fondos

públicos, el Organismo Garante competente dará vista al Órgano Interno de
Control del sujeto obligado relacionado con éstos, cuando sean servidores
públicos, con el fin de que instrumenten los procedimientos administrativos a
que haya lugar.
CAPÍTULO III
SANCIONES
Artículo 157. Sanciones
1. De acreditarse el incumplimiento a las disposiciones de la presente Ley, el

Organismo Garante podrá imponer las siguientes sanciones:
I. Apercibimiento;
II. Multa por el equivalente al importe de ciento cincuenta a mil quinientas

Unidades de Medida y Actualización; y
III. Las previstas en la Ley General de Responsabilidades Administrativas y en su

caso en la legislación local aplicable en la materia.
2. El Organismo Garante estará facultado para imponer las sanciones previstas

en las dos primeras fracciones del presente artículo. En caso de que se
considere que se ha cometido una infracción grave a las disposiciones de la
presente Ley o que los servidores públicos muestren reticencia para acatar sus
determinaciones, el Organismo Garante mediante resolución fundada deberá
69
remitir copia de las actuaciones conducentes al órgano de control que

corresponda, a efecto de que sea instaurado el procedimiento previsto en la
Ley General de Responsabilidades Administrativas y en su caso en la
legislación local aplicable en la materia.
Artículo 158. Tipo de Sanciones
1. Las infracciones a lo previsto en la presente Ley por parte de los responsables,

serán sancionadas con:
I. El apercibimiento, por única ocasión, para que el responsable cumpla su

obligación de manera inmediata, en los términos previstos en esta Ley,
tratándose de los supuestos previstos en las fracciones II y III del artículo 151
de este ordenamiento. Si una vez hecho el apercibimiento no se cumple de
manera inmediata con la obligación, en los términos previstos en esta Ley,
tratándose de los supuestos mencionados en esta fracción, se aplicará multa
de ciento cincuenta a doscientos cincuenta Unidades de Medida y
Actualización;
II. Multa de doscientos cincuenta a ochocientas Unidades de Medida y

Actualización, en los casos previstos en las fracciones XII, XIV y XV del artículo
151 de esta Ley; y
III. Multa de ochocientos a mil quinientas Unidades de Medida y Actualización, en

los casos previstos en las fracciones I, IV, V, VI, VII, VIII, IX, X, XI y XIII del
artículo 151 de esta Ley.
2. Se aplicará multa adicional de hasta cincuenta Unidades de Medida y

Actualización, por día, a quien persista en las infracciones citadas en los
incisos anteriores.
3. Cuando se trate de presuntos infractores de responsables que no cuenten con

la calidad de Servidor Público, el Organismo Garante será la autoridad
facultada para conocer y desahogar el procedimiento sancionador conforme a
esta Ley y deberá llevar a cabo las acciones conducentes para la imposición y
ejecución de las sanciones.
4. Las sanciones previstas en la Ley General de Responsabilidades

Administrativas y en su caso en la legislación local aplicable, operarán
exclusivamente en los casos en que el presunto infractor tenga el carácter de
servidor público y se impondrán previa la instauración del procedimiento
previsto por dicha norma, de parte de los órganos internos de control de los
sujetos obligados o del superior jerárquico del presunto infractor, según
corresponda.
70
5. En los casos en que conforme al contenido del artículo que antecede, el

Organismo Garante remita las actuaciones relativas a los órganos internos de
control del responsable para la imposición de sanciones por responsabilidad
administrativa, aquéllos deberán informar al Organismo Garante el resultado de
los procedimientos que por violaciones a esta Ley finquen a los servidores
públicos, una vez que hubieran causado estado sus resoluciones, así como
respecto de la ejecución de la sanción impuesta.
Artículo 159. Substanciación del procedimiento de Sanciones
1. Para la substanciación del procedimiento sancionatorio en la presente Ley, se

estará a lo dispuesto en el artículo 179 de la Ley de Transparencia y Acceso a
la Información Pública del Estado de Colima.
2. Para la calificación de las sanciones a que se refiere este Capítulo, se estará a

lo dispuesto en los requisitos del artículo 140 de la presente Ley.
3. El Organismo Garante podrá convenir con el Poder Ejecutivo del Estado la

creación de un fondo que se constituya con los montos de los recursos que se
recauden por concepto de las multas impuestas por el Organismo, los cuales
deberán ser canalizados para ser destinados a acciones tendientes a la
difusión y aplicación de los derechos tutelados en la presente Ley.
TRANSITORIOS
PRIMERO. El presente Decreto entrará en vigor el día siguiente de su publicación en

el Periódico Oficial “El Estado de Colima”.
SEGUNDO. Se abroga la Ley de Protección de Datos Personales del Estado de

Colima, publicada en el Periódico Oficial “El Estado de Colima” el 21 de junio de 2003.
Se derogan todas aquellas disposiciones en materia de protección de datos

personales en posesión de sujetos obligados de carácter estatal y municipal, que
contravengan lo dispuesto en el presente Decreto.
Los procedimientos en materia de protección de datos personales que hayan iniciado

bajo la vigencia de la abrogada Ley de Protección de Datos Personales del Estado de
Colima, continuarán y culminarán conforme a las disposiciones de la misma.
TERCERO. Los responsables expedirán sus avisos de privacidad en los términos

previstos en el presente Decreto y demás disposiciones aplicables, a más tardar tres
meses después de su entrada en vigor.
CUARTO. Los responsables deberán observar lo dispuesto en el Capítulo II del Título

Segundo del presente Decreto, en un plazo de un año, contado a partir de su entrada
en vigor.
71
QUINTO. El Organismo Garante deberá expedir los lineamientos, parámetros,

criterios y demás disposiciones de las diversas materias a que se refiere el presente
Decreto, dentro del plazo de 180 días contados a partir a su entrada en vigor.
SEXTO. En el presupuesto de Egresos del Estado de Colima, para el ejercicio fiscal

2018, deberá hacerse conforme a la viabilidad financiera, las previsiones
presupuestales necesarias, atendiendo las disposiciones contenidas en el presente
decreto.
SÉPTIMO. El Tribunal de Justicia Administrativa del Estado a que hace referencia el

presente Decreto entrará en vigor hasta en tanto se le instituya en la Constitución
Política del Estado Libre y Soberano de Colima y se expida su correspondiente Ley
Orgánica, en términos de lo dispuesto en el Decreto por el que se reforman, adicionan
y derogan diversas disposiciones de la Constitución Política de los Estados Unidos
Mexicanos, en materia de combate a la corrupción, publicado el día 27 de mayo del
2015 en el Diario Oficial de la Federación, así como en observancia al Decreto por el
que se expide la Ley General del Sistema Nacional Anticorrupción, la Ley General de
Responsabilidades Administrativas, y la Ley Orgánica del Tribunal Federal de Justicia
Administrativa, publicado el día 18 de julio del 2016 en el Diario Oficial de la
Federación.
El Gobernador del Estado dispondrá se publique, circule y observe.
Dado en el Recinto Oficial del Poder Legislativo, a los veinticinco días del mes de julio
del año 2017 dos mil diecisiete.
DIP. FRANCISCO JAVIER CEBALLOS GALINDO, PRESIDENTE. Rúbrica. DIP. JOSÉ

ADRIÁN OROZCO NERI, SECRETARIO. Rúbrica. DIP. LUIS AYALA CAMPOS,
SECRETARIO. Rúbrica.
Por lo tanto, mando se imprima, publique, circule y observe.
Dado en Palacio de Gobierno, el día 26 veintiséis del mes de Julio del año 2017 dos mil
diecisiete.
Atentamente. “SUFRAGIO EFECTIVO. NO REELECCIÓN”. EL GOBERNADOR CONSTITUCIONAL

DEL ESTADO LIBRE Y SOBERANO DE COLIMA, JOSÉ IGNACIO PERALTA SÁNCHEZ.
Rúbrica. EL SECRETARIO GENERAL DE GOBIERNO, ARNOLDO OCHOA GONZÁLEZ.
Rúbrica.
72

Ley Proteccion Datos Personales 2017

Cargado por

Copyright:

Formatos disponibles

Ley Proteccion Datos Personales 2017

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ley Proteccion Datos Personales 2017

Cargado por

Copyright:

Formatos disponibles

Ley de Protección de Datos Personales en Posesión de Sujetos Obligados para el Estado de Colima

Dirección de Procesos Legislativos

LEY PUBLICADA EN EL PERIODICO OFICIAL “EL ESTADO DE COLIMA”, NO. 48, 26

POR EL QUE SE EXPIDE LA LEY DE PROTECCIÓN DE DATOS PERSONALES

JOSÉ IGNACIO PERALTA SÁNCHEZ, Gobernador Constitucional del Estado Libre y

EL HONORABLE CONGRESO CONSTITUCIONAL DEL ESTADO LIBRE Y SOBERANO

ANÁLISIS DE LAS INICIATIVAS

I.- La iniciativa presentada por el Lic. José Ignacio Peralta Sánchez,Gobernador

En acatamiento de la disposición transitoria el 4 de mayo de 2015, se publicó en el Diario Oficial de la

II. Mandato fijado por el Legislador Federal

III. Armonización y contenido de la Iniciativa

De conformidad a los términos expresados, es menester observar las disposiciones de la Constitución

Conforme o lo señalado, el derecho o lo protección de datos personales es un derecho fundamental

En el año 2002, se expidió lo Ley Federal de Transparencia, en ello se incorporó el derecho a la

No obstante lo anterior, el 7 de febrero de 2014, fue publicado en el Diario Oficial de lo Federación, el

Al respecto, el C.P. Carlos Arturo Noriega García, Secretario de Planeación y Finanzas,

En lo que respecta al oficio DGJ/63/2017, la Dirección General de Egresos, concluye que la

En lo que respecta al oficio DGJ/65/2017, la Dirección General de Egresos, concluye que la

Derivado de lo anterior, y con el objeto de dar cumplimiento a la referida reforma

La referida Ley General, en su transitorio segundo dispone la obligación de ajustar las

Segundo. La Ley Federal de Transparencia y Acceso a la Información Pública, las

En caso de que el Congreso de la Unión o las Legislaturas de las Entidades

Contextualizado lo anterior, ante la existencia de dos iniciativas relativas a expedir la Ley de

No obstante lo anterior, es importante mencionar que ambas iniciativas coinciden en

Asimismo, en lo que respecta a la figura del “Oficial de protección de datos personales”,

Continuando con el análisis, en lo conducente a los transitorios, particularmente en el cuarto y

Por último, se precisa que en lo relativo al transitorio séptimo deviene innecesaria su

Titulo Primero intitulado “Disposiciones Generales”, Titulo Segundo intitulado “Principios y

Por lo anteriormente expuesto se expide el siguiente:

ÚNICO. Se expide la Ley de Protección de Datos Personales en Posesión de Sujetos

LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN

Artículo 1. Objeto de la ley

1. La presente ley es de orden público y de observancia general en el Estado de Colima,

Artículo 2. Objetivos de la ley

1. Son objetivos de esta Ley:

I. Garantizar la observancia de los principios de protección de datos personales

IV. Promover, fomentar y difundir una cultura de protección de datos personales;

V. Establecer los mecanismos para garantizar el cumplimiento de las resoluciones y

VI. Los demás que se establezcan en otras disposiciones jurídicas aplicables.

Artículo 3. Destinatarios de la ley

1. Para los efectos de la presente Ley se entenderá por:

I. Aviso de privacidad: Documento a disposición del titular de forma física,

II. Bases de datos: Conjunto ordenado de datos personales referentes a una

III. Bloqueo: La identificación y conservación de datos personales una vez

IV. Comité de Transparencia: Instancia a la que hace referencia el artículo 51 de

V. Cómputo en la nube: Modelo de provisión externa de servicios de cómputo

VI. Consentimiento: Manifestación de la voluntad libre, específica e informada del

VII. Datos personales: Cualquier información concerniente a una persona física

IX. Derechos ARCO: Los derechos de acceso, rectificación, cancelación y

X. Días: Días hábiles;

XI. Disociación: El procedimiento mediante el cual los datos personales no

XII. Documento de seguridad: Instrumento que describe y da cuenta de manera

XIII. Encargado: La persona física o jurídica, pública o privada, ajena a la

XIV. Evaluaciones de impacto en la protección de datos personales:

XV. Fuentes de acceso público: Aquellas bases de datos, sistemas o archivos

XVI. Instituto Nacional: Instituto Nacional de Transparencia, Acceso a la

XVII. Ley General: Ley General de Protección de Datos Personales en Posesión de

XVIII. Medidas compensatorias: Mecanismos alternos para dar a conocer a los

XIX. Medidas de seguridad: Conjunto de acciones, actividades, controles o