<![CDATA[H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
Edificio Legislativo
Libertad No.9 Col. Centro
C.P. 31000 Chihuahua, Chih.
Tel: (614) 412-32-00
http://congresochihuahua.gob.mx/
Ley de Protección de Datos Personales del Estado de Chihuahua
Publicada en el Periódico Oficial del Estado No. 71 del 6 de septiembre de 2017
EL CIUDADANO LICENCIADO JAVIER CORRAL JURADO, GOBERNADOR CONSTITUCIONAL
DEL ESTADO LIBRE Y SOBERANO DE CHIHUAHUA, A SUS HABITANTES SABED:
QUE EL HONORABLE CONGRESO DEL ESTADO SE HA SERVIDO EXPEDIR EL SIGUIENTE
DECRETO:
DECRETO No.
LXV/EXLEY/0368/2017 VII P.E.
LA SEXAGÉSIMA QUINTA LEGISLATURA DEL HONORABLE CONGRESO DEL ESTADO DE
CHIHUAHUA, REUNIDA EN SU SÉPTIMO PERIODO EXTRAORDINARIO DE SESIONES,
DENTRO DEL PRIMER AÑO DE EJERCICIO CONSTITUCIONAL,
D E C R E T A
ARTÍCULO ÚNICO.- Se expide la Ley de Protección de Datos Personales del Estado de
Chihuahua, para quedar redactada de la siguiente manera:
LEY DE PROTECCIÓN DE DATOS PERSONALES
DEL ESTADO DE CHIHUAHUA
TÍTULO PRIMERO
DISPOSICIONES GENERALES
CAPÍTULO I
DEL OBJETO Y SUJETOS OBLIGADOS
Artículo 1. La presente Ley es de orden público, interés social y de observancia general en el
Estado de Chihuahua, reglamentaria del artículo 4º, de la Constitución Política del Estado, en la
parte relativa a la protección de datos personales, y tiene por objeto establecer las bases, principios
y procedimientos, para garantizar el derecho que tiene toda persona a la protección de datos
personales en posesión de los sujetos obligados.
Artículo 2. El derecho a la protección de los datos personales solamente se limitará por razones de
seguridad pública, en términos de la ley en la materia, disposiciones de orden público, seguridad y
salud públicas o para proteger los derechos de terceros.
Artículo 3. El Estado garantizará el derecho a la protección de los datos personales y deberá velar
porque los sujetos obligados no incurran en conductas que puedan afectar dicha protección
arbitrariamente.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
2 de 45
Artículo 4. El Organismo Garante ejercerá las atribuciones y facultades que le otorga esta Ley,
independientemente de las otorgadas en las demás disposiciones aplicables.
Artículo 5. Son objetivos de la presente Ley:
I. Garantizar la observancia de los principios de protección de datos personales en
posesión de los sujetos obligados.
II. Establecer las bases mínimas y condiciones homogéneas que regirán el tratamiento de
los datos personales y el ejercicio de los derechos de acceso, rectificación, cancelación,
oposición y portabilidad mediante procedimientos sencillos y expeditos.
III. Proveer lo necesario para garantizar que toda persona pueda ejercer los derechos de
acceso, rectificación, cancelación y portabilidad de sus datos personales, así como
manifestar su oposición a determinado tratamiento, mediante procedimientos sencillos y
expeditos.
IV. Promover, fomentar y difundir una cultura de protección de datos personales.
V. Establecer los mecanismos para garantizar el cumplimiento y la aplicación de las
medidas de apremio.
VI. Promover el establecimiento de medidas de seguridad que garanticen la integridad,
disponibilidad y confidencialidad de los datos personales en posesión de los sujetos
obligados.
Artículo 6. Para los efectos de la presente Ley, son sujetos obligados:
I. El Poder Ejecutivo.
II. El Poder Legislativo.
III. El Poder Judicial.
IV. Los Ayuntamientos o Concejos Municipales y la Administración Pública Municipal.
V. Organismos descentralizados y desconcentrados, empresas de participación,
fideicomisos y fondos públicos, todos de la Administración Pública Estatal y Municipal.
VI. Organismos Públicos Autónomos.
VII. Partidos políticos y agrupaciones políticas.
Quedan incluidos dentro de esta clasificación todos los órganos y dependencias de cada sujeto
obligado.
Artículo 7. Los sindicatos y cualquier otra persona física o moral que reciba y ejerza recursos
públicos o realice actos de autoridad en el ámbito estatal y municipal, serán responsables de los
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
3 de 45
datos personales, de conformidad con la normatividad aplicable para la protección de datos
personales en posesión de los particulares.
Artículo 8. En los términos de la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares, corresponde al Instituto Nacional de Transparencia, Acceso a la Información y
Protección de Datos Personales, garantizar el derecho a la protección de los datos personales en
posesión de particulares.
Artículo 9. Los ordenamientos jurídicos que regulan la protección de los datos personales, se
interpretarán conforme a:
I. La Constitución Política de los Estados Unidos Mexicanos.
II. La Constitución Política del Estado de Chihuahua.
III. La Declaración Universal de los Derechos Humanos.
IV. El Pacto Internacional de Derechos Civiles y Políticos.
V. La Convención Americana sobre Derechos Humanos.
VI. Los Tratados Internacionales de los que el Estado Mexicano sea parte.
VII. Las resoluciones y sentencias vinculantes que emitan los órganos nacionales e
internacionales especializados.
Además, se podrán considerar los criterios, determinaciones y opiniones de los organismos
nacionales e internacionales, en materia de protección de datos personales.
A falta de disposición expresa, se aplicarán de manera supletoria el Código de Procedimientos
Civiles y la Ley de Responsabilidades de los Servidores Públicos, ambos para el Estado de
Chihuahua.
Artículo 10. Los datos personales son irrenunciables, intransferibles e indelegables, salvo
disposición legal o cuando medie el consentimiento de su titular.
Artículo 11. Para los efectos de la presente Ley, se entiende por:
I. Áreas: Instancias comprendidas en la estructura orgánica del sujeto obligado que
recaben o realicen el tratamiento de datos personales y las obligaciones
relacionadas con dicho tratamiento, particularmente, la elaboración del aviso de
privacidad, medidas de seguridad y compensatorias, entre otros.
II. Aviso de privacidad: Documento físico, electrónico o en cualquier otro formato,
emitido por el responsable, mediante el cual se informa a su titular del tratamiento
que se le dará a sus datos personales.
III. Bases de datos: Conjunto ordenado de datos personales referentes a una persona
física identificada o identificable, condicionados a criterios determinados, con
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
4 de 45
independencia de la forma o modalidad de su creación, tipo de soporte,
procesamiento, almacenamiento y organización.
IV. Bloqueo: Identificación y conservación de datos personales una vez cumplida la
finalidad para lo cual fueron recabados, con el único propósito de determinar
posibles responsabilidades en relación con su tratamiento, hasta el plazo de
prescripción legal o contractual de estas. Durante dicho periodo, los datos
personales no podrán ser objeto de tratamiento y transcurrido este, se procederá a
su cancelación en la base de datos que corresponda.
V. Comité de Transparencia: Órgano colegiado previsto en la Ley de Transparencia y
Acceso a la Información Pública del Estado de Chihuahua, cuyas atribuciones son
atender lo relativo a las obligaciones previstas en el citado ordenamiento jurídico y
en las disposiciones de la presente Ley.
VI. Cómputo en la nube: Modelo de provisión externa de servicios de cómputo bajo
demanda, que implica el suministro de infraestructura, plataforma o programa
informático, distribuido de modo flexible, mediante procedimientos virtuales, en
recursos compartidos dinámicamente.
VII. Consentimiento: Manifestación de la voluntad libre, específica e informada del titular
de los datos, mediante la cual autoriza el tratamiento de los mismos.
VIII. Datos personales: Cualquier información que se manifieste en forma numérica,
alfabética, alfanumérica, gráfica, fotográfica, acústica, o en cualquier otro formato,
concerniente a una persona física identificada o identificable.
Se considera que una persona es identificable cuando su identidad pueda
determinarse directa o indirectamente a través de cualquier información.
IX. Datos personales sensibles: Aquellos que se refieran a la esfera más íntima de su
titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un
riesgo grave para este.
De manera enunciativa mas no limitativa, se consideran sensibles los datos
personales que puedan revelar aspectos como origen racial o étnico; estado de
salud pasado, presente o futuro; información genética o biométrica; creencias
religiosas, filosóficas y morales; opiniones políticas y preferencia sexual.
X. Derechos ARCO: Los derechos de acceso, rectificación, cancelación y oposición al
tratamiento de datos personales y de portabilidad.
XI. Días: Días hábiles.
XII. Disociación: El procedimiento mediante el cual los datos personales no pueden
asociarse al titular ni permitir, por su estructura, contenido o grado de
desagregación, la identificación del mismo.
XIII. Documento de seguridad: Instrumento que describe y da cuenta de manera general
sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
5 de 45
responsable para garantizar la confidencialidad, integridad y disponibilidad de los
datos personales que posee.
XIV. Encargado: La persona física o jurídica, pública o privada, ajena a la organización
del responsable, que sola o conjuntamente con otras trate datos personales a
nombre y por cuenta del responsable.
XV. Estado: El Estado de Chihuahua.
XVI. Evaluación de impacto en la protección de datos personales: Documento mediante
el cual los responsables valoran y determinan los impactos reales respecto de
determinado tratamiento de datos personales, a efecto de identificar y mitigar
posibles riesgos relacionados con los principios, deberes y derechos de los titulares,
así como los deberes de los responsables y encargados, previstos en la
normatividad aplicable.
XVII. Fuentes de acceso público: Aquellas bases de datos, sistemas o archivos que por
disposición de ley puedan ser consultadas públicamente cuando no exista una
norma que señale un impedimento y sin más exigencia que, en su caso, el pago de
una contraprestación, tarifa o contribución.
No se considerará fuente de acceso público cuando los datos personales contenidos
en la misma sean obtenidos o tengan una procedencia ilícita, conforme a las
disposiciones establecidas por la presente Ley y demás normatividad aplicable.
XVIII. Instituto: Instituto Nacional de Transparencia, Acceso a la Información y Protección
de Datos Personales.
XIX. Ley: Ley de Protección de Datos Personales del Estado de Chihuahua.
XX. Ley General: Ley General de Protección de Datos Personales en Posesión de
Sujetos Obligados. [Fracción reformada mediante Decreto No.
LXV/RFLEY/0407/2017 I P.O. publicado en el P.O.E. No. 90 del 11 de noviembre
de 2017]
XXI. Medidas compensatorias: Mecanismos alternos para dar a conocer las y los titulares
el aviso de privacidad, a través de su difusión por medios masivos de comunicación
u otros de amplio alcance.
XXII. Medidas de seguridad: Conjunto de acciones, actividades, controles o mecanismos
administrativos, técnicos y físicos que permitan proteger los datos personales.
XXIII. Medidas de seguridad administrativas: Políticas y procedimientos para la gestión,
soporte y revisión de la seguridad de los datos personales a nivel organizacional; la
identificación, clasificación y borrado seguro de los mismos, así como la
sensibilización y capacitación del personal, en materia de protección de datos
personales.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
6 de 45
XXIV. Medidas de seguridad físicas: Conjunto de acciones y mecanismos para proteger el
entorno físico de los datos personales y de los recursos involucrados en su
tratamiento.
XXV. Medidas de seguridad técnicas: Conjunto de acciones y mecanismos que se valen
de la tecnología relacionada con hardware y software para proteger el entorno digital
de los datos personales y los recursos involucrados en su tratamiento.
XXVI. Organismo Garante: El Instituto Chihuahuense para la Transparencia y Acceso a la
Información Pública.
XXVII. Plataforma Nacional: La Plataforma Nacional de Transparencia a que hace
referencia la Ley General de Transparencia y Acceso a la Información Pública.
XXVIII. Remisión: Toda comunicación de datos personales realizada exclusivamente entre
el responsable y encargado, dentro o fuera del territorio mexicano.
XXIX. Responsable: Los sujetos obligados a que se refiere la presente Ley, que deciden
sobre la determinación de los fines, medios, alcance y demás cuestiones
relacionadas con el tratamiento de datos personales.
XXX. Sistema de gestión: Conjunto documentado de elementos y actividades para
establecer, operar, monitorear, revisar, mantener y mejorar el tratamiento y
seguridad de los datos personales.
XXXI. Sistema Nacional: El Sistema Nacional de Transparencia, Acceso a la Información y
Protección de Datos Personales.
XXXII. Supresión: La baja archivística de los datos personales conforme a la normatividad
aplicable, que resulte en la eliminación, borrado o destrucción de los datos
personales bajo las medidas de seguridad previamente establecidas por el
responsable.
XXXIII. Titular: La persona física a quien corresponden los datos personales.
XXXIV. Transferencia: Toda comunicación de datos personales dentro o fuera del territorio
mexicano, realizada a persona distinta del titular, del responsable o del encargado.
XXXV. Tratamiento: De manera enunciativa, mas no limitativa, es la operación o conjunto
de operaciones efectuadas mediante procedimientos físicos automatizados,
informáticos, manuales, mecánicos, digitales o electrónicos, aplicados a los datos
personales, relacionados con obtención, uso, registro, organización, conservación,
elaboración, utilización, estructuración, adaptación, indexación, modificación,
extracción, consulta, comunicación, difusión, almacenamiento, posesión, acceso,
manejo, aprovechamiento, divulgación, transferencia o disposición y, en general,
cualquier otra aplicada a los datos personales.
XXXVI. Unidad de Transparencia: Órgano Colegiado referido en la Ley de Transparencia y
Acceso a la Información Pública del Estado de Chihuahua, cuyas atribuciones son
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
7 de 45
atender lo relativo a las obligaciones previstas en el citado ordenamiento jurídico y
en las disposiciones de la presente Ley.
Artículo 12. La presente Ley será aplicable a cualquier tratamiento de datos personales que obren
en soportes físicos o electrónicos, con independencia de la forma o modalidad de su creación, tipo
de soporte, procesamiento, almacenamiento y organización.
Artículo 13. Se considerarán fuentes de acceso público:
I. Las páginas de Internet o medios remotos o locales de comunicación electrónica, óptica
y de otra tecnología, siempre que el sitio donde se encuentren los datos personales
faciliten información al público y esté abierto a la consulta general.
II. Los directorios telefónicos en términos de la normatividad específica.
III. Los diarios, gacetas o boletines oficiales, de acuerdo con su normatividad.
IV. Los medios de comunicación social.
V. Los registros públicos conforme a las disposiciones que les resulten aplicables.
Artículo 14. Solo podrá haber tratamiento de datos personales, cuando se cuente con el
consentimiento de su titular o, en su defecto, se actualicen las hipótesis previstas en esta Ley.
En el tratamiento de datos personales de menores de edad se privilegiará el interés superior de la
niña, el niño y el adolescente, en términos de las disposiciones legales aplicables.
Artículo 15. En lo relativo al Sistema Nacional, se estará a lo previsto en las Leyes Generales de
Protección de Datos Personales en Posesión de Sujetos Obligados, y de Transparencia y Acceso a
la Información Pública.
CAPÍTULO II
DE LOS PRINCIPIOS
Artículo 16. En todo tratamiento de datos personales que efectúe el responsable deberá observar
los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y
responsabilidad, entendiéndose estos como:
I. Licitud.- El responsable deberá tratar los datos personales en su posesión con estricto
apego y cumplimiento de lo dispuesto por la presente Ley demás disposiciones
aplicables, respetando los derechos y libertades del titular.
II. Finalidad.- Todo tratamiento de datos personales que efectúe el responsable deberá
estar justificado por finalidades concretas, explícitas, lícitas y legítimas, asentadas en el
aviso de privacidad, relacionadas con las atribuciones expresas que la normatividad
aplicable le confiera.
Podrá realizarse un tratamiento a los datos personales distinto del establecido en el
aviso de privacidad, siempre que se cuente con el consentimiento del titular.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
8 de 45
III. Lealtad.- El responsable deberá abstenerse de tratar los datos personales a través de
medios engañosos o fraudulentos, privilegiando, en todo momento, la protección de los
intereses del titular y la expectativa razonable de privacidad.
IV. Consentimiento.- Deberá contarse con el consentimiento previo del titular.
V. Calidad.- Que los datos proporcionados directa o indirectamente por su titular se
obtengan de manera exacta y se mantengan actualizados.
VI. Proporcionalidad.- Únicamente se llevará a cabo el tratamiento de los datos
estrictamente necesarios para cumplir con la finalidad para la cual fueron recabados.
VII. Información.- Que el titular tenga conocimiento previo de los fines para los que se
recaban.
VIII. Responsabilidad.- El responsable se sujetará a las atribuciones que la normatividad
aplicable le confiere, implementando controles que permitan acreditar el cumplimiento
de las obligaciones en materia de datos personales, así como rendir cuentas al titular y
al Organismo Garante.
Artículo 17. La obtención del consentimiento del titular para el tratamiento de los datos personales,
salvo lo dispuesto en la presente Ley, deberá ser:
I. Libre: Sin que medie error, mala fe, violencia o dolo que puedan afectar la
manifestación de voluntad del titular.
II. Específica: Referida a finalidades concretas, lícitas, explícitas y legítimas que justifiquen
el tratamiento.
III. Informada: Que el titular tenga conocimiento del aviso de privacidad previo al
tratamiento a que serán sometidos sus datos personales.
En la obtención del consentimiento de menores de edad o de personas que se encuentren en
estado de interdicción o incapacidad declarada conforme a la ley, se estará a lo dispuesto en las
reglas de representación previstas en la legislación civil aplicable.
Artículo 18. El consentimiento podrá manifestarse, por lo general, de forma tácita o expresa cuando
así se señale, conforme a lo siguiente:
I. Es tácito cuando habiéndose puesto a disposición del titular el aviso de privacidad, este
no manifieste su voluntad en sentido contrario y será válido, salvo que la ley o las
disposiciones aplicables exijan que se manifieste expresamente.
II. Es expreso cuando la voluntad del titular se manifieste verbalmente, por escrito, por
medios electrónicos, ópticos, signos inequívocos o por cualquier otra tecnología.
Artículo 19. Tratándose de datos personales sensibles, el responsable deberá obtener para su
tratamiento, el consentimiento expreso y por escrito de su titular, con firma autógrafa, firma
electrónica o cualquier mecanismo de autenticación que al efecto se establezca, salvo en los casos
previstos en esta Ley.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
9 de 45
Artículo 20. El responsable no estará obligado a recabar el consentimiento del titular para el
tratamiento de sus datos personales, en los siguientes casos:
I. Cuando una ley así lo disponga, debiendo dichos supuestos ser acordes con las bases,
principios y disposiciones establecidos en esta Ley, en ningún caso, podrán
contravenirla.
II. Cuando exista una orden judicial, resolución o mandato fundado y motivado de
autoridad competente.
III. Para el reconocimiento o defensa de derechos del titular ante autoridad competente.
IV. Cuando los datos personales se requieran para ejercer un derecho o cumplir
obligaciones derivadas de una relación jurídica entre el titular y el responsable.
V. Cuando exista una situación de emergencia que potencialmente pueda dañar a un
individuo en su persona o en sus bienes.
VI. Cuando los datos personales sean necesarios para efectuar un tratamiento para la
prevención, diagnóstico o en la prestación de asistencia sanitaria o tratamientos
médicos.
VII. Cuando los datos personales estén contenidos en fuentes de acceso público.
VIII. Cuando los datos personales se sometan a un procedimiento previo de disociación.
IX. Cuando el titular de los datos personales sea una persona reportada como
desaparecida en los términos de la ley en la materia.
TÍTULO SEGUNDO
DE LOS ÓRGANOS
CAPÍTULO I
DEL ORGANISMO GARANTE
Artículo 21. En la integración y funcionamiento del Organismo Garante, se estará a lo dispuesto por
la Constitución Política y la Ley de Transparencia y Acceso a la Información Pública, ambos
ordenamientos del Estado, y demás normatividad aplicable.
Artículo 22. Para los efectos de la presente Ley, el Organismo Garante tendrá las siguientes
atribuciones:
I. Promover y difundir el ejercicio del derecho a la protección de datos personales.
II. Coordinarse con las autoridades competentes a fin de que las solicitudes para el
ejercicio de los derechos ARCO y de portabilidad, así como los recursos de revisión
que se presenten en lenguas indígenas, sean atendidos en la misma lengua.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
10 de 45
III. Garantizar condiciones de accesibilidad para que, en igualdad de circunstancias, los
titulares puedan ejercer su derecho a la protección de datos personales.
IV. Elaborar y publicar estudios e investigaciones para difundir el derecho a la protección
de datos personales.
V. Hacer del conocimiento de las autoridades competentes, la probable responsabilidad
derivada del incumplimiento de las obligaciones en materia de protección de datos
personales.
VI. Suscribir convenios de colaboración con el Instituto para el cumplimiento de los
objetivos previstos en la presente Ley y demás disposiciones aplicables.
VII. Vigilar el cumplimiento de las obligaciones en materia de protección de datos
personales.
VIII. Llevar a cabo acciones y actividades que promuevan el conocimiento del derecho a la
protección de datos personales.
IX. Evaluar el desempeño de los responsables, respecto del cumplimiento de las
obligaciones en materia de datos personales.
X. Promover la capacitación y actualización de los responsables, en materia de protección
de datos personales.
XI. Conocer, sustanciar y resolver los recursos de revisión interpuestos por los titulares.
XII. Presentar petición fundada al Instituto, para que conozca y resuelva los recursos de
revisión cuyo interés y trascendencia requieran de su intervención.
XIII. Imponer las medidas de apremio para asegurar el cumplimiento de sus resoluciones.
XIV. Proporcionar al Instituto los elementos para resolver los recursos de inconformidad que
le presenten.
XV. Solicitar la cooperación del Instituto, en los términos del artículo 89, fracción XXX de la
Ley General.
XVI. Administrar, en el ámbito de su competencia, la Plataforma Nacional de Transparencia.
XVII. En su caso, interponer acciones de inconstitucionalidad en contra de leyes expedidas
por el Poder Legislativo del Estado, que vulneren el derecho a la protección de datos
personales.
XVIII. Emitir, en su caso, las recomendaciones no vinculantes correspondientes a la
evaluación de impacto, en materia de protección de datos personales.
XIX. Brindar asesoría y apoyo técnico a los responsables y titulares, desarrollar
herramientas que faciliten a los responsables el cumplimiento de sus obligaciones, así
como a los titulares el ejercicio de sus derechos, y emitir disposiciones de carácter
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
11 de 45
general que permitan interpretar las disposiciones de la presente Ley. [Fracción
reformada mediante Decreto No. LXV/RFLEY/0407/2017 I P.O. publicado en el
P.O.E. No. 90 del 11 de noviembre de 2017]
Artículo 23. Los responsables, en colaboración con el Organismo Garante, capacitarán y
actualizarán a sus servidores (as) públicos (as), en materia de protección de datos personales.
Artículo 24. El Organismo Garante deberá:
I. Promover el derecho a la protección de datos personales, así como la cultura sobre el
ejercicio y respeto de este, en los programas y planes de estudio, libros y materiales
que se utilicen en las instituciones educativas de todos los niveles y modalidades del
Estado.
II. Impulsar, en conjunto con instituciones de educación superior, la integración de centros
de investigación, difusión y docencia sobre el derecho a la protección de datos
personales que promuevan el conocimiento sobre este tema.
III. Fomentar la creación de espacios de participación ciudadana, donde se reflexione
sobre la materia de protección de datos personales.
CAPÍTULO II
DEL COMITÉ DE TRANSPARENCIA
Artículo 25. Cada responsable contará con un Comité de Transparencia, el cual se integrará y
funcionará conforme a lo dispuesto en la Ley de Transparencia y Acceso a la Información Pública
del Estado y demás normatividad aplicable.
El Comité de Transparencia será la autoridad máxima en materia de protección de datos personales.
Artículo 26. El Comité de Transparencia tendrá las siguientes funciones:
I. Coordinar, supervisar y realizar las acciones para garantizar el derecho a la protección
de los datos personales en posesión del responsable.
II. Implementar, en su caso, procedimientos internos para dar eficiencia a la gestión de las
solicitudes para el ejercicio de los derechos ARCO y de portabilidad.
III. Confirmar, modificar o revocar las determinaciones en las que se declare la inexistencia
de los datos personales, o se niegue por cualquier causa el ejercicio de alguno de los
derechos ARCO y de portabilidad.
IV. Establecer y supervisar la aplicación de criterios o disposiciones que contribuyan al
cumplimiento de la presente Ley, y demás normatividad aplicable.
V. Supervisar, en coordinación con las áreas o unidades administrativas competentes, el
cumplimiento de las medidas, controles y acciones; todo ello previsto en el documento
de seguridad.
VI. Dar seguimiento y cumplimiento a las resoluciones emitidas por el Organismo Garante.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
12 de 45
VII. Establecer programas de capacitación y actualización para las y los servidores
públicos, en materia de protección de datos personales.
VIII. Dar vista al órgano interno de control o instancia equivalente, de los actos que
contravengan lo dispuesto en esta Ley, en materia de tratamiento de datos personales,
particularmente en caso de declaración de inexistencia que realicen los responsables.
CAPÍTULO III
DE LA UNIDAD DE TRANSPARENCIA
Artículo 27. Cada responsable contará con una Unidad de Transparencia, se integrará y funcionará
conforme a lo dispuesto en la Ley de Transparencia y Acceso a la Información Pública del Estado de
Chihuahua y demás normatividad aplicable, y tendrá las siguientes funciones:
I. Auxiliar y orientar al titular para que ejerza el derecho a la protección de sus datos
personales.
II. Dar trámite a las solicitudes en las que se pretende ejercer los derechos ARCO y de
portabilidad, hasta su conclusión.
III. Establecer mecanismos que aseguren que los datos personales se entreguen a su
titular o su representante legal, debidamente acreditados.
IV. Informar al titular o su representante legal, el monto de los costos a cubrir por la
reproducción y envío de los datos personales, con base en lo establecido en las
disposiciones aplicables.
V. Proponer al Comité de Transparencia los procedimientos internos que aseguren y
fortalezcan el trámite de las solicitudes para el ejercicio de los derechos ARCO y de
portabilidad.
VI. Aplicar instrumentos de evaluación de calidad sobre el trámite de las solicitudes para el
ejercicio de los derechos ARCO y de portabilidad.
VII. Otorgar asesorías a las áreas, en materia de protección de datos personales.
Artículo 28. Los responsables que lleven a cabo tratamiento de datos personales intensivo o
relevante, podrán designar a un oficial de protección de datos personales, quien realizará las
atribuciones mencionadas en el artículo anterior y formará parte de la estructura de la Unidad de
Transparencia.
El oficial referido en el párrafo anterior deberá tener conocimientos y experiencia en protección de
datos personales y contará con atribuciones para diseñar y ejecutar la política institucional en la
materia, sin perjuicio de las atribuciones del Comité de Transparencia.
Artículo 29. Los responsables podrán suscribir acuerdos con instituciones públicas especializadas
para dar trámite a las solicitudes para el ejercicio de los derechos ARCO y de portabilidad, en lengua
indígena, braille o cualquier otro formato accesible.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
13 de 45
Artículo 30. El responsable procurará que las personas pertenecientes a grupos vulnerables o con
alguna discapacidad, puedan ejercer su derecho a la protección de datos personales, en igualdad de
circunstancias.
TÍTULO TERCERO
DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN, OPOSICIÓN (ARCO) Y DE
PORTABILIDAD
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 31. El titular por sí o por medio de su representante, debidamente identificados, podrá
ejercer los derechos de acceso, rectificación, cancelación, oposición al tratamiento y de portabilidad
de sus datos personales en posesión de los sujetos obligados.
Estos derechos son independientes, de tal forma que no puede entenderse que el ejercicio de
alguno de ellos sea requisito previo o impida el ejercicio de otro.
Artículo 32. El ejercicio de los derechos ARCO y de portabilidad, por persona distinta a su titular o a
su representante, será posible en los supuestos que disponga la ley o, en su caso, por mandato
judicial.
Artículo 33. El titular tendrá derecho a acceder a sus datos personales que obren en posesión del
responsable, así como a conocer la información relacionada con las condiciones y generalidades de
su tratamiento.
Artículo 34. El titular tendrá derecho a solicitar al responsable la rectificación o corrección de sus
datos personales, cuando estos resulten ser inexactos, incompletos o no se encuentren
actualizados.
Artículo 35. El titular tendrá derecho a solicitar la cancelación de sus datos personales de los
archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en
su posesión y dejen de ser tratados por este último.
Artículo 36. El titular podrá oponerse al tratamiento de sus datos personales o exigir que cese el
mismo, cuando:
I. Pueda causarle un daño o perjuicio, aun siendo lícito el tratamiento.
II. Sus datos personales sean objeto de un tratamiento automatizado y estén destinados a
evaluar, analizar o predecir, en particular, su rendimiento profesional, situación
económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento, entre
otros, siempre y cuando se le cause un daño o perjuicio.
Artículo 37. En el ejercicio de los derechos ARCO y de portabilidad de menores de edad o de
personas que se encuentren en estado de interdicción o incapacidad, de conformidad con las leyes
civiles, se estará a las reglas de representación dispuestas en dicha legislación.
Artículo 38. Tratándose de datos personales concernientes a personas fallecidas, la persona que
acredite tener un interés jurídico, de conformidad con las leyes aplicables, podrá ejercer los
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
14 de 45
derechos que le confiere el presente Capítulo, siempre que el titular de los derechos hubiere
expresado fehacientemente su voluntad en tal sentido o que exista un mandato judicial para dicho
efecto.
CAPÍTULO II
DEL EJERCICIO DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN,
OPOSICIÓN Y DE PORTABILIDAD
Artículo 39. La recepción y trámite de las solicitudes para el ejercicio de los derechos ARCO y de
portabilidad, que se formulen a los responsables, se sujetará al procedimiento establecido en el
presente Título y demás disposiciones que resulten aplicables en la materia.
Artículo 40. El ejercicio de los derechos ARCO y de portabilidad, deberá ser gratuito. Solo podrán
realizarse cobros para recuperar los costos de reproducción, certificación o envío, conforme a la
normatividad aplicable.
El responsable no podrá establecer, para la presentación de las solicitudes del ejercicio de los
derechos ARCO y de portabilidad, algún servicio o medio que implique un costo al titular.
Artículo 41. Los costos de reproducción y certificación del acceso a los datos personales, que se
prevean en las disposiciones aplicables, deberán ser accesibles para permitir o facilitar el ejercicio
de este derecho.
Cuando el titular proporcione el medio magnético, electrónico o el mecanismo necesario para
reproducir los datos personales, los mismos deberán ser entregados a este sin costo.
Los responsables aperturarán una cuenta bancaria única y exclusivamente para realizar el pago de
los costos referidos, así como un correo electrónico a fin de recibir copia del documento que acredite
dicho pago, sin perjuicio de su exhibición en el domicilio de la Unidad de Transparencia.
Preferentemente se utilizará la cuenta bancaria aperturada para recibir el pago de los costos de
reproducción en materia de acceso a la información.
Artículo 42. La información deberá ser entregada sin costo, cuando implique la entrega de menos
de veinte hojas simples.
La Unidad de Transparencia podrá exceptuar el pago de reproducción y envío atendiendo a las
circunstancias socioeconómicas del titular.
Artículo 43. El responsable deberá establecer procedimientos sencillos que permitan el ejercicio de
los derechos ARCO y de portabilidad.
El responsable deberá otorgar las respuestas a las solicitudes de derechos ARCO y de portabilidad,
en un plazo no mayor a veinte días contados a partir del día siguiente a la recepción de la solicitud.
El plazo anterior podrá ser ampliado, por una sola vez, hasta por diez días cuando las circunstancias
así lo justifiquen, y siempre y cuando se le notifique al titular dentro del plazo de respuesta.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
15 de 45
La Unidad de Transparencia tendrá disponible la información por un plazo de 30 días naturales,
contados a partir de que el o la solicitante realice el pago, procediendo a su destrucción en caso de
que aquel no acuda a recogerla.
Artículo 44. En caso de resultar procedente el ejercicio de los derechos ARCO y de portabilidad, el
responsable deberá hacerlo efectivo en un plazo que no podrá exceder de quince días contados a
partir del día siguiente en que se haya notificado la respuesta al titular.
Artículo 45. La solicitud para el ejercicio de los derechos ARCO y de portabilidad, deberá
presentarse ante la Unidad de Transparencia del responsable y cumplir con los siguientes requisitos:
I. El nombre del titular y su domicilio o cualquier otro medio para recibir notificaciones.
II. Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e
identidad de su representante.
III. De ser posible, el área responsable que lleva a cabo el tratamiento de los datos
personales.
IV. La descripción clara y precisa de los datos personales respecto de los que se busca
ejercer alguno de los derechos ARCO y de portabilidad, salvo que se trate del derecho
de acceso.
V. La descripción del derecho ARCO y de portabilidad, que se pretende ejercer, o bien, lo
que solicita el titular.
VI. Cualquier otro elemento o documento que facilite la localización de los datos
personales, en su caso.
Artículo 46. Tratándose de una solicitud de acceso a datos personales, el titular deberá señalar la
modalidad en la que prefiere que estos se reproduzcan.
El responsable deberá atender la solicitud en la modalidad requerida por el titular, salvo que exista
una imposibilidad física o jurídica que lo limite a reproducir los datos personales en esos términos;
en este caso, deberá ofrecer otras modalidades de entrega de los datos personales, fundando y
motivando dicha actuación.
Artículo 47. En caso de que la solicitud para el ejercicio de los derechos ARCO y de portabilidad, no
satisfaga alguno de los requisitos a que se refiere el artículo 45 de esta Ley, y no se cuente con
elementos para subsanarla, se prevendrá, por una sola ocasión, al titular de los datos, dentro de los
cinco días siguientes a su presentación, para que subsane las omisiones en un plazo de diez días,
contados a partir del día siguiente de la notificación, apercibido que de no atender la prevención, la
citada solicitud se tendrá por no presentada.
Artículo 48. La prevención tendrá el efecto de interrumpir el plazo para resolver la solicitud de
ejercicio de los derechos ARCO y de portabilidad.
Artículo 49. Tratándose de una solicitud de cancelación, el titular, además, deberá señalar las
causas que lo motiven a solicitar la supresión de sus datos personales en los archivos, registros o
bases de datos del responsable.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
16 de 45
Artículo 50. Tratándose de una solicitud de oposición, el titular, además, deberá manifestar las
causas o la situación específica que lo llevan a solicitar el cese en el tratamiento, así como el daño o
perjuicio que le causaría la persistencia del tratamiento o, en su caso, las finalidades específicas
respecto de las cuales requiere ejercer el derecho de oposición.
Artículo 51. Las solicitudes para el ejercicio de los derechos ARCO y de portabilidad, deberán
presentarse ante la Unidad de Transparencia del responsable, a través de escrito libre, formatos,
medios electrónicos, o cualquier otro medio que al efecto establezca el Organismo Garante.
Artículo 52. El responsable deberá dar trámite a toda solicitud para el ejercicio de los derechos
ARCO y de portabilidad, y entregar el acuse de recibo que corresponda.
Artículo 53. El Organismo Garante podrá establecer formularios, sistemas y otros métodos
simplificados para facilitar a los titulares el ejercicio de los derechos ARCO y de portabilidad.
Artículo 54. Los medios y procedimientos habilitados por el responsable para atender las solicitudes
para el ejercicio de los derechos ARCO y de portabilidad, deberán ser de fácil acceso y con la mayor
cobertura posible, considerando el perfil de los titulares y la forma en que mantienen contacto
cotidiano o común con el responsable.
Artículo 55. Cuando la solicitud para el ejercicio de los derechos ARCO y de portabilidad, no sea
competencia del responsable, deberá hacerlo del conocimiento del titular y, en su caso, orientarlo
hacia el responsable competente.
Artículo 56. En caso de que el responsable declare inexistencia de los datos personales en sus
archivos, registros, sistemas o expedientes, dicha declaración deberá constar en una resolución del
Comité de Transparencia que confirme la inexistencia de los datos personales.
Artículo 57. En caso de que el responsable advierta que la solicitud para el ejercicio de los
derechos ARCO y de portabilidad, corresponda a un derecho diferente de los previstos en la
presente Ley, dentro de un plazo no mayor a cinco días, deberá reconducir la vía haciéndolo del
conocimiento al titular.
Artículo 58. En caso de existir un procedimiento específico para solicitar el ejercicio de los derechos
ARCO y de portabilidad, el responsable se lo hará saber al titular para que este, en un plazo no
mayor a cinco días siguientes a la presentación de la solicitud, decida si asume dicho procedimiento
o el establecido en esta Ley.
Artículo 59. El ejercicio de los derechos ARCO y de portabilidad, será improcedente cuando:
I. El titular o su representante no acrediten su personalidad, en los términos de esta Ley.
II. Los datos personales no se encuentren en posesión del responsable.
III. Exista un impedimento legal.
IV. Se lesionen los derechos de un tercero.
V. Se obstaculicen actuaciones judiciales o administrativas.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
17 de 45
VI. Exista una resolución de autoridad competente que restrinja el acceso a los datos
personales o no permita la rectificación, cancelación u oposición de los mismos.
VII. La cancelación u oposición ya se hubiere realizado.
VIII. El responsable no tenga competencia.
IX. Sean necesarios para proteger los intereses jurídicamente tutelados del titular.
X. Sean necesarios para dar cumplimiento a obligaciones legalmente adquiridas por el
titular.
El responsable deberá informar al titular la causal de improcedencia, en un plazo no mayor a veinte
días, contados a partir de la presentación de la solicitud correspondiente, fundando y motivando su
resolución, la cual será confirmada por el Comité de Transparencia.
Artículo 60. Cuando el tratamiento de datos personales sea por vía electrónica en un formato
estructurado y comúnmente utilizado, el titular tendrá derecho a obtener del responsable una copia
de los datos en dicho formato.
La copia que se entregue en el formato citado, deberá permitir la reutilización de los datos
personales.
Artículo 61. El titular tendrá derecho a solicitar se transmitan los datos personales y otra
información que hubiese facilitado al responsable y que este conserve en un sistema de tratamiento
automatizado, a otro electrónico comúnmente utilizado, sin que el citado responsable se lo impida.
Artículo 62. El recurso de revisión, previsto en esta Ley, procederá en contra de la negativa de
trámite a las solicitudes para el ejercicio de los derechos ARCO y de portabilidad, o ante la falta de
respuesta del responsable.
TÍTULO CUARTO
DE LAS MEDIDAS DE SEGURIDAD
CAPÍTULO ÚNICO
DISPOSICIONES GENERALES
Artículo 63. El responsable deberá informar al titular del tratamiento al que serán sometidos sus
datos personales, a través del aviso de privacidad, mismo que deberá ser redactado y estructurado
de manera clara y sencilla, y difundido por los medios electrónicos y físicos con que cuente el
responsable.
Artículo 64. El responsable podrá instrumentar medidas compensatorias de comunicación masiva
para dar a conocer al titular de los datos personales el aviso de privacidad, cuando resulte imposible
hacerlo de su conocimiento de manera directa o no se cuenten con los recursos para tal efecto.
Las citadas medidas compensatorias atenderán a los criterios que emita el Sistema Nacional.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
18 de 45
Artículo 65. El aviso de privacidad se pondrá a disposición del titular, en sus dos modalidades:
simplificado e integral.
Artículo 66. El aviso de privacidad simplificado deberá contener, al menos, la siguiente información:
I. El nombre y domicilio del responsable.
II. Las finalidades para las cuales se obtienen los datos personales, el tratamiento al que
serán sometidos y, en su caso, la necesidad de que otorgue su consentimiento para
tales efectos.
III. Las transferencias que pueden realizarse, las autoridades, poderes, entidades, órganos
y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o
morales nacionales o internacionales a las que se transfieren los datos personales, las
finalidades de estas y, en su caso, la necesidad de que otorgue su consentimiento para
tales efectos.
IV. Los mecanismos y medios disponibles para que el titular manifieste su negativa, previo
el tratamiento y transferencia de sus datos personales.
V. El sitio donde se podrá consultar el aviso de privacidad integral.
La puesta a disposición del aviso de privacidad simplificado, no exime al responsable de proveer los
mecanismos para que el o la titular conozca el aviso de privacidad integral.
Artículo 67. El aviso de privacidad integral deberá contener, al menos, la siguiente información:
I. El nombre y domicilio del responsable.
II. Las finalidades para las cuales se obtienen los datos personales, el tratamiento al que
serán sometidos, identificando aquellos que son sensibles y, en su caso, la necesidad
de que otorgue su consentimiento para tales efectos.
III. El fundamento legal que faculta al responsable para llevar a cabo el tratamiento.
IV. Las transferencias que pueden realizarse, las autoridades, poderes, entidades, órganos
y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o
morales, ya sean de carácter nacional o internacional, a las que se transfieren los datos
personales, las finalidades de estas y, en su caso, la necesidad de que otorgue su
consentimiento para tales efectos.
V. Los mecanismos, medios y procedimientos disponibles para ejercer los derechos
ARCO y el de portabilidad, y para que el titular manifieste su negativa previo al
tratamiento y transferencia de sus datos personales.
VI. El domicilio de la Unidad de Transparencia.
VII. El sitio donde puede consultarse.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
19 de 45
VIII. Los medios a través de los cuales el responsable comunicará a los titulares los cambios
al aviso de privacidad.
[Artículo reformado mediante Decreto No. LXV/RFLEY/0407/2017 I P.O. publicado en el P.O.E.
No. 90 del 11 de noviembre de 2017]
Artículo 68. El responsable y, en su caso, el encargado adoptará las medidas necesarias para
mantener exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de
que no se altere la veracidad de éstos.
Se presume la calidad de los datos personales, cuando estos son proporcionados directamente por
el titular y hasta que este no manifieste y acredite lo contrario.
Los datos personales deberán ser suprimidos, cuando hayan dejado de ser necesarios para el
cumplimiento de las finalidades previstas en el aviso de privacidad, previo bloqueo en su caso, y una
vez que concluya el plazo de conservación de los mismos.
Artículo 69. Los datos personales no deberán conservarse más allá del plazo necesario para el
cumplimiento de las finalidades que justifiquen su tratamiento, considerando los aspectos
administrativos, contables, fiscales, jurídicos e históricos de los datos personales.
Artículo 70. El responsable deberá establecer y documentar los procedimientos, mecanismos y
plazos para la conservación y, en su caso, bloqueo y supresión de los datos personales que lleve a
cabo.
Los citados procedimientos y mecanismos deberán ser revisados periódicamente a efecto de
establecer la necesidad de conservar los datos personales.
Artículo 71. Para cumplir con el principio de responsabilidad, se adoptarán, al menos, los
mecanismos siguientes:
I. Destinar recursos para la instrumentación de programas y políticas de protección de
datos personales.
II. Elaborar políticas y programas de protección de datos personales.
III. Establecer un programa de capacitación y actualización del personal, en materia de
protección de datos personales.
IV. Revisar y actualizar, en su caso, las políticas y programas de seguridad, en materia de
datos personales.
V. Establecer un sistema de supervisión y vigilancia, incluyendo auditorías, para
comprobar el cumplimiento de las políticas de protección de datos personales.
VI. Establecer procedimientos para atender las dudas y quejas que presenten los titulares.
VII. Diseñar, desarrollar e implementar políticas públicas, programas, servicios, sistemas o
plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología para
llevar a cabo el tratamiento de datos personales, de conformidad con las disposiciones
previstas en la presente Ley y demás aplicables.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
20 de 45
El responsable deberá garantizar que lo dispuesto en el párrafo anterior cumpla, por defecto, con las
obligaciones previstas en la presente Ley y de las demás que resulten aplicables en la materia.
Artículo 72. El responsable informará al titular de los datos personales y al Organismo Garante del
cumplimiento de las obligaciones previstas en la presente Ley.
Artículo 73. El responsable deberá establecer y mantener las medidas de seguridad de carácter
administrativo, físico y técnico para la protección de los datos personales, que permitan protegerlos
contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como
garantizar su confidencialidad, integridad y disponibilidad.
I. Tratándose de las medidas de seguridad físicas, de manera enunciativa mas no
limitativa, se deben considerar las siguientes actividades:
a) Prevenir el acceso no autorizado al perímetro de la organización, sus
instalaciones físicas, áreas críticas, recursos e información.
b) Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la
organización, recursos e información.
c) Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico
que pueda salir de la organización.
d) Proveer a los equipos que contienen o almacenan datos personales de un
mantenimiento eficaz, que asegure su disponibilidad e integridad.
II. Tratándose de las medidas de seguridad técnicas, de manera enunciativa más no
limitativa, se deben considerar las siguientes actividades:
a) Prevenir que el acceso a las bases de datos o a la información, así como a los
recursos, sea por usuarios identificados y autorizados.
b) Generar un esquema de privilegios para que el usuario lleve a cabo las
actividades que requiere con motivo de sus funciones.
c) Revisar la configuración de seguridad en la adquisición, operación, desarrollo y
mantenimiento del software y hardware.
d) Gestionar las comunicaciones, operaciones y medios de almacenamiento de los
recursos informáticos en el tratamiento de datos personales.
Artículo 74. En el diseño de las medidas de seguridad deberá considerarse, además:
I. El riesgo inherente a los datos personales tratados y la afectación que pueda causar a
su titular.
II. La sensibilidad de los datos personales tratados.
III. La utilización de los avances tecnológicos.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
21 de 45
IV. Las transferencias de datos personales que se realicen.
V. El universo de titulares.
VI. La seguridad de los sistemas empleados en el tratamiento de datos personales.
VII. La posibilidad de que exista el acceso de un tercero no autorizado a los datos
personales en poder o posesión del responsable.
VIII. Las posibles consecuencias de una vulneración para los titulares.
IX. Las vulneraciones previas ocurridas en los sistemas de tratamiento.
X. El riesgo por el valor potencial cuantitativo o cualitativo, que pudieran tener los datos
personales tratados para una tercera persona no autorizada para su posesión.
Artículo 75. En la implementación de las medidas de seguridad, el responsable deberá realizar, al
menos, las siguientes actividades:
I. Crear políticas internas para la obtención, gestión, tratamiento y supresión de los datos
personales.
II. Definir las obligaciones del personal autorizado para el tratamiento de datos
personales.
III. Elaborar un inventario de datos personales y de los sistemas de tratamiento.
IV. Llevar a cabo el análisis de riesgos y determinar las amenazas para los datos
personales y las debilidades de los sistemas de tratamiento, tales como, hardware,
software, personal del responsable, entre otros.
V. Realizar un análisis de brecha, es decir, un análisis comparativo entre las medidas de
seguridad existentes y aquellas necesarias para cumplir cabalmente con las exigencias
en materia de protección.
VI. Elaborar un plan de trabajo para ello y para el cumplimiento de las políticas de gestión y
tratamiento de datos personales.
VII. Monitorear y revisar, de manera periódica, las medidas de seguridad, así como los
riesgos y afectaciones a los que están sujetos los datos personales.
VIII. Diseñar programas de capacitación al personal, atendiendo a las actividades que
desempeña, con relación al tratamiento de datos personales.
IX. Implementar un sistema de gestión de la seguridad de los datos personales.
Artículo 76. El responsable deberá elaborar un documento de seguridad que contenga, al menos, lo
siguiente:
I. El inventario de datos personales y de los sistemas de tratamiento.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
22 de 45
II. Las funciones y obligaciones quienes traten datos personales.
III. El análisis de riesgos.
IV. El análisis de brecha, es decir, el comparativo entre las medidas de seguridad
existentes y aquellas necesarias para cumplir cabalmente con las exigencias en materia
de protección.
V. El plan de trabajo.
VI. Los mecanismos de monitoreo y revisión de las medidas de seguridad.
VII. El programa general de capacitación.
Artículo 77. El responsable deberá actualizar el documento de seguridad cuando:
I. Se produzcan modificaciones sustanciales al tratamiento de datos personales que
deriven en un cambio en el nivel de riesgo.
II. Exista un proceso de mejora continua, derivado del monitoreo y revisión del sistema de
gestión.
III. Exista un proceso de mejora para mitigar el impacto de una vulneración a las medidas
de seguridad.
IV. Se implementen acciones correctivas y preventivas ante una vulneración a las medidas
de seguridad.
Artículo 78. De ocurrir vulneración a las medidas de seguridad, el responsable analizará sus causas
e implementará, en su plan de trabajo, las acciones preventivas y correctivas a efecto de evitar que
se repita.
Artículo 79. Son vulneraciones a las medidas de seguridad, además de las señaladas en la
normatividad aplicable, al menos, la destrucción, pérdida, daño y robo de los datos personales; su
acceso, uso, o tratamiento no autorizados, así como la alteración o modificación causados a estos.
Artículo 80. El responsable llevará una bitácora de las vulneraciones a las medidas de seguridad en
la que se describan estas y las circunstancias del lugar y la fecha en que ocurrieron, sus causas y
las acciones correctivas implementadas.
Artículo 81. El responsable informará de las vulneraciones a las medidas de seguridad, en cuanto
confirme la existencia de las mismas, al titular de los datos personales y al Organismo Garante,
cuando afecten sus derechos y contendrá, al menos, lo siguiente:
I. La naturaleza del incidente.
II. Los datos personales comprometidos.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
23 de 45
III. Las recomendaciones al titular acerca de las medidas que este pueda adoptar, en su
caso.
IV. Las acciones correctivas realizadas de forma inmediata.
V. Los medios donde puede obtener más información al respecto.
Artículo 82. El responsable deberá establecer controles o mecanismos a fin de que el personal
autorizado para el tratamiento de los datos personales guarde confidencialidad, aun después de
finalizar sus relaciones con el sujeto obligado, sin perjuicio de lo establecido en las disposiciones en
materia de acceso a la información pública.
TÍTULO QUINTO
DEL TRATAMIENTO DE DATOS PERSONALES POR TERCEROS
CAPÍTULO ÚNICO
DISPOSICIONES GENERALES
Artículo 83. El encargado realizará el tratamiento de los datos personales en los términos fijados
por el responsable, sin que dicha actividad le confiera atribuciones de decisión sobre el alcance y
contenido del citado tratamiento.
Artículo 84. La relación entre el responsable y el encargado deberá formalizarse mediante contrato
o cualquier otro instrumento jurídico que decida el responsable, de conformidad con la normatividad
aplicable.
Artículo 85. En el contrato o instrumento jurídico que decida el responsable se deberá prever, al
menos, lo siguiente:
I. Realizar el tratamiento de los datos personales conforme a las instrucciones del
responsable.
II. Abstenerse de realizar el tratamiento de los datos personales para finalidades distintas
a las instruidas por el responsable.
III. Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables.
IV. Informar al responsable cuando ocurra una vulneración a los datos personales, con
motivo del tratamiento realizado conforme a sus instrucciones.
V. Guardar confidencialidad respecto de los datos personales sujetos a tratamiento.
VI. Suprimir o devolver los datos personales objeto de tratamiento, una vez cumplida la
relación jurídica con el responsable, siempre y cuando no exista una previsión legal que
exija la conservación de los datos personales.
VII. Abstenerse de transferir los datos personales, salvo que el responsable así lo
determine, o la citada transferencia derive de una subcontratación, o por mandato
expreso de la autoridad competente.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
24 de 45
VIII. Permitir al responsable o al Organismo Garante realizar inspecciones y verificaciones
en el lugar o establecimiento donde se lleva a cabo el tratamiento de los datos
personales.
IX. Generar, actualizar y conservar la documentación necesaria que le permita acreditar el
cumplimiento de sus obligaciones.
Los acuerdos entre el responsable y el encargado, relacionados con el tratamiento de datos
personales, no deberán contravenir lo establecido en el aviso de privacidad correspondiente, la
presente Ley y demás disposiciones aplicables.
Artículo 86. El encargado asumirá el carácter de responsable, conforme a la legislación en la
materia que le resulte aplicable, cuando incumpla las instrucciones de este y decida por sí mismo
sobre el tratamiento de los datos personales.
Artículo 87. El encargado podrá, a su vez, subcontratar servicios que impliquen el tratamiento de
datos personales por cuenta del responsable, siempre y cuando medie la autorización expresa de
este último.
El subcontratado asumirá el carácter de encargado en los términos de la presente Ley y demás
disposiciones que resulten aplicables en la materia.
Artículo 88. La autorización referida en el artículo anterior, se entenderá otorgada cuando en el
contrato o el instrumento jurídico mediante el cual se formalizó la relación entre el responsable y el
encargado, se prevean las subcontrataciones de servicios.
Artículo 89. Las subcontrataciones deberán cumplir con los requisitos y demás disposiciones
relativas a las relaciones entre el responsable y el encargado, previstas en el presente Capítulo.
Artículo 90. El responsable podrá contratar o adherirse a servicios, aplicaciones e infraestructura de
cómputo en la nube y otras materias que impliquen el tratamiento de datos personales, siempre y
cuando el proveedor externo garantice políticas de protección a los mismos, de conformidad con lo
previsto en la presente Ley y demás disposiciones que resulten aplicables.
El responsable deberá delimitar, en su caso, el tratamiento de los datos personales por parte del
proveedor externo, a través de un contrato u otros instrumentos jurídicos idóneos.
Artículo 91. Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura de
cómputo en la nube y otras materias, en los que el responsable se adhiera a los mismos mediante
un contrato u otros instrumentos jurídicos idóneos, solo podrá utilizar aquellos servicios en los que el
proveedor:
I. Cumpla, al menos, con lo siguiente:
a) Tener y aplicar políticas de protección de datos personales afines a lo
establecido en la presente Ley y demás disposiciones aplicables.
b) Transparentar las subcontrataciones que realice, cuando involucren el
tratamiento de datos personales.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
25 de 45
c) Abstenerse de incluir condiciones en la prestación del servicio que le autoricen o
permitan asumir la titularidad o propiedad de la información sobre la que se
preste el servicio.
d) Guardar confidencialidad respecto de los datos personales sobre los que se
preste el servicio.
II. Cuente con mecanismos, al menos, para:
a) Dar a conocer cambios en sus políticas de privacidad o condiciones del servicio
que presta.
b) Permitir al responsable establecer límites al tipo de tratamiento de los datos
personales sobre los que se preste el servicio.
c) Establecer y mantener medidas de seguridad para la protección de los datos
personales sobre los que se preste el servicio.
d) Garantizar la supresión de los datos personales una vez que haya concluido el
servicio prestado al responsable y que este último haya podido recuperarlos.
e) Impedir el acceso a los datos personales a personas no autorizadas.
Podrá autorizarse el referido acceso cuando medie una solicitud fundada y
motivada de autoridad competente y se dé aviso de este hecho al responsable.
TÍTULO SEXTO
DE LAS TRANSFERENCIAS Y REMISIONES DE DATOS PERSONALES
CAPÍTULO ÚNICO
DISPOSICIONES GENERALES
Artículo 92. Toda transferencia de datos personales, sea esta nacional o internacional, requiere del
consentimiento de su titular, salvo las excepciones previstas en esta Ley.
El destinatario deberá limitar el tratamiento de los datos personales que obtiene de una transferencia
a las finalidades que motivaron esta.
Artículo 93. Toda transferencia deberá formalizarse mediante contrato, convenio de colaboración o
cualquier otro instrumento jurídico, de conformidad con la normatividad que le resulte aplicable al
responsable, en el que se precise el alcance del tratamiento de los datos personales, así como las
obligaciones y responsabilidades asumidas por las partes.
Artículo 94. Lo dispuesto en el artículo anterior, no será aplicable cuando la transferencia:
I. Sea nacional y se realice entre responsables en virtud del cumplimiento de una
disposición legal o en el ejercicio de atribuciones expresamente conferidas a estos.
II. Sea internacional y se encuentre prevista en una ley o tratado suscrito y ratificado por el
Estado Mexicano.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
26 de 45
III. Se realice a petición de una autoridad extranjera u organismo internacional competente
en su carácter de receptor.
En el caso de las fracciones II y III las facultades del responsable transferente y del receptor deben
ser homólogas o compatibles, o bien, las finalidades que motivan la transferencia deben ser
análogas o compatibles respecto de aquellas que dieron origen al tratamiento del responsable
transferente.
Artículo 95. Tratándose de una transferencia de carácter nacional, el receptor llevará a cabo el
tratamiento de los datos personales garantizando su confidencialidad y únicamente los utilizará para
los fines que fueron transferidos, atendiendo a lo convenido en el aviso de privacidad que le será
comunicado por el responsable transferente.
En todo caso el destinatario o receptor de los datos personales en las transferencias nacionales, por
el simple hecho de recibir los mismos adquiere el carácter de responsable.
Artículo 96. El responsable solo podrá transferir o hacer remisión de datos personales fuera del
territorio nacional, cuando el tercero receptor o el encargado se obligue a proteger los datos
personales, conforme a los principios y deberes que establece la presente Ley y las disposiciones
que resulten aplicables en la materia.
Artículo 97. En toda transferencia de datos personales, el responsable deberá comunicar al
receptor de los mismos el aviso de privacidad conforme al cual se realizará su tratamiento.
Artículo 98. El responsable podrá realizar transferencias de datos personales sin necesidad de
requerir el consentimiento del titular, cuando:
I. Esté prevista en esta Ley u otras leyes, convenios o Tratados Internacionales suscritos
y ratificados por el Estado Mexicano.
II. Se realice entre responsables, siempre y cuando los datos personales se utilicen para
el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el
tratamiento de los datos personales.
III. Sea legalmente exigida para la investigación y persecución de los delitos, así como la
procuración o administración de justicia.
IV. Sea precisa para el reconocimiento, ejercicio o defensa de un derecho ante autoridad
competente, siempre y cuando medie el requerimiento de esta última.
V. Sea necesaria para la prevención, diagnóstico o tratamiento médico, la prestación de
asistencia sanitaria, o la gestión de servicios sanitarios, siempre y cuando dichos fines
sean acreditados.
VI. Sea indispensable para el mantenimiento o cumplimiento de una relación jurídica entre
el responsable y el titular.
VII. Sea obligatoria en virtud de un contrato celebrado o por celebrar, entre el responsable y
un tercero, en interés del titular.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
27 de 45
VIII. Sea necesaria por razones de seguridad pública.
Artículo 99. La actualización de algunas de las excepciones previstas en el artículo anterior, no
exime al responsable de cumplir con las obligaciones previstas en el presente Capítulo.
Artículo 100. Las remisiones nacionales e internacionales de datos personales que se realicen
entre responsable y encargado no requerirán ser informadas al titular, ni contar con su
consentimiento.
TÍTULO SÉPTIMO
DE LAS ACCIONES PREVENTIVAS
CAPÍTULO I
DE LAS MEJORES PRÁCTICAS
Artículo 101. El responsable podrá desarrollar o adoptar, en lo individual o en acuerdo con otros
responsables, encargados u organizaciones, esquemas de mejores prácticas que tengan por objeto:
I. Elevar el nivel de protección de los datos personales.
II. Armonizar el tratamiento de datos personales en un sector específico.
III. Facilitar el ejercicio de los derechos ARCO y de portabilidad, por parte de los titulares.
IV. Facilitar las transferencias de datos personales.
V. Emitir disposiciones complementarias que contribuyan al cumplimiento de los objetivos
de la presente Ley.
VI. Informar al Organismo Garante del cumplimiento de las disposiciones en la materia.
Artículo 102. El esquema de mejores prácticas deberá:
I. Cumplir con los parámetros que para tal efecto expida el Organismo Garante, mismos
que deberán ajustarse a lo dispuesto por el Instituto.
II. Notificarse al Organismo Garante, para su evaluación y, en su caso, validación o
reconocimiento e inscripción en el registro correspondiente.
El Organismo Garante emitirá las reglas de operación del registro de esquemas de mejores
prácticas; asimismo, podrán inscribirlos, en su caso, en el registro administrado por el Instituto, de
acuerdo con las reglas que fije este último.
Artículo 103. Cuando el responsable pretenda poner en operación o modificar políticas públicas,
sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que, a su
juicio y de conformidad con esta Ley, impliquen el tratamiento intensivo o relevante de datos
personales, deberá realizar una evaluación de impacto en la protección de los mismos.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
28 de 45
Dicha evaluación deberá presentarse ante el Organismo Garante, treinta días anteriores a la fecha
en que se pretenda llevar a cabo lo señalado en el párrafo anterior, a fin de que el citado Organismo
emita, en su caso, recomendaciones no vinculantes.
El plazo para la emisión de las recomendaciones a que se refiere el párrafo anterior, será dentro de
los treinta días posteriores, contados a partir del día siguiente a la presentación de la evaluación.
El contenido de la citada evaluación de impacto a la protección de datos personales se ajustará a
las disposiciones que para tal efecto emita la instancia facultada para ello.
Artículo 104. Para efectos de esta Ley se considerará que se está en presencia de un tratamiento
intensivo o relevante de datos personales en función de:
I. Los riesgos inherentes al tratamiento de datos personales.
II. La realización del tratamiento de datos personales sensibles.
III. Las transferencias de datos personales que se efectúen o pretendan efectuar.
IV. El número de titulares.
V. El público objetivo.
VI. El desarrollo de la tecnología utilizada.
VII. La relevancia del tratamiento de datos personales en atención al impacto social o
económico del mismo, o del interés público que se persigue.
Artículo 105. No será necesaria la evaluación de impacto en la protección de datos personales,
cuando a juicio del sujeto obligado se puedan comprometer los efectos que se pretenden lograr, con
la posible puesta en operación o modificación de políticas públicas, sistemas o plataformas
informáticas, aplicaciones electrónicas o cualquier otra tecnología, que implique el tratamiento
intensivo o relevante de datos personales o se trate de situaciones de emergencia o urgencia.
CAPÍTULO II
DE LAS BASES DE DATOS EN POSESIÓN DE INSTANCIAS DE SEGURIDAD, PROCURACIÓN Y
ADMINISTRACIÓN DE JUSTICIA
Artículo 106. Los responsables en materias de seguridad, procuración y administración de justicia y
prevención o persecución de los delitos, podrán recabar y dar tratamiento, únicamente a los datos
personales que resulten necesarios y proporcionales para el ejercicio de sus atribuciones, debiendo
almacenarlos en las bases de datos establecidas para tal efecto.
Artículo 107. Los responsables en materias de seguridad, procuración y administración de justicia y
prevención o persecución de los delitos, deberán cumplir con los principios establecidos en la
presente Ley, cuando realicen tratamiento o utilicen las bases de datos para el almacenamiento de
datos personales.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
29 de 45
Artículo 108. Las autoridades que accedan y almacenen los datos personales recabados por los
particulares en cumplimiento de las disposiciones legales correspondientes, deberán cumplir con lo
señalado en el presente Capítulo.
[Artículo referenciado con el número 107, se convierte en 108, mediante Decreto No.
LXV/RFLEY/0407/2017 I P.O. publicado en el P.O.E. No. 90 del 11 de noviembre de 2017]
Artículo 109. Se deroga. [Artículo derogado mediante Decreto No. LXV/RFLEY/0407/2017 I P.O.
publicado en el P.O.E. No. 90 del 11 de noviembre de 2017]
Artículo 110. Los responsables de las bases de datos a que se refiere este Capítulo, para
garantizar la integridad, disponibilidad y confidencialidad de la información, deberán establecer
medidas de seguridad de nivel alto, que permitan proteger los datos personales contra daño,
pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
TÍTULO OCTAVO
DE LOS PROCEDIMIENTOS DE IMPUGNACIÓN
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 111. El o la titular o su representante, podrá interponer recurso de revisión ante el
Organismo Garante, o bien en la Unidad de Transparencia del Responsable que haya conocido de
la solicitud para el ejercicio de los derechos ARCO y de portabilidad y procederá cuando:
I. Los datos personales:
a) Se clasifiquen como confidenciales, sin que se atienda lo dispuesto en esta Ley y
demás disposiciones aplicables.
b) Se declare su inexistencia.
c) Se entreguen incompletos.
d) No correspondan con lo solicitado.
e) Se niegue su acceso, rectificación, cancelación, oposición y portabilidad.
f) Se entreguen o pongan a disposición en una modalidad o formato distinto al
solicitado, o en un formato incomprensible.
II. Se declare la incompetencia del responsable.
III. Se omita dar respuesta a una solicitud para el ejercicio de los derechos ARCO y de
portabilidad, dentro de los plazos establecidos en la presente Ley y demás
disposiciones aplicables.
IV. Cuando el o la titular se inconforme con los costos de su reproducción, envío o tiempos
de entrega.
V. Se obstaculice el ejercicio de los derechos ARCO y de portabilidad.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
30 de 45
VI. No se dé trámite a una solicitud para el ejercicio de los derechos ARCO y de
portabilidad.
VII. En los demás casos que dispongan las leyes.
Artículo 112. El recurso de revisión podrá interponerse dentro de un plazo que no podrá exceder de
quince días, contados a partir del día siguiente a la fecha de la notificación de la respuesta, a través
de cualquiera de los siguientes medios:
I. Por escrito libre en el domicilio del Organismo Garante, de la Unidad de Transparencia
del responsable, o en las oficinas habilitadas por estos.
II. Por correo certificado con acuse de recibo.
III. En formatos emitidos por el Organismo Garante.
IV. Por medios electrónicos autorizados por el Instituto u Organismo Garante.
V. Cualquier otro que al efecto establezca el Organismo Garante.
Artículo 113. Se presumirá que el titular acepta que las notificaciones le sean efectuadas por el
mismo conducto que presentó su escrito, salvo que acredite haber señalado uno distinto para recibir
notificaciones.
Artículo 114. El escrito mediante el cual se interponga el recurso de revisión deberá señalar:
I. El nombre del responsable.
II. El nombre de la persona o titular que recurre o su representante y, en su caso, del
tercero interesado, así como el domicilio o medio que señale para recibir notificaciones.
III. La fecha en que fue notificada la respuesta al titular, o bien, en caso de falta de
respuesta la fecha de la presentación de la solicitud para el ejercicio de los derechos
ARCO y de portabilidad.
IV. El acto que se recurre y los puntos petitorios, así como las razones o motivos de
inconformidad.
V. En su caso, copia de la respuesta que se impugna, y de la notificación correspondiente.
VI. Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e
identidad de su representante.
Asimismo, podrán acompañarse las pruebas y demás elementos que el titular considere
procedentes.
En ningún caso será necesaria la ratificación del recurso de revisión interpuesto.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
31 de 45
Artículo 115. Si el escrito de interposición del recurso de revisión no reúne cualquiera de los
requisitos previstos en este Capítulo, y el Organismo Garante no cuenta con elementos para
subsanarlo, este requerirá al titular, por una sola ocasión, para que subsane las omisiones, en un
plazo que no podrá exceder de cinco días, contados a partir del día siguiente de la presentación del
escrito.
Esta prevención tendrá el efecto de interrumpir el plazo para la resolución del recurso de revisión; y
en caso de no cumplir con el requerimiento, se desechará de plano, salvo que se trate del domicilio,
en cuyo caso se ordenará la notificación por estrados.
Artículo 116. El titular podrá acreditar su identidad a través de cualquiera de los siguientes medios:
I. Identificación oficial.
II. Firma electrónica avanzada o del instrumento electrónico que lo sustituya.
III. Mecanismos de autenticación autorizados por acuerdo general del Organismo Garante,
mismos que deberán ser publicados en el Periódico Oficial del Estado.
La utilización de la firma electrónica o del instrumento electrónico que lo sustituya, eximirá de la
presentación de la copia del documento de identificación.
Artículo 117. Cuando el o la titular actúe mediante un representante, éste deberá acreditar su
personalidad en los siguientes términos:
I. Tratándose de persona física, a través de carta poder simple, suscrita ante dos testigos,
anexando copia de las identificaciones de los suscriptores; documento público; o por
comparecencia del o la titular y su representante ante el Organismo Garante.
II. Tratándose de persona moral, mediante documento público.
Artículo 118. La interposición del recurso de revisión, relativo a datos personales de personas
fallecidas, podrá realizarla quien acredite tener interés jurídico o legítimo.
Artículo 119. Las notificaciones realizadas por el Organismo Garante, en la sustanciación del
recurso de revisión, surtirán efectos el mismo día en que se practiquen.
Dichas notificaciones deberán efectuarse:
I. Personalmente, cuando se trate de:
a) La primera notificación.
b) Un requerimiento.
c) Una solicitud de informes o documentos.
d) Una resolución que ponga fin al procedimiento.
e) En los demás casos que disponga la ley.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
32 de 45
II. Por correo certificado con acuse de recibo; por medios digitales o sistemas autorizados,
mediante acuerdo general del Organismo Garante, publicado en el Periódico Oficial del
Estado, cuando se trate de requerimientos, emplazamientos, solicitudes de informes o
documentos y resoluciones que puedan ser impugnadas.
III. Por correo postal ordinario o por correo electrónico ordinario cuando se trate de actos
distintos de los señalados en las fracciones anteriores.
IV. Por estrados, cuando la persona a quien deba notificarse no sea localizable en su
domicilio, se ignore este o el de su representante.
Artículo 120. Si las partes no ejercieren los derechos dentro de los plazos fijados, aquellos se
tendrán por precluidos, sin necesidad de que el Organismo Garante emita acuerdo para tales
efectos.
Artículo 121. Los requerimientos de información que se formulen deberán ser atendidos en los
términos y plazos que fije el Organismo Garante.
Artículo 122. Se tendrán por ciertos los hechos materia del procedimiento, debiendo el Organismo
Garante resolver con los elementos que disponga, cuando las partes se nieguen a atender o
cumplimentar los requerimientos, solicitudes de información y documentación, emplazamientos,
citaciones, facilitar la práctica de las diligencias o entorpezcan las actuaciones del citado Organismo.
Artículo 123. En la sustanciación del recurso de revisión, las partes podrán ofrecer las siguientes
pruebas:
I. La documental pública.
II. La documental privada.
III. La inspección.
IV. La pericial.
V. La testimonial.
VI. La confesional, excepto tratándose de autoridades.
VII. Las imágenes fotográficas, páginas electrónicas, escritos y demás elementos aportados
por la ciencia y tecnología.
VIII. La presuncional legal y humana.
IX. Las demás que el Organismo Garante considere necesarias, sin más limitación que las
establecidas en la Ley.
Artículo 124. El Organismo Garante resolverá el recurso de revisión en un plazo que no podrá
exceder de cuarenta días, contados a partir de la admisión del mismo, el cual podrá ampliarse, por
una sola vez, hasta por veinte días.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
33 de 45
Durante el procedimiento de conciliación se suspende el plazo para la sustanciación del recurso de
revisión, hasta en tanto se emita un acuerdo de conciliación y se acredite su cumplimiento.
Artículo 125. En la sustanciación del recurso de revisión, el Organismo Garante deberá aplicar la
suplencia de la queja a favor del titular, siempre y cuando no altere su esencia, ni modifique los
hechos o peticiones expuestas en el mismo.
Además, deberá garantizarse que las partes tengan la posibilidad de presentar los argumentos y
constancias que funden y motiven sus pretensiones.
Artículo 126. La resolución del Organismo Garante podrá:
I. Sobreseer o desechar el recurso de revisión por improcedente.
II. Confirmar la respuesta del responsable.
III. Revocar o modificar la respuesta del responsable.
IV. Ordenar la entrega de los datos personales, en caso de omisión del responsable.
Las resoluciones establecerán, en su caso, los plazos y términos para su cumplimiento y los
procedimientos para asegurar su ejecución, debiendo los responsables informar al Organismo
Garante el cumplimiento de sus resoluciones.
Artículo 127. Ante la falta de resolución por parte del Organismo Garante, en los plazos y términos
previstos en la presente Ley, se entenderá confirmada la respuesta del responsable.
Artículo 128. Cuando el Organismo Garante, durante la sustanciación del recurso de revisión,
advierta la existencia de una probable responsabilidad derivada del incumplimiento de las
obligaciones previstas en la presente Ley y demás disposiciones aplicables, deberá hacerlo del
conocimiento del órgano interno de control o de la instancia competente del responsable, para que
se inicie, en su caso, el procedimiento de responsabilidad respectivo.
Artículo 129. El recurso de revisión podrá ser desechado, por improcedente, en los siguientes
casos:
I. Por ser extemporáneo; es decir, por haber transcurrido el plazo para su presentación.
II. El titular o su representante no acrediten debidamente su identidad y personalidad.
III. El Organismo Garante haya resuelto anteriormente en definitiva sobre la materia del
mismo.
IV. No se actualice alguna de las causales del recurso de revisión.
V. Se encuentre en trámite algún recurso o medio de defensa en los tribunales
competentes, en contra del acto recurrido ante el Organismo Garante.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
34 de 45
VI. El o la recurrente modifique o amplíe su petición, únicamente respecto del nuevo
contenido.
VII. El o la recurrente no acredite interés jurídico.
Artículo 130. El titular podrá interponer, de nueva cuenta, recurso de revisión cuando este se
hubiese desechado por las causales previstas en las fracciones II, V, VI y VII del artículo anterior.
Artículo 131. Se declarará el sobreseimiento del recurso de revisión en los siguientes casos:
I. El o la recurrente se desista expresamente.
II. El o la recurrente fallezca.
III. Admitido el recurso de revisión, se actualice alguna causal de improcedencia en los
términos de la presente Ley.
IV. El responsable modifique o revoque su respuesta de tal manera que el recurso de
revisión quede sin materia.
V. Quede sin materia el recurso de revisión.
Artículo 132. El Organismo Garante notificará a las partes la resolución, a más tardar al tercer día
siguiente al de su aprobación y, dentro de ese mismo plazo, elaborará una versión pública de la
misma, para su difusión en los medios que estime pertinentes.
Artículo 133. El o la titular o su representante, podrá impugnar la resolución que emita el Organismo
Garante, mediante recurso de inconformidad ante el Instituto, en los términos de la Ley General.
De igual modo podrá presentarse ante el Organismo Garante, en cuyo caso, este lo remitirá al
Instituto el día siguiente de su recepción.
Artículo 134. Las resoluciones del Organismo Garante serán vinculantes, definitivas e inatacables
para los responsables.
Artículo 135. En todo caso, el o la titular o su representante legal, podrán interponer Juicio de
Amparo ante la autoridad competente, en los términos de la Ley de la materia, en contra de las
resoluciones emitidas en los recursos de revisión y de inconformidad.
CAPÍTULO II
DE LA CONCILIACIÓN
Artículo 136. Admitido el recurso de revisión, el Organismo Garante podrá buscar la conciliación
entre las partes.
El acuerdo de conciliación deberá constar por escrito y tendrá efectos vinculantes, dejando sin
materia el recurso de revisión.
El Organismo Garante, deberá verificar el cumplimiento del acuerdo citado.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
35 de 45
Artículo 137. El procedimiento de conciliación se sustanciará de la siguiente manera:
I. La conciliación podrá celebrarse presencialmente, por medios remotos o locales de
comunicación electrónica o por cualquier otro medio que determine el Organismo
Garante.
En cualquier caso, la conciliación habrá de hacerse constar por el medio que permita
acreditar su existencia.
II. El Organismo Garante, en un plazo no mayor a siete días, contados a partir de la
admisión del recurso de revisión, requerirá a las partes para que manifiesten, por
cualquier medio, su voluntad de conciliar.
Dicho requerimiento contendrá un resumen del recurso de revisión y de la respuesta del
responsable si la hubiere.
Aceptado el procedimiento de conciliación por las partes, el Organismo Garante
señalará el lugar o medio, día y hora para la celebración de la audiencia respectiva, la
cual deberá realizarse dentro de los diez días siguientes a dicha aceptación.
De toda audiencia de conciliación se levantará el acta respectiva, que será firmada por
las partes, en la que conste el resultado de la misma.
La negativa a firmar de cualquiera de los que intervienen en la audiencia de
conciliación, no afectará su validez, haciéndose constar dicha negativa.
III. El Organismo Garante podrá, en todo momento, en el transcurso de la conciliación,
requerir a las partes para que presenten, en un plazo máximo de cinco días, los
elementos de convicción que estime necesarios para la conciliación.
IV. El Organismo Garante podrá suspender, por una sola ocasión, la audiencia de
conciliación cuando lo estime pertinente, o a petición de ambas partes, fijando el día y
hora, dentro de los cinco días siguientes, para su reanudación.
V. Si alguna de las partes faltare a la referida audiencia y en un plazo máximo de tres días
justifica su ausencia, será convocada a una segunda, la que se celebrará dentro de
cinco días, contados a partir de fenecido el plazo de tres días.
En caso de que no acuda a esta última, el recurso de revisión continuará su curso.
Cuando alguna de las partes no acuda a la audiencia de conciliación sin justificación
alguna, se continuará con la sustanciación del recurso de revisión.
VI. De llegar a un acuerdo en la referida audiencia, éste se hará constar por escrito y
tendrá efectos vinculantes, en cuyo caso el recurso de revisión quedará sin materia.
De no existir acuerdo en la audiencia de conciliación, se continuará con la
sustanciación del recurso de revisión.
VII. El Organismo Garante verificará el cumplimiento de tal acuerdo.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
36 de 45
VIII. El cumplimiento del acuerdo dará por concluida la sustanciación del recurso de revisión,
en caso contrario, el Organismo Garante reanudará dicha sustanciación.
Artículo 138. En caso de que el titular sea menor de edad y se haya vulnerado alguno de los
derechos contemplados en la Ley General de los Derechos de Niñas, Niños y Adolescentes,
vinculados con la Ley y el Reglamento, no podrá optarse por el procedimiento de conciliación, salvo
que cuente con representación legal debidamente acreditada.
CAPÍTULO III
DE LA ATRACCIÓN DE LOS RECURSOS DE REVISIÓN
Artículo 139. La facultad de atracción para conocer de aquellos recursos de revisión pendientes de
resolución en materia de protección de datos personales, que por su interés y trascendencia así lo
ameriten y cuya competencia original corresponde al Organismo Garante, se sustanciará conforme a
lo dispuesto en la Ley General.
CAPÍTULO IV
DE LOS CRITERIOS DE INTERPRETACIÓN
Artículo 140. Una vez que hayan causado ejecutoria las resoluciones emitidas por el Organismo
Garante, este podrá establecer criterios que sirvan como guía para resolver casos similares y serán
asumidos por los responsables.
Artículo 141. Los criterios se compondrán de un rubro, un texto y el precedente o precedentes que,
en su caso, hayan originado su emisión y una clave de control para su debida identificación.
TÍTULO NOVENO
DE LA VERIFICACIÓN DEL ORGANISMO GARANTE
CAPÍTULO ÚNICO
DISPOSICIONES GENERALES
Artículo 142. El Organismo Garante deberá vigilar y verificar el cumplimiento de las disposiciones
contenidas en la presente Ley y demás ordenamientos que se deriven de esta.
En el ejercicio de esas funciones, el personal del Organismo Garante estará obligado a guardar
confidencialidad sobre la información a la que tenga acceso.
El responsable permitirá el acceso a las bases de datos personales o documentación solicitada con
motivo de una verificación, sin que invoque la reserva o la confidencialidad de la información.
Artículo 143. La verificación podrá iniciarse:
I. De oficio cuando el Organismo Garante cuente con indicios que hagan presumir, de
manera fundada y motivada, la existencia de violaciones a la presente Ley y demás
normatividad aplicable.
II. Por denuncia:
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
37 de 45
a) Del titular, cuando considere que ha sido afectado por actos del responsable que
contravengan lo dispuesto por la presente Ley y demás normatividad aplicable.
b) De cualquier persona, cuando tenga conocimiento de presunto incumplimiento a
las obligaciones previstas en la presente Ley y demás disposiciones aplicables.
Una vez recibida la denuncia, el Organismo Garante acusará recibo de la misma y
notificará al denunciante el acuerdo recaído.
Artículo 144. El Organismo Garante antes de llevar a cabo una verificación, proveerá lo necesario
para fundar y motivar el acuerdo de inicio respectivo.
Artículo 145. No se dará curso a la verificación, cuando se actualicen los supuestos de procedencia
del recurso de revisión.
Artículo 146. El procedimiento de verificación se sustanciará en un plazo no mayor a cincuenta días
y conforme a lo siguiente:
I. El Organismo Garante expedirá una orden escrita en la que funde y motive la
procedencia de su actuación.
II. El objeto de dicha orden será:
a) Requerir al responsable la documentación e información vinculada con la
presunta violación.
b) En su caso, realizar visitas a las oficinas o instalaciones del responsable, o en el
lugar donde estén ubicadas las bases de datos personales respectivas.
III. Tratándose de la verificación en instancias de seguridad pública, se requerirá la
aprobación de la orden por mayoría calificada del Organismo Garante.
En todo caso, la orden deberá contar con una fundamentación y motivación reforzada
de la causa del procedimiento, debiéndose asegurar la información solo para uso
exclusivo de la autoridad y para los fines establecidos en la ley.
IV. El Organismo Garante podrá ordenar medidas cautelares, si durante la verificación se
advierte un daño inminente o irreparable en materia de protección de datos personales.
El establecimiento de medidas cautelares y el aseguramiento de bases de datos del
responsable, se hará siempre y cuando no impidan el desarrollo de la verificación.
Asimismo, su finalidad será correctiva y temporal, hasta entonces los responsables
lleven a cabo las recomendaciones hechas por el Organismo Garante.
Artículo 147. El procedimiento de verificación concluirá con la resolución que emita el Organismo
Garante, en la cual se establezcan las medidas que deberá adoptar el responsable en el plazo que
la misma determine.
Artículo 148. El Organismo Garante tendrá fe pública, en los actos de verificación que lleve a cabo.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
38 de 45
Artículo 149. Los responsables podrán someterse, voluntariamente, a la realización de auditorías
que tengan por objeto comprobar la adaptación, adecuación y eficacia de los controles, medidas y
mecanismos implementados para el cumplimiento de las disposiciones previstas en la presente Ley
y demás normatividad aplicable en la materia.
Artículo 150. El Organismo Garante elaborará un informe del resultado de las verificaciones
referidas en el artículo anterior, en el que señale las deficiencias y se propongan acciones
correctivas complementarias, o las recomendaciones que, en su caso, correspondan.
Artículo 151. Cuando los hechos u omisiones materia de la denuncia sean de tracto sucesivo, el
término citado en el artículo anterior, empezará a contar a partir del día hábil siguiente al último
hecho realizado.
Artículo 152. El derecho a presentar una denuncia precluye en el término de un año, contado a
partir del día siguiente en que se realicen los hechos u omisiones materia de la misma.
Artículo 153. La denuncia podrá presentarse por escrito libre, o a través de los formatos, medios
electrónicos o cualquier otro medio que establezca el Organismo Garante y no podrán exigirse
mayores requisitos que los siguientes:
I. El nombre de la persona que denuncia o, en su caso, de su representante.
II. El domicilio o medio para recibir notificaciones.
III. La relación de hechos y los elementos con los que cuente para probar su dicho.
IV. El nombre y domicilio del responsable o, en su caso, los datos para su identificación y/o
ubicación.
V. La firma del denunciante o, en su caso, de su representante. En caso de no saber
firmar, bastará la huella digital.
TÍTULO DÉCIMO
DE LAS MEDIDAS DE APREMIO Y RESPONSABILIDADES
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 154. Los responsables, a través de la Unidad de Transparencia, deberán informar al
Organismo Garante, del cumplimiento de sus resoluciones, en un plazo no mayor a tres días
hábiles, contados a partir del día siguiente a su notificación.
Excepcionalmente, considerando las circunstancias especiales del caso, los Sujetos Obligados
podrán solicitar al Organismo Garante, de manera fundada y motivada, una ampliación del plazo
para el cumplimiento de la resolución.
Dicha solicitud deberá presentarse, a más tardar, dentro de los primeros tres días hábiles del plazo
otorgado para el cumplimiento, a efecto de que el Organismo Garante resuelva sobre la procedencia
de la misma, dentro de los cinco días siguientes.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
39 de 45
Artículo 155. El Organismo Garante, a más tardar al día siguiente de recibir el informe de
cumplimiento, dará vista al recurrente para que, dentro de los cinco días siguientes, manifieste lo
que a su derecho convenga.
Si dentro del plazo señalado el recurrente manifiesta que el cumplimiento no corresponde a lo
ordenado por el Organismo Garante, deberá expresar las causas específicas por las cuales así lo
considera, sin perjuicio de que el Organismo Garante ejerza sus facultades de comprobación del
cumplimento de sus resoluciones.
Artículo 156. El Organismo Garante deberá pronunciarse, en un plazo no mayor a cinco días, sobre
lo manifestado por el recurrente y el contenido del informe de cumplimiento.
Artículo 157. Si el Organismo Garante considera que se dio cumplimiento a la resolución, emitirá un
acuerdo de cumplimiento y se ordenará el archivo del expediente.
Artículo 158. En caso contrario, el Organismo Garante:
I. Emitirá un acuerdo de incumplimiento.
Notificará al responsable para que, en un plazo no mayor a los cinco días siguientes,
se dé cumplimiento a la resolución.
II. Determinará las medidas de apremio o sanciones, según corresponda, que deberán
imponerse o las acciones procedentes que deberán aplicarse, de conformidad con lo
señalado en esta Ley.
Artículo 159. El Organismo Garante, para asegurar el cumplimiento de sus determinaciones, podrá
imponer las siguientes medidas de apremio:
I. La amonestación pública.
II. La multa, equivalente a la cantidad de ciento cincuenta hasta mil quinientas veces el valor
diario de la Unidad de Medida y Actualización.
El incumplimiento de los responsables será difundido en el portal de obligaciones de transparencia
del Organismo Garante y será considerado en las evaluaciones que este realice.
Artículo 160. En caso de que el incumplimiento de las resoluciones implique la presunta comisión
de un delito o infracciones a la presente Ley, el Organismo Garante deberá denunciar los hechos
ante la autoridad competente.
Las medidas de apremio de carácter económico no podrán ser cubiertas con recursos públicos.
Artículo 161. Si a pesar de la ejecución de las medidas de apremio no se cumpliere con la
resolución, se requerirá a la o el servidor público designado por el responsable para que dentro de
los cinco días posteriores a dicha ejecución, dé cumplimiento a la citada resolución.
De persistir el incumplimiento, se dará vista la autoridad competente en materia de
responsabilidades.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
40 de 45
Artículo 162. Las medidas de apremio se aplicarán por el Organismo Garante, el que podrá
apoyarse en la autoridad competente, de conformidad con los procedimientos que establezcan las
leyes respectivas.
Artículo 163. Las multas que fije el Organismo Garante se harán efectivas por la Secretaría de
Hacienda del Estado, a través de los procedimientos que las leyes establezcan.
Artículo 164. Para imponer las medidas de apremio, el Organismo Garante tomará en cuenta:
I. La gravedad de la falta, atendiendo al daño causado al titular, los indicios de
intencionalidad, la afectación al ejercicio de las atribuciones del responsable y la
demora en el cumplimiento de las resoluciones del Organismo Garante.
II. La condición económica del infractor.
III. La reincidencia.
Artículo 165. El Organismo Garante emitirá los lineamientos para la calificación, imposición y
ejecución de las medidas de apremio para el cumplimiento de sus resoluciones.
Artículo 166. En caso de reincidencia, el Organismo Garante podrá imponer una multa equivalente
hasta el doble de la que se hubiera determinado.
Se considerará reincidente al que habiendo incurrido en una infracción que haya sido sancionada,
cometa otra del mismo tipo o naturaleza.
Artículo 167. Las medidas de apremio deberán aplicarse e implementarse en un plazo máximo de
quince días, contados a partir de que sea notificada la medida de apremio a la o el infractor.
Artículo 168. La amonestación pública será impuesta por el Organismo Garante y será ejecutada
por el superior jerárquico de la o el servidor público designado por el responsable.
Artículo 169. El Organismo Garante proveerá lo necesario para determinar la condición económica
de la o el infractor y fijar el monto de la multa, incluso requerir a las autoridades competentes
proporcionen la documentación que considere indispensable para tal efecto.
Artículo 170. En contra de la imposición de medidas de apremio, procede el recurso ante el Poder
Judicial del Estado.
CAPÍTULO II
DE LAS INFRACCIONES Y SANCIONES
Artículo 171. Son infracciones a esta Ley:
I. Actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes para
el ejercicio de los derechos ARCO y de portabilidad.
II. Incumplir los plazos para atender las solicitudes para el ejercicio de los derechos ARCO
y de portabilidad, o para hacer efectivo el derecho de que se trate.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
41 de 45
III. Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente,
los datos personales que se encuentren bajo su custodia o sin tener atribuciones para
ello.
IV. Dar tratamiento, de manera intencional, a los datos personales en contravención a lo
previsto en la presente Ley.
V. No contar con el aviso de privacidad, o bien, omitir en el mismo alguno de los
elementos a que refiere la presente Ley y demás disposiciones que resulten aplicables
en la materia.
VI. Clasificar como confidencial, con dolo o negligencia, datos personales sin atender lo
previsto en la presente Ley y demás disposiciones aplicables.
La sanción solo procederá cuando exista una resolución previa, que haya quedado
firme, respecto del criterio de clasificación de los datos personales.
VII. Incumplir el deber de confidencialidad.
VIII. No establecer las medidas de seguridad en los términos de la presente Ley.
IX. Vulnerar los datos personales por la falta de implementación de medidas de seguridad.
X. Transferir datos personales, en contravención a lo previsto en la presente Ley.
XI. Obstruir los actos de verificación de la autoridad.
XII. Crear bases de datos personales en contravención a lo dispuesto en la presente Ley.
XIII. Incumplir las resoluciones emitidas por el Organismo Garante.
XIV. Omitir o entregar, de manera extemporánea, los informes que por obligación tiene que
rendir ante el Organismo Garante, en los términos de la Ley de Transparencia y Acceso
a la Información Pública del Estado.
Artículo 172. Las infracciones previstas en las fracciones I, II, III, IV, VI, X, XII, y XIV, así como la
reincidencia en las conductas previstas en el resto de las fracciones del artículo anterior, serán
consideradas como graves para efectos de su sanción administrativa.
Artículo 173. En caso de que la infracción se cometiere por quien sea integrante de un partido
político, la investigación y, en su caso, sanción, corresponderán a la autoridad electoral competente,
debiendo el Organismo Garante dar vista para que se imponga o ejecute la sanción.
Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.
Artículo 174. Las responsabilidades que resulten de los procedimientos administrativos
correspondientes, derivados de la violación a lo dispuesto en esta Ley, son independientes de las
del orden civil, penal o de cualquier otro tipo que se puedan derivar de los mismos hechos.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
42 de 45
Artículo 175. Dichas responsabilidades se determinarán, en forma autónoma, a través de los
procedimientos previstos en las leyes aplicables, y las sanciones que, en su caso, se impongan por
la autoridad competente, también se ejecutarán de manera independiente.
El Organismo Garante denunciará, ante la autoridad competente, cualquier acto u omisión violatoria
de esta Ley y aportará las pruebas que consideren pertinentes.
Artículo 176. En el caso de probables infracciones relacionadas con fideicomisos o fondos públicos,
el Organismo Garante dará vista al órgano interno de control del ente público cabeza de sector, con
el fin de que instrumente el procedimiento administrativo a que haya lugar.
Artículo 177. El Organismo Garante, en un plazo no mayor a quince días contados a partir de la
fecha en que tuvo conocimiento de los hechos, remitirá a la autoridad competente la denuncia
correspondiente, acompañada de los elementos que sustenten la probable responsabilidad
administrativa, acreditando el nexo causal entre los hechos controvertidos y las pruebas
presentadas.
La autoridad que conozca del asunto, deberá informar de la conclusión del procedimiento y, en su
caso, de la ejecución de la sanción al Organismo Garante.
Artículo 178. El Organismo Garante, en caso de que el incumplimiento a sus resoluciones implique
la probable comisión de un delito, deberá denunciar los hechos ante la autoridad competente.
T R A N S I T O R I O S
ARTÍCULO PRIMERO.- Esta Ley entrará en vigor al día siguiente de su publicación en el Periódico
Oficial del Estado.
ARTÍCULO SEGUNDO.- Se abroga la Ley de Protección de Datos Personales del Estado de
Chihuahua, publicada en el Periódico Oficial del Estado, el día 26 de junio del 2013.
Los procedimientos iniciados durante la vigencia de la Ley de Protección de Datos Personales del
Estado de Chihuahua, que se abroga, se sustanciarán hasta su conclusión, conforme al
ordenamiento señalado.
ARTÍCULO TERCERO.- El Poder Ejecutivo del Estado y los Ayuntamientos harán las previsiones
necesarias en sus respectivos Presupuestos de Egresos, para el cumplimiento de las obligaciones y
ejercicio de los derechos previstos en esta Ley.
ARTÍCULO CUARTO.- El Organismo Garante, en el ejercicio de sus atribuciones, realizará las
acciones necesarias para capacitar a los responsables, sobre las disposiciones contenidas en la
presente Ley, a efecto de establecer los procedimientos y llevar a cabo todas aquellas actividades
tendientes a dar cabal cumplimiento a la misma.
ARTÍCULO QUINTO.- El Organismo Garante deberá emitir los lineamientos a que se refiere esta
Ley y publicarlos en el Periódico Oficial del Estado, a más tardar el 27 de enero de 2018.
D A D O en el Salón de Sesiones del Poder Legislativo, en la ciudad de Chihuahua, Chih., a los
dieciséis días del mes de agosto del año dos mil diecisiete.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
43 de 45
PRESIDENTA. DIP. BLANCA GÁMEZ GUTIÉRREZ. Rúbrica. SECRETARIA. DIP. ROCÍO
GRISEL SÁENZ RAMÍREZ. Rúbrica. SECRETARIA. DIP. NADIA XÓCHITL SIQUEIROS LOERA.
Rúbrica.
Por tanto mando se imprima, publique, circule y se le dé el debido cumplimento.
En la Ciudad de Chihuahua, Palacio de Gobierno del Estado, a los veintitrés del mes de agosto de
dos mil diecisiete.
EL GOBERNADOR CONSTITUCIONAL DEL ESTADO. LIC. JAVIER CORRAL JURADO.
Rúbrica. EL SECRETARIO GENERAL DE GOBIERNO. MTRO. SERGIO CÉSAR ALEJANDRO
JÁUREGUI ROBLES. Rúbrica.
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
44 de 45
ÍNDICE POR ARTÍCULOS
ÍNDICE ARTÍCULOS
TÍTULO PRIMERO
DISPOSICIONES GENERALES
CAPÍTULO I
DEL OBJETO Y SUJETOS OBLIGADOS
Del 1 al 15
CAPÍTULO II
DE LOS PRINCIPIOS
Del 16 al 20
TÍTULO SEGUNDO
DE LOS ÓRGANOS
CAPÍTULO I
DEL ORGANISMO GARANTE
Del 21 al 24
CAPÍTULO II
DEL COMITÉ DE TRANSPARENCIA
25 y 26
CAPÍTULO III
DE LA UNIDAD DE TRANSPARENCIA
Del 27 al 30
TÍTULO TERCERO
DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN, OPOSICIÓN (ARCO) Y DE PORTABILIDAD
CAPÍTULO I
DISPOSICIONES GENERALES
Del 31 al 38
CAPÍTULO II
DEL EJERCICIO DE LOS DERECHOS DE ACCESO,
RECTIFICACIÓN, CANCELACIÓN, OPOSICIÓN Y DE
PORTABILIDAD
Del 39 al 62
TÍTULO CUARTO
DE LAS MEDIDAS DE SEGURIDAD
CAPÍTULO ÚNICO
DISPOSICIONES GENERALES
Del 63 al 82
TÍTULO QUINTO
DEL TRATAMIENTO DE DATOS PERSONALES POR
TERCEROS
CAPÍTULO ÚNICO
DISPOSICIONES GENERALES
Del 83 al 91
TÍTULO SEXTO
DE LAS TRANSFERENCIAS Y REMISIONES DE DATOS
PERSONALES
CAPÍTULO ÚNICO
DISPOSICIONES GENERALES
Del 92 al 100
TÍTULO SÉPTIMO
DE LAS ACCIONES PREVENTIVAS
CAPÍTULO I
DE LAS MEJORES PRÁCTICAS
Del 101 al 105
CAPÍTULO II
DE LAS BASES DE DATOS EN POSESIÓN DE INSTANCIAS DE
SEGURIDAD, PROCURACIÓN Y ADMINISTRACIÓN DE
JUSTICIA
Del 106 al 110
TÍTULO OCTAVO
DE LOS PROCEDIMIENTOS DE IMPUGNACIÓN
Del 111 al 135
H. Congreso del Estado
Secretaría de Asuntos Legislativos
Biblioteca Legislativa “Carlos Montemayor Aceves”
Ley de Protección de Datos Personales
del Estado de Chihuahua
Última Reforma P.O.E. 2017.11.11/No. 90
45 de 45
CAPÍTULO I
DISPOSICIONES GENERALES
CAPÍTULO II
DE LA CONCILIACIÓN
Del 136 al 138
CAPÍTULO III
DE LA ATRACCIÓN DE LOS RECURSOS DE REVISIÓN
139
CAPÍTULO IV
DE LOS CRITERIOS DE INTERPRETACIÓN
140 y 141
TÍTULO NOVENO
DE LA VERIFICACIÓN DEL ORGANISMO GARANTE
CAPÍTULO ÚNICO
DISPOSICIONES GENERALES
Del 142 al 153
TÍTULO DÉCIMO
DE LAS MEDIDAS DE APREMIO Y RESPONSABILIDADES
CAPÍTULO I
DISPOSICIONES GENERALES
Del 154 al 170
CAPÍTULO II
DE LAS INFRACCIONES Y SANCIONES
Del 171 al 178
TRANSITORIOS DEL PRIMERO AL QUINTO
]]>
© 2025 Justia