LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
1
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL ESTADO DE
DURANGO.
PUBLICADO EN EL PERIÓDICO OFICIAL 97 DE FECHA 5 DE DICIEMBRE DE 2013 DECRETO 514, LXVI LEGISLATURA.
CAPITULO I
DE LAS DISPOSICIONES GENERALES
ARTÍCULO 1. La presente Ley es de orden público e interés general y tiene por objeto
garantizar la protección de los datos personales en posesión de los sujetos obligados.
ARTÍCULO 2. Esta Ley tiene como finalidad salvaguardar el honor y la intimidad de las
personas y su familia mediante la efectiva protección de los datos personales que obren
en poder de los sujetos obligados.
ARTÍCULO 3. Los sujetos obligados, en el tratamiento de los datos personales que con
motivo de sus atribuciones posean, deberán observar los siguientes principios:
I. Calidad: implica la veracidad y exactitud de los datos personales, de forma que
reflejen fielmente la realidad de la información tratada.
II. Confidencialidad: Consiste en garantizar, que exclusivamente el titular puede
acceder a los datos personales, así como el deber de secrecía del tercero,
responsable y encargado del sistema de datos personales.
III. Consentimiento: implica el derecho a la autodeterminación informativa de las
personas, el cual debe caracterizarse por ser previo, libre, inequívoco, informado y
con posibilidad de ser revocado.
IV. Finalidad: los datos de carácter personal que sean recabados para incorporarse a
una base de datos, deben tratarse con un objetivo específico que debe conocerse
antes de la creación de la base misma, e informarse al titular en el momento en el
que la información personal es recolectada.
V. Licitud: Consiste en que la finalidad, posesión y tratamiento de sistemas de datos
personales obedecerá exclusivamente a las atribuciones legales o reglamentarias
de cada sujeto obligado.
VI. Proporcionalidad: los datos que se recaben y almacenen en una base de datos
deben ser pertinentes, adecuados y estar relacionados con el fin perseguido en el
momento de su creación.
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
2
VII. Responsabilidad: implica que el sujeto obligado debe velar por la
confidencialidad de los datos personales, mediante el cumplimiento de los
principios y disposiciones legales, y rendir cuentas al titular en caso de
incumplimiento.
VIII. Seguridad: implica garantizar la confidencialidad de los datos personales, a través
de las distintas medidas de seguridad y de los diferentes niveles de protección que
se requieran atendiendo al tipo de dato de que se trate.
ARTÍCULO 4. Para efectos de esta Ley, además de las definiciones establecidas, en
materia de protección de datos personales, en la Ley de Transparencia y Acceso a la
Información Pública del Estado de Durango, se entenderá por:
I. Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato
emitido por el responsable del sistema de datos personales al titular de éstos,
para informarle sobre los datos que se recaban, su finalidad y tratamiento;
FRACCIÓN ADICIONADA DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
II. Bloqueo: La identificación y conservación de datos personales una vez cumplida
la finalidad para la que fueron recabados, con el único propósito de determinar
posibles responsabilidades en relación con su tratamiento, hasta el plazo de
prescripción de éstas. Durante dicho período, los datos personales no podrán
ser objeto de tratamiento y transcurrido éste, cancelación en la base de datos
que corresponde;
III. Catálogo de Disposición Documental: El Registro general y sistemático que
establece los valores documentales, los plazos de conservación, la vigencia
documental, la clasificación de confidencialidad y el destino final de los
documentos que contienen datos personales;
IV. Comité de Clasificación: cuerpo colegiado que designa el titular del sujeto
obligado cuyas atribuciones se establecen el Capitulo X de la Ley de
Transparencia y Acceso a la Información Pública del Estado de Durango, y las
que le confiere la presente Ley de Protección de Datos Personales del Estado de
Durango;
FRACCIÓN ADICIONADA DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
V. Consentimiento: Toda manifestación de voluntad, libre, inequívoca, específica e
informada, mediante la que el interesado consienta el tratamiento de datos
personales que le conciernen;
VI. Datos Personales: La información concerniente a una persona física, identificada
o identificable, relativa a sus características físicas y datos generales como son:
domicilio, estado civil, edad, sexo, escolaridad, número telefónico y datos
patrimoniales;
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
3
FRACCIÓN REFORMADA DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
VII. Datos Personales Sensibles: Aquellos datos personales relativos al origen racial
y étnico, las opiniones políticas, convicciones filosóficas, religiosas y morales;
afiliación sindical o política; preferencias sexuales, estados de salud físicos o
mentales, huella dactilar e información genética; relaciones familiares o
conyugales u otras análogas que afecten la intimidad;
FRACCIÓN REFORMADA DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
VIII. Disociación: El procedimiento mediante el cual los datos personales no pueden
asociarse al interesado ni permitir, por su estructura, contenido o grado de
desagregación, la identificación del mismo;
IX. Encargado: El servidor público o cualquier otra persona física o moral facultada
por un instrumento jurídico o expresamente autorizado por el responsable para
llevar a cabo el tratamiento físico o automatizado de los datos personales;
FRACCIÓN REFORMADA DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
X. Instituto: Instituto Duranguense de Acceso a la Información Pública y de
Protección de Datos Personales;
FRACCIÓN REFORMADA DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
XI. Ley: La Ley de Protección de Datos Personales del Estado de Durango;
XII. Medidas Compensatorias: Son los mecanismos alternos que permiten dar a
conocer a los titulares el aviso de privacidad, a través de su difusión por medios
masivos de comunicación u otros mecanismos de amplio alcance, cuando no
sea posible poner a disposición el aviso a cada titular, de manera personal o
directa;
FRACCIÓN ADICIONADA DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
XIII. Responsable: El servidor público o cualquier otra persona física titular de la
unidad administrativa responsable de las decisiones sobre el tratamiento físico o
automatizado de datos personales, así como del contenido y finalidad de los
sistemas de datos personales;
XIV. Sistema (s): Es el conjunto ordenado de datos personales que están en posesión
de un sujeto obligado, recabados en el ejercicio de su función o con el
consentimiento del interesado;
XV. Tercero: La persona física o moral, pública o privada, autoridad, entidad, órgano
u organismo distinta del interesado, del responsable del tratamiento, del
responsable del sistema de datos personales, del encargado del tratamiento y de
las personas autorizadas para tratar los datos bajo la autoridad directa del
responsable del tratamiento o del encargado del tratamiento;
XVI. Titular: La persona física a quien corresponden los datos personales;
XVII. Tratamiento: Cualquier operación o conjunto de operaciones, efectuadas
mediante procedimientos automatizados o físicos, aplicada a datos personales,
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
4
como la obtención, registro, organización, conservación, elaboración,
modificación, extracción, consulta, utilización, comunicación por transmisión,
difusión o cualquier otra forma, que facilite el acceso a los datos personales, su
cotejo o interconexión, así como su bloqueo, supresión o destrucción;
XVIII. Transferencia: Toda comunicación o cesión de datos a persona distinta del
responsable o encargado del tratamiento; y
FRACCIÓN ADICIONADA DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
XIX. Unidad de Enlace: Son las encargadas de transparentar el ejercicio de la función
pública que realicen los sujetos obligados y coadyuvar con el efectivo ejercicio
del derecho de acceso a la información pública y la protección de datos
personales.
FRACCIÓN ADICIONADA DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 5. Los sujetos obligados para la aplicación de esta Ley son:
I. Todas las dependencias y entidades de la administración pública centralizada y
paraestatal del Poder Ejecutivo del Estado;
II. El Poder Legislativo del Estado y cualquiera de sus órganos;
III. El Poder Judicial del Estado y todos sus órganos;
IV. Los Tribunales Estatales Autónomos;
V. Los Ayuntamientos de los Municipios o Consejos Municipales y todas las
dependencias y entidades de la Administración Pública centralizada y
paramunicipal;
VI. Los órganos autónomos previstos en la Constitución Política del Estado Libre y
Soberano de Durango y en las Leyes estatales reconocidos como de interés
público;
VII. Las Universidades e Instituciones Públicas de Educación Superior;
FRACCIÓN REFORMADA POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
VIII. Los Partidos y Agrupaciones políticas u organismos semejantes reconocidos por
las Leyes, con registro en el Estado.
IX. Los concesionarios de bienes y servicios, y sindicatos que reciban recursos
públicos; y
FRACCIÓN ADICIONADA POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
X. Fideicomisos y fondos públicos.
FRACCIÓN ADICIONADA POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
5
CAPITULO II
DEL TRATAMIENTO DE LOS DATOS PERSONALES
ARTÍCULO 6. Los sujetos obligados, al tratar los sistemas, deberán garantizar el ejercicio
de los derechos de acceso, rectificación, cancelación y oposición, en los términos de la
presente Ley.
ARTÍCULO 7. El tratamiento de los datos personales requerirá el consentimiento expreso
o tácito, según sea el caso, de su titular, salvo las excepciones señaladas en esta Ley o
en otra disposición legal. Tal consentimiento podrá ser revocado cuando exista causa
justificada para ello sin que se le atribuyan efectos retroactivos.
El consentimiento será expreso cuando la voluntad se manifieste verbalmente, por escrito,
por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos.
Se entenderá que el titular consiente tácitamente el tratamiento de sus datos, cuando
habiéndose puesto a su disposición el aviso de privacidad, no manifieste su oposición.
ARTÍCULO 8. Tratándose de datos sensibles el responsable deberá obtener el
consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma
autógrafa, electrónica o cualquier otro mecanismo de autentificación que al efecto se
establezca.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 9. No será necesario el consentimiento del titular para la obtención de sus
datos personales cuando:
I. Se recaben para el ejercicio de las atribuciones legales conferidas a los sujetos
obligados;
II. Se refieran a una relación contractual, de negocios, laboral o administrativa siempre
y cuando sean pertinentes y necesarios para su desarrollo y cumplimiento;
III. Sean necesarios para efectuar un tratamiento para la prevención o para el
diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la
gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por
una persona sujeta al secreto profesional u obligación equivalente y el interesado no
esté en condiciones de otorgar el consentimiento;
IV. Se afecte la seguridad nacional, la seguridad pública o las actividades de prevención
y persecución de los delitos; o
V. Los datos figuren en sistemas de acceso público.
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
6
ARTÍCULO 10. No se requerirá el consentimiento de la persona titular de la información
confidencial para transmitir los datos personales, en los siguientes casos, cuando:
I. Se trate de datos relativos a salud y sea necesario por razones de salud pública,
emergencia, o para la realización de estudios epidemiológicos;
II. Sea necesaria para fines estadísticos, científicos o de interés general previstos
en la Ley, previo procedimiento por el cual no pueda asociarse la información
confidencial con la persona a quien se refieran;
III. Se transmitan entre sujetos obligados, siempre y cuando los datos se utilicen
para el ejercicio de facultades propias de los mismos y no se afecte la
confidencialidad de la información;
IV. Exista una orden judicial que así lo señale; y
V. Las disposiciones legales exijan su publicidad.
Si la transmisión se efectúa previo procedimiento de disociación, no será aplicable lo
establecido en los artículos anteriores.
ARTÍCULO 11. Los responsables deberán informar a los titulares mediante el aviso de
privacidad de modo expreso, preciso e inequívoco lo siguiente:
I. Identificación y domicilio del responsable que recabe;
II. Que sus datos se incorporarán a un sistema de datos personales y la finalidad del
tratamiento;
III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el uso
o divulgación de los datos;
IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u
oposición, de conformidad con lo dispuesto en esta Ley;
V. De las transferencias de datos que puedan efectuarse, en cuyo caso deberá
constar el consentimiento expreso del titular; y
VI. El procedimiento y medio por el cual el responsable comunicará a los titulares de
los cambios que se efectúen al aviso de privacidad.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
7
Cuando los datos de carácter personal no hayan sido obtenidos del titular, este deberá ser
informado de forma expresa y clara por el responsable dentro de los tres meses
siguientes al momento del registro de los datos.
ARTÍCULO 12. Lo dispuesto en el artículo anterior no será aplicable cuando:
I. Expresamente un ordenamiento legal así lo prevea;
II. El tratamiento tenga fines históricos, estadísticos o científicos; y
III. Cuando para el sujeto obligado resulte imposible dar a conocer el aviso de
privacidad al titular al exigir esfuerzos desproporcionados en consideración al
número de titulares o a la antigüedad de los datos, deberá instrumentar medidas
compensatorias que previamente le autorice el Instituto.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 12 BIS. Las medidas compensatorias que pueden instrumentarse por los
sujetos obligados para dar a conocer a los titulares el aviso de privacidad serán las
siguientes:
I. Diarios de circulación nacional;
II. Diarios locales o revistas especializadas;
III. Página de Internet del responsable;
IV. Hiperenlaces o hipervínculos situados en una página de Internet del Instituto;
V. Carteles informativos;
VI. Cápsulas informativas radiofónicas, y
VII. Otros medios alternos de comunicación masiva.
ARTICULO ADICIONADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 13. Los sujetos obligados desarrollarán o tendrán sistemas sólo cuando estos
se relacionen directamente con sus facultades o atribuciones legales o reglamentarias. En
todos los casos, los datos personales deberán obtenerse conforme las disposiciones de
esta Ley, sus Reglamentos y los respectivos lineamientos. La contravención a esta
disposición será motivo de responsabilidad civil, penal o administrativa, según sea el
caso.
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
8
Queda prohibido, crear sistemas con la finalidad exclusiva de almacenar datos de carácter
personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o
étnico, o vida sexual.
ARTÍCULO 14. Los datos personales sólo podrán recabarse y ser objeto de tratamiento
cuando sean, exactos, adecuados, pertinentes y no excesivos en relación con el ámbito y
la finalidad para las que se hayan obtenido. Los sujetos obligados deberán actualizarlos
de forma que respondan con veracidad a la situación actual del interesado.
La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma
contraria a las disposiciones de la presente Ley.
ARTÍCULO 15. Los datos de carácter personal no podrán usarse para finalidades
distintas a aquéllas para los cuáles fueron obtenidos o tratados. No se considerará como
una finalidad distinta el tratamiento con fines históricos, estadísticos o científicos.
ARTÍCULO 16. Los responsables deberán garantizar el manejo confidencial de los datos
personales, por lo que no podrán distorsionar, comercializar, destruir, difundir o transmitir
los datos personales contenidos en los sistemas generados en el ejercicio de sus
funciones, salvo por disposición legal o que haya mediado el consentimiento de los
titulares. Al efecto, se contará con los formatos necesarios para recabar dicho
consentimiento, pudiendo utilizarse, en su caso, medios electrónicos.
ARTÍCULO 17. Los responsables deberán adoptar las medidas de índole técnico y
organizativo necesarias que garanticen la seguridad de los datos personales y eviten su
alteración, pérdida, transmisión y acceso no autorizado. Dichas medidas serán adoptadas
en relación con el menor o mayor grado de protección que ameriten los datos personales
de conformidad con los criterios establecidos en el Artículo 20 de esta Ley.
ARTÍCULO 18. Los sistemas creados para fines administrativos por las autoridades de
seguridad pública estarán sujetos al régimen general de la presente Ley.
ARTÍCULO 19. El tratamiento de datos personales por parte de las autoridades a cargo
de la seguridad pública sin el consentimiento del titular, está limitada a aquellos supuestos
y categorías de datos que resulten necesarios para la prevención de un peligro real para
la seguridad pública o para la prevención o persecución de delitos, debiendo ser
almacenados en sistemas específicos establecidos al efecto, que deberán clasificarse por
categorías en función de su grado de fiabilidad.
ARTÍCULO 20. El tratamiento de los datos especialmente protegidos por las autoridades
de seguridad pública, podrán realizarse exclusivamente en los supuestos en que sea
absolutamente necesarios para los fines de una investigación concreta, sin perjuicio del
control de legalidad de la actuación administrativa o de la obligación de resolver las
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
9
pretensiones formuladas, en su caso, por los interesados que corresponden a los órganos
jurisdiccionales.
Los sujetos obligados cancelarán los datos personales recabados con fines policiales o de
investigación cuando ya no sean necesarios para la finalidad que motivó su
almacenamiento. A estos efectos, se considerará especialmente la edad del interesado y
el carácter de los datos almacenados, la necesidad de mantener los datos hasta la
conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en
especial la absolutoria, el indulto, la rehabilitación, la prescripción de responsabilidad y la
amnistía.
ARTÍCULO 21. Los responsables de los sistemas que contengan los datos a que se
refiere el artículo anterior podrán negar mediante acuerdo debidamente fundado y
motivado el acceso, la rectificación o la cancelación en función del daño probable que
pudieran derivarse para la seguridad nacional o la seguridad pública, la protección de los
derechos y libertades de terceros o las necesidades de las investigaciones que se estén
realizando.
ARTÍCULO 22. Los datos de carácter personal relativos a la comisión de infracciones
penales o administrativas únicamente podrán ser incluidos en los sistemas de los sujetos
obligados competentes en los supuestos que así lo autoricen las normas aplicables.
ARTÍCULO 23. Los responsables sólo podrán transmitir los sistemas a terceros
particulares para fines específicos y relacionados con el ámbito de las funciones que le
son propias al sujeto obligado, siempre y cuando se estipule, en el contrato respectivo, la
obligación del tercero de aplicar las medidas de seguridad y custodia previstas en esta
Ley, así como la imposición de penas convencionales establecidas en el contrato relativo
por su incumplimiento.
ARTÍCULO 24. Los datos personales que hayan sido objeto de tratamiento, deberán ser
suprimidos una vez que concluya el plazo de conservación establecido en el catálogo de
disposición documental o por otras disposiciones aplicables. Los datos personales sólo
podrán ser conservados mientras subsista la finalidad para la que fueron recabados.
En el caso de que el tratamiento de los datos personales haya sido realizado por una
persona distinta al sujeto obligado, el convenio o contrato que dio origen al tratamiento
deberá establecer que a su término los datos deberán ser devueltos en su totalidad al
sujeto obligado.
CAPITULO III
DE LOS SISTEMAS
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
10
ARTÍCULO 25. Los sujetos obligados deberán elaborar un documento de seguridad que
establezca las medidas de seguridad físicas, técnicas y administrativas adoptadas para
cada sistema que posean, las cuales garanticen el nivel de protección bajo, medio o alto
que requieren los datos personales contenidos en dichos sistemas, con base en los
lineamientos respectivos que emita el Instituto.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 26. El documento de seguridad deberá incluir el nombre, cargo y adscripción
de los responsables y encargados que intervienen en el tratamiento de los datos
personales.
ARTÍCULO 27. En el supuesto de actualización de los datos del documento de seguridad,
la modificación respectiva deberá notificarse al Instituto, dentro de los 30 días siguientes
al día en que se efectuó.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 28. Los titulares de los sujetos obligados dispondrán lo necesario para
establecer las medidas de seguridad, técnicas y organizativas, para garantizar la
confidencialidad e integridad de los sistemas, con la finalidad de proteger los datos
personales y evitar su pérdida, destrucción, alteración o acceso no autorizado.
Asimismo, deberán adoptar las medidas siguientes:
I. Designar al responsable;
II. Implementar medidas de seguridad y protección física, técnica, organizativa
y de control; y
III. Observar los lineamientos que, para tal efecto, emita el Instituto.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 29. El responsable del Sistema deberá:
I. Atender y vigilar el cumplimiento de las medidas de seguridad establecidas por el
Instituto establecidas en los lineamientos que emita;
FRACCIÓN REFORMADA POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
II. Establecer los criterios específicos sobre el manejo, mantenimiento, seguridad y
protección del sistema;
III. Difundir la normatividad aplicable entre el personal involucrado en el manejo de los
datos personales;
FRACCIÓN REFORMADA POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
IV. Elaborar un plan de capacitación en materia de seguridad de datos personales;
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
11
V. Adoptar las medidas para el resguardo de los sistemas, de manera que se evite su
alteración, pérdida o acceso no autorizado;
VI. Autorizar a los encargados y llevar una relación actualizada de las personas que
tengan acceso a los sistemas; y
VII. Notificar al Instituto, a las autoridades competentes y a los titulares de la
información, en los supuestos de divulgación de los incidentes relacionados con la
conservación o mantenimiento de los sistemas previstos en las recomendaciones
de medidas de seguridad de los datos personales.
FRACCIÓN REFORMADA POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 30. Los sistemas en posesión de los sujetos obligados deberán ser
registrados ante el Instituto, quien conformará un listado actualizado de los mismos.
PÁRRAFO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
El listado contendrá por cada sistema registrado la información a que se refiere el artículo
siguiente.
ARTÍCULO 31. Al momento de registrar un sistema, los responsables deberán informar lo
siguiente:
I. La identificación del sistema de datos personales;
II. El nombre, cargo, unidad administrativa, teléfono y correo electrónico oficial del
responsable del sistema;
III. Los niveles de seguridad de los datos;
IV. Los grupos de personas sobre quienes se obtienen los datos;
V. La finalidad del sistema;
VI. El fundamento legal que faculta al sujeto obligado al tratamiento de los datos
personales;
VII. Los destinatarios a que serán trasmitidos los datos personales, en su caso;
VIII. El tipo de soporte del propio sistema; y
IX. Las medidas adoptadas para garantizar la seguridad de los datos.
ARTÍCULO 32. El Instituto deberá elaborar, actualizar y publicar en el sitio de Internet
para consulta pública, los listados de los sistemas registrados por los sujetos obligados.
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
12
La publicación de los listados de los sistemas registrados en su sitio de Internet, se hará a
más tardar treinta días hábiles posteriores al día de su recepción.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
CAPITULO IV
DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN,
CANCELACIÓN Y OPOSICIÓN
ARTÍCULO 33. Los derechos de acceso, rectificación, cancelación y oposición de datos
personales son derechos independientes. El ejercicio de cualquiera de ellos no es
requisito previo ni impide el ejercicio de otro.
ARTÍCULO 34. El titular tiene derecho a acceder a sus datos personales gratuitamente, a
conocer el origen de dichos datos, así como las transmisiones realizadas o que se
prevean hacer de los mismos en términos de lo previsto por esta Ley.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 35. Cuando el titular de los datos hubiere fallecido o sea declarada
judicialmente su presunción de muerte, podrán solicitar la información sus familiares en
línea recta sin limitación de grado o colaterales hasta el tercer grado.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 36. El titular tendrá derecho a rectificar sus datos personales, cuando sean
inexactos o incompletos, siempre que no sea material o legalmente imposible o exija
esfuerzos desproporcionados, a criterio de la autoridad competente en la materia.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 37. El titular tendrá derecho a cancelar sus datos personales cuando:
I. El tratamiento de los mismos no se ajuste a lo dispuesto por la Ley, sus
reglamentos o los lineamientos respectivos; y
II. Hubiere ejercido el derecho de oposición y este haya resultado procedente.
Cuando un dato personal sea cancelado, el mismo será susceptible de ser bloqueado.
La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a
disposición de los sujetos obligados, para la atención de las posibles responsabilidades
nacidas del tratamiento, durante el plazo equivalente al de prescripción de las acciones
derivadas de la relación jurídica que funda el tratamiento de los datos. Cumplido el plazo
deberá procederse a su supresión, en términos de la normatividad aplicable.
La cancelación de datos no procede cuando pudiese causar perjuicios a derechos o
intereses legítimos de terceros, cuando exista una obligación legal de conservar dichos
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
13
datos o sean necesarios para cumplir una obligación legalmente adquirida por el titular.
Una vez cancelado el dato se dará aviso a su titular.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 38. Cuando los datos personales hubiesen sido transmitidos con anterioridad
a la fecha de rectificación o cancelación, el responsable deberá hacerlo del conocimiento
de las personas a las que se les hubiera transmitido quienes deberán realizar también la
cancelación o rectificación.
ARTÍCULO 39. El interesado tendrá derecho a oponerse al tratamiento de los datos que
le conciernan, en el supuesto que los datos se hubiesen recabado sin su consentimiento,
cuando existan motivos fundados para ello y la Ley no disponga lo contrario.
De proceder la oposición, el responsable del sistema deberá excluir del tratamiento los
datos relativos del titular.
CAPITULO V
PROCEDIMIENTO PARA EL EJERCICIO DE LA ACCIÓN
DE PROTECCIÓN DE DATOS PERSONALES
ARTÍCULO 40. El ejercicio de la acción de protección de datos personales, se sustanciará
de conformidad con lo dispuesto en el presente capítulo, sin perjuicio de las disposiciones
previstas en el capítulo séptimo de la Ley de Transparencia y Acceso a la Información
Pública del Estado de Durango.
Solo el titular o su representante legal podrá, previa acreditación, solicitar ante la unidad
de enlace del sujeto obligado el ejercicio de la acción de protección de datos personales,
que comprende el acceso, rectificación, cancelación o haga efectivo su derecho de
oposición, respecto de los datos personales que le conciernen y que obren en un sistema
en posesión del sujeto obligado.
PÁRRAFO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 41. La solicitud de acceso, rectificación, cancelación u oposición, respecto de
datos personales deberá contener:
I. El sujeto obligado al que se dirige;
II. Nombre del titular o de su representante legal, en su caso;
III. Copia de la Identificación oficial del titular o de su representante legal, en su caso;
IV. Copia de la carta o poder notarial del representante legal;
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
14
V. El domicilio o la dirección electrónica del solicitante cuando se establezca este
medio para recibir notificaciones;
VI. La descripción clara y precisa de los datos personales respecto de los que se
busca ejercer la acción de protección de datos personales; y
VII. Cualquier otro elemento que facilite la localización de la información.
El titular señalará la modalidad en la que prefiere se otorgue el acceso a sus datos
personales, la cual podrá ser mediante consulta directa, copias simples o certificadas,
correo electrónico o cualquier otro tipo de medio que facilite el acceso.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 42. Si la información proporcionada por el titular no es suficiente o es errónea,
la unidad de enlace podrá requerir por única vez y dentro de los cinco días hábiles
siguientes a la presentación de la acción de protección de datos personales, que indique
otros elementos o corrija la información presentada. Este requerimiento interrumpirá el
plazo establecido en el artículo siguiente de esta Ley.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 43. La unidad de enlace deberá notificar al titular, en un plazo no mayor de
quince días hábiles, contados a partir del día hábil siguiente al de la recepción de la
acción de protección de datos personales, la procedencia o negativa de dicha acción,
debidamente fundada y motivada.
Cuando la complejidad o volumen de la información lo ameriten, se hará la notificación al
solicitante, fundándose y motivándose la ampliación del plazo hasta por diez días hábiles;
esta comunicación deberá hacerse del conocimiento del titular durante los primeros cinco
días hábiles a partir de la presentación de su escrito de solicitud de acción de protección
de los datos personales.
De resultar procedente la acción de protección de datos que promueva el titular, la unidad
de enlace hará efectiva la misma dentro de los cinco días hábiles siguientes a la fecha en
la que se comunica la respuesta y, de ser el caso, se hayan cubierto los costos que
señala el artículo 57 Bis de la Ley de Hacienda del Estado de Durango.
En caso de que no se resuelva dentro del término señalado, o la resolución no sea
favorable a los intereses del titular, este podrá acudir ante el Instituto a interponer el
Recurso de Revisión que establece la Ley de Transparencia y Acceso a la Información
Pública del Estado de Durango.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 44. Las notificaciones que se hagan durante el procedimiento de protección
de datos personales por la unidad de enlace, así como el recurso de revisión interpuesto
ante el Instituto podrán ser:
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
15
PÁRRAFO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
I. En el domicilio señalado por el titular; o
II. Por medio de sistemas electrónicos.
En lo no contenido por la presente en materia de notificaciones, serán supletorias las
disposiciones del Código de justicia Administrativa para el Estado de Durango.
ARTÍCULO 45. En el supuesto de que los datos personales obren en los sistemas del
sujeto obligado y este considere improcedente la acción, el Comité para la Clasificación
de Información correspondiente emitirá una resolución fundada y motivada al respecto,
notificándola al titular a través de la unidad de enlace.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 46. En caso de que los datos personales requeridos no fuesen localizados en
los sistemas del sujeto obligado, el Comité para la Clasificación de Información lo hará
constar en su resolución declarando su inexistencia y lo notificará al titular a través de la
unidad de enlace.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 47. El ejercicio de la acción de protección de datos personales será gratuito,
debiendo cubrir el titular el costo de la reproducción de la información, de conformidad con
los montos que establece el artículo 57 bis de la Ley de Hacienda del Estado de Durango.
El único medio por el cual el titular podrá recibir la información referente a los datos
personales será en la unidad de enlace respectiva, y sin mayor formalidad que la de
acreditar su identidad.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 48. En el caso de que la acción de protección de datos personales verse
sobre la rectificación de datos personales, el titular deberá indicar, además de lo señalado
en el artículo 45 de esta Ley, las modificaciones a realizarse y aportar la documentación
que sustente su solicitud.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 49. Cuando la acción de protección de datos personales se presente para la
cancelación de datos, la solicitud deberá indicar si revoca el consentimiento otorgado.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 50. El titular al que se niegue, total o parcialmente, el ejercicio de la acción de
protección de datos personales, podrá interponer el recurso de revisión previsto en la Ley
de Transparencia y Acceso a la Información del Estado de Durango, de acuerdo con el
procedimiento establecido en su Capítulo XIII.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
16
CAPITULO VI
DE LA AUTORIDAD
ARTÍCULO 51. El Instituto es el órgano encargado de vigilar y verificar el cumplimiento de
la presente Ley, así como de las normas que de ella deriven; será la autoridad encargada
de garantizar la protección y el correcto tratamiento de datos personales en posesión de
los sujetos obligados.
ARTICULO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
ARTÍCULO 52. El Instituto tendrá las siguientes facultades:
PÁRRAFO REFORMADO POR DEC. 252 P. O. 104 BIS DE FECHA 28 DE DICIEMBRE DE 2014.
I. Vigilar el cumplimiento de la presente Ley;
II. Orientar y asesorar gratuita y diligentemente a los ciudadanos que acudan ante
ella para el mejor ejercicio de sus derechos;
III. Dictar, sin perjuicio de las competencias de otros órganos, las medidas necesarias
para adecuar los tratamientos de datos personales en posesión de los sujetos
obligados a los principios de la presente Ley;
IV. Llevar a cabo el registro de los sistemas en posesión de los sujetos obligados;
V. Ejercer la potestad sancionadora en los términos previstos en la Ley de
Transparencia y Acceso a la Información Pública del Estado y de la presente Ley;
VI. Promover el derecho de protección de datos entre los sujetos obligados y la
sociedad;
VII. Conocer y resolver los recursos que se interpongan contra los actos y
resoluciones dictadas por los sujetos obligados con relación a la acción de
protección de datos personales;
VIII. Establecer, en el ámbito de su competencia, políticas y lineamientos de
observancia general para el manejo, tratamiento, seguridad y protección de los
datos personales que estén en posesión de los sujetos obligados, así como
expedir aquellas normas que resulten necesarias para el cumplimiento de esta
Ley;
IX. Diseñar y aprobar los formatos para la obtención del consentimiento de los
titulares, y de solicitudes de acceso, rectificación, cancelación y oposición de
datos personales;
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
17
X. Organizar seminarios, cursos y talleres que promuevan el conocimiento de la
presente Ley y las prerrogativas de las personas derivadas del derecho de
protección de datos personales;
XI. Establecer programas de capacitación en materia de protección de datos
personales y promover acciones que faciliten a los sujetos obligados y a su
personal participar de estas actividades, a fin de garantizar el adecuado
cumplimiento de la presente Ley;
XII. Promover la elaboración de material didáctico informativo que permita la difusión
del contenido y derechos consignados en la presente Ley;
XIII. Celebrar convenios de colaboración con instituciones, dependencias y organismos
de carácter públicos o privados, que coadyuven en el efectivo cumplimiento de las
obligaciones previstas en la presente Ley;
XIV. Promover entre las instituciones educativas, públicas y privadas, la inclusión
dentro de sus actividades académicas curriculares y extracurriculares, los temas
que ponderen la importancia del derecho a la protección de datos personales;
XV. Hacer del conocimiento del órgano de control interno del sujeto obligado que
corresponda, las resoluciones que emita relacionadas con la probable violación a
las disposiciones materia de la presente Ley; y
XVI. Las demás que le confiera esta Ley o cualquier otro ordenamiento aplicable.
CAPITULO VII
RESPONSABILIDADES Y SANCIONES
ARTÍCULO 53. Sin perjuicio de las previstas en la Ley de Transparencia y Acceso a la
Información Pública del Estado de Durango, serán causa de responsabilidad
administrativa de los sujetos obligados por incumplimiento de las obligaciones
establecidas en esta Ley las siguientes:
Denegar el ejercicio de la acción de protección de datos personales en términos de esta
Ley;
I. Actuar con negligencia, dolo o mala fe en la sustanciación de las solicitudes de
ejercicio de la acción de protección de datos personales conforme a esta Ley;
II. Declarar dolosamente la inexistencia de datos personales cuando esta exista total
o parcialmente en los archivos del sujeto obligado;
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
18
III. Entregar datos personales a terceros, sin que medie la acreditación de su
representación o personalidad conforme a lo dispuesto por esta Ley y a lo
dispuesto en otras Leyes por lo que hace a la representación;
IV. Omitir reiteradamente dar respuesta a las solicitudes de acción de protección de
datos personales dentro de los plazos previstos por esta Ley;
V. Realizar el tratamiento de datos en contravención a las disposiciones de la
presente Ley;
VI. Usar, sustraer, destruir, ocultar, inutilizar, divulgar o alterar, total o parcialmente y
de manera indebida, datos personales que se encuentren bajo su custodia o a la
cual tengan acceso o conocimiento con motivo de su empleo, cargo o comisión;
VII. Entregar intencionalmente de manera incompleta información requerida en una
solicitud de acción de protección de datos personales;
VIII. Prolongar con dolo los plazos previstos en el Capítulo IV de esta Ley para la
entrega de datos personales;
IX. Dar tratamiento a los sistemas en contravención a los principios establecidos en el
Capítulo I de esta Ley;
X. No proporcionar la información cuya entrega haya sido ordenada por la comisión; y
XI. No cumplir cabalmente por dolo o negligencia con las resoluciones emitidas por la
comisión.
ARTÍCULO 54. Las responsabilidades a que se refiere este capítulo o cualquiera otra
derivada del incumplimiento de las obligaciones establecidas en esta Ley, serán
sancionadas en los términos establecidos en el capítulo XIV de la Ley de Transparencia y
Acceso a la Información Pública del Estado de Durango y en la Ley de Responsabilidades
de los Servidores Públicos del Estado y de los Municipios.
TRANSITORIOS
ARTÍCULO PRIMERO. La presente Ley entrará en vigor al año siguiente al de su
publicación en el Periódico Oficial del Gobierno del Estado de Durango, con las
modalidades que establecen los artículos siguientes.
ARTÍCULO SEGUNDO. El registro a que se refiere el Capítulo VII de la presente Ley,
deberá realizarse ante la Comisión y los otros sujetos obligados, respectivamente, en un
plazo que no excederá de un año a la entrada en vigor de esta Ley.
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
19
ARTÍCULO TERCERO. El documento de seguridad a que alude la presente Ley, deberá
ser elaborado por los sujetos obligados en un plazo que no excederá de 180 días a partir
de la entrada en vigor del presente decreto. De igual forma contarán con el mismo plazo
para emitir los reglamentos de esta ley, que permitan a los particulares ejercitar
efectivamente la acción de protección de datos personales, de conformidad a las bases y
principios establecidos en la presente.
ARTÍCULO CUARTO. La Comisión deberá expedir en un plazo que no exceda de 90 días
a partir de la entrada en vigor del presente decreto, los lineamientos que establezcan las
medidas de seguridad físicas, técnicas y administrativas y los niveles de protección bajo,
medio o alto y que requieren los datos personales contenidos en los sistemas.
El Ciudadano Gobernador Constitucional del Estado, sancionará, promulgará y dispondrá
se publique, circule y observe.
Dado en el Salón de Sesiones del Honorable Congreso del Estado, en Victoria de
Durango, Dgo., a los (13) trece días del mes de junio del año (2013) dos mil trece.
DIP. RAÚL ANTONIO MERAZ RAMÍREZ, PRESIDENTE; DIP. ROSA MARÍA GALVÁN
RODRÍGUEZ, SECRETARIA; DIP. MANUEL IBARRA MIRANO, SECRETARIO.
RÚBRICAS.
DECRETO 514, LXVI LEGISLATURA, PERIÓDICO OFICIAL 97 DE FECHA 5 DE
DICIEMBRE DE 2013
----------------------------------------------------------------------------------------------------------------------------------
DECRETO 252, LXVI LEGISLATURA, PERIÓDICO OFICIAL No. 104 BIS, DE FECHA 28 DE
DICIEMBRE DE 2014.
ARTÍCULO ÚNICO. Se adicionan las fracciones I, IV, XII, XVIII y XIX, y se reforman las fracciones
VI, VII, IX y X del artículo 4, adaptándose al orden alfabético el contenido de las mismas; se
adicionan las fracciones IX y X al artículo 5; se reforma el artículo 8; se reforma el primer párrafo y
las fracciones I a VI del artículo 11; se reforma la fracción III del artículo 12; se adiciona el artículo
12 BIS; se reforman los artículos 25, 27, 28, 29, 30, 32, 34, 35, 36, 37, 40, 41, 42, 43, 44, 45, 46,
47, 48, 50, 51 y 52, para quedar como sigue:
ARTÍCULOS TRANSITORIOS
PRIMERO. El presente Decreto entrará en vigor al día siguiente de su publicación en el Periódico
Oficial del Gobierno del Estado Durango.
SEGUNDO. Se derogan todas las disposiciones que se opongan al presente Decreto.
LEY DE PROTECCIÓN DE DATOS PERSONALES DEL
ESTADO DE DURANGO
FECHA DE ULTIMA REFORMA:
P. O. 104 BIS DE 28 DE DICIEMBRE DE 2014
20
El Ciudadano Gobernador Constitucional del Estado, sancionará, promulgará, y dispondrá se
publique, circule y observe.
Dado en el salón de sesiones del H. Congreso del Estado, en Victoria de Durango, Dgo., a los (26)
veintiséis días del mes de noviembre del año (2014) dos mil catorce.
DIP. MARÍA LUISA GONZÁLEZ ACHEM, PRESIDENTE; DIP. ALICIA GARCÍA VALENZUELA,
SECRETARIA; DIP. RICARDO DEL RIVERO MARTÍNEZ, SECRETARIO. RÚBRICAS.