<![CDATA[
H. CONGRESO DEL ESTADO DE YUCATÁN
LEY DE PROTECCIÓN DE DATOS
PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL
ESTADO DE YUCATÁN
SECRETARÍA GENERAL
DEL PODER LEGISLATIVO
UNIDAD DE SERVICIOS TÉCNICO-LEGISLATIVOS
Última reforma D.O.: 05-Agosto-2024
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
2
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS
DEL ESTADO DE YUCATÁN
TÍTULO PRIMERO
DISPOSICIONES GENERALES
CAPÍTULO ÚNICO
Artículo 1. Objeto
Artículo 2. Objetivos
Artículo 3. Definiciones
Artículo 4. Datos personales
Artículo 5. Interpretación
Artículo 6. Supletoriedad
Artículo 7. Alcance
Artículo 8. Fuentes de acceso público
Artículo 9. Límites al derecho a la protección de datos personales
Artículo 10. Datos personales sensibles
TÍTULO SEGUNDO
PRINCIPIOS Y DEBERES
CAPÍTULO I
Principios
Artículo 11. Principios
Artículo 12. Tratamiento de datos personales
Artículo 13. Finalidades
Artículo 14. Obtención engañosa o fraudulenta
Artículo 15. Consentimiento previo
Artículo 16. Elementos del consentimiento
Artículo 17. Consentimiento expreso
Artículo 18. Consentimiento tácito
Artículo 19. Consentimiento sobre datos personales sensibles
Artículo 20. Casos de excepción
Artículo 21. Calidad de los datos personales
Artículo 22. Eliminación de los datos personales
Artículo 23. Procedimientos para la conservación
Artículo 24. Tratamiento exclusivo
Artículo 25. Informe sobre el tratamiento
Artículo 26. Aviso de privacidad
Artículo 27. Contenido del aviso de privacidad
Artículo 28.Aviso de privacidad simplificado
Artículo 29. Aviso de privacidad integral
Artículo 30. Puesta a disposición
Artículo 31. Actualización del aviso de privacidad
Artículo 32. Implementación de mecanismos
Artículo 33.Mecanismos para el cumplimiento
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
3
CAPÍTULO II
Deberes
Artículo 34. Implementación de medidas de seguridad
Artículo 35. Medidas de seguridad
Artículo 36. Actividades interrelacionadas
Artículo 37. Documento de seguridad
Artículo 38.Actualización del documento de seguridad
Artículo 39. Análisis de las causas de vulneración a la seguridad
Artículo 40. Vulneraciones de seguridad
Artículo 41. Informe de las vulneraciones de seguridad
Artículo 42. Contenido del informa de las vulneraciones de seguridad
Artículo 43. Investigación previa
Artículo 44. Controles o mecanismos
Artículo 45. Publicación de directrices, recomendaciones y mejores prácticas
TÍTULO TERCERO
DERECHOS DE LOS TITULARES Y SU EJERCICIO
CAPÍTULO I
Derechos de acceso, rectificación, cancelación y oposición
Artículo 46. Solicitud de acceso, rectificación, cancelación u oposición
Artículo 47. Derecho de acceso
Artículo 48. Derecho de rectificación
Artículo 49. Derecho de cancelación
Artículo 50. Derecho de oposición
CAPÍTULO II
Ejercicio de los derechos de acceso, rectificación, cancelación y oposición
Artículo 51. Recepción y trámite de solicitudes
Artículo 52. Ejercicio de los derechos ARCO
Artículo 53. Acreditación
Artículo 54. Solicitud del ejercicio de los derechos ARCO
Artículo 55.Gratuidad
Artículo 56. Auxilio y orientación
Artículo 57. Incompetencia
Artículo 58. Reencauzamiento
Artículo 59. Requisitos para el ejercicio de los derechos ARCO
Artículo 60. Prevención
Artículo 61. Resolución en caso de inexistencia
Artículo 62. Trámite o procedimiento específico
Artículo 63. Improcedencia del ejercicio de los derechos ARCO
Artículo 64. Recurso de revisión
CAPÍTULO III
Portabilidad de los datos personales
Artículo 65. Portabilidad
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
4
TÍTULO CUARTO
COMUNICACIONES DE DATOS PERSONALES
CAPÍTULO ÚNICO
Artículo 66. Transferencia
Artículo 67. Formalización de la transferencia
Artículo 68. Transferencia nacional
Artículo 69. Transferencia internacional
Artículo 70. Solicitud de opinión para la transferencia internacional
TÍTULO QUINTO
ACCIONES PREVENTIVAS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
CAPÍTULO I
Esquemas de mejores prácticas
Artículo 71. Mejores prácticas
CAPÍTULO II
Evaluación de impacto
Artículo 72. Evaluación de impacto
Artículo 73. Tratamiento intensivo o relevante
Artículo 74. Presentación de la evaluación de impacto
Artículo 75. Recomendaciones sobre la evaluación de impacto
Artículo 76. Excepciones a la realización de la evaluación de impacto
Artículo 77. Evaluación de impacto de oficio
CAPÍTULO II
Bases de datos en posesión de instancias de seguridad, procuración y administración de
justicia
Artículo 78. Límites a la obtención y tratamiento
Artículo 79. Medidas de seguridad de nivel alto
TÍTULO SEXTO
COMITÉ DE TRANSPARENCIA Y UNIDAD DE TRANSPARENCIA
CAPÍTULO I
Comité de Transparencia
Artículo 80. Comité de transparencia
Artículo 81. Atribuciones del comité de transparencia
CAPÍTULO II
Unidad de Transparencia
Artículo 82. Unidad de transparencia
Artículo 83. Oficial de protección de datos personales
Artículo 84. Atribuciones del oficial de protección de datos personales
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
5
Artículo 85. Ejercicio de los derechos por personas discapacitadas o vulnerables
TÍTULO SÉPTIMO
INSTITUTO ESTATAL DE TRANSPARENCIA, ACCESO A LA INFORMACIÓN Y PROTECCIÓN DE
DATOS PERSONALES
CAPÍTULO I
Atribuciones del instituto
Artículo 86. Marco jurídico aplicable
Artículo 87. Atribuciones del instituto
Artículo 88. Aplicación de criterios y lineamientos
CAPÍTULO II
Coordinación y promoción del derecho a la protección de datos personales
Artículo 89. Capacitación
Artículo 90. Atribuciones en materia de promoción
TÍTULO OCTAVO
PROCEDIMIENTOS DE IMPUGNACIÓN EN MATERIA DE PROTECCIÓN DE DATOS
PERSONALES EN POSESIÓN DE LOS RESPONSABLES
CAPÍTULO I
Recurso de revisión
Artículo 91. Interposición del recurso de revisión
Artículo 92. Acreditación de la identidad
Artículo 93. Acreditación de la personalidad
Artículo 94. Interposición del recurso de revisión a favor de personas fallecidas
Artículo 95. Notificaciones
Artículo 96. Pruebas
Artículo 97. Procedencia del recurso de revisión
Artículo 98. Requisitos
Artículo 99. Conciliación
Artículo 100. Procedimiento de conciliación
Artículo 101. Resolución
Artículo 102. Suplencia de la queja
Artículo 103. Prevención
Artículo 104. Resoluciones
Artículo 105. Causas de desechamiento
Artículo 106. Causas de sobreseimiento
Artículo 107. Notificación y publicación de las resoluciones
Artículo 108. Obligatoriedad de las resoluciones
Artículo 109. Recurso de inconformidad
CAPÍTULO II
Recurso de inconformidad ante el Instituto Nacional de Transparencia, Acceso a la Información
y Protección de Datos Personales
Artículo 110. Interposición del recurso de inconformidad
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
6
TÍTULO NOVENO
FACULTAD DE VERIFICACIÓN DEL INSTITUTO
CAPÍTULO ÚNICO
Artículo 111. Vigilancia y verificación
Artículo 112. Inicio de la verificación
Artículo 113. Requisitos de la denuncia
Artículo 114. Procedimiento de verificación
Artículo 115. Conclusión del procedimiento de verificación
Artículo116. Auditorias voluntarias
TÍTULO DÉCIMO
MEDIDAS DE APREMIO Y RESPONSABILIDADES
CAPÍTULO I
Medidas de apremio
Artículo 117. Marco jurídico
Artículo 118. Medidas de apremio
Artículo 119. Requerimiento de cumplimiento
Artículo 120. Aplicación de las medidas de apremio
Artículo 121. Cobro de multas
Artículo 122. Calificación de las medidas de apremio
Artículo 123. Reincidencia
Artículo 124. Plazo para la aplicación de las medidas de apremio
Artículo 125. Amonestación pública
Artículo 126. Requerimiento de información
Artículo 127. Recurso contra las medidas de apremio
CAPÍTULO II
Sanciones
Artículo 128. Causas de sanción
Artículo 129. Vista
Artículo 130. Responsabilidades
Artículo 131. Incumplimiento de partidos políticos, fideicomisos o fondos
Artículo 132. Incumplimiento de servidores públicos
Artículo 133. Incumplimiento que implique la presunta comisión de un delito
Artículos transitorios
Primero. Entrada en vigor
Segundo. Derogación
Tercero. Avisos de privacidad
Cuarto. Implementación
Quinto. Obligación normativa
Sexto. Procedimientos en trámite
Séptimo. Previsiones presupuestales
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
7
Decreto 503
Publicado en el Diario Oficial del gobierno del Estado
el 17 de julio de 2017
Rolando Rodrigo Zapata Bello, gobernador del estado de Yucatán, con fundamento
en los artículos 38, 55, fracción II, y 60 de la Constitución Política del Estado de
Yucatán; y 14, fracciones VII y IX, del Código de la Administración Pública de
Yucatán, a sus habitantes hago saber, que el H. Congreso del Estado de Yucatán se
ha servido dirigirme el siguiente decreto:
El Congreso Del Estado Libre y Soberano de Yucatán, conforme a lo dispuesto en
los Artículos 29 y 30 Fracción V de la Constitución Política, 18 y 34 Fracción XIII de la
Ley de Gobierno del Poder Legislativo, 117 y 118 del Reglamento de la Ley de
Gobierno del Poder Legislativo, todos del Estado de Yucatán, emite la siguiente;
E X P O S I C I Ó N D E M O T I V O S:
PRIMERA. La iniciativa en estudio, encuentra sustento normativo en lo
dispuesto en los artículos 35 fracción I de la Constitución Política y 16 de la Ley de
Gobierno del Poder Legislativo, ambas del Estado de Yucatán, toda vez que dichas
disposiciones facultan a los diputados para iniciar leyes y decretos.
Asimismo, de conformidad con el artículo 43 fracción II de la Ley de
Gobierno del Poder Legislativo del Estado de Yucatán, esta Comisión Permanente
de Vigilancia de la Cuenta Pública y Transparencia, tiene facultad para conocer de
los temas relacionados con la normatividad de transparencia, acceso a la
información pública y protección de datos personales, por lo que de la revisión de
la iniciativa en cuestión, se determinó que la misma reúne los requisitos legales
correspondientes.
SEGUNDA. El desarrollo tecnológico, las nuevas formas de comunicación e
información sobre todo aquella digitalizada a través del internet, potencializa el
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
8
tratamiento, recolección y almacenamiento de datos que revelan aspectos de la
vida privada, el honor y la intimidad personal de los ciudadanos y su familia, que sin
su existencia no se habrían interconectado.
La sociedad y la cultura se han transformado, la información de documentos
de identificación se halla sujeto a un control electrónico, bajo una vigilancia
informática continua, universal y permanente.
Por lo anterior, no hay duda que resulta evidentemente necesario plantearse
esquemas compatibles con el respeto a la intimidad personal, reformular su
alcance y redimensionar su contenido como base para impulsar el reconocimiento
de nuevos derechos fundamentales dentro de los que se encuentra la protección
de datos personales.
De esta manera, el derecho a la intimidad referido como el espacio
exclusivo del ser humano fuera de la discreción ajena encontró justificación y
fundamento como derecho humano de primera generación de carácter
individualista; siendo que posteriormente, doctrinarios sentaron las bases técnico-
jurídicas para plantear su reformulación como de tercera generación por su
estrecha vinculación con derechos como la libertad, igualdad, seguridad, así como
con las transformaciones sociales, culturales y tecnológicas.
Stuart Mill en 1859, Warren y Brandeis sentaron las bases de protección de
la persona, su seguridad e independencia, respeto a su vida privada y doméstica,
así como la confidencialidad de sus creencias, pensamientos y preferencias;
incluso la Suprema Corte de Estados Unidos en 1890, sostuvo que frente al
gobierno subsistía la primacía del derecho personal a la privacidad, la intromisión
indebida a su domicilio y propiedades.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
9
Actualmente, el derecho a la intimidad asume una significación pública y
colectiva con el objetivo de controlar el conocimiento y acceso de información
relevante de cada persona, así como de defensa frente a cualquier invasión
indebida, considerando no solo el reconocimiento como derecho fundamental sino
más aún el establecimiento de mecanismos de protección que puedan garantizar
su uso y manejo adoptando el estado su tutela jurídica.
El estado social de derecho debe ser garante del aseguramiento del uso
democrático de la tecnología de la información, proveyendo las condiciones para
que una persona se desenvuelva en una comunidad social en donde la
comunicación y la información resultan imprescindibles.
TERCERA. En el ámbito internacional, encontramos la Declaración
Universal de los Derechos Humanos en cuyo artículo 12 señala: “Nadie será objeto
de injerencias arbitrarias en su vida privada, su familia, su domicilio o su
correspondencia, ni ataques a su honra o reputación. Toda persona tiene derecho
a la protección de la ley contra tales injerencias o ataques”.
Asimismo en España, el derecho a la protección de datos personales se
configura como aquél que busca garantizar a una persona el poder de control sobre
sus datos personales, sobre su uso y destino con el propósito de impedir su tráfico
ilícito y lesivo para la dignidad y el derecho del afectado. No sólo se reduce a sus
datos más íntimos suyo conocimiento o empleo por tercero pueda afectar a sus
derechos sean o no fundamentales porque su objeto no solo es la intimidad
individual, sino la de carácter personal; por lo que los poderes jurídicos se imponen
deberes jurídicos de limitar el acceso, el derecho a saber y ser informado sobre el
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
10
destino y uso, acceso, rectificación y cancelación de quienes los tienen a su
disposición.1
El orden social y jurídico mexicano se ha visto impactado con disposiciones
que permiten el control y acceso limitado a los datos personales que bajo una
concepción de derecho fundamental autónomo dentro del artículo 6º de la
Constitución Política de los Estados Unidos Mexicanos, disposición que a través de
sus diversas reformas define las directrices para su protección y al organismo
garante a nivel nacional y da la pauta para los correspondientes estatales.
La protección de datos personales se reconoce desde el responsable que
los adquiere dentro del ámbito privado y público. Para efectos de sujetos
responsables del ámbito privado, la federación se reservó la facultad de emitir las
disposiciones legales dando cumplimiento a través de la Ley Federal de Protección
de Datos Personales publicada en el Diario Oficial de la Federación el 05 de julio
de 2010.
Teniendo la posesión los sujetos responsables del ámbito público, las
legislaciones de transparencia y acceso a la información federal y locales
consideraron un capitulado con disposiciones referente a su acceso y rectificación,
hasta la emisión de la Ley General de Protección de Datos Personales en Posesión
de Sujetos Obligados publicada en el Diario Oficial de la Federación el 26 de enero
de 2017, que constituye el parámetro de configuración normativa para la federación
y las entidades federativas.
1 Alto Tribunal Español en su sentencia 292/200
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
11
El organismo garante a nivel nacional y de las entidades federativas han
emitido diversas resoluciones sobre casos en los que se controvierte el acceso a
información confidencial referente a datos personales.
La Suprema Corte de Justicia de la Nación, mediante la tesis cuyo rubro se
lee: SISTEMAS DE PROTECCIÓN DE DATOS PERSONALES Y DE
TRANSPARENCIA Y ACCESO A LA INFORMACIÓN PÚBLICA. PRECEPTOS
CONSTITUCIONALES QUE LOS REGULAN2, se ha pronunciado en el sentido de
la conformación del sistema de protección de datos personales que no se limita al
artículo 6º de la Constitución Política de los Estados Unidos Mexicanos, sino a
disposiciones que regulan diversas materias.
De esta manera, nivel constitucional, legal, jurisprudencial y por vía de
resolución del organismo garante cuando se controvierte un caso concreto buscan
garantizar la racionalización, simplificación, celeridad y seguridad de las prácticas
administrativas, así como de recopilación de datos como una exigencia que
resultaba inaplazable.
CUARTA. En relación con la iniciativa de ley presentada, ésta tiene como
objeto establecer las bases para garantizar el derecho de protección de datos
personales, contenidos en el artículo 6 de la Constitución Política de los Estados
Unidos Mexicanos, el sistema interamericano de derechos humanos y el artículo 75
de la Constitución Política del Estado de Yucatán.
2 TESIS SISTEMAS DE PROTECCIÓN DE DATOS PERSONALES Y DE TRANSPARENCIA Y ACCESO A LA
INFORMACIÓN PÚBLICA. PRECEPTOS CONSTITUCIONALES QUE LOS REGULAN. Época: Décima Época, Registro:
2013674, Instancia: Tribunales Colegiados de Circuito Tipo de Tesis: Aislada, Fuente: Gaceta del Semanario Judicial de la
Federación, Libro 39, Febrero de 2017, Tomo III, Materia(s): Constitucional, Tesis: I.2o.A.E.1 CS (10a.), Página: 2364.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
12
Reconocemos que resulta trascendental la emisión de la legislación local
dentro del plazo señalado en la Ley General de Protección de Datos Personales en
Propiedad de los Sujetos Obligados, normativa a la cual se encuentra vinculada en
los términos de sus disposiciones y entendiendo su vinculación con otros derechos
dentro de los que se encuentran: transparencia, acceso a la información, réplica,
organización y administración homogénea de archivos, así como normativa de
carácter internacional como la Convención Americana de Derechos Humanos.
Por lo anterior, se pretende implementar un sistema de protección efectiva
de datos personales en propiedad de los poderes Ejecutivo, Legislativo, Judicial,
así como de los organismos autónomos del estado, estableciendo disposiciones
garantistas de su confidencialidad, uso, y rectificación, de tal forma que puedan
sólo ser utilizados para los fines y por las personas autorizadas, o en su caso
recurrir ante el organismo garante.
Se trata de crear una cultura donde a consecuencia de los avances
informáticos, el individuo no pierda su capacidad de disponer de su información
personal, controlar el acceso respecto de quien la solicita, de quien posee y el
objeto por el cual se transmite, previo su consentimiento.
Se trata de garantizar su dignidad y libertad para decidir por sí mismo los
límites que proceden para revelar las situaciones referentes a su propia vida.
QUINTA. Los integrantes de esta Comisión Permanente, al analizar la
presente iniciativa, recalcamos que el objeto de la reforma constitucional federal en
materia de protección de datos personales, en relación con las normas de carácter
internacional debe garantizar los principios de excepcionalidad en el tratamiento de
datos, protección, libre acceso a datos, no condicionamiento a interés alguno, no
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
13
justificación de utilización, gratuidad, rectificación, mecanismos de acceso
expeditos, revisión de resoluciones ante organismos autónomos, confidencialidad,
oposición, y armonización normativa.
En consideración de la Ley General de Protección de Datos Personales,
debe ser congruente con los principios de licitud, finalidad concreta,
responsabilidad en el tratamiento de datos adecuados, relevantes y estrictamente
necesarios para la finalidad que justifica su tratamiento, lealtad, calidad,
proporcionalidad, información, consentimiento en el tratamiento de datos
personales, explícito, legítimo, excepción de consentimiento, veracidad de los datos
personales, temporalidad, privacidad, información y rendición de cuentas.
Así como los que se refieren al Instituto Estatal de Transparencia y
Protección de Datos Personales, siendo los siguientes: atracción de jurisdicción,
vinculatoriedad, definitividad e inatacabilidad de resoluciones de organismos
garantes e integrantes, coadyuvancia de organismos garantes e integrantes,
cumplimiento de las decisiones, especialidad, y coordinación con el INAI.
Estamos conscientes de la responsabilidad que conlleva que la legislación
local deberá configurarse normativamente al derecho de protección de datos
personales en posesión de sujetos obligados (autoridades) de nivel estatal,
estableciendo el ejercicio de los principios antes relacionados dentro de los plazos
que la Ley General previene, los mecanismos, medios de impugnación y
procedimientos que actúen como garantías procedimentales de este derecho
fundamental.
SEXTA. Bajo las anteriores consideraciones, se analizó la iniciativa de ley
presentada, así como cada una de las propuestas de reformas presentadas por las
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
14
fracciones legislativas del Verde Ecologista, Movimiento de Regeneración Nacional,
así como del Revolucionario Institucional, expuestas a consideración en las
sesiones de trabajo.
En lo general, se realizó una adecuada aplicación de técnica legislativa
respecto a la iniciativa, así como ha resultado necesario analizar la congruencia de
su contenido con lo dispuesto por la Ley General de Protección de Datos
Personales en Posesión de Sujetos Obligados, la cual contiene la base mínima
regulativa, dejando a salvo la libertad normativa del legislador siempre que no
contravengan estas pautas de observancia obligatoria.
Asimismo, ha servido de base la revisión de la Ley Modelo Estatal de
Protección de Datos Personales emitido por el Instituto Nacional de Acceso a la
Información, la Comisión de Protección de Datos Personales y el Sistema Nacional
de Transparencia, así como por la jurisprudencia, doctrina, experiencia del derecho
comparado y propuestas presentadas por los legisladores en las sesiones de
comisiones.
En principio, la iniciativa fue sometida a un análisis constitucional,
observándose que Ley de Protección de Datos Personales en Posesión de Sujetos
Obligados y Particulares del Estado de Yucatán excedía la competencia federal,
conforme la fracción XXIX-O del artículo 73 de la Constitución Federal que
establece que es facultad del Congreso de la Unión “legislar en materia de
protección de datos personales en posesión de particulares”, por lo cual se cambió
el nombre, el título completo, y cualquier otra disposición que hiciera referencia a
los particulares.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
15
El proyecto de decreto que nos ocupa, quedó integrado en diez títulos, por
133 artículos, con la visión garantista del derecho a la protección de datos
personales, con el objetivo de elaborar una norma clara, completa y precisa que
permita al responsable cumplir con puntualidad sus disposiciones.
El Titulo Primero correspondiente a las disposiciones generales, se
establecieron con puntualidad los responsables en el cumplimiento de esta Ley,
siendo aplicable para cualquier autoridad, dependencia, entidad, órgano y
organismo de los Poderes Ejecutivo, Legislativo y Judicial, ayuntamientos,
organismos autónomos, partidos políticos, fideicomisos y fondos públicos de nivel
estatal y municipal, que lleven a cabo tratamientos de datos personales.
Asimismo, establecer con precisión las definiciones, forma de interpretación,
la supletoriedad de este mismo ordenamiento, y el alcance en relación con los
mecanismos de información que maneja cada responsable, así como definir los
límites por los cuales es posible sobreponer el orden público, la seguridad y la
salud públicas o para proteger los derechos de terceros, bajo la proporcionalidad y
necesidad del caso concreto.
En el Título segundo denominado “Principios y Deberes”, no sólo quedaron
insertos los mecanismos de protección ante situaciones como el engaño y el
fraude, materializando principios como la obtención del consentimiento previo, sus
características, elementos, sobre todo tratándose de datos sensibles, y las
causales por las cuales podrían ser considerados los casos de excepción.
Se consideran igual procedimientos para la cancelación y eliminación de los
datos personales, la rendición de cuentas sobre su tratamiento, la implementación
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
16
de los avisos de privacidad de conformidad con las circunstancias del titular,
procurando su conocimiento, por lo cual se implementarán en idioma maya.
En forma congruente, se legisla en cuanto a los deberes de los
responsables, por lo cual será primordial implementar medidas de seguridad, a
través de un documento que provea en forma integral la aplicación de éstas, la
vulneración a la seguridad y en todo caso, la intervención del Instituto para emitir
recomendaciones que fortalezcan y evitan cualquier posible vulneración a la de los
datos personales.
De suma importancia resulta el título tercero, por el cual se desarrollan los
conocidos como derechos ARCO-acceso, rectificación, cancelación y oposición-,
siendo que a través de las ya existentes Unidades de Transparencia, es posible
que el titular o a través de su representante, siempre que acredite su identidad,
solicite cualquiera de estos derechos en forma gratuita, salvo los costos por el uso
de algún dispositivo requerido y de los requisitos solicitados.
Las unidades de transparencia continúan con sus facultades de auxilio y
orientación, e incluso rencauzamiento en casos de incompetencia, así como de la
posible inexistencia y causales de improcedencia, subsistiendo la posibilidad de
que ante una falta de respuesta, inconsistencia o inconformidad del titular, pueda
interponerse el recurso de revisión.
Los capítulos de portabilidad de datos y comunicaciones de datos
personales corresponden a la posibilidad de que el titular tenga acceso a los
formatos electrónicos del responsable, así como a transferir su información de un
sistema a otro bajo los lineamientos del Sistema Nacional.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
17
En cuanto a la transferencia se previene que pueda ser nacional e
internacional siempre que sea formalizada por convenios de colaboración u otro
instrumento jurídico que establezca las obligaciones y responsabilidades asumidas
por las partes.
En el título quinto, se establecen las acciones preventivas en materia de
protección de datos personales conforme la Ley General, se dispone que el
Instituto quien emita las reglas de operación del registro en el que se inscribirán
aquellos esquemas de mejores prácticas validados o reconocidos.
En el capítulo correspondiente a la evaluación de impacto se previene el
tratamiento intensivo o relevante cuando el responsable requiera poner en
operación o modificar políticas públicas, sistemas o plataformas informáticas,
aplicaciones electrónicas o cualquier otra tecnología que a su juicio y de
conformidad con esta ley, impliquen el tratamiento intensivo o relevante de datos
personales; excepto cuando puedan comprometer los efectos que se pretenden
lograr dicha implementación.
De nueva cuenta el Instituto, debe emitir recomendaciones no vinculatorias
sobre la evaluación de impacto.
Respecto a las bases de datos en posesión de instancias de seguridad,
procuración y administración de justicia se establecen los límites a la obtención y
tratamiento y la implementación de medidas de seguridad de nivel alto, en aquellos
supuestos y categorías de datos que resulten necesarios y proporcionales para el
ejercicio de las funciones en materia de seguridad pública, así como para la
prevención o persecución de los delitos.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
18
En el título sexto, se establecen las nuevas obligaciones del Comité y
Unidad de Transparencia de cada responsable en materia de protección de datos
generales, en forma congruente con la Ley General, ambos se constituyen como
organismos garantes de la Ley estatal.
Se concibe la figura del Oficial de protección de datos personales
especializado en la materia, quien formará parte de la Unidad de Transparencia,
será designado atendiendo a sus conocimientos, cualidades profesionales,
experiencia mínima de cinco años en la materia, y, en su caso, las certificaciones
con que cuente en materia de protección de datos personales.
En el título séptimo, se dotan de atribuciones al Instituto Estatal de
Transparencia, Acceso a la Información y Protección de Datos Personales como
órgano encargado de vigilar el cumplimiento de esta Ley cuya principal encomienda
es contribuir a mantener la plena vigencia del derecho a la protección de datos
personales en el Estado, implementando políticas públicas con estricto apego a
esta ley; el ejercicio pleno y respeto del derecho a la protección de datos
personales, la difusión de una cultura de este derecho y su accesibilidad.
Tanto los responsables como el Instituto deben coordinarse para promover
la protección de datos personales y trabajar en la promoción dentro de su ámbito
de competencia.
Dentro del título octavo, noveno y décimo se previene el procedimiento de
impugnación en materia de protección de datos personales en posesión de los
responsables: Recurso de revisión y de inconformidad.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
19
El recurso de revisión se establece bajo los principios de accesibilidad y
sencillez claro, sencillo y accesible ante cualquier inconformidad del titular;
sobresale la posibilidad de conciliar entre el titular y el responsable. En cuanto al
recurso de inconformidad procede la interposición ante el Instituto Nacional de
Transparencia, Acceso a la Información y Protección de Datos Personales cuyo
trámite se regula ante la Ley General.
El Instituto se le dota de facultades de verificación y vigilancia en una
actuación puede ser oficio o por denuncia del titular cumpliendo con los derechos
fundamentales de legalidad y seguridad pública, sobre todo con especial énfasis
cuando la verificación sea en instancias públicas.
El título décimo refiere a las medidas de apremio, responsabilidades y
sanciones por el incumplimiento de la Ley.
Para finalizar, se incluyeron siete artículos transitorios, disponiendo su
entrada en vigor al día siguiente de su publicación en el Diario Oficial del Estado,
plazos para el cumplimiento de la implementación del aviso de privacidad, medidas
de seguridad, procedimientos en trámite, y las previsiones presupuestales que
garanticen su cumplimiento para cada ente responsable.
En lo general, se hicieron adecuaciones correspondientes a la técnica
legislativa, homologando conceptos, orden, claridad en los responsables y plazos
de su cumplimiento en cada una de sus disposiciones.
De esta manera, los yucatecos cuentan con mecanismos para la protección
de sus datos personales, brindando las condiciones para evitar cualquier mal uso
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
20
de la información que le concierne preservando en todo momento el control y
aplicación sobre las nuevas tecnologías de la información.
SÉPTIMA. Del estudio a la iniciativa turnada a esta Comisión Permanente,
cabe mencionar, que ha sido fortalecida con las propuestas presentadas por las
fracciones parlamentarias del Verde Ecologista, Movimiento de Regeneración
Nacional y del Revolucionario Institucional, a fin de corresponder con los principios
y derechos reconocidos en la Constitución Política de los Estados Unidos
Mexicanos y la Ley General de Protección de Datos Personales.
Por todo lo expuesto y fundado, los integrantes de la Comisión Permanente
de Vigilancia de la Cuenta Pública y Transparencia, consideramos que la iniciativa
para expedir la Ley de Protección de Datos Personales en Posesión de Sujetos
Obligados del Estado de Yucatán, debe ser aprobado por los razonamientos antes
expresados, con las modificaciones y adecuaciones necesarias de técnica
legislativa.
En tal virtud, con fundamento en los artículos 30 fracción V de la
Constitución Política, 18 y 43 fracción II de la Ley de Gobierno del Poder Legislativo
y 71 fracción II del Reglamento de la Ley de Gobierno del Poder Legislativo, todos
ordenamientos del Estado de Yucatán, sometemos a consideración del Pleno del
Congreso del Estado de Yucatán, el siguiente proyecto de:
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
21
D E C R E T O
Por el que se expide la Ley de Protección de Datos Personales en Posesión de
Sujetos Obligados del Estado de Yucatán, para quedar como sigue:
Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del
Estado de Yucatán
TÍTULO PRIMERO
DISPOSICIONES GENERALES
CAPÍTULO ÚNICO
Artículo 1. Objeto
Esta ley es de orden público y de observancia obligatoria en el estado de Yucatán y
tiene por objeto establecer las bases, los principios y procedimientos para garantizar el
derecho a la protección de datos personales en posesión de sujetos.
El Instituto Estatal de Acceso a la Información Pública y Protección de Datos Personales
ejercerá las atribuciones y facultades que le otorga esta ley.
Son sujetos obligados por esta ley, cualquier autoridad, dependencia, entidad, órgano y
organismo de los Poderes Ejecutivo, Legislativo y Judicial, ayuntamientos, organismos
autónomos, partidos políticos, fideicomisos y fondos públicos de nivel estatal y municipal,
que lleven a cabo tratamientos de datos personales.
Artículo 2. Objetivos
Son objetivos de esta ley:
I.- Garantizar la observancia de los principios de protección de datos personales
previstos en la Constitución Política de los Estados Unidos Mexicanos, ley general, esta ley
y demás disposiciones que resulten aplicables en la materia.
II.- Proteger los datos personales en posesión de los responsables por esta ley, con
la finalidad de regular su debido tratamiento.
III.- Garantizar que toda persona pueda ejercer el derecho a la protección de los
datos personales en el estado.
IV.- Promover, fomentar y difundir una cultura de protección de datos personales.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
22
V.- Fijar los estándares y parámetros que permitan la implementación,
mantenimiento y actualización de medidas de seguridad de carácter administrativo, técnico
y físico que permitan la protección de los datos personales.
VI.- Establecer obligaciones, procedimientos y condiciones homogéneas que regirán
el tratamiento de los datos personales y el ejercicio de los derechos de acceso,
rectificación, cancelación y oposición, mediante procedimientos sencillos y expeditos.
VII.- Definir los mecanismos para garantizar el cumplimiento y la efectiva aplicación
de las medidas de apremio que correspondan para aquellas conductas que contravengan
las disposiciones previstas en esta ley.
VIII.- Crear un catálogo de sanciones para aquellas conductas que contravengan
las disposiciones previstas en esta ley.
Artículo 3. Definiciones
Para los efectos de esta ley se entenderá por:
I.- Áreas críticas: las instancias de los sujetos obligados previstas en los
respectivos reglamentos interiores, estatutos orgánicos o instrumentos equivalentes, que
cuentan o puedan contar, dar tratamiento, y ser responsables o encargadas de los datos
personales.
II.- Aviso de privacidad: el documento puesto a disposición del titular forma física,
electrónica o en cualquier formato generado por el responsable, a partir del momento en el
cual se recaben sus datos personales, con el objeto de informarle los propósitos del
tratamiento de los mismos.
III.- Bases de datos: el conjunto ordenado de datos personales referentes a una
persona física identificada o identificable, condicionados a criterios determinados que
permitan su tratamiento, con independencia de la forma o modalidad de su creación, tipo
de soporte, procesamiento, almacenamiento y organización.
IV.- Bloqueo: la identificación y conservación de datos personales una vez
cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar
posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción
legal o contractual de estas. Durante dicho periodo, los datos personales no podrán ser
objeto de tratamiento y transcurrido éste, se procederá a su cancelación en la base de
datos que corresponda.
V.- Comité de transparencia: la instancia a la que hace referencia el artículo 54
de la ley de transparencia.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
23
VI.- Cómputo en la nube: el modelo de provisión externa de servicios de cómputo
bajo demanda, que implica el suministro de infraestructura, plataforma o programa
informático, distribuido de modo flexible, mediante procedimientos virtuales, en recursos
compartidos dinámicamente.
VII.- Consentimiento: la manifestación de la voluntad libre, específica e informada
del titular de los datos mediante la cual autoriza el tratamiento de los mismos.
VIII.- Datos personales: cualquier información concerniente a una persona física
identificada o identificable expresada en forma numérica, alfabética, alfanumérica, gráfica,
fotográfica, acústica o en cualquier otro formato. Se considera que una persona es
identificable cuando su identidad puede determinarse directa o indirectamente a través de
cualquier información, siempre y cuando esto no requiera plazos, medios o actividades
desproporcionadas.
IX.- Datos personales sensibles: aquellos que se refieran a la esfera más íntima
de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un
riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles
los datos personales que puedan revelar aspectos como origen racial o étnico, estado de
salud presente o futuro, información genética, creencias religiosas, filosóficas y morales,
opiniones políticas y preferencia sexual.
X.- Derechos ARCO: los derechos de acceso, rectificación, cancelación y
oposición al tratamiento de datos personales.
XI.- Días: los días hábiles.
XII.- Disociación: el procedimiento mediante el cual los datos personales no
pueden asociarse al titular ni permitir, por su estructura, contenido o grado de
desagregación, la identificación del mismo.
XIII.- Documento de seguridad: el instrumento que describe y da cuenta de manera
general sobre las medidas de seguridad técnicas, físicas y administrativas adoptadas por el
responsable para garantizar la confidencialidad, integridad y disponibilidad de los datos
personales que posee.
XIV.- Encargado: la persona física o jurídica, pública o privada, ajena a la
organización del responsable, que sola o conjuntamente con otras, trate datos personales
a nombre y por cuenta del responsable, sin ostentar poder alguno de decisión sobre el
alcance y contenido del mismo, así como limitar sus actuaciones a los términos fijados por
el responsable.
XV.- Evaluación de impacto en la protección de datos personales: el documento
mediante el cual los sujetos obligados valoran los impactos reales respecto de determinado
tratamiento de datos personales, a efecto de identificar y mitigar posibles riesgos que
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
24
puedan comprometer el cumplimiento de los principios de esta ley, los derechos de los
titulares, y los deberes de los responsables previstos en la normativa aplicable.
XVI.- Fuentes de acceso público: aquellas bases de datos, sistemas o archivos que
por disposición de ley puedan ser consultadas públicamente cuando no exista impedimento
por una norma limitativa y sin más exigencia que, en su caso, el pago de una
contraprestación, tarifa o contribución. No se considerará fuente de acceso público cuando
los datos personales contenidas en la misma sean obtenidas o tenga una procedencia
ilícita, conforme a las disposiciones establecidas por esta ley y demás normativa aplicable.
XVII.- Instituto: el Instituto Estatal de Transparencia, Acceso a la Información
Pública y Protección de Datos Personales.
XVIII.- Ley: la Ley de Protección de Datos Personales en Posesión de Sujetos
Obligados del Estado de Yucatán.
XIX.- Ley de transparencia: la Ley de Transparencia y Acceso a la Información
Pública del Estado de Yucatán.
XX.- Ley general: la Ley General de Protección de Datos Personales en Posesión
de Sujetos Obligados.
XXI.- Ley general de transparencia: la Ley General de Transparencia y Acceso a la
Información Pública.
XXII.- Medidas compensatorias: los mecanismos alternos para dar a conocer a los
titulares el aviso de privacidad, a través de su difusión por medios masivos de
comunicación u otros de amplio alcance.
XXIII.- Medidas de seguridad: el conjunto de acciones, actividades, controles o
mecanismos administrativos, técnicos y físicos que permiten garantizar la protección,
confidencialidad, disponibilidad e integridad de los datos personales.
XXIV.- Medidas de seguridad administrativas: las políticas y procedimientos para la
gestión, soporte y revisión de la seguridad de los datos personales a nivel organizacional,
la identificación, clasificación y borrado seguro de la información, así como la
sensibilización, y capacitación del personal, en materia de protección de datos personales.
XXV.- Medidas de seguridad físicas: el conjunto de acciones y mecanismos para
proteger el entorno físico de los datos personales y de los recursos involucrados en su
tratamiento. De manera enunciativa más no limitativa, se deben considerar las siguientes
actividades:
a) Prevenir el acceso no autorizado al perímetro de la organización, sus
instalaciones físicas, áreas críticas, recursos y datos personales.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
25
b) Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas
de la organización, recursos y datos personales.
c) Proteger los recursos móviles, portátiles y cualquier soporte físico o
electrónico que pudiera salir de la organización del responsable.
d) Proveer a los equipos que contienen o almacenan datos personales de un
mantenimiento eficaz, que asegure su disponibilidad e integridad.
XXVI. Medidas de seguridad técnicas: el conjunto de acciones y mecanismos que
se valen de la tecnología relacionada con hardware y software para proteger el entorno
digital de los datos personales y los recursos involucrados en su tratamiento. De manera
enunciativa más no limitativa, se deben considerar las siguientes actividades:
a) Prevenir que el acceso a las bases de datos o a la información, así como
a los recursos, sea por usuarios identificados y autorizados.
b) Generar un esquema de privilegios para que el usuario lleve a cabo las
actividades que requiere con motivo de sus funciones.
c) Revisar la configuración de seguridad en la adquisición, operación,
desarrollo y mantenimiento del software y hardware.
d) Gestionar las comunicaciones, operaciones y medios de almacenamiento
de los recursos informáticos en el tratamiento de datos personales.
XXVII. Plataforma nacional: la Plataforma Nacional de Transparencia a que hace
referencia el artículo 49 de la ley general de transparencia.
XXVIII. Remisión: la comunicación de datos personales realizada exclusivamente
entre el responsable y encargado, con independencia de que se realice dentro o fuera del
Estado o del país.
XXIX. Responsable: los sujetos obligados a que se refiere el tercero párrafo del
artículo 1 de esta ley.
XXX. Sistema nacional: el Sistema Nacional de Transparencia, Acceso a la
Información y Protección de Datos Personales.
XXXI. Supresión: la baja archivística de los datos personales conforme a la
normativa archivística aplicable, que resulte en la eliminación, borrado o destrucción de los
datos personales bajo las medidas de seguridad previamente establecidas por el
responsable.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
26
XXXII. Titular: la persona física a quien corresponden los datos personales.
XXXIII. Transferencia: la comunicación de datos personales dentro o fuera del
territorio mexicano, realizada a persona distinta del titular, del responsable o del
encargado.
XXXIV. Tratamiento: cualquier operación o conjunto de operaciones efectuadas
mediante procedimientos manuales o automatizados aplicados a los datos personales,
relacionadas de manera enunciativa mas no limitativa, con la obtención, uso, registro,
organización, conservación, elaboración, utilización, comunicación, difusión,
almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o
disposición de datos personales.
XXXV. Unidad de transparencia: la Instancia a la que hace referencia el artículo 59
de la ley de transparencia.
Artículo 4.Datos personales
Los datos personales son irrenunciables, confidenciales, intransferibles e
indelegables. Únicamente su titular tiene libre acceso o puede solicitar su rectificación, en
forma gratuita conforme los procedimientos previstos en esta ley; o bien siempre que
conste su consentimiento, para su uso en forma adecuada, relevante y estrictamente
necesaria para la finalidad que justifica su tratamiento.
Artículo 5. Interpretación
La interpretación de esta ley se realizará conforme a la Constitución Política de los
Estados Unidos Mexicanos, la Constitución Política del Estado, la Declaración Universal de
los Derechos Humanos, el Pacto Internacional de Derechos Civiles y Políticos, la
Convención Americana sobre Derechos Humanos, otros tratados, declaraciones, pactos,
convenciones y demás instrumentos internacionales suscritos y ratificados por el Estado
Mexicano, así como con base en la interpretación que de los mismos hayan realizado los
tribunales competentes.
Artículo 6. Supletoriedad
Todo lo no previsto en esta ley se aplicará de manera supletoria el Código de
Procedimientos Civiles del Estado de Yucatán y Ley de Actos y Procedimientos
Administrativos del Estado de Yucatán.
Artículo 7. Alcance
Esta ley será aplicable a cualquier tratamiento de datos personales que obren en
soportes físicos o electrónicos, con independencia de la forma o modalidad de su creación,
tipo de soporte, procesamiento, almacenamiento y organización.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
27
Artículo 8. Fuentes de acceso público
Para los efectos de esta ley, se considerarán como fuentes de acceso público:
I.- Las páginas de Internet o medios remotos o locales de comunicación
electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos
personales esté concebido para facilitar información al público y esté abierto a la consulta
general.
II.- Los directorios telefónicos en términos de la normativa específica.
III.- Los diarios, gacetas o boletines oficiales, de acuerdo con su normativa.
IV.- Los medios de comunicación social.
V.- Los registros públicos conforme a las disposiciones que les resulten
aplicables.
Para que los supuestos enumerados en este artículo sean considerados fuentes de acceso
público será necesario que su consulta pueda ser realizada por cualquier persona no
impedida por una norma limitativa, o sin más exigencia que, en su caso, el pago de una
contraprestación, derecho o tarifa. No se considerará una fuente de acceso público cuando
la información contenida en la misma sea o tenga una procedencia ilícita.
Artículo 9. Límites al derecho a la protección de datos personales
El derecho a la protección de los datos personales solamente se limitará por razones
de seguridad nacional en términos de la ley en la materia, disposiciones de orden público,
seguridad y salud públicas o para proteger los derechos de terceros.
Las limitaciones y restricciones deberán reconocerse de manera expresa en una norma
con rango de ley y deberán ser necesarias y proporcionales al fin que sean tratados,
respetando, en todo momento, los derechos y las libertades fundamentales de los titulares.
Cualquier ley que tenga como propósito limitar el derecho a la protección de datos
personales deberá contener como mínimo disposiciones relativas a:
I.- Las finalidades del tratamiento.
II.- Las categorías de datos personales o los datos personales específicos que son
objeto de tratamiento.
III.- El alcance de las limitaciones o restricciones establecidas.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
28
IV.- La determinación del responsable o los responsables.
V.- El derecho de los titulares a ser informados sobre la limitación, salvo que
resulte perjudicial o incompatible a los fines de esta.
Artículo 10. Datos personales sensibles
Por regla general no podrán tratarse datos personales sensibles, salvo en los casos
siguientes:
I.- Los mismos sean estrictamente necesarios para el ejercicio y cumplimiento
de las atribuciones y obligaciones expresamente previstas en las normas que regulan la
actuación del responsable.
II.- Se dé cumplimiento a un mandato legal.
III.- Se cuente con el consentimiento expreso y por escrito del titular, o
IV.- Sean necesarios por razones de seguridad pública, orden público, salud
pública o salvaguarda de derechos de terceros.
En el tratamiento de datos personales de menores de edad se deberá́ privilegiar el interés
superior de la niña, el niño, y el adolescente, en términos de las disposiciones legales
aplicables.
TÍTULO SEGUNDO
PRINCIPIOS Y DEBERES
CAPÍTULO I
Principios
Artículo 11. Principios
El responsable deberá observar los principios de licitud, finalidad, lealtad,
consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento
de los datos personales.
No se deberá negar o condicionar un servicio público a cambio de proporcionar datos
personales, sin antes señalar el aviso de privacidad simplificado, los alcances y
condiciones generales del tratamiento de los datos, y obtener del titular el consentimiento
en términos de esta ley.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
29
Artículo 12. Tratamiento de datos personales
El tratamiento de datos personales por parte del responsable deberá sujetarse a las
facultades o atribuciones que la normatividad aplicable le confiera.
Artículo 13. Finalidades
Todo tratamiento de datos personales que efectúe el responsable deberá estar
justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las
atribuciones que la normatividad aplicable les confiera.
Para efectos de esta ley, se entenderá que las finalidades son:
I.- Concretas: cuando el tratamiento de los datos personales atiende a la
consecución de fines específicos o determinados, sin que sea posible la existencia de
finalidades genéricas que puedan generar confusión en el titular.
II.- Explícitas: cuando las finalidades se expresan y dan a conocer de manera
clara en el aviso de privacidad.
III.- Lícitas y legítimas: cuando las finalidades que justifican el tratamiento de los
datos personales son acordes con las atribuciones expresas del responsable, conforme a
lo previsto en la legislación mexicana y el derecho internacional que le resulte aplicable.
El responsable podrá tratar datos personales para finalidades distintas a aquéllas
establecidas en el aviso de privacidad, siempre y cuando cuente con atribuciones
conferidas en ley y medie el consentimiento del titular, salvo sea una persona reportada
como desaparecida, en los términos previstos en esta ley y demás disposiciones que
resulten aplicables en la materia.
Artículo 14. Obtención engañosa o fraudulenta
El responsable no deberá obtener y tratar datos personales, a través de medios
engañosos o fraudulentos, privilegiando la protección de los intereses del titular y la
expectativa razonable de privacidad.
Para los efectos del artículo anterior de esta ley, se entenderá que el responsable actúa de
forma engañosa o fraudulenta cuando:
I.- Medie dolo, mala fe o negligencia en el tratamiento de datos personales que
lleve a cabo.
II.- Realice un tratamiento de datos personales que dé lugar a una discriminación
injusta o arbitraria contra el titular, o
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
30
III.- Vulnere la expectativa razonable de protección de datos personales.
Artículo 15. Consentimiento previo
El responsable deberá contar con el consentimiento previo del titular para el
tratamiento de los datos personales cuando no se actualice algunas de las causales de
excepción previstas en el artículo 20 de esta ley.
Si el responsable recabe datos personales indirectamente del titular y se requiera de su
consentimiento conforme a esta ley, este no podrá tratar los datos personales hasta que
cuente con la manifestación de la voluntad libre, específica e informada del titular,
mediante la cual autoriza el tratamiento de estos, ya sea tácita o expresa según
corresponda.
El consentimiento puede ser revocable por el titular en cualquier momento, ejerciendo su
derecho de oposición a sus datos personales.
Artículo 16. Elementos del consentimiento
El consentimiento del titular a que se refiere el artículo anterior, deberá otorgarse de
forma:
I.- Libre: sin que medie error, mala fe, violencia o dolo que puedan afectar la
manifestación de voluntad del titular.
II.- Específica: referida a finalidades concretas, lícitas, explícitas y legítimas que
justifiquen el tratamiento.
III.- Informada: que el titular tenga conocimiento del aviso de privacidad previo al
tratamiento a que serán sometidos sus datos personales.
En la obtención del consentimiento de personas menores de edad o que se encuentren en
estado de interdicción o incapacidad declarada conforme a ley, se estará a lo dispuesto en
las reglas de representación previstas en la legislación civil que resulte aplicable.
Artículo 17. Consentimiento expreso
El consentimiento podrá manifestarse de forma expresa o tácita. Se deberá entender
que el consentimiento es expreso cuando la voluntad del titular se manifieste verbalmente,
por escrito, por medios electrónicos, ópticos, signos inequívocos o por cualquier otra
tecnología que le facilite el responsable de forma sencilla y gratuita, de tal forma que se
pueda demostrar indubitablemente a través de una declaración o acción afirmativa clara.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
31
El responsable deberá obtener el consentimiento del titular para el tratamiento de sus
datos personales, de manera previa, cuando los recabe directamente de éste y, en su
caso, se requiera conforme a esta ley.
Artículo 18. Consentimiento tácito
El consentimiento será tácito cuando habiéndose puesto a disposición del titular el
aviso de privacidad, éste no manifieste su voluntad en sentido contrario.
Por regla general, será válido el consentimiento tácito, salvo que la ley o las disposiciones
aplicables exijan que la voluntad del titular se manifieste expresamente.
Artículo 19. Consentimiento sobre datos personales sensibles
Tratándose de datos personales sensibles, el responsable deberá obtener el
consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma
autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se
establezca, salvo en los casos previstos en esta ley.
Artículo 20. Casos de excepción
El responsable no estará obligado a recabar el consentimiento del titular para el
tratamiento de sus datos personales en los siguientes casos:
I.- Cuando una ley así lo disponga, debiendo dichos supuestos ser acordes con
las bases, principios y disposiciones establecidos en esta ley, en ningún caso, podrán
contravenirla.
II.- Cuando las transferencias que se realicen entre responsables, sean sobre
datos personales que se utilicen para el ejercicio de facultades propias, compatibles o
análogas con la finalidad que motivó el tratamiento de los datos personales.
III.- Cuando exista una orden judicial, resolución o mandato fundado y motivado
de autoridad competente.
IV.- Para el reconocimiento o defensa de derechos del titular ante autoridad
competente.
V.- Cuando los datos personales se requieran para ejercer un derecho o cumplir
obligaciones derivadas de una relación jurídica entre el titular y el responsable.
VI.- Cuando exista una situación de emergencia que potencialmente pueda dañar
a un individuo en su persona o en sus bienes.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
32
VII.- Cuando los datos personales sean necesarios para efectuar un tratamiento
para la prevención, diagnóstico, la prestación de asistencia sanitaria.
VIII.- Cuando los datos personales figuren en fuentes de acceso público.
IX.- Cuando los datos personales se sometan a un procedimiento previo de
disociación.
X.- Cuando el titular de los datos personales sea una persona reportada como
desaparecida en los términos de la ley en la materia.
Tratándose de la fracción VII de este artículo, este supuesto exclusivamente resultará
aplicable en caso de que los datos personales que obren en fuentes de acceso público,
tengan una procedencia conforme a las disposiciones establecidas en esta ley y demás
normativa aplicable.
La actualización de alguna de las fracciones previstas en este artículo no exime al
responsable del cumplimiento de las demás obligaciones previstas en esta ley y demás
disposiciones que resulten aplicables.
Artículo 21. Calidad de los datos personales
El responsable deberá adoptar las medidas necesarias para mantener exactos,
completos, correctos y actualizados los datos personales en su posesión, a fin de que no
se altere la veracidad de estos, y según la finalidad que motivaron su tratamiento.
Se presume que se cumple con la calidad en los datos personales cuando estos son
proporcionados directamente por el titular y hasta que este no manifieste y acredite lo
contrario.
Cuando los datos personales fueron obtenidos indirectamente del titular, el responsable
deberá adoptar medidas razonables para que éstos respondan al principio de calidad, de
acuerdo con la categoría de datos personales y las condiciones y medios del tratamiento.
Artículo 22. Eliminación de los datos personales
Cuando los datos personales hayan dejado de ser necesarios para el cumplimiento
de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento
conforme a las disposiciones que resulten aplicables, el responsable deberá suprimirlos,
previo bloqueo en su caso, y una vez que concluya el plazo de conservación de estos.
Los plazos de conservación de los datos personales no deberán exceder aquéllos que
sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y
deberán atender a las disposiciones aplicables en la materia de que se trate y considerar
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
33
los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos
personales.
Artículo 23. Procedimientos para la conservación
El responsable deberá establecer y documentar los procedimientos para la
conservación y, en su caso, bloqueo y supresión de los datos personales que lleve a cabo,
en los cuales se incluyan los periodos de conservación de los mismos, de conformidad con
lo dispuesto en el artículo anterior de esta ley.
En los procedimientos a que se refiere el párrafo anterior, el responsable deberá incluir
mecanismos que le permitan cumplir con los plazos fijados para la supresión de los datos
personales, así como para realizar una revisión periódica sobre la necesidad de conservar
los datos personales.
Artículo 24. Tratamiento exclusivo
El responsable solo deberá tratar los datos personales que resulten adecuados,
relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.
Artículo 25. Informe sobre el tratamiento
El responsable deberá informar al titular, a través del aviso de privacidad, la
existencia y características principales del tratamiento al que serán sometidos sus datos
personales, a fin de que pueda tomar decisiones informadas al respecto.
Artículo 26. Aviso de privacidad
El aviso de privacidad tendrá por objeto informar al titular sobre los alcances y
condiciones generales del tratamiento, a fin de que esté en posibilidad de tomar decisiones
informadas sobre el uso de sus datos personales y, en consecuencia, mantener el control y
disposición sobre ellos.
Por regla general, el aviso de privacidad deberá ser difundido por los medios electrónicos y
físicos con que cuente el responsable.
Cuando resulte imposible dar a conocer al titular el aviso de privacidad, de manera directa
o ello exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas
compensatorias de comunicación masiva de acuerdo con los criterios que para tal efecto
emita el sistema nacional.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
34
Artículo 27. Contenido del aviso de privacidad
El aviso de privacidad a que se refiere el artículo 3, fracción II, de esta ley, deberá
estar redactado y estructurado de manera clara, comprensible, sencilla y con una
estructura que facilite su entendimiento. En el aviso de privacidad queda prohibido:
I. Usar frases inexactas, ambiguas o vagas.
II. Incluir textos o formatos que induzcan al titular a elegir una opción en específico.
III. Marcar previamente casillas, en caso de que estas se incluyan para que el titular
otorgue su consentimiento.
IV. Remitir a textos o documentos que no estén disponibles para el titular.
Artículo 28.Aviso de privacidad simplificado
El aviso de privacidad se pondrá a disposición del titular en dos modalidades,
simplificado e integral. El aviso simplificado deberá contener la siguiente información:
I. La denominación del responsable.
II. Las finalidades del tratamiento para las cuales se obtienen los datos personales,
distinguiendo aquéllas que requieran el consentimiento del titular.
III. Cuando se realicen transferencias de datos personales que requieran
consentimiento, se deberá informar:
a) La autoridad, poder, órgano u organismo gubernamental y las personas
físicas o morales a las que se transfieren los datos personales.
b) Las finalidades de estas transferencias.
IV. Los mecanismos y medios disponibles para que el titular, en su caso, pueda
manifestar su negativa para el tratamiento de sus datos personales para finalidades y
transferencias de datos personales que requieren el consentimiento del titular.
V. El sitio donde se podrá consultar el aviso de privacidad integral.
La puesta a disposición del aviso de privacidad al que refiere este artículo no exime al
responsable de su obligación de proveer los mecanismos para que el titular pueda conocer
el contenido del aviso de privacidad en un momento posterior.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
35
Los mecanismos y medios a los que refiere la fracción IV de este artículo, deberán estar
disponibles para que el titular pueda manifestar su negativa al tratamiento de sus datos
personales para las finalidades o transferencias que requieran el consentimiento del titular,
previo a que ocurra dicho tratamiento.
Artículo 29. Aviso de privacidad integral
El aviso de privacidad integral, además de lo dispuesto en las fracciones del artículo
anterior, al que refiere la fracción V del artículo anterior deberá contener, al menos, la
siguiente información:
I. El domicilio del responsable.
II. Los datos personales que serán sometidos a tratamiento, identificando
aquéllos que son sensibles.
III. El fundamento legal que faculta al responsable para llevar a cabo el
tratamiento.
IV. Las finalidades del tratamiento para las cuales se obtienen los datos
personales, distinguiendo aquéllas que requieren el consentimiento del titular.
V. Los mecanismos, medios y procedimientos disponibles para ejercer los
derechos ARCO.
VI. El domicilio de la unidad de transparencia.
VII. Los medios a través de los cuales el responsable comunicará a los titulares
los cambios al aviso de privacidad.
Artículo 30. Puesta a disposición
El responsable deberá poner a disposición del titular el aviso de privacidad
simplificado en los siguientes momentos:
I. Cuando los datos personales se obtienen de manera directa del titular previo a la
obtención de estos.
II. Cuando los datos personales se obtienen de manera indirecta del titular previo al
uso o aprovechamiento de estos.
III. Las reglas anteriores, no eximen al responsable de proporcionar al titular el aviso
de privacidad integral en un momento posterior, conforme a las disposiciones aplicables de
esta ley.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
36
Artículo 31. Actualización del aviso de privacidad
Cuando el responsable pretenda tratar los datos personales para una finalidad
distinta, deberá poner a su disposición un nuevo aviso de privacidad con las características
del nuevo tratamiento previo al aprovechamiento de los datos personales para la finalidad
respectiva.
Artículo 32. Implementación de mecanismos
El responsable deberá implementar los mecanismos previstos en el artículo 33 de
esta ley para acreditar el cumplimiento de los principios, deberes y obligaciones
establecidos en esta ley y rendir cuentas sobre el tratamiento de datos personales en su
posesión al titular e instituto, caso en el cual deberá observar la Constitución Política de los
Estados Unidos Mexicanos, los tratados internacionales en los que el Estado mexicano sea
parte, así como la Constitución del Estado.
Lo anterior, aplicará aun cuando los datos personales sean tratados por parte de un
encargado, así como al momento de realizar transferencias de datos personales.
Artículo 33.Mecanismos para el cumplimiento
Entre los mecanismos que deberá adoptar el responsable para cumplir con el
principio de responsabilidad establecido en esta ley están, al menos, los siguientes:
I. Destinar recursos autorizados para tal fin para la instrumentación de programas y
políticas de protección de datos personales.
II. Elaborar políticas y programas de protección de datos personales obligatorios y
exigibles al interior de la organización del responsable.
III. Poner en práctica un programa de capacitación y actualización del personal sobre
las obligaciones y demás deberes en materia de protección de datos personales.
IV. Revisar periódicamente las políticas y programas de seguridad de datos
personales para determinar las modificaciones que se requieran.
V. Establecer un sistema de supervisión y vigilancia interna o externa, incluyendo
auditorías, para comprobar el cumplimiento de las políticas de protección de datos
personales.
VI. Establecer procedimientos para recibir y responder dudas y quejas de los titulares.
VII. Diseñar, desarrollar e implementar sus políticas públicas, programas, servicios,
sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
37
que implique el tratamiento de datos personales, de conformidad con las disposiciones
previstas en esta ley y las demás que resulten aplicables en la materia.
VIII. Garantizar que sus políticas públicas, programas, servicios, sistemas o
plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique
el tratamiento de datos personales, cumplan por defecto con las obligaciones previstas en
esta ley.
El responsable deberá revisar las políticas, los programas de seguridad y las políticas de
procedimientos de control a que se refieren las fracciones IV y V de este artículo,
respectivamente, al menos cada dos años, así como actualizarlas cuando al tratamiento de
datos personales se le realicen modificaciones sustanciales.
CAPÍTULO II
Deberes
Artículo 34. Implementación de medidas de seguridad
El responsable deberá establecer las medidas de seguridad necesarias para
garantizar la protección de datos personales que permitan protegerlos contra daño,
pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como
garantizar su confidencialidad, integridad y disponibilidad, sin perjuicio de otras medidas de
protección mayor o complementen lo dispuesto en esta ley.
Artículo 35. Medidas de seguridad
Las medidas de seguridad adoptadas por el responsable deberán considerar:
I. El riesgo inherente a los datos personales tratados.
II. La sensibilidad de los datos personales tratados.
III. El desarrollo tecnológico.
IV. Las posibles consecuencias de una vulneración para los titulares.
V. Las transferencias de datos personales que se realicen.
VI. El número de titulares.
VII. Las vulneraciones previas ocurridas en los sistemas de tratamiento.
VIII. El riesgo por el valor potencial cuantitativo o cualitativo que pudieran tener los
datos personales tratados para una tercera persona no autorizada para su posesión.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
38
Artículo 36. Actividades interrelacionadas
Para establecer y mantener las medidas de seguridad para la protección de los
datos personales, el responsable deberá realizar actividades interrelacionadas en el
artículo 33 de la ley general, las cuales deberán estar documentadas y contenidas en un
sistema de gestión.
Se entenderá por sistema de gestión, al conjunto de elementos y actividades
interrelacionadas para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar el tratamiento y seguridad de los datos personales, de conformidad con lo previsto
en esta ley y las demás disposiciones que le resulten aplicables en la materia.
Artículo 37. Documento de seguridad
El responsable deberá elaborar un documento con las medidas de seguridad de
carácter físico, técnico y administrativo que contenga, al menos, lo siguiente:
I. El nombre de los sistemas de tratamiento o base de datos personales.
II. El inventario de datos personales y de los sistemas de tratamiento.
III. Las funciones, nombre, cargo y adscripción de las personas, que traten datos
personales.
IV. El análisis de riesgos.
V. El análisis de brecha.
VI. El plan de trabajo.
VII. La estructura y descripción de los sistemas de tratamiento o bases de datos
personales, señalando el tipo de soporte y las características del lugar donde se
resguardan.
VIII. Los controles y mecanismos de seguridad para las transferencias que, en su caso,
se efectúen.
IX. El resguardo de los soportes físicos o electrónicos de los datos personales.
X. Las bitácoras de acceso, operación cotidiana y vulneraciones a la seguridad de
los datos personales.
XI. Los mecanismos de monitoreo y revisión de las medidas de seguridad.
XII. El programa general de capacitación.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
39
Artículo 38.Actualización del documento de seguridad
El responsable deberá actualizar el documento de seguridad de manera periódica cuando
ocurran los siguientes eventos:
I. Se produzcan modificaciones sustanciales al tratamiento de datos personales que
deriven en un cambio en el nivel de riesgo.
II. Se presenten como resultado de un proceso de mejora continua, derivado del
monitoreo y revisión del sistema de gestión.
III. Se presenten como resultado de un proceso de mejora para mitigar el impacto de
una vulneración a la seguridad ocurrida.
IV. Se implementen acciones correctivas y preventivas ante una vulneración de
seguridad.
Artículo 39. Análisis de las causas de vulneración a la seguridad
En caso de que ocurra una vulneración a la seguridad, el responsable deberá
analizar las causas por las cuales se presentó, e implementar en su plan de trabajo las
acciones preventivas y correctivas para adecuar las medidas de seguridad y el tratamiento
de los datos personales si fuese el caso a efecto de evitar que la vulneración se repita.
Artículo 40. Vulneraciones de seguridad
Además de las que señalen las leyes respectivas y la normatividad aplicable, se
considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento de datos,
al menos, las siguientes:
I. La pérdida o destrucción no autorizada.
II. El robo, extravío o copia no autorizada.
III. El uso, acceso o tratamiento no autorizado.
IV. El daño, la alteración o modificación no autorizada.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
40
Artículo 41. Informe de las vulneraciones de seguridad
El responsable deberá informar sin dilación alguna al titular, las vulneraciones que
afecten de forma significativa sus derechos patrimoniales o morales, en un plazo máximo
de setenta y dos horas en cuanto se confirmen que ocurrió la vulneración y que el
responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de
revisión exhaustiva de la magnitud de la afectación, a fin de que los titulares afectados
puedan tomar las medidas correspondientes para la defensa de sus derechos.
Artículo 42. Contenido del informa de las vulneraciones de seguridad
El responsable deberá informar al titular y al instituto, al menos, lo siguiente:
I. La naturaleza del incidente.
II. Los datos personales comprometidos.
III. Las recomendaciones y medidas que el titular puede adoptar para proteger sus
intereses.
IV. Las acciones correctivas realizadas de forma inmediata.
V. Los medios donde puede obtener mayor información al respecto.
Artículo 43. Investigación previa
Una vez recibida una notificación de vulneración por parte del responsable, el
instituto deberá realizar las investigaciones previas a que haya lugar con la finalidad de
allegarse de elementos que le permitan, en su caso, iniciar un procedimiento de
verificación en términos de lo dispuesto en esta ley.
Artículo 44. Controles o mecanismos
El responsable deberá establecer controles o mecanismos que tengan por objeto
que todas aquellas personas que intervengan en cualquier fase del tratamiento de los
datos personales, guarden confidencialidad respecto de éstos, obligación que subsistirá
aún después de finalizar sus relaciones con el mismo.
Lo anterior, sin menoscabo de lo establecido en la ley de transparencia y demás
disposiciones que resulten aplicables en la materia.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
41
Artículo 45. Publicación de directrices, recomendaciones y mejores prácticas
El instituto podrá publicar directrices, recomendaciones y mejores prácticas en
materia de seguridad de los datos personales, de acuerdo con los estándares nacionales e
internacionales actuales en la materia.
TÍTULO TERCERO
DERECHOS DE LOS TITULARES Y SU EJERCICIO
CAPÍTULO I
Derechos de acceso, rectificación, cancelación y oposición
Artículo 46. Solicitud de acceso, rectificación, cancelación u oposición
En todo momento el titular o su representante podrán solicitar al responsable, el
acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le
conciernen, de conformidad con lo establecido en este título. El ejercicio de cualquiera de
los derechos ARCO no es requisito previo, ni impide el ejercicio de otro.
Artículo 47. Derecho de acceso
El titular tendrá derecho de acceder a sus datos personales que obren en posesión
del responsable, así como conocer la información relacionada con las condiciones y
generalidades de su tratamiento.
Artículo 48. Derecho de rectificación
El titular tendrá derecho a solicitar al responsable la rectificación o corrección de
sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se
encuentren actualizados. En este caso, el responsable deberá adoptar todas aquellas
medidas razonables según corresponda, también por los terceros a quienes se los hubiere
transferido.
Artículo 49. Derecho de cancelación
El titular tendrá derecho a solicitar la cancelación de sus datos personales de los
archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no
estén en su posesión y dejen de ser tratados por este último.
Artículo 50. Derecho de oposición
El titular podrá oponerse al tratamiento de sus datos personales o exigir que se
cese en el mismo, cuando:
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
42
I. Aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su
persistencia cause un daño o perjuicio al titular.
II. Sus datos personales sean objeto de un tratamiento automatizado, el cual le
produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses,
derechos o libertades, y estén destinados a evaluar, sin intervención humana,
determinados aspectos personales del mismo o analizar o predecir, en particular, su
rendimiento profesional, situación económica, estado de salud, preferencias sexuales,
fiabilidad o comportamiento.
CAPÍTULO II
Ejercicio de los derechos de acceso, rectificación, cancelación y oposición
Artículo 51. Recepción y trámite de solicitudes
La recepción y trámite de las solicitudes para el ejercicio de los derechos ARCO
que se formulen a los responsables, se sujetará al procedimiento establecido en este título
y demás disposiciones que resulten aplicables en la materia.
Artículo 52. Ejercicio de los derechos ARCO
Para el ejercicio de los derechos ARCO será necesario acreditar la identidad del
titular, o en su caso, la identidad y personalidad con la que actúe el representante.
El ejercicio de los derechos ARCO por persona distinta a su titular o a su representante,
será posible, excepcionalmente, en aquellos supuestos previstos por disposición legal, o
en su caso, por mandato judicial.
En el ejercicio de los derechos ARCO de personas menores de edad o de personas que se
encuentren en estado de interdicción o incapacidad de conformidad con las leyes civiles,
se estará a las reglas de representación dispuestas en la misma legislación.
Tratándose de datos personales concernientes a personas fallecidas, la persona que
acredite tener un interés jurídico de conformidad con las leyes aplicables, podrá ejercer los
derechos que le confiere este capítulo, siempre que el titular de los derechos hubiere
expresado fehacientemente su voluntad en tal sentido, o que exista un mandato judicial
para dicho efecto.
Artículo 53. Acreditación
En la acreditación del titular o su representante, el responsable deberá seguir las
siguientes reglas:
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
43
I. El titular podrá acreditar su identidad a través de los siguientes medios:
a) Identificación oficial;
b) Instrumentos electrónicos o mecanismos de autenticación permitidos por
otras disposiciones legales o reglamentarias que permitan su
identificación fehacientemente, o
c) Aquellos mecanismos establecidos por el responsable de manera previa,
siempre y cuando permitan de forma inequívoca la acreditación de la
identidad del titular.
II. Cuando el titular ejerza sus derechos ARCO a través de su representante, éste
deberá acreditar su identidad y personalidad presentando ante el responsable:
a) Copia simple de la identificación oficial del titular;
b) Identificación oficial del representante, e
c) Instrumento público, o carta poder simple firmada ante dos testigos, o
declaración en comparecencia personal del titular.
Artículo 54. Solicitud del ejercicio de los derechos ARCO
El ejercicio de los derechos ARCO se solicitará ante la unidad de transparencia del
responsable, a través de escrito libre, formatos, medios electrónicos o cualquier otro medio
que establezca el instituto, o bien, vía plataforma nacional.
Si la solicitud para el ejercicio de los derechos ARCO es presentada ante un área distinta a
la Unidad de Transparencia, aquélla tendrá la obligación de indicar al titular la ubicación
física de la unidad de transparencia.
El responsable deberá dar trámite a toda solicitud para el ejercicio de los derechos ARCO y
entregar el acuse de recibo que corresponda, en un tiempo máximo de respuesta de veinte
días contados a partir del día siguiente a la recepción de la solicitud, el cual podrá ser
ampliado por una sola vez hasta por diez días cuando así lo justifiquen las circunstancias,
y siempre y cuando se le notifique al titular dentro del plazo de respuesta.
Los medios y procedimientos habilitados por el responsable para atender las solicitudes
para el ejercicio de los derechos ARCO, deberán ser de fácil acceso y con la mayor
cobertura posible considerando el perfil de los titulares y la forma en que mantienen
contacto cotidiano o común con el responsable.
El instituto podrá establecer mecanismos adicionales, tales como formularios, sistemas y
otros medios simplificados para facilitar a los titulares el ejercicio de los derechos ARCO.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
44
Artículo 55.Gratuidad
El ejercicio de los derechos ARCO es gratuito. Sólo podrán realizarse cobros para
recuperar los costos de reproducción, certificación o envío, conforme a la normatividad que
resulte aplicable, considerando los montos que permitan o faciliten el ejercicio de este
derecho.
La información deberá ser entregada sin costo, cuando implique la entrega de no más de
veinte hojas simples; o bien, cuando el titular proporcione el medio magnético, electrónico
o el mecanismo necesario para reproducirlos sus datos personales.
La unidad de transparencia podrá exceptuar el pago de reproducción y envío atendiendo a
las circunstancias socioeconómicas del Titular.
El responsable no podrá establecer para la presentación de las solicitudes del ejercicio de
los derechos ARCO, algún servicio o medio que implique un costo al titular.
Artículo 56. Auxilio y orientación
La unidad de transparencia del responsable deberá auxiliar y orientar al titular en la
elaboración de las solicitudes para el ejercicio de los derechos ARCO, en particular en
aquellos casos en que el titular no sepa leer ni escribir.
Párrafo reformado D.O. 05-11-2020
Artículo 57. Incompetencia
Cuando el responsable no sea competente para atender la solicitud para el ejercicio
de los derechos ARCO, deberá hacer del conocimiento del titular dicha situación dentro de
los tres días siguientes a la presentación de la solicitud, y en caso de poderlo determinar,
orientarlo hacia el responsable competente.
Si el responsable es competente para atender parcialmente la solicitud para el ejercicio de
los derechos ARCO, deberá dar respuesta conforme a su competencia.
Artículo 58. Reencauzamiento
En caso de que la unidad de transparencia del responsable advierta que la solicitud
para el ejercicio de los derechos ARCO corresponde a un derecho diferente de los
previstos en esta ley, deberá reconducir la vía haciéndolo del conocimiento al titular dentro
de los tres días siguientes a la presentación de la solicitud.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
45
Artículo 59. Requisitos para el ejercicio de los derechos ARCO
En la solicitud para el ejercicio de los derechos ARCO no podrán imponerse
mayores requisitos que los siguientes:
I.- El nombre del titular y su domicilio o cualquier otro medio para recibir
notificaciones.
II.- Los documentos que acrediten la identidad del titular, y en su caso, la
personalidad e identidad de su representante.
III.- De ser posible, el área crítica que trata los datos personales y ante el cual se
presenta la solicitud.
IV.- La descripción clara y precisa de los datos personales respecto de los que se
busca ejercer alguno de los derechos ARCO, salvo que se trate del derecho de acceso.
V.- La descripción del derecho ARCO que se pretende ejercer, o bien, lo que
solicita el titular.
VI.- Cualquier otro elemento o documento que facilite la localización de los datos
personales, en su caso.
Tratándose de una solicitud de acceso a datos personales, el titular deberá señalar la
modalidad en la que prefiere que éstos se reproduzcan. El responsable deberá atender la
solicitud en la modalidad requerida por el titular, salvo que exista una imposibilidad física o
jurídica que lo limite a reproducir los datos personales en dicha modalidad, en este caso
deberá ofrecer otras modalidades de entrega de los datos personales fundando y
motivando dicha actuación.
En el caso de solicitudes de rectificación de datos personales, el titular, además de indicar
lo señalado en las fracciones anteriores de este artículo, podrá aportar la documentación
que sustente su petición.
Con relación a una solicitud de cancelación, el titular deberá señalar las causas que lo
motiven a solicitar la supresión de sus datos personales en los archivos, registros o bases
de datos del responsable.
En el caso de la solicitud de oposición, el titular deberá manifestar las causas legítimas o la
situación específica que lo llevan a solicitar el cese en el tratamiento, así como el daño o
perjuicio que le causaría la persistencia del tratamiento, o en su caso, las finalidades
específicas respecto de las cuales requiere ejercer el derecho de oposición.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
46
El titular podrá aportar las pruebas que estime pertinentes para acreditar la procedencia
de su solicitud, las cuales deberán acompañarse a la misma desde el momento de su
presentación.
Artículo 60. Prevención
En caso de que la solicitud de protección de datos no satisfaga alguno de los
requisitos a que se refiere este artículo, y el responsable con cuente con elementos para
subsanarla, se prevendrá al titular de los datos dentro de los cinco días siguientes a la
presentación de la solicitud de ejercicio de derechos ARCO, por una sola ocasión, para
que subsane las omisiones dentro de un plazo de diez días contados a partir del día
siguiente al de la notificación.
Transcurrido el plazo sin desahogar la prevención se tendrá por no presentada la solicitud
de ejercicio de derechos ARCO.
La prevención tendrá el efecto de interrumpir el plazo que tiene el instituto para resolver la
solicitud de ejercicio de los derechos ARCO.
Artículo 61. Resolución en caso de inexistencia
En caso de que el responsable estuviere obligado a contar con datos personales
sobre los cuales se ejercen los derechos ARCO por razones de competencia y declare su
inexistencia en sus archivos, registros, sistemas o expediente, deberá contarse con la
resolución del comité de transparencia que confirme dicha situación.
Artículo 62. Trámite o procedimiento específico
Cuando las disposiciones aplicables a determinados tratamientos de datos
personales establezcan un trámite o procedimiento específico para solicitar el ejercicio de
los derechos ARCO, el responsable deberá informar al titular sobre la existencia del
mismo, en un plazo no mayor a cinco días siguiente a la presentación de la solicitud para el
ejercicio de los derechos ARCO, a efecto de que este último, decida si ejerce sus derechos
a través del trámite específico, o bien, por medio del procedimiento que el responsable
haya institucionalizado para la atención de solicitudes para el ejercicio de los derechos
ARCO conforme a las disposiciones establecidas en este capítulo.
Artículo 63. Improcedencia del ejercicio de los derechos ARCO
Las únicas causas en las que el ejercicio de los derechos ARCO no será
procedente son:
I.- El titular o su representante no estén debidamente acreditados para ello.
II.- Los datos personales no se encuentren en posesión del responsable.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
47
III.- Exista un impedimento legal.
IV.- Se lesionen los derechos de un tercero.
V.- Se obstaculicen actuaciones judiciales o administrativas.
VI.- Exista una resolución de autoridad competente que restrinja el acceso a los
datos personales o no permita la rectificación, cancelación u oposición de los mismos.
VII.- La cancelación u oposición haya sido previamente realizada.
VIII.- El responsable no sea competente.
IX.- Sean necesarios para proteger intereses jurídicamente tutelados del titular.
X.- Sean necesarios para dar cumplimiento a obligaciones legalmente adquiridas
por el titular.
En todos los casos anteriores, el responsable deberá informar al titular el motivo de su
determinación, en el plazo de hasta veinte días a los que se refiere esta ley, y por el mismo
medio en que se llevó a cabo la solicitud, acompañando en su caso, las pruebas que
resulten pertinentes.
Artículo 64. Recurso de revisión
Contra la negativa de dar trámite a toda solicitud para el ejercicio de los derechos
ARCO o por falta de respuesta del responsable, procederá la interposición del recurso de
revisión a que se refiere esta ley.
CAPÍTULO III
Portabilidad de los datos personales
Artículo 65. Portabilidad
Cuando se traten datos personales por vía electrónica en un formato estructurado y
comúnmente utilizado, el titular tendrá derecho a obtener del responsable una copia de los
datos personales objeto de tratamiento en un formato electrónico estructurado y
comúnmente utilizado, el cual le permita seguir utilizándolos, conforme a los plazos,
términos y requerimientos a que se refiere el capítulo anterior de este título.
Cuando el titular haya facilitado los datos personales y el tratamiento se base en el
consentimiento o en un contrato o relación jurídica, tendrá derecho a transferir dichos datos
personales y cualquier otra información que haya facilitado y que se conserve en un
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
48
sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente
utilizado, sin impedimentos por parte del responsable de quien se retiren los datos
personales.
Para el ejercicio de este derecho, el responsable deberá considerar los lineamientos del
sistema nacional relativos a los supuestos en los que se está en presencia de un formato
estructurado y comúnmente utilizado, así como las normas técnicas, modalidades y
procedimientos para la transferencia de datos personales.
TÍTULO CUARTO
COMUNICACIONES DE DATOS PERSONALES
CAPÍTULO ÚNICO
Artículo 66. Transferencia
Toda transferencia de datos personales, sea esta nacional o internacional, se
encuentra sujeta a lo dispuesto por la ley general y lo dispuesto en este capítulo.
Artículo 67. Formalización de la transferencia
Toda transferencia deberá formalizarse mediante la suscripción de cláusulas
contractuales, convenios de colaboración o cualquier otro instrumento jurídico, de
conformidad con la normatividad que le resulte aplicable al responsable, que permita
demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y
responsabilidades asumidas por las partes.
Lo dispuesto en el párrafo anterior, no será aplicable en los siguientes casos:
I.- Cuando la transferencia sea nacional y se realice entre responsables en virtud
del cumplimiento de una disposición legal o en el ejercicio de atribuciones expresamente
conferidas a estos.
II.- Cuando la transferencia sea internacional y se encuentre prevista en una ley o
tratado suscrito y ratificado por México, o bien, se realice a petición de una autoridad
extranjera u organismo internacional competente en su carácter de receptor, siempre y
cuando las facultades entre el responsable transferente y receptor sean homólogas, o bien,
las finalidades que motivan la transferencia sean análogas o compatibles respecto de
aquéllas que dieron origen al tratamiento de los datos personales que lleva a cabo el
responsable transferente.
Artículo 68. Transferencia nacional
Cuando la transferencia sea nacional, el receptor de los datos personales asumirá
el carácter de responsable conforme a la legislación que en esta materia le resulte
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
49
aplicable y deberá tratar los datos personales atendiendo a dicha legislación y a lo
convenido en el aviso de privacidad que le será comunicado por el responsable
transferente.
Artículo 69. Transferencia internacional
El responsable sólo podrá transferir datos personales fuera del territorio nacional
cuando el tercero receptor se obligue a proteger los datos personales conforme a los
principios, deberes y demás obligaciones que establece esta ley y las disposiciones que
resulten aplicables en la materia, así como a los términos previstos en el aviso de
privacidad que le será comunicado por el responsable transferente.
Artículo 70. Solicitud de opinión para la transferencia internacional
El responsable, en caso de considerarlo necesario, podrá solicitar la opinión del
instituto respecto al cumplimiento de lo dispuesto por esta ley en aquellas transferencias
internacionales de datos personales que efectúe.
TÍTULO QUINTO
ACCIONES PREVENTIVAS EN MATERIA DE PROTECCIÓN DE DATOS PERSONALES
CAPÍTULO I
Esquemas de mejores prácticas
Artículo 71. Mejores prácticas
El esquema de las mejores prácticas deberá observar lo dispuesto en la ley
general, siendo el instituto quien emita las reglas de operación del registro en el que se
inscribirán aquellos esquemas de mejores prácticas validados o reconocidos.
CAPÍTULO II
Evaluación de impacto
Artículo 72. Evaluación de impacto
Cuando el responsable pretenda poner en operación o modificar políticas públicas,
sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología
que a su juicio y de conformidad con esta ley, impliquen el tratamiento intensivo o relevante
de datos personales, deberá realizar una evaluación de impacto en la protección de datos
personales cuyo contenido estará a lo dispuesto en el sistema nacional.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
50
Artículo 73. Tratamiento intensivo o relevante
Para efectos de esta ley, se considerará que se está en presencia de un tratamiento
intensivo o relevante de datos personales, el cual amerita una evaluación de impacto a la
protección de datos personales, en función de los siguientes factores:
I.- El número de titulares.
II.- El público objetivo.
III.- Los riesgos inherentes a los datos personales a tratar.
IV.- La sensibilidad de los datos personales.
V.- Las transferencias de datos personales que se pretenden efectuar y su
periodicidad, en su caso.
VI.- El desarrollo de la tecnología utilizada, en su caso.
VII.- La relevancia del tratamiento de datos personales en atención al impacto
social o, económico del mismo, o bien, del interés público que se persigue.
VIII.- Los demás factores que el instituto determine.
Artículo 74. Presentación de la evaluación de impacto
Los sujetos obligados que realicen una evaluación de impacto en la protección de
datos personales, deberán presentarla ante el instituto, treinta días anteriores a la fecha en
que se pretenda poner en operación o modificar políticas públicas, sistemas o plataformas
informáticas, aplicaciones electrónicas o cualquier otra tecnología, ante el instituto a efecto
de que emitan las recomendaciones no vinculantes correspondientes.
Artículo 75. Recomendaciones sobre la evaluación de impacto
El instituto deberán emitir recomendaciones no vinculantes sobre la evaluación de
impacto en la protección de datos personales presentado por el responsable.
El plazo para la emisión de las recomendaciones a que se refiere el párrafo anterior será
dentro de los treinta días siguientes contados a partir del día siguiente a la presentación de
la evaluación, que permitan mitigar y reducir la generación de los impactos y riesgos que
se detecten en materia de protección de datos personales.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
51
Artículo 76. Excepciones a la realización de la evaluación de impacto
Cuando a juicio del sujeto obligado se puedan comprometer los efectos que se
pretenden lograr con la posible puesta en operación o modificación políticas públicas,
sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología
que implique el tratamiento intensivo o relevante de datos personales o se trate de
situaciones de emergencia o urgencia, no será necesario realizar la evaluación de impacto
en la protección de datos personales.
Artículo 77. Evaluación de impacto de oficio
El instituto podrá llevar a cabo evaluaciones de impacto a la privacidad, de oficio,
respecto de aquellos programas, políticas públicas, servicios, sistemas o plataformas
informáticas, aplicaciones electrónicas o cualquier otra tecnología que impliquen el
tratamiento intensivo o relevante de datos personales, conforme a los lineamientos que
para tal efecto emita.
CAPÍTULO II
Bases de datos en posesión de instancias de seguridad, procuración y
administración de justicia
Artículo 78. Límites a la obtención y tratamiento
La obtención y tratamiento de datos personales, en términos de lo que dispone esta
ley por parte de las sujetos obligados competentes en instancias de seguridad, procuración
y administración de justicia, está limitada a aquellos supuestos y categorías de datos que
resulten necesarios y proporcionales para el ejercicio de las funciones en materia de
seguridad pública, así como para la prevención o persecución de los delitos.
Artículo 79. Medidas de seguridad de nivel alto
Los responsables de las bases de datos a que se refiere este capítulo, deberán
establecer medidas de seguridad de nivel alto, para garantizar la integridad, disponibilidad
y confidencialidad de la información, que permitan proteger los datos personales contra
daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Las comunicaciones privadas son inviolables. Las personas titulares de la Fiscalía
General del Estado o de la Fiscalía Especializada en Combate a la Corrupción del Estado
de Yucatán podrán solicitar a la autoridad judicial federal, en el ámbito de su competencia,
autorización para intervenir cualquier comunicación privada.
Párrafo reformado DO 05-08-2024
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
52
TÍTULO SEXTO
COMITÉ DE TRANSPARENCIA Y UNIDAD DE TRANSPARENCIA
CAPÍTULO I
Comité de Transparencia
Artículo 80. Comité de transparencia
Cada responsable contará con un comité de transparencia, el cual se integrará y
funcionará conforme a lo dispuesto en la ley de transparencia y demás normativa aplicable,
como la autoridad máxima en materia de protección de datos personales dentro de la
organización del responsable.
Artículo 81. Atribuciones del comité de transparencia
Para los efectos de esta ley y sin perjuicio de otras atribuciones que le sean
conferidas en la normatividad que le resulte aplicable, el comité de transparencia tendrá las
siguientes funciones:
I.- Coordinar, supervisar y realizar las acciones necesarias para garantizar el
derecho a la protección de los datos personales en la organización del responsable, de
conformidad con las disposiciones previstas en esta ley y en aquellas disposiciones que
resulten aplicables en la materia.
II.- Instituir, en su caso, procedimientos internos para asegurar la mayor eficiencia
en la gestión de las solicitudes para el ejercicio de los derechos ARCO.
III.- Confirmar, modificar o revocar las determinaciones en las que se declare la
inexistencia de los datos personales, o se niegue por cualquier causa el ejercicio de alguno
de los derechos ARCO.
IV.- Establecer y supervisar la aplicación de criterios específicos que resulten
necesarios para una mejor observancia de esta ley y en aquellas disposiciones que
resulten aplicables en la materia.
V.- Supervisar, en coordinación con las áreas o unidades administrativas
competentes, el cumplimiento de las medidas, controles y acciones previstas en el
documento de seguridad.
VI.- Dar seguimiento y cumplimiento a las resoluciones emitidas por el instituto.
VII.- Establecer programas de capacitación y actualización para los servidores
públicos en materia de protección de datos personales.
VIII.- Dar vista al órgano interno de control o instancia equivalente en aquellos
casos en que tenga conocimiento, en el ejercicio de sus atribuciones, de una presunta
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
53
irregularidad respecto de determinado tratamiento de datos personales; particularmente en
casos relacionados con la declaración de inexistencia que realicen los responsables.
CAPÍTULO II
Unidad de Transparencia
Artículo 82. Unidad de transparencia
Cada responsable contará con una unidad de transparencia, en términos de la ley
de transparencia y demás normativa aplicable, encargada de atender las solicitudes de
para el ejercicio de los derechos ARCO, que tendrá las siguientes funciones:
I.- Auxiliar y orientar al titular que lo requiera con relación al ejercicio del
derecho a la protección de datos personales.
II.- Gestionar las solicitudes para el ejercicio de los derechos ARCO.
III.- Establecer mecanismos para asegurar que los datos personales solo se
entreguen a su titular o su representante debidamente acreditados.
IV.- Informar al titular o su representante el monto de los costos a cubrir por la
reproducción y envío de los datos personales, con base en lo establecido en las
disposiciones normativas aplicables.
V.- Proponer al comité de transparencia los procedimientos internos que
aseguren y fortalezcan mayor eficiencia en la gestión de las solicitudes para el ejercicio de
los derechos ARCO.
VI.- Aplicar instrumentos de evaluación de calidad sobre la gestión de las
solicitudes para el ejercicio de los derechos ARCO.
VII.- Asesorar a las áreas en materia de protección de datos personales.
VIII.- Dar seguimiento a los acuerdos emitidos por el comité de transparencia.
Artículo 83. Oficial de protección de datos personales
Los responsables que en el ejercicio de sus funciones sustantivas lleven a cabo
tratamientos de datos personales relevantes o intensivos, podrán designar a un oficial de
protección de datos personales, especializado en la materia, quien realizará las
atribuciones mencionadas en este capítulo y formará parte de la unidad de transparencia.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
54
Los responsables promoverán acuerdos con instituciones públicas especializadas que
pudieran auxiliarles a la recepción, trámite y entrega de las respuestas a solicitudes de
información, en lenguas indígenas, braille o cualquier formato accesible correspondiente,
en forma más eficiente.
Párrafo reformado DO 05-11-2020
Artículo 84. Atribuciones del oficial de protección de datos personales
El oficial de protección de datos personales será designado atendiendo a sus
conocimientos, cualidades profesionales, experiencia mínima de cinco años en la materia,
y, en su caso, las certificaciones con que cuente en materia de protección de datos
personales, y tendrá las siguientes atribuciones:
I.- Asesorar al comité de transparencia respecto a los temas que sean sometidos
a su consideración en materia de protección de datos personales.
II.- Proponer al comité de transparencia políticas, programas, acciones y demás
actividades que correspondan para el cumplimiento de esta ley y demás disposiciones que
resulten aplicables en la materia.
III.- Implementar políticas, programas, acciones y demás actividades que
correspondan para el cumplimiento de esta ley y demás disposiciones que resulten
aplicables en la materia, previa autorización del comité de transparencia.
IV.- Asesorar permanentemente a las áreas adscritas al responsable en materia de
protección de datos personales.
V.- Las demás que determine la normatividad aplicable.
Artículo 85. Ejercicio de los derechos por personas discapacitadas o vulnerables
El responsable procurará que las personas con algún tipo de discapacidad o grupos
en situación de vulnerabilidad, puedan ejercer, en igualdad de circunstancias, de sus
derechos ARCO y de protección de datos personales.
TÍTULO SÉPTIMO
INSTITUTO ESTATAL DE TRANSPARENCIA, ACCESO A LA INFORMACIÓN Y
PROTECCIÓN DE DATOS PERSONALES
CAPÍTULO I
Atribuciones del instituto
Artículo 86. Marco jurídico aplicable
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
55
En la integración, procedimiento de designación y funcionamiento del instituto y del
Consejo Consultivo se estará a lo dispuesto por la ley general, la ley de transparencia y
demás normativa aplicable.
Artículo 87. Atribuciones del instituto
El instituto es el órgano encargado de vigilar el cumplimiento de esta ley, por lo que
tendrá las atribuciones de la ley general y adicionalmente tendrá las siguientes:
I. Establecer, en el ámbito de su competencia, políticas y lineamientos de
observancia general para el manejo, tratamiento, seguridad y protección de los datos
personales que estén en posesión de los responsables, conforme a lo previsto en esta ley.
II. Promover la elaboración de formatos homogéneos para la recepción y trámite de
solicitudes del ejercicio de los derechos ARCO.
III. Concentrar y publicar los datos en los plazos establecidos en esta ley.
IV. Hacer del conocimiento del Órgano de Control Interno del responsable, los
hechos que pudieran ser constitutivos de infracciones a esta ley.
V. Elaborar y publicar estudios e investigaciones para difundir el contenido de esta
ley.
VI. Solicitar a los responsables la información estadística anual, siguiente:
a) El número de solicitudes ARCO recibidas.
b) El tiempo de respuesta promedio por tipo de solicitud.
VII. Organizar seminarios, cursos, talleres y demás actividades que promuevan el
contenido de esta ley y los derechos de los individuos sobre sus datos personales.
VIII. Establecer programas de capacitación en materia de protección de datos
personales y promover acciones que faciliten la participación en dichos programas de los
integrantes de los diversos responsables, a fin de garantizar el adecuado cumplimiento de
los principios que rigen esta ley.
IX. Recibir, sustanciar y resolver el recurso de revisión en los términos previstos en
esta ley y demás disposiciones aplicables.
X. Emitir opiniones y recomendaciones sobre temas relacionados con esta ley, así
como formular observaciones y recomendaciones a los responsables, de acuerdo con los
principios de la misma.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
56
XI. Orientar y asesorar a las personas que lo soliciten respecto del contenido y
alcance de esta ley.
XII. Promover entre las instituciones educativas, públicas y privadas, la inclusión de
temas que ponderen la importancia del derecho a la protección de datos personales dentro
de sus actividades académicas curriculares y extracurriculares.
XIII. Elaborar guías que expliquen los procedimientos y trámites que son materia de
esta ley.
XIV. Promover eventos que fomenten la cultura y profesionalización de los
integrantes de los responsables en materia de protección de datos personales.
Artículo 88. Aplicación de criterios y lineamientos
El instituto aplicará criterios y lineamientos que expida el sistema nacional, así
como en el Programa Nacional de Protección de Datos Personales.
Asimismo, el instituto contribuirá a mantener la plena vigencia del derecho a la protección
de datos personales en el Estado implementando políticas públicas con estricto apego a
esta ley; el ejercicio pleno y respeto del derecho a la protección de datos personales, la
difusión de una cultura de este derecho y su accesibilidad.
CAPÍTULO II
Coordinación y promoción del derecho a la protección de datos personales
Artículo 89. Capacitación
Los responsables deberán colaborar con el instituto para capacitar y actualizar de
forma permanente a todos sus servidores públicos en materia de protección de datos
personales, a través de la impartición de cursos, seminarios, talleres y cualquier otra forma
de enseñanza y entrenamiento que se considere pertinente.
Artículo 90. Atribuciones en materia de promoción
El instituto, en materia promoción del derecho a la protección de datos personales y
en el ámbito de su competencia, deberá:
I.- Promover que en los programas y planes de estudio, libros y materiales que se
utilicen en las instituciones educativas en el Estado, se incluyan contenidos sobre el
derecho a la protección de datos personales, así como una cultura sobre el ejercicio y
respeto de éste.
II.- Impulsar en conjunto con instituciones de educación superior, la integración de
centros de investigación, difusión y docencia sobre el derecho a la protección de datos
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
57
personales que promuevan el conocimiento sobre este tema y coadyuven con el instituto
en sus tareas sustantivas.
III.- Fomentar la creación de espacios de participación social y ciudadana que
estimulen el intercambio de ideas entre la sociedad, los órganos de representación
ciudadana y los responsables.
TÍTULO OCTAVO
PROCEDIMIENTOS DE IMPUGNACIÓN EN MATERIA DE PROTECCIÓN DE DATOS
PERSONALES EN POSESIÓN DE LOS RESPONSABLES
CAPÍTULO I
Recurso de revisión
Artículo 91. Interposición del recurso de revisión
El titular o su representante podrá interponer un recurso de revisión ante el instituto
o bien, ante la unidad de transparencia que hay conocido la solicitud para el ejercicio de los
derechos ARCO, dentro de un plazo que no podrá exceder de quince días contados a
partir del día siguiente a la fecha de notificación de la respuesta o a la del vencimiento del
plazo para dar respuesta sin que esta haya ocurrido, a través de los siguientes medios:
I.- Por escrito libre en el domicilio del instituto o en las oficinas habilitadas que al
efecto establezcan.
II.- Por correo certificado con acuse de recibo.
III.- Por formatos que al efecto emita el instituto.
IV.- Por los medios electrónicos que para tal fin se autoricen.
V.- Cualquier otro medio que al efecto establezca el instituto.
Se presumirá que el titular acepta que las notificaciones le sean efectuadas por el mismo
conducto que presentó su escrito, salvo que acredite haber señalado uno distinto para
recibir notificaciones.
Artículo 92. Acreditación de la identidad
El titular podrá acreditar su identidad a través de cualquiera de los siguientes
medios:
I.- Identificación oficial.
II.- Firma electrónica avanzada o del instrumento electrónico que lo sustituya.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
58
III.- Mecanismos de autenticación autorizados por el instituto publicados mediante
acuerdo general en el diario oficial del estado.
La utilización de la firma electrónica avanzada o del instrumento electrónico que lo
sustituya eximirá de la presentación de la copia del documento de identificación.
Artículo 93. Acreditación de la personalidad
Cuando el titular actúe mediante un representante, éste deberá acreditar su
personalidad en los siguientes términos:
I.- Si se trata de una persona física, a través de carta poder simple suscrita ante
dos testigos anexando copia de las identificaciones de los suscriptores, o instrumento
público, o declaración en comparecencia personal del titular y del representante ante el
instituto.
II.- Si se trata de una persona moral, mediante instrumento público.
Artículo 94. Interposición del recurso de revisión a favor de personas fallecidas
La interposición de un recurso de revisión de datos personales concernientes a
personas fallecidas, podrá realizarla la persona que acredite tener un interés jurídico o
legítimo.
Artículo 95. Notificaciones
En la sustanciación de los recursos de revisión, las notificaciones que emitan el
instituto surtirán efectos el mismo día en que se practiquen.
Las notificaciones podrán efectuarse:
I. Personalmente en los siguientes casos:
a) Se trate de la primera notificación.
b) Se trate del requerimiento de un acto a la parte que deba cumplirlo.
c) Se trate de la solicitud de informes o documentos.
d) Se trate de la resolución que ponga fin al procedimiento de que se trate.
e) En los demás casos que disponga la ley.
II. Por correo certificado con acuse de recibo o medios digitales o sistemas
autorizados por el instituto publicados mediante acuerdo en el diario oficial del estado,
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
59
cuando se trate de requerimientos, emplazamientos, solicitudes de informes o documentos
y resoluciones que puedan ser impugnadas.
III. Por correo postal ordinario o por correo electrónico ordinario cuando se trate de
actos distintos de los señalados en las fracciones anteriores.
IV. Por estrados, cuando la persona a quien deba notificarse no sea localizable en
su domicilio, se ignore éste o el de su representante.
Artículo 96. Pruebas
En la sustanciación del recurso de revisión, las partes podrán ofrecer las siguientes
pruebas:
I.- La documental pública.
II.- La documental privada.
III.- La inspección.
IV.- La pericial.
V.- La testimonial.
VI.- La confesional, excepto tratándose de autoridades.
VII.- Las imágenes fotográficas, páginas electrónicas, escritos y demás elementos
aportados por la ciencia y tecnología.
VIII.- La presunción legal y humana.
El instituto podrá allegarse de los medios de prueba que considere necesarios, sin más
limitación que las establecidas en la ley.
Artículo 97. Procedencia del recurso de revisión
El recurso de revisión procederá en los siguientes supuestos:
I.- Se clasifiquen como confidenciales los datos personales sin que se cumplan
las características señaladas en las leyes que resulten aplicables.
II.- Se declare la inexistencia de los datos personales.
III.- Se declare la incompetencia por el responsable.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
60
IV.- Se entreguen datos personales incompletos.
V.- Se entreguen datos personales que no correspondan con lo solicitado.
VI.- Se niegue el acceso, rectificación, cancelación u oposición de datos
personales.
VII.- No se dé respuesta a una solicitud para el ejercicio de los derechos ARCO
dentro de los plazos establecidos en esta ley y demás disposiciones que resulten
aplicables en la materia.
VIII.- Se entregue o ponga a disposición datos personales en una modalidad o
formato distinto al solicitado, o en un formato incomprensible.
IX.- El titular se inconforme con los costos de reproducción, envío o tiempos de
entrega de los datos personales.
X.- Se obstaculice el ejercicio de los derechos ARCO, a pesar de que fue
notificada la procedencia de los mismos.
XI.- No se dé trámite a una solicitud para el ejercicio de los derechos ARCO.
XII.- En los demás casos que dispongan las leyes.
Artículo 98. Requisitos
Los únicos requisitos exigibles en el escrito de interposición del recurso de revisión
serán los siguientes:
I.- El área responsable ante quien se presentó la solicitud para el ejercicio de los
derechos ARCO.
II.- El nombre del titular que recurre o su representante y, en su caso, del tercero
interesado, así como el domicilio o medio que señale para recibir notificaciones.
III.- La fecha en que fue notificada la respuesta al titular, o bien, en caso de falta de
respuesta la fecha de la presentación de la solicitud para el ejercicio de los derechos
ARCO.
IV.- El acto que se recurre y los puntos petitorios, así como las razones o motivos
de inconformidad.
V.- En su caso, copia de la respuesta que se impugna y de la notificación
correspondiente.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
61
VI.- Los documentos que acrediten la identidad del titular, y en su caso, la
personalidad e identidad de su representante.
Al recurso de revisión se podrán acompañar las pruebas y demás elementos que considere
el titular procedentes someter a juicio del instituto.
En ningún caso será necesario que el titular ratifique el recurso de revisión interpuesto.
Artículo 99. Conciliación
Una vez admitido el recurso de revisión, el instituto podrá buscar una conciliación
entre el titular y el responsable.
De llegar a un acuerdo, este se hará constar por escrito y tendrá efectos vinculantes. El
recurso de revisión quedará sin materia. El instituto, deberá verificar el cumplimiento del
acuerdo respectivo.
Artículo 100. Procedimiento de conciliación
Admitido el recurso de revisión el instituto promoverá la conciliación entre las
partes, de conformidad con el siguiente procedimiento:
I. El instituto requerirá a las partes que manifiesten, por cualquier medio, su
voluntad de conciliar, en un plazo no mayor a siete días, contados a partir de la notificación
de dicho acuerdo, mismo que contendrá un resumen del recurso de revisión y de la
respuesta del responsable si la hubiere, señalando los elementos comunes y los puntos de
controversia.
La conciliación podrá celebrarse presencialmente, por medios remotos o locales de
comunicación electrónica o por cualquier otro medio que determine el instituto. En
cualquier caso, la conciliación habrá de hacerse constar por el medio que permita acreditar
su existencia.
Queda exceptuado de la etapa de conciliación, cuando el titular sea menor de edad y se
haya vulnerado alguno de los derechos contemplados en la Ley de los Derechos de Niñas,
Niños y Adolescentes, salvo que cuente con representación legal debidamente acreditada.
II. Aceptada la posibilidad de conciliar por ambas partes, señalarán el lugar o
medio, día y hora para la celebración de una audiencia de conciliación, la cual deberá
realizarse dentro de los diez días siguientes en que el instituto, hayan recibido la
manifestación de la voluntad de conciliar de ambas partes, en la que se procurará avenir
los intereses entre el titular y el responsable. El conciliador podrá, en todo momento en la
etapa de conciliación, requerir a las partes que presenten en un plazo máximo de tres días,
los elementos de convicción que estime necesarios para la conciliación.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
62
El conciliador podrá, en todo momento en la etapa de conciliación, requerir a las partes que
presenten en un plazo máximo de cinco días, los elementos de convicción que estime
necesarios para la conciliación.
El conciliador podrá suspender cuando lo estime pertinente o a instancia de ambas partes
la audiencia por una ocasión. En caso de que se suspenda la audiencia, el conciliador
señalará día y hora para su reanudación dentro de los cinco días siguientes.
De toda audiencia de conciliación se levantará el acta respectiva, en la que conste el
resultado de la misma. En caso de que el responsable o el titular o sus respectivos
representantes no firmen el acta, ello afectará su validez, debiéndose hacer constar dicha
negativa.
III. Si alguna de las partes no acude a la audiencia de conciliación y justifica su
ausencia en un plazo de tres días, será convocado a una segunda audiencia de
conciliación, el plazo de cinco días; en caso de que no acuda a esta última, se continuará
con el recurso de revisión. Cuando alguna de las partes no acuda a la audiencia de
conciliación sin justificación alguna, se continuará con el procedimiento.
IV. De no existir acuerdo en la audiencia de conciliación, se continuará con el
recurso de revisión.
V. De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos
vinculantes. El recurso de revisión quedará sin materia. El instituto deberá verificar el
cumplimiento del acuerdo respectivo.
VI. El cumplimiento del acuerdo dará por concluido la sustanciación del recurso de
revisión, en caso contrario, el instituto reanudará el procedimiento.
El plazo al que se refiere el artículo siguiente de esta ley será suspendido durante el
periodo de cumplimiento del acuerdo de conciliación.
Artículo 101. Resolución
El instituto resolverá el recurso de revisión en un plazo que no podrá exceder de
cuarenta días, el cual podrá ampliarse hasta por veinte días por una sola vez.
Artículo 102. Suplencia de la queja
Durante el procedimiento a que se refiere este capítulo, el instituto deberá aplicar la
suplencia de la queja a favor del titular, siempre y cuando no altere el contenido original del
recurso de revisión, ni modifique los hechos o peticiones expuestas en el mismo, así como
garantizar que las partes puedan presentar los argumentos y constancias que funden y
motiven sus pretensiones.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
63
Artículo 103. Prevención
Si en el escrito de interposición del recurso de revisión el titular no cumple con
alguno de los requisitos previstos en el artículo 81 de esta ley y el instituto no cuente con
elementos para subsanarlos, éste deberá requerir al titular, por una sola ocasión, la
información que subsane las omisiones en un plazo que no podrá exceder de cinco días,
contados a partir del día siguiente de la presentación del escrito.
El titular contará con un plazo que no podrá exceder de cinco días, contados a partir del
día siguiente al de la notificación de la prevención, para subsanar las omisiones, con el
apercibimiento de que en caso de no cumplir con el requerimiento, se desechará el recurso
de revisión.
La prevención tendrá el efecto de interrumpir el plazo que tiene el instituto para resolver el
recurso, por lo que comenzará a computarse a partir del día siguiente a su desahogo.
Artículo 104. Resoluciones
Las resoluciones del instituto podrán:
I.- Sobreseer o desechar el recurso de revisión por improcedente.
II.- Confirmar la respuesta del responsable.
III.- Revocar o modificar la respuesta del responsable.
IV.- Ordenar la entrega de los datos personales, en caso de omisión del
responsable.
Las resoluciones establecerán, en su caso, los plazos y términos para su cumplimiento y
los procedimientos para asegurar su ejecución. Los responsables deberán informar al
instituto el cumplimiento de sus resoluciones.
Ante la falta de resolución por parte del instituto, se entenderá confirmada la respuesta del
responsable.
Cuando el instituto determine durante la sustanciación del recurso de revisión que se pudo
haber incurrido en una probable responsabilidad por el incumplimiento a las obligaciones
previstas en esta ley y demás disposiciones que resulten aplicables en la materia, deberán
hacerlo del conocimiento del órgano interno de control o de la instancia competente para
que esta inicie, en su caso, el procedimiento de responsabilidad respectivo.
Artículo 105. Causas de desechamiento
El recurso de revisión podrá ser desechado por improcedente cuando:
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
64
I.- Sea extemporáneo por haber transcurrido el plazo establecido en el artículo 91
de esta ley.
II.- El titular o su representante no acrediten debidamente su identidad y
personalidad de este último.
III.- El instituto haya resuelto anteriormente en definitiva sobre la materia del
mismo.
IV.- No se actualice alguna de las causales del recurso de revisión previstas en el
artículo 97 de esta ley.
V.- Se esté tramitando ante los tribunales competentes algún recurso o medio de
defensa interpuesto por el recurrente, o en su caso, por el tercero interesado, en contra del
acto recurrido ante el instituto.
VI.- El recurrente modifique o amplíe su petición en el recurso de revisión,
únicamente respecto de los nuevos contenidos.
VII.- El recurrente no acredite interés jurídico.
El desechamiento no implica la preclusión del derecho del titular para interponer ante el
instituto un nuevo recurso de revisión.
Artículo 106. Causas de sobreseimiento
El recurso de revisión solo podrá ser sobreseído cuando:
I.- El recurrente se desista expresamente.
II.- El recurrente fallezca.
III.- Admitido el recurso de revisión, se actualice alguna causal de improcedencia
en los términos de esta ley.
IV.- El responsable modifique o revoque su respuesta de tal manera que el recurso
de revisión quede sin materia.
V.- Quede sin materia el recurso de revisión.
Artículo 107. Notificación y publicación de las resoluciones
El instituto deberá notificar a las partes y publicar las resoluciones, en versión
pública, a más tardar, al tercer día siguiente de su aprobación.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
65
Artículo 108. Obligatoriedad de las resoluciones
Las resoluciones del instituto serán vinculantes y definitivas para los responsables,
salvo que medie la interposición del recurso de inconformidad.
Artículo 109. Recurso de inconformidad
Tratándose de las resoluciones a los recursos de revisión del instituto, los
particulares podrán optar por acudir ante el Instituto Nacional de Transparencia, Acceso a
la Información y Protección de Datos Personales interponiendo el recurso de inconformidad
previsto en la ley general o ante el Poder Judicial de la Federación mediante el Juicio de
Amparo.
CAPÍTULO II
Recurso de inconformidad ante el Instituto Nacional de Transparencia, Acceso a la
Información y Protección de Datos Personales
Artículo 110. Interposición del recurso de inconformidad
El titular, por sí mismo o a través de su representante, podrá impugnar la resolución
del recurso de revisión emitido por el instituto ante el Instituto Nacional de Transparencia,
Acceso a la Información y Protección de Datos Personales, mediante el recurso de
inconformidad.
El recurso de inconformidad se podrá presentar ante el instituto o ante el Instituto Nacional
de Transparencia, Acceso a la Información y Protección de Datos Personales, dentro de un
plazo de quince días contados a partir del siguiente a la fecha de la notificación de la
resolución impugnada.
El instituto deberá remitir el recurso de inconformidad al Instituto Nacional de
Transparencia, Acceso a la Información y Protección de Datos Personales al día siguiente
de haberlo recibido; así como las constancias que integren el procedimiento que haya dado
origen a la resolución impugnada, el cual resolverá allegándose de los elementos que
estime convenientes
El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales de oficio o a petición fundada del instituto, podrá ejercer la facultad de
atracción para conocer de aquellos recursos de revisión pendientes de resolución en
materia de protección de datos personales, que por su interés y trascendencia así lo
ameriten y cuya competencia original corresponde al instituto.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
66
TÍTULO NOVENO
FACULTAD DE VERIFICACIÓN DEL INSTITUTO
CAPÍTULO ÚNICO
Artículo 111. Vigilancia y verificación
El instituto tendrá la atribución de vigilar y verificar el cumplimiento de las
disposiciones contenidas en esta ley y demás ordenamientos que se deriven de esta.
El responsable no podrá negar el acceso a la documentación solicitada con motivo de una
verificación, o a sus bases de datos personales, ni podrá invocar la reserva o la
confidencialidad de la información.
En el ejercicio de las funciones de vigilancia y verificación, el personal del instituto estará
obligado a guardar confidencialidad sobre la información a la que tengan acceso en virtud
de la verificación correspondiente.
Artículo 112. Inicio de la verificación
La verificación podrá iniciarse:
I. De oficio cuando el instituto cuente con indicios que hagan presumir fundada y
motivada la existencia de violaciones a las leyes correspondientes.
II. Por denuncia del titular cuando considere que ha sido afectado por actos del
responsable que puedan ser contrarios a lo dispuesto por esta ley y demás normativa
aplicable, o en su caso, por cualquier persona cuando tenga conocimiento de presuntos
incumplimientos a las obligaciones previstas en esta ley y demás disposiciones que
resulten aplicables en la materia.
El derecho a presentar una denuncia precluye en el término de un año contado a partir del
día siguiente en que se realicen los hechos u omisiones materia de la misma. Cuando los
hechos u omisiones sean de tracto sucesivo, el término empezará a contar a partir del día
hábil siguiente al último hecho realizado.
La verificación no procederá en los supuestos de procedencia del recurso de revisión o
inconformidad previstos en la ley en la materia.
Previo a la verificación respectiva, el instituto podrá desarrollar investigaciones previas, con
el fin de contar con elementos para fundar y motivar el acuerdo de inicio respectivo.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
67
Artículo 113. Requisitos de la denuncia
Para la presentación de una denuncia no podrán solicitarse mayores requisitos que
los que a continuación se describen:
I.- El nombre de la persona que denuncia, o en su caso, de su representante.
II.- El domicilio o medio para recibir notificaciones de la persona que denuncia.
III.- La relación de hechos en que se basa la denuncia y los elementos con los que
cuente para probar su dicho.
IV.- El responsable denunciado y su domicilio, o en su caso, los datos para su
identificación o ubicación.
V.- La firma del denunciante, o en su caso, de su representante. En caso de no
saber firmar, bastará la huella digital.
La denuncia podrá presentarse por escrito libre, o a través de los formatos, medios
electrónicos o cualquier otro medio que al efecto establezca el instituto.
Una vez recibida la denuncia, el instituto deberán acusar recibo de la misma. El acuerdo
correspondiente se notificará al denunciante.
Artículo 114. Procedimiento de verificación
La verificación iniciará mediante una orden escrita que funde y motive la
procedencia de la actuación por parte del instituto, la cual tiene por objeto requerir al
responsable la documentación e información necesaria vinculada con la presunta violación
o realizar visitas a las oficinas o instalaciones del responsable, o en su caso, en el lugar
donde estén ubicadas las bases de datos personales respectivas.
Se deroga.
Párrafo derogado DO 05-11-2020
El procedimiento de verificación deberá tener una duración máxima de cincuenta días.
El instituto podrá ordenar medidas cautelares, si del desahogo de la verificación advierten
un daño inminente o irreparable en materia de protección de datos personales, siempre y
cuando no impidan el cumplimiento de las funciones ni el aseguramiento de bases de
datos de los sujetos obligados.
Estas medidas sólo podrán tener una finalidad correctiva y será temporal hasta entonces
los sujetos obligados lleven a cabo las recomendaciones hechas por el instituto.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
68
Artículo 115. Conclusión del procedimiento de verificación
El procedimiento de verificación concluirá con la resolución que emita el instituto, en
la cual, se establecerán las medidas que deberá adoptar el responsable en el plazo que la
misma determine.
Artículo116. Auditorias voluntarias
Los responsables podrán voluntariamente someterse a la realización de auditorías
por parte del que tengan por objeto verificar la adaptación, adecuación y eficacia de los
controles, medidas y mecanismos implementados para el cumplimiento de las
disposiciones previstas en esta ley y demás normativa que resulte aplicable.
El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles
implementados por el responsable, identificar sus deficiencias, así como proponer acciones
correctivas complementarias, o bien, recomendaciones que en su caso correspondan.
TÍTULO DÉCIMO
MEDIDAS DE APREMIO Y RESPONSABILIDADES
CAPÍTULO I
Medidas de apremio
Artículo 117. Marco jurídico
Para el cumplimiento de las resoluciones emitidas por el instituto y el responsable,
en su caso, deberán observar lo dispuesto en el capítulo VI del título octavo de la ley
general y la ley de transparencia.
Artículo 118. Medidas de apremio
El instituto podrá imponer las siguientes medidas de apremio para asegurar el
cumplimiento de sus determinaciones:
I. La amonestación pública.
II. La multa, equivalente a la cantidad de cincuenta hasta cien veces el valor diario
de la Unidad de Medida y Actualización.
El incumplimiento de los sujetos obligados será difundido en los portales de obligaciones
de transparencia del instituto y considerados en las evaluaciones que realicen éstos.
En caso de que el incumplimiento de las determinaciones del instituto implique la presunta
comisión de un delito o una de las conductas señaladas en el artículo 128 de esta ley,
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
69
deberán denunciar los hechos ante la autoridad competente. Las medidas de apremio de
carácter económico no podrán ser cubiertas con recursos públicos.
Artículo 119. Requerimiento de cumplimiento
Si a pesar de la ejecución de las medidas de apremio previstas en el artículo
anterior no se cumpliere con la resolución, se requerirá el cumplimiento al superior
jerárquico para que en el plazo de cinco días lo obligue a cumplir sin demora.
De persistir el incumplimiento, se aplicarán sobre aquél las medidas de apremio
establecidas en el artículo anterior. Transcurrido el plazo, sin que se haya dado
cumplimiento, se dará vista a la autoridad competente en materia de responsabilidades.
Artículo 120. Aplicación de las medidas de apremio
Las medidas de apremio a que se refiere el este capítulo, deberán ser aplicadas por
el instituto, por sí mismo o con el apoyo de la autoridad competente, de conformidad con
los procedimientos que establezcan las leyes respectivas.
Artículo 121. Cobro de multas
Las multas que fijen el instituto se harán efectivas por la Agencia de Administración
Fiscal del Estado de Yucatán a través de los procedimientos que las leyes establezcan.
Artículo 122. Calificación de las medidas de apremio
Para calificar las medidas de apremio establecidas en este capítulo, el instituto
deberá considerar:
I.- La gravedad de la falta del responsable, determinada por elementos tales como
el daño causado; los indicios de intencionalidad; la duración del incumplimiento de las
determinaciones del instituto y la afectación al ejercicio de sus atribuciones.
II.- La condición económica del infractor.
III.- La reincidencia.
El instituto establecerá mediante lineamientos de carácter general, las atribuciones de las
áreas encargadas de calificar la gravedad de la falta de observancia a sus determinaciones
y de la notificación y ejecución de las medidas de apremio que apliquen e implementen,
conforme a los elementos desarrollados en este capítulo.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
70
Artículo 123. Reincidencia
En caso de reincidencia, el instituto o los organismos garantes podrán imponer una
multa equivalente hasta el doble de la que se hubiera determinado por el instituto.
Se considerará reincidente al que habiendo incurrido en una infracción que haya sido
sancionada, cometa otra del mismo tipo o naturaleza.
Artículo 124. Plazo para la aplicación de las medidas de apremio
Las medidas de apremio deberán aplicarse e implementarse en un plazo máximo
de quince días, contados a partir de que sea notificada la medida de apremio al infractor.
Artículo 125. Amonestación pública
La amonestación pública será impuesta por el instituto y será ejecutada por el
superior jerárquico inmediato del infractor con el que se relacione.
Artículo 126. Requerimiento de información
El instituto podrá requerir al infractor la información necesaria para determinar su
condición económica, apercibido de que en caso de no proporcionar la misma, las multas
se cuantificarán con base a los elementos que se tengan a disposición, entendidos como
los que se encuentren en los registros públicos, los que contengan medios de información
o sus propias páginas de internet y, en general, cualquiera que evidencie su condición,
quedando facultado el instituto para requerir aquella documentación que se considere
indispensable para tal efecto a las autoridades competentes.
Artículo 127. Recurso contra las medidas de apremio
En contra de la imposición de medidas de apremio, procede el recurso
correspondiente ante el Poder Judicial del Estado de Yucatán.
CAPÍTULO II
Sanciones
Artículo 128. Causas de sanción
Serán causas de sanción por incumplimiento de las obligaciones establecidas en la
materia de esta ley, las siguientes:
I.- Actuar con negligencia, dolo o mala fe durante la sustanciación de las
solicitudes para el ejercicio de los derechos ARCO.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
71
II.- Incumplir los plazos de atención previstos en esta ley para responder las
solicitudes para el ejercicio de los derechos ARCO o para hacer efectivo el derecho de que
se trate.
III.- Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o
parcialmente y de manera indebida datos personales, que se encuentren bajo su custodia
o a los cuales tengan acceso o conocimiento con motivo de su empleo, cargo o comisión.
IV.- Dar tratamiento, de manera intencional, a los datos personales en
contravención a los principios y deberes establecidos en esta ley.
V.- No contar con el aviso de privacidad, o bien, omitir en el mismo alguno de los
elementos a que refiere el artículo 26 de esta ley, según sea el caso, y demás
disposiciones que resulten aplicables en la materia.
VI.- Clasificar como confidencial, con dolo o negligencia, datos personales sin que
se cumplan las características señaladas en las leyes que resulten aplicables. La sanción
sólo procederá cuando exista una resolución previa, que haya quedado firme, respecto del
criterio de clasificación de los datos personales.
VII.- Incumplir el deber de confidencialidad establecido en esta ley.
VIII.- No establecer las medidas de seguridad en los términos que establecen los
artículos 34, 35 y 36 de esta ley.
IX.- Presentar vulneraciones a los datos personales por la falta de implementación
de medidas de seguridad según los artículos 34, 35 y 36 de esta ley.
X.- Llevar a cabo la transferencia de datos personales, en contravención a lo
previsto en esta ley.
XI.- Obstruir los actos de verificación de la autoridad.
XII.- Crear bases de datos personales en contravención a lo dispuesto por el
artículo 8 de esta ley.
XIII.- No acatar las resoluciones emitidas por el instituto.
XIV.- Omitir la entrega del informe anual y demás informes a que se refiere el
artículo 44, fracción VII, de la ley general de transparencia, o bien, entregar el mismo de
manera extemporánea.
Las causas de responsabilidad previstas en las fracciones I, II, IV, VI, X, XII y XIV, así
como la reincidencia en las conductas previstas en el resto de las fracciones de este
artículo, serán consideradas como graves para efectos de su sanción administrativa.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
72
En caso de que la presunta infracción hubiere sido cometida por algún integrante de un
partido político, la investigación y, en su caso, sanción, corresponderán a la autoridad
electoral competente.
Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.
Artículo 129. Vista
Para las conductas a que se refiere el artículo anterior se dará vista a la autoridad
competente para que imponga o ejecute la sanción.
Artículo 130. Responsabilidades
Las responsabilidades que resulten de los procedimientos administrativos
correspondientes, derivados de la violación a lo dispuesto por el artículo 128 de esta ley,
son independientes de las del orden civil, penal o de cualquier otro tipo que se puedan
derivar de los mismos hechos.
Dichas responsabilidades se determinarán, en forma autónoma, a través de los
procedimientos previstos en las leyes aplicables y las sanciones que, en su caso, se
impongan por las autoridades competentes, también se ejecutarán de manera
independiente.
Para tales efectos, el instituto podrá denunciar ante las autoridades competentes cualquier
acto u omisión violatoria de esta ley y aportar las pruebas que consideren pertinentes, en
los términos de las leyes aplicables.
Artículo 131. Incumplimiento de partidos políticos, fideicomisos o fondos
Ante incumplimientos por parte de los partidos políticos, el instituto competente,
dará vista, según corresponda, al Instituto Nacional Electoral o al Instituto Electoral y de
Participación Ciudadana del Estado de Yucatán, para que resuelvan lo conducente, sin
perjuicio de las sanciones establecidas para los partidos políticos en las leyes aplicables.
En el caso de probables infracciones relacionadas con fideicomisos o fondos públicos, el
instituto deberá dar vista al órgano interno de control del sujeto obligado relacionado con
éstos, cuando sean servidores públicos, con el fin de que instrumenten los procedimientos
administrativos a que haya lugar.
Artículo 132. Incumplimiento de servidores públicos
En aquellos casos en que el presunto infractor tenga la calidad de servidor público,
el instituto, deberá remitir a la autoridad competente, junto con la denuncia
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
73
correspondiente, un expediente en que se contengan todos los elementos que sustenten la
presunta responsabilidad administrativa.
La autoridad que conozca del asunto, deberá informar de la conclusión del procedimiento y
en su caso, de la ejecución de la sanción al instituto.
A efecto de sustanciar el procedimiento citado en este artículo, el instituto deberá elaborar
una denuncia dirigida a la contraloría, órgano interno de control o equivalente, con la
descripción precisa de los actos u omisiones que, a su consideración, repercuten en la
adecuada aplicación de esta ley y que pudieran constituir una posible responsabilidad.
Asimismo, deberá elaborar un expediente que contenga todos aquellos elementos de
prueba que considere pertinentes para sustentar la existencia de la posible
responsabilidad. Para tal efecto, se deberá acreditar el nexo causal existente entre los
hechos controvertidos y las pruebas presentadas.
La denuncia y el expediente deberán remitirse a la contraloría, órgano interno de control o
equivalente dentro de los quince días siguientes a partir de que el instituto o el organismo
garantes correspondiente tenga conocimiento de los hechos.
Artículo 133. Incumplimiento que implique la presunta comisión de un delito
En caso de que el incumplimiento de las determinaciones del instituto implique la
presunta comisión de un delito, éste deberá denunciar los hechos ante la autoridad
competente.
Artículos transitorios
Primero. Entrada en vigor
Este decreto entrará en vigor al día siguiente de su publicación en el diario oficial
del estado.
Segundo. Derogación
Se derogan las disposiciones de igual o menor jerarquía en lo que se opongan a lo
establecido en este decreto.
Tercero. Avisos de privacidad
Los responsables expedirán sus avisos de privacidad en los términos previstos en
esta ley y demás disposiciones aplicables, a más tardar tres meses después de la entrada
en vigor de esta ley.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
74
Cuarto. Implementación
Los responsables deberán observar la implementación de medidas de seguridad y,
en general, el cumplimiento de los deberes, a más tardar un año después de la entrada en
vigor de este decreto.
Quinto. Obligación normativa
El Instituto Estatal de Transparencia, Acceso a la Información Pública y Protección
de Datos Personales deberá expedir los lineamientos, parámetros, criterios y demás
disposiciones de las diversas materias a que se refiere esta ley, dentro de un año siguiente
a la entrada en vigor de este decreto.
Sexto. Procedimientos en trámite
Los procedimientos iniciados durante la vigencia de la Ley de Transparencia y
Acceso a la Información Pública del Estado de Yucatán, se sustanciarán hasta su
conclusión, conforme al ordenamiento señalado.
Séptimo. Previsiones presupuestales
El Congreso del Estado deberá hacer las previsiones presupuestales necesarias
para la operación de esta ley y establecer las partidas presupuestales específicas en el
Presupuesto de Egresos de Yucatán para el siguiente ejercicio fiscal a su entrada en vigor.
DADO EN LA SEDE DEL RECINTO DEL PODER LEGISLATIVO EN LA CIUDAD DE
MÉRIDA, YUCATÁN, ESTADOS UNIDOS MEXICANOS A LOS ONCE DÍAS DEL MES
DE JULIO DEL AÑO DOS MIL DIECISIETE. PRESIDENTA DIPUTADA VERÓNICA
NOEMÍ CAMINO FARJAT.- SECRETARIA DIPUTADA MARÍA DEL ROSARIO DÍAZ
GÓNGORA.- SECRETARIO DIPUTADO RAFAEL GERARDO MONTALVO MATA.-
RÚBRICAS.”
Y, por tanto, mando se imprima, publique y circule para su conocimiento y debido
cumplimiento.
Se expide este decreto en la sede del Poder Ejecutivo, en Mérida, a 13 de julio de 2017.
( RÚBRICA )
Rolando Rodrigo Zapata Bello
Gobernador del Estado de Yucatán
( RÚBRICA )
Roberto Antonio Rodríguez Asaf
Secretario general de Gobierno
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
75
Decreto 291/2020
Publicado en el Diario Oficial del Gobierno del Estado de Yucatán
el 05 de noviembre de 2020
D E C R E T O
Por el que se reforma la Ley de Protección de Datos Personales en Posesión de
Sujetos Obligados del Estado de Yucatán.
ARTÍCULO ÚNICO.- Se reforman los artículos 56 y 83; y se deroga el segundo párrafo del artículo
114, todos de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados en el
Estado, para quedar como sigue:
Transitorio:
Artículo único. Entrada en vigor
Este decreto entrará en vigor al día siguiente de su publicación en el Diario Oficial del Gobierno del
Estado de Yucatán.
DADO EN LA SEDE DEL RECINTO DEL PODER LEGISLATIVO EN LA CIUDAD DE MÉRIDA,
YUCATÁN, ESTADOS UNIDOS MEXICANOS A LOS CATORCE DÍAS DEL MES DE OCTUBRE
DEL AÑO DOS MIL VEINTE.- PRESIDENTA DIPUTADA LIZZETE JANICE ESCOBEDO
SALAZAR.- SECRETARIA DIPUTADA FÁTIMA DEL ROSARIO PERERA SALAZAR.-
SECRETARIA DIPUTADA PAULINA AURORA VIANA GÓMEZ- RÚBRICAS.”
Y, por tanto, mando se imprima, publique y circule para su conocimiento y debido cumplimiento.
Se expide este decreto en la sede del Poder Ejecutivo, en Mérida, Yucatán, a 3 de noviembre de
2020.
( RÚBRICA )
Abog. María Dolores Fritz Sierra
Secretaria general de Gobierno en ejercicio de las funciones que le
corresponden al Gobernador del Estado de Yucatán, por ausencia
temporal del Lic. Mauricio Vila Dosal, conforme a los artículos 18 y
19 del Código de la Administración Pública de Yucatán.
( RÚBRICA )
Lic. Olga Rosas Moya
Secretaria de Administración y Finanzas en ejercicio de
las funciones que le corresponden a la secretaria general
de Gobierno, por ausencia temporal del Lic. Mauricio Vila
Dosal, conforme a los artículos 18 y 19 del Código de la
Administración Pública de Yucatán.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
76
Decreto 811/2024
Publicado en el Diario Oficial del Gobierno del Estado de Yucatán
el 05 de Agosto de 2024
DECRETO
Por el que se expide la Ley Orgánica de la Fiscalía Especializada en Combate a la
Corrupción del Estado de Yucatán y modifica diversas leyes estatales, sobre la
Fiscalía Especializada en Combate a la Corrupción del Estado de Yucatán
Artículo Primero. Se expide la Ley Orgánica de la Fiscalía Especializada en Combate a la
Corrupción del Estado de Yucatán, para quedar como sigue:
ARTÍCULO SEGUNDO. Se reforma la fracción I del artículo 46 del Código de la
Administración Pública de Yucatán, para quedar como sigue:
ARTÍCULO TERCERO. Se reforma el artículo 58 de la Ley del Instituto de Defensa Pública
del Estado de Yucatán, para quedar como sigue:
ARTÍCULO CUARTO. Se reforma el epígrafe y el párrafo primero del artículo 3; se reforma
el párrafo primero, se deroga la fracción XI, se reforma la fracción XVI; se deroga el
segundo párrafo y el actual tercero pasa a ser segundo párrafo, del artículo 7; se reforma
el párrafo primero del artículo 8; se reforma el párrafo primero del artículo 10; se reforma el
párrafo primero y la fracción IV del artículo 11; y se reforma la fracción VI del artículo 13,
todos de la Ley para la Protección de las Personas que intervienen en el Proceso Penal del
Estado de Yucatán, para quedar como sigue:
ARTÍCULO QUINTO. Se reforma el párrafo segundo del artículo 39 de la Ley de Víctimas
del Estado de Yucatán, para quedar como sigue:
ARTÍCULO SEXTO. Se reforma la fracción III del artículo 2; se adiciona la fracción V al
artículo 13, recorriéndose en su numeración las actuales fracciones V y VI, para pasar a
ser las fracciones VI y VII; se adiciona a fracción IV y se reforma el último párrafo del
artículo 50; se reforma el artículo 89; y se reforma el epígrafe, el párrafo primero y la
fracción VIII del artículo 98, todos de la Ley del Sistema Estatal de Seguridad Pública, para
quedar como sigue:
ARTÍCULO SÉPTIMO. Se reforma el párrafo segundo del artículo 79 de la Ley de
Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Yucatán,
para quedar como sigue:
ARTÍCULO OCTAVO. Se reforma la fracción XVIII del artículo 2; se adiciona un cuarto
párrafo al artículo 8; se reforma la fracción III del artículo 9; se reforma el párrafo primero
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
77
del artículo 12; se reforman los artículos 99, 109, 130 y 179; y se reforma el párrafo
segundo del artículo 239, todos de la Ley de Responsabilidades Administrativas del Estado
de Yucatán, para quedar como sigue:
ARTÍCULO NOVENO. Se adiciona la fracción XII recorriéndose las actuales fracciones y
se deroga la última fracción del artículo 2, se reforma la fracción XXI del artículo 14; se
reforma la fracción XXXI del artículo 23; se reforma el artículo 51; se reforma el sexto
párrafo del artículo 75; se reforma la fracción VI del artículo 78; se reforma el artículo 81; y
se reforman las fracciones III y IV del artículo 115, todos de la Ley de Fiscalización de la
Cuenta Pública del Estado de Yucatán, para quedar como sigue:
ARTÍCULO DÉCIMO. Se reforma la fracción IV del artículo 12 de la Ley del Sistema
Estatal Anticorrupción de Yucatán, para quedar como sigue:
ARTÍCULO DÉCIMO PRIMERO. Se reforma la fracción VIII del artículo 13; se reforma la
fracción V del artículo 15; y se reforma el párrafo primero del artículo 32, todos de la Ley de
Videovigilancia del Estado de Yucatán, para quedar como sigue:
Transitorios
Entrada en vigor
Artículo Primero. Este decreto entrará en vigor el día siguiente al de su publicación en el
Diario Oficial del Gobierno del Estado de Yucatán.
Adecuaciones presupuestales
Artículo Segundo. La Secretaría de Administración y Finanzas, a la brevedad posible,
deberá realizar las adecuaciones presupuestales necesarias para formalizar la estructura
orgánica de la Fiscalía Especializada en Combate a la Corrupción del Estado de Yucatán,
en términos de este decreto, y dotarla de los recursos humanos, financieros, materiales y
tecnológicos que requiera para el adecuado ejercicio de sus atribuciones y el cumplimiento
de su objeto.
Órgano de Control Interno
Artículo Tercero. Las disposiciones contenidas en este decreto, relacionadas con el
Órgano de Control Interno de la Fiscalía Especializada en Combate a la Corrupción del
Estado de Yucatán, entrarán en vigor el día en que el Congreso del Estado de Yucatán
designe a la persona titular de dicha unidad administrativa, en términos del artículo 30,
fracción XXXII Bis, de la Constitución Política del Estado de Yucatán.
Reglamento Interior de la Fiscalía Especializada
Artículo Cuarto. La persona titular de la Fiscalía Especializada en Combate a la
Corrupción del Estado de Yucatán deberá expedir el reglamento interior de este organismo
en un plazo máximo de ciento ochenta días naturales, contado a partir de la entrada en
vigor de este decreto.
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
78
Primer Informe del Fiscal Anticorrupción
Artículo Quinto. Por única ocasión, la primera rendición del Informe anual de la Fiscalía
Especializada en Combate a la Corrupción del Estado de Yucatán, a cargo de la persona
titular de dicho órgano autónomo, se realizará en el mes de marzo de 2025, y comprenderá
el período que abarca del inicio de sus funciones como fiscal anticorrupción hasta el 31 de
diciembre 2024.
Cálculo del presupuesto
Artículo Sexto. El presupuesto asignado a la Fiscalía Especializada en Combate a la
Corrupción para el año siguiente a su entrada en funciones se calculará dividiendo el
primer presupuesto asignado entre el número de meses durante los cuales se ejerció dicho
presupuesto, y multiplicando el resultado por doce, tomando en consideración lo dispuesto
en el artículo 6, fracción I, de la Ley Orgánica de la Fiscalía Especializada en Combate a la
Corrupción del Estado de Yucatán, con el fin de garantizar la correcta operatividad y
funciones de la referida fiscalía.
DADO EN LA SEDE DEL RECINTO DEL PODER LEGISLATIVO EN LA CIUDAD DE
MÉRIDA, YUCATÁN, ESTADOS UNIDOS MEXICANOS A LOS VEINTE DÍAS DEL MES
DE JUNIO DEL AÑO DOS MIL VEINTICUATRO. PRESIDENTE DIPUTADO LUIS RENÉ
FERNÁNDEZ VIDAL.- SECRETARIA DIPUTADA KARLA VANESSA SALAZAR
GONZÁLEZ.- SECRETARIA DIPUTADA RUBÍ ARGELIA BE CHAN.- RÚBRICAS.”
Y, por tanto, mando se imprima, publique y circule para su conocimiento y debido
cumplimiento.
Se expide este decreto en la sede del Poder Ejecutivo, en Mérida, Yucatán, a 22 de Julio
de 2024.
( RÚBRICA )
Lic. Mauricio Vila Dosal
Gobernador del Estado de Yucatán
( RÚBRICA )
Abog. María Dolores Fritz Sierra
Secretaria general de Gobierno
LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE
SUJETOS OBLIGADOS DEL ESTADO DE YUCATÁN
H. Congreso del Estado de Yucatán
Secretaría General del Poder Legislativo
Unidad de Servicios Técnico-Legislativos
Última reforma en el D.O. 05-Agosto-2024
79
APÉNDICE
Listado de los decretos que derogaron, adicionaron o reformaron diversos
artículos de la Ley Protección de Datos Personales en Posesión de sujetos
Obligados del Estado de Yucatán.
DECRETO
FECHA DE PUBLICACIÓN
EN EL DIARIO OFICIAL
DEL ESTADO DE
YUCATÁN
Ley Protección de Datos Personales en
Posesión de sujetos Obligados del Estado
de Yucatán.
503
17/VII/2017
Se reforman los artículos 56 y 83; y se
deroga el segundo párrafo del artículo 114,
todos de la Ley de Protección de Datos
Personales en Posesión de Sujetos
Obligados en el Estado.
291
05/XI/2020
Se reforma el párrafo segundo del artículo
79 de la Ley de Protección de Datos
Personales en Posesión de Sujetos
Obligados del Estado de Yucatán
811
05/VIII/2024
]]>
© 2025 Justia