La Ley de Protección de Datos Personales en Posesión de Sujetos Obligados de la Ciudad de México fue aprobada por la Asamblea Legislativa el 14 de noviembre de 2017 y publicada en la Gaceta Oficial la Ciudad de México el 10 de abril del 2018.


En este instrumento normativo se definen los principios, derechos, obligaciones y procedimientos que regulan la protección y tratamiento de los datos personales en posesión de los Sujetos Obligados.


  • Se establecen como Sujetos Obligados a esta legislación cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, Órganos Autónomos, partidos políticos, fideicomisos y fondos públicos (Título Primero).
  • Se establecen los principios y deberes a los que debe sujetarse el tratamiento de los datos personales (Título Segundo).
  • Se regula la forma en la cual deben crearse, modificarse o suprimirse los sistemas de datos personales en posesión de las autoridades públicas de la Ciudad de México y se establece la existencia de un registro de los sistemas de datos personales habilitado por el INFO (Título Segundo);
  • Se impone a los Sujetos Obligados el implementar medidas de seguridad para garantizar y proteger, en lo que concierne al tratamiento de los datos personales (Título Segundo).
  • Se establecen las libertades públicas y los derechos fundamentales de las personas físicas, especialmente de su honor e intimidad personal y familiar, y se establecen las condiciones de excepción al ejercicio de los derechos ARCO (Título Tercero).
  • Se establece que los particulares tienen derecho a acceder, rectificar y cancelar sus datos personales, así como a oponerse a que éstos sean tratados cuando se opongan a las disposiciones de la LPDPDF (Título Tercero);
  • Se establece el principio de gratuidad en el acceso a los datos personales y la forma en la cual podrán ser ejercidos estos derechos, así como los medios de defensa que podrá ejercer el titular de los datos cuando considere que sus derechos son vulnerados (Título Tercero).
  • Se regula la relación responsable y encargado con un contrato o instrumento jurídico, en el cual el responsable establece las finalidades, alcances y tratamiento (Título Cuarto).
  • Se establece que para toda transferencia, nacional o internacional, se requiere el consentimiento del titular, salvo en las excepciones que marca la Ley (Título Quinto).
  • Se delimita, que las reglas de operación del registro para las acciones de mejores prácticas las debe emitir el INFO, y hacer el registro a través del Instituto Nacional (Título Sexto).
  • Se delimita la competencia y ámbito de acción del INFO, cuyas principales responsabilidades son dirigir y vigilar el cumplimiento de la Ley, así como de las normas que de ella deriven; garantizando la protección y el tratamiento correcto y lícito de los Datos Personales (Título Octavo).
  • Se instituye un catálogo de conductas que serán consideradas como infracciones a la Ley y que, por ende, deben ser sancionadas en términos de la Ley Federal de Responsabilidades de los Servidores Públicos (Título Decimo Primero).