El responsable deberá informar al titular de los datos sobre las características principales del tratamiento, la finalidad y cualquier cambio del estado relacionados con sus datos personales.

El responsable deberá informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento previo a que sus datos personales sean sometidos a tratamiento, a fin de que pueda tomar decisiones informadas al respecto.

Por regla general, el aviso de privacidad deberá ser puesto a disposición del titular previo a la obtención y recabación de los datos personales y difundido en los medios electrónicos y físicos con los que cuente el responsable.

Para que el aviso de privacidad cumpla de manera eficiente con su función de informar, deberá estar redactado y estructurado de manera clara, sencilla y comprensible.

Cuando resulte imposible dar a conocer al titular el aviso de privacidad, de manera directa o ello exija esfuerzos desproporcionados, el responsable podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios establecidos para tal efecto.

El aviso de privacidad se pondrá a disposición del titular en dos modalidades, simplificado e integral, cuyo contenido debe ser:

Simplificado

• La denominación del responsable.
• Las finalidades del tratamiento, distinguiendo las que requieran el consentimiento del titular.
• Las transferencias mencionando aquellas que requieran consentimiento (a quién y con qué finalidad).
• Los mecanismos y medios para que el titular, en su caso, pueda manifestar su negativa para el tratamiento de sus datos personales.
• El sitio donde se podrá consultar el aviso de privacidad integral.

Integral

Además de los rubros anteriores, se deberá contemplar:

• El domicilio del responsable.
• Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles.
• El fundamento legal que faculta al responsable para llevar a cabo el tratamiento.
• Los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO.
• El domicilio de la Unidad de Transparencia.
• Los medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.

El tratamiento de los datos se refiere a cualquier operación o conjunto de operaciones efectuadas sobre datos personales o conjunto de datos personales, mediante procedimientos manuales o automatizados relacionadas con la obtención, uso, registro, organización, estructuración, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión o cualquier otra forma de habilitación de acceso, cotejo, interconexión, manejo, aprovechamiento, divulgación, transferencia, supresión, destrucción o disposición de datos personales.

El responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales en los siguientes casos y excepciones siguientes:

• Cuando una ley así lo disponga o cuando se recaben para el ejercicio de las atribuciones legales conferidas a los sujetos obligados, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos en esta Ley, en ningún caso, podrán contravenirla;
• Cuando las transferencias que se realicen entre sujetos obligados se encuentre de manera expresa en una ley o tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos;
• Cuando exista una orden judicial;
• Para el reconocimiento o defensa de derechos del titular ante autoridad competente;
• Cuando se refieran a las partes de un convenio, a la relación contractual, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento;
• Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable;
• Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;
• Cuando el titular no esté en posibilidad de otorgar su consentimiento por motivos de salud y el tratamiento de sus datos resulte necesario para el diagnóstico médico y quien trate los datos personales esté sujeto al secreto profesional u obligación equivalente;
• Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, o la prestación de asistencia sanitaria;
• Cuando los datos personales se sometan a un procedimiento previo de disociación;
• Cuando los datos personales figuren en registros públicos y su tratamiento sea necesario, siempre que no se vulneren los derechos y las libertades fundamentales de la persona; o
• Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia.

Descarga en este apartado los siguientes formatos:

• Formato de solicitud de Acceso a Datos Personales (PDF)


• Formato de solicitud de Rectificación de Datos Personales PDF)


• Formato de solicitud de Cancelación de Datos Personales (PDF)


• Formato de solicitud de Oposición de Datos Personales (PDF)


• Formato para interponer un Recurso de Revisión (PDF)

Los Sujetos Obligados deberán establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, para garantizar la confidencialidad, integralidad y disponibilidad de cada sistema de datos personales que posean, con la finalidad de preservar el pleno ejercicio de los derechos tutelados en la LPDPPSOCDMX, frente daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado.

Dichas medidas deben adoptarse en relación con el menor o mayor grado de protección que ameriten los datos personales, para mayores garantías en la protección y resguardo de los sistemas de datos personales, únicamente se comunicarán al Instituto, para su registro, el nivel de seguridad aplicable.

Tipos de seguridad:

Administrativas

Se refiere a toda medida orientada a la protección de instalaciones, equipos, soportes o sistemas de datos para la prevención de riesgos por caso fortuito o causas de fuerza mayor;

Lógica

Políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales;

Físicas

Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se consideran las siguientes actividades:

a) Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información;
b) Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, recursos e información;
c) Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización,
d) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz, que asegure su disponibilidad e integridad;

Técnicas

Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se consideran las siguientes actividades:

a) Prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados;
b) Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;
c) Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware,
d) Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales;

Niveles de seguridad

Básico

Relativas a las medidas generales de seguridad cuya aplicación será obligatoria para el tratamiento y protección de todos los sistemas de datos personales en posesión de los sujetos obligados.

Medio

Se refiere a las medidas de seguridad requeridas para aquellos sistemas de datos relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales, así como los sistemas que contengan datos con los que se permita obtener evaluación de personalidad o perfiles de cualquier tipo en el presente pasado o futuro.

Alto

Corresponde a las medidas de seguridad aplicables a sistemas de datos concernientes a ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que contengan datos recabados para fines policiales, de seguridad, prevención, investigación y persecución de delitos.