CUESTIONARIO

I. LEGISLACIÓN

A. ¿Existen en el ordenamiento jurídico interno de su país leyes o normas (generales o sectoriales) para
la protección de la privacidad o de los datos a nivel nacional o federal? En caso afirmativo, describa
brevemente estas leyes o normas, especificando si son aplicables en los contextos de los sectores
privado y/o público, y adjunte copia de las disposiciones y documentos en que estén previstos.

Sí. En México la regulación a nivel federal de la protección de la privacidad o de los datos personales está dividida
en la que aplica al sector público y la correspondiente al sector privado. A continuación se presenta una breve
descripción de los instrumentos normativos más significativos para ambos sectores.

a) Sector público:

• Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (LFTAIPG)

Esta Ley tiene entre sus objetivos garantizar a todo individuo la protección de sus datos personales en
posesión de los poderes públicos (denominados por esta norma como sujetos obligados).1 En este sentido,
reconoce y prevé: los principios de información, calidad, finalidad y consentimiento (con excepciones); los
derechos de acceso y rectificación, el desarrollo de los procedimientos para ejercerlos; los deberes de
confidencialidad y seguridad; la existencia de un registro de datos personales (“Sistema Persona”); y la
creación de una autoridad independiente que vela por que estas disposiciones se cumplan, denominada
Instituto Federal de Acceso a la Información y Protección de Datos (IFAI).2

• Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental

El Reglamento de la LFTAIPG tiene como propósito detallar las disposiciones de la Ley que le dio origen en
lo relativo al Poder Ejecutivo Federal, sus dependencias y entidades y, en general, a cualquier otro órgano
de la Administración Pública Federal.3

Desarrolla el procedimiento para que el titular pueda solicitar el acceso y rectificación de sus datos que
obren en poder de las dependencias y entidades, en donde se garantice la protección de sus derechos, en
específico, a la vida privada y a la intimidad; así como el procedimiento del recurso de revisión que se
tramita ante el IFAI en los casos en que el titular no esté satisfecho con la respuesta que le fue otorgada.4

• Lineamientos de Protección de Datos Personales

Tienen como finalidad establecer las políticas y procedimientos que deben observar las dependencias y
entidades de la Administración Pública Federal para garantizar al titular de los datos la facultad de decidir
sobre el uso y destino de su información, a fin de asegurar su adecuado tratamiento e impedir su
transmisión ilícita y lesiva.5

Asimismo, conceptualizan los principios que rigen el tratamiento de datos personales que se deben
observar en la Administración Pública Federal y establecen las condiciones y requisitos mínimos para el
manejo y custodia de los sistemas de datos personales en poder de la misma.6

                                                            
1 Artículo 4, fracción III.
2 Título I, Capítulo IV (“Protección de datos personales”) y Título II, Capítulo IV (“Del procedimiento ante el IFAI”).
3 Artículo 1.
4 Capítulos VI (“Información confidencial”), VIII (“Protección de datos personales”) y XII (“Del procedimiento de acceso a la información”, con

algunas disposiciones aplicables al acceso y rectificación de datos). 

5 Lineamiento primero.
6 Texto completo de los Lineamientos.

1 
 
 b) Sector privado:

• Ley Federal de Protección de Datos Personales en posesión de los Particulares (LFPDPPP)

Tiene como objetivo proteger los datos personales en posesión de los particulares, con la finalidad de regular
su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la
autodeterminación informativa de las personas.7 El ámbito de aplicación se extiende a todas las personas
físicas o morales de carácter privado que para sus actividades cotidianas obtengan, usen, divulguen o
almacenen información personal, con excepción de las sociedades de información crediticia (únicamente
respecto de la información que se trata para efecto del buró de crédito) y las personas que recolectan y
almacenan datos personales para uso exclusivamente personal o doméstico.8

• Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Su finalidad consiste en reglamentar lo establecido en la LFPDPPP y desarrolla diversos aspectos necesarios
para su efectiva aplicación. A continuación se describen algunos de los elementos a que se alude:

1. Ámbito territorial de aplicación.

2. Fuente de acceso público.
3. Características del consentimiento.
4. Procedimiento para la autorización de medidas compensatorias.
5. Obligaciones del encargado y subcontratación de servicios.
6. Autorregulación vinculante.
7. Procedimiento de verificación.
8. Procedimiento de protección de derechos.

Las disposiciones normativas se adjuntan en el Anexo I.A.

B. ¿Existen en el ordenamiento jurídico interno de su país leyes o normas (generales o sectoriales) para
la protección de la privacidad o de los datos a nivel estatal, municipal o local? En caso afirmativo,
describa brevemente estas leyes o normas y adjunte copia de las disposiciones y documentos en que
estén previstas.

Sí. En México la protección de los datos personales en poder de los órganos del sector público a nivel estatal
o del Distrito Federal, municipal, delegacional o local, se regula conforme a las leyes que al respecto emitieron
las entidades federativas. En la mayoría de los casos la protección de datos o la privacidad se encuentran
dentro de leyes que garantizan también el derecho de acceso a la información pública gubernamental a nivel
local. El cuadro que se presenta abajo está ordenado por entidad federativa y en él se enlistan las leyes
estatales y del Distrito Federal que prevén la protección de datos personales, su objetivo y la autoridad que se
encarga de proteger dichos datos.

Es importante señalar que por mandato del artículo quinto transitorio de la LFPDPPP, las disposiciones
locales en materia de protección de datos personales en posesión de los particulares que estaban vigentes al
5 de julio de 2010, quedaron abrogadas a partir de la entrada en vigor de la ley de referencia. De esta forma,
la materia de datos personales en poder de los particulares es exclusivamente federal.

Cuadro I.B Sector público

No. Entidad Ordenamiento legal Descripción y sujetos obligados9 Autoridad encargada de
que regula la la protección de datos

                                                            
7 Artículo 1 de la LFPDPPP.
8 Artículos 2 y 3, fracción XVIII de la LFPDPPP.
9 En general, en las leyes estatales y del Distrito Federal, que contemplan el tema de protección de datos personales, están incluidos como

sujetos obligados los Poderes Ejecutivo, Legislativo y Judicial, así como otros órganos municipales y aquellos con autonomía constitucional.

2 
 
 protección de datos personales
personales
1 Aguascalientes Ley de Transparencia Garantiza el derecho de las personas físicas y Instituto de Transparencia
y Acceso a la morales (jurídicas) de acceder a información de la del Estado de
Información Pública del entidad federativa y de los órganos que la Aguascalientes
Estado de conforman, denominados genéricamente como
Aguascalientes sujetos obligados.
El capítulo IV contiene un apartado con
disposiciones sobre datos personales.
2 Baja California Ley de Transparencia Regula el derecho de acceso de cualquier persona Instituto de Transparencia
y Acceso a la a la información pública y la protección de los datos y Acceso a la Información
Información Pública personales en posesión de cualquier autoridad del Pública del Estado de Baja
para el Estado de Baja Estado de Baja California. California
California El capítulo VI se refiere al manejo y protección de la
información confidencial, entre la que se
encuentran considerados los datos personales.
3 Baja California Ley de Transparencia Su finalidad es garantizar el acceso a toda persona Instituto de Transparencia
Sur y Acceso a la a la información pública en posesión de las y Acceso a la Información
Información Pública entidades gubernamentales del Estado. Pública del Estado de Baja
para el Estado de Baja California Sur
California Sur Incluye disposiciones sobre datos personales.
4 Campeche Ley de Transparencia Tiene por objeto garantizar el derecho de toda Comisión de Transparencia
y Acceso a la persona al acceso a la información pública, y Acceso a la Información
Información Pública del estableciendo como principios fundamentales la Pública del Estado de
Estado de Campeche garantía de máxima publicidad de la información de Campeche
los sujetos obligados, la sencillez del procedimiento
y la gratuidad.
Contiene un capítulo especifico para destinado a la
protección de datos personales (capítulo séptimo).
5 Coahuila Ley de Acceso a la Su finalidad es establecer las bases para garantizar Instituto Coahuilense de
Información Pública y el derecho de cualquier persona al acceso a la Acceso a la Información
Protección de Datos información pública y la protección de datos Pública
Personales para el personales.
Estado de Coahuila El capítulo quinto establece disposiciones
aplicables a la información confidencial, dentro de
la cual están considerados los datos personales y el
capítulo sexto trata específicamente el tema de
datos personales.
6 Colima Ley de Protección de Su fin es proteger y garantizar los derechos de Comisión Estatal para el
Datos Personales del protección de los datos de carácter personal, como Acceso a la Información
Estado de Colima uno de los derechos humanos fundamentales. Pública de Colima
7 Chiapas Ley que Garantiza la Tiene por objeto garantizar plenamente la Instituto de Acceso a la
Transparencia y el transparencia del servicio público y el derecho Información Pública de la
Derecho a la fundamental de toda persona al acceso a la Administración Pública
Información Pública información pública y a la protección de sus datos Estatal de Chiapas
para el Estado de personales.
Chiapas
8 Chihuahua Ley de Transparencia Tiene como finalidad garantizar el derecho de Instituto Chihuahuense
y Acceso a la acceso a la información pública y la protección de para la Transparencia y
Información Pública del los datos personales. Acceso a la Información
Estado de Chihuahua Su capítulo tres se refiere a la acción de protección Pública
de datos personales o habeas data.
9 Durango Ley de Transparencia Su propósito es garantizar la transparencia, el Comisión Estatal para la
y Acceso a la efectivo ejercicio del derecho de acceso a la Transparencia y el Acceso
Información Pública del información pública y la protección de los datos a la Información Pública de
Estado de Durango personales. Durango
El capítulo VII se refiere a la protección de los datos
personales.
10 Distrito Federal Ley de Protección de Tiene por objeto establecer los principios, derechos, Instituto de Acceso a la
Datos Personales para obligaciones y procedimientos que regulan la Información Pública del
el Distrito Federal protección y tratamiento de los datos personales en Distrito Federal
posesión de los entes públicos.

3 
 
 11 Guanajuato Ley de Protección de La finalidad que persigue es garantizar la Instituto de Acceso a la
Datos Personales para protección de los datos personales en poder de los Información Pública de
el Estado y los sujetos obligados. Guanajuato
Municipios de
Guanajuato
12 Guerrero Ley de Acceso a la Tiene por objeto regular y garantizar el acceso de Comisión para el Acceso a
Información Pública del toda persona a la información pública y la la Información Pública del
Estado de Guerrero protección de los datos personales que generen o Estado de Guerrero
se encuentren en poder de los sujetos obligados.
13 Hidalgo Ley de Transparencia Tiene el propósito de tutelar y garantizar a toda Instituto de Acceso a la
y Acceso a la persona el ejercicio del derecho a la información, Información Pública
Información Pública promover la transparencia y la rendición de cuentas Gubernamental
Gubernamental para el en la gestión pública gubernamental. Posee un
Estado de Hidalgo título dedicado a los datos personales, en el que
prevé su protección y ejercicio.
14 Jalisco Ley de Transparencia Su finalidad es garantizar el derecho fundamental Instituto de Transparencia
e Información Pública de toda persona para conocer el proceso y la toma e Información Pública de
del Estado de Jalisco de decisiones públicas, así como para solicitar, Jalisco
acceder, consultar, recibir, difundir, reproducir y
publicar la información pública en posesión de los
sujetos obligados. Incluye disposiciones aisladas
sobre protección de datos personales.
15 México Ley de Transparencia El propósito de esta Ley es transparentar el Instituto de Transparencia
y Acceso a la ejercicio de la función pública, tutelar y garantizar a y Acceso a la Información
Información Pública del toda persona, el ejercicio del derecho de acceso a Pública del Estado de
Estado de México y la información pública, a sus datos personales, así México y Municipios
Municipios como a la corrección y supresión de éstos y
proteger los datos personales que se encuentren en
posesión de los sujetos obligados.
16 Michoacán Ley de Transparencia Uno de sus fines es proteger y garantizar los datos Instituto para la
y Acceso a la personales, incluidos los sensibles en posesión de Transparencia y Acceso a
Información Pública del los sujetos obligados. la Información Pública del
Estado de Michoacán Estado de Michoacán
de Ocampo
17 Morelos Ley de Información Tutela el derecho de acceso a la información Instituto Morelense de
Pública, Estadística y pública de todas las personas; el derecho a la Información Pública y
Protección de Datos protección de los datos de carácter personal que Estadística
Personales del Estado estén en posesión de las entidades y sujetos
de Morelos obligados previstos en este ordenamiento; y regula
la formulación, producción, procesamiento,
administración y difusión de las estadísticas,
sondeos y encuestas que se requieran para la toma
de decisiones y el cumplimiento de las funciones
legales inherentes a las entidades públicas.
18 Nayarit Ley de Transparencia Su finalidad es garantizar a cualquier persona el Instituto de Transparencia
y Acceso a la efectivo acceso a la información pública y la y Acceso a la Información
Información Pública del protección de los datos personales en posesión de Pública del Estado de
Estado de Nayarit los entes públicos estatales y municipales, así Nayarit
como transparentar el ejercicio de la función
pública.
19 Nuevo León Ley de Transparencia Regula el derecho fundamental de acceso de Comisión de Transparencia
y Acceso a la cualquier persona a la información pública y la y Acceso a la información
Información del Estado protección de los datos personales en posesión de del Estado de Nuevo León
de Nuevo León cualquier autoridad, dependencia, unidades
administrativas, entidad, órgano u organismo del
Estado y municipios de Nuevo León.
20 Oaxaca Ley de Protección de Tiene como objetivos: garantizar la protección de Instituto Estatal de Acceso
Datos Personales del los datos personales en poder de los sujetos a la Información Pública
Estado de Oaxaca. obligados; y regular el registro, almacenamiento,
distribución, transmisión, modificación, eliminación,
duración, y en general, el tratamiento de datos
personales asentados en archivos, registros, bases

4 
 
 de datos, u otros medios similares en soporte
manual o automatizado y a toda modalidad de uso
posterior de estos datos por el sector público.
21 Puebla Ley de Transparencia Una de sus finalidades es garantizar la protección Comisión para el Acceso a
y Acceso a la de los datos personales en posesión de los sujetos la Información Pública del
Información Pública del obligados. estado de Puebla
Estado de Puebla
22 Querétaro Ley Estatal de Acceso Tiene como finalidad garantizar el acceso de toda Comisión Estatal de
a la Información persona a la información pública en posesión de los Información
Gubernamental en el Poderes, dependencias, entidades Gubernamental
Estado de Querétaro gubernamentales y aquellas consideradas como de
interés público del Estado de Querétaro. Cuenta
con disposiciones aisladas en materia de datos
personales.
23 Quintana Roo Ley de Transparencia Garantiza el acceso de toda persona a la Instituto de Transparencia
y Acceso a la información y la protección de datos personales en y Acceso a la Información
Información Pública del posesión de los sujetos obligados señalados en Pública de Quintana Roo
Estado de Quintana esta Ley. El capítulo sexto aborda la protección de
Roo los datos personales.
24 San Luis Potosí Ley de Transparencia Dos de los propósitos de esta Ley son garantizar el Comisión Estatal de
y Acceso a la ejercicio del derecho de acceso a la información Acceso a la Información
Información Pública del pública y proteger los datos personales que estén Pública de San Luis Potosí
Estado de San Luis en posesión de los entes obligados por este
Potosí ordenamiento.
25 Sinaloa Ley de Acceso a la En esta Ley se fijan los términos en que se Comisión Estatal para el
Información Pública del garantiza y ejerce el derecho de acceso a la Acceso a la Información
Estado de Sinaloa información pública como el correlativo al acceso y Pública de Sinaloa
protección de datos personales.
26 Sonora Ley de Acceso a la Tiene como finalidad garantizar el acceso de toda Instituto de Transparencia
Información Pública del persona a la información pública que obre en poder Informativa del Estado de
Estado de Sonora de los sujetos obligados y asegurar la protección de Sonora
los datos personales recibidos, generados,
administrados o en posesión de los sujetos
obligados.
27 Tabasco Ley de Transparencia Su finalidad es garantizar el acceso de toda Instituto Tabasqueño de
y Acceso a la persona a la información pública en posesión de los Transparencia y Acceso a
Información Pública del sujetos obligados, así como garantizar la protección la Información Pública
Estado de Tabasco de los datos personales en poder de dichos sujetos.
28 Tamaulipas Ley de Transparencia Este ordenamiento garantiza a toda persona la Instituto de Transparencia
y Acceso a la tutela de la información confidencial y la y Acceso a la Información
Información Pública del información sensible. Asimismo, garantiza el del Estado de Tamaulipas
Estado de Tamaulipas derecho a la intimidad personal y familiar de los
habitantes del Estado en el ámbito del ejercicio de
la libertad de información pública por parte de
terceros.
29 Tlaxcala Ley de Acceso a la Regula el derecho de acceso a la información Comisión de Acceso a la
Información Pública y pública y la protección de datos personales en Información Pública y
Protección de Datos posesión de los sujetos obligados. Protección de Datos
Personales para el Personales para el Estado
Estado de Tlaxcala de Tlaxcala
30 Veracruz Ley de Transparencia Tiene entre sus objetivos el garantizar la protección Instituto Veracruzano de
y Acceso a la de los datos personales en posesión de los sujetos Acceso a la Información
Información Pública obligados y los derechos a la intimidad y la
para el Estado de privacidad de los particulares.
Veracruz de Ignacio de
la Llave
31 Yucatán Ley de Acceso a la Uno de sus propósitos consiste en garantizar la Instituto de Acceso a la
Información Pública protección de los datos personales en poder de los Información Pública del
para el Estado y los sujetos obligados. Estado de Yucatán
Municipios de Yucatán
32 Zacatecas Ley de Transparencia Tiene como una de sus finalidades garantizar la Comisión Estatal para el
y Acceso a la protección de los datos personales en poder de los Acceso a la Información

5 
 
 Información Pública del sujetos obligados. Pública de Zacatecas
Estado de Zacatecas

Las disposiciones normativas se adjuntan en el Anexo I.B.

C. ¿Existen en su país disposiciones de rango constitucional que se refieran o aludan a la protección de

la privacidad y de los datos como, por ejemplo, disposiciones específicas sobre protección de datos,
disposiciones sobre libertad de expresión o habeas data? En caso afirmativo, describa estas
disposiciones y adjunte copia de los textos pertinentes.

Sí. Enseguida se describen brevemente las disposiciones de la Constitución Política de los Estados Unidos
Mexicanos que hacen referencia a estos temas (véase el texto íntegro en el Anexo I.C.).

El artículo 6 alude a la libertad de expresión, acceso a información y protección de datos, al señalar que en este
país la manifestación de las ideas no puede ser objeto de ninguna inquisición judicial o administrativa, excepto si
va en contra de la moral, los derechos de tercero, provoca algún delito o perturba el orden público. Asimismo,
indica que el derecho a la información tiene que ser garantizado por el Estado; en este sentido, la Federación, los
Estados y el Distrito Federal deben proteger -en los términos y con las excepciones que establezcan las leyes- la
información que se refiere a la vida privada y a los datos personales. El mismo artículo concede el derecho a que
cualquier persona tenga acceso gratuito a sus datos personales o a la rectificación de éstos.

Por su parte, el artículo 7 trata sobre la libertad de expresión, pues prevé que sea inviolable la libertad de escribir
y publicar escritos sobre cualquier materia, por lo que ninguna ley ni autoridad pueden establecer la previa
censura, ni exigir fianza a los autores o impresores, así como tampoco coartar la libertad de imprenta. Lo anterior
tiene como limitantes el respeto a la vida privada, a la moral y a la paz pública.

El artículo 16 es otra disposición que hace referencia a la protección de datos, ya que establece que toda
persona tiene derecho a la protección de sus datos personales, a su acceso, rectificación y cancelación, así como
a manifestar su oposición, en los términos que señale la Ley, la cual debe fijar los supuestos de excepción a los
principios que rijan el tratamiento de datos por motivos de seguridad nacional, disposiciones de orden público,
seguridad y salud públicas o para proteger los derechos de terceros.

Por otra parte, dentro del proceso penal, el artículo 20 consigna, como derechos de la persona imputada o
acusada, se le juzgue por un juez o tribunal en audiencia pública, aunque dicha publicidad puede restringirse,
entre otros motivos, por protección de las víctimas, testigos y menores, cuando se ponga en riesgo la revelación
de datos legalmente protegidos; y a que se le proporcionen todos los datos que requiera para su defensa y que
consten en el proceso. A la víctima u ofendido, el mismo artículo le concede el derecho a que su identidad y otros
datos personales sean resguardados cuando se trate de menores de edad; delitos de violación, trata de
personas, secuestro o delincuencia organizada; y cuando el juzgador considere que esa reserva es necesaria
para su protección, sin menoscabo de los derechos que corresponden a la defensa.

Finalmente, el artículo 73, fracción XXIX-O concede al Congreso de la Unión la facultad para legislar en materia
de datos personales en posesión de los particulares.

D. ¿Existen en su país códigos de conducta de autocontrol u otros sistemas semejantes de

responsabilidad por la privacidad y la protección de datos? En caso afirmativo describa brevemente
estos sistemas y adjunte copia de las disposiciones y documentos pertinentes que describan su
operación.

El artículo 44 de la LFPDPPP prevé que las personas físicas o morales puedan convenir entre ellas o con
organizaciones civiles o gubernamentales esquemas de autorregulación vinculante en la materia, los cuales

6 
 
 deben notificarse al IFAI a efecto de que lleve el registro correspondiente, de acuerdo con el artículo 86 del
Reglamento de la LFPDPPP.

Aún no se encuentra inscrito ningún mecanismo de autorregulación en el registro que administrará el IFAI, debido
a que el mismo será instrumentado próximamente. Sin embargo, se tiene conocimiento de que existen empresas
privadas que cuentan actualmente con esquemas de autorregulación que incorporan disposiciones en materia de
protección de datos personales y privacidad. A continuación se mencionan algunos ejemplos, no sin antes aclarar
que en la elaboración y revisión de los mismos el IFAI no ha participado en modo alguno ni ha emitido ningún tipo
de validación al respecto.

• Asociación Mexicana de Internet (AMIPCI)

La AMIPCI, institución privada que integra a empresas de la industria de internet en México, otorga un sello
electrónico de confianza que reconoce a los negocios o instituciones que promueven el cumplimiento de la
privacidad de la información y están legítimamente establecidos.

La empresa que lo obtenga se compromete a acatar lo dispuesto por la normativa de privacidad y de protección
de datos personales aplicable, así como lo previsto en el Código de Ética de la AMIPCI y el contrato que los
poseedores del sello de confianza firmaron con esa asociación.10

Por otra parte, el Código de Ética de AMPICI establece, en su artículo 1, normas mínimas de conducta que deben
seguir los asociados. Su capítulo VI versa sobre las obligaciones de los asociados para la protección de la
privacidad de la información. En particular, el artículo 22 establece que los asociados tienen que cumplir con las
normas orientadas hacia la privacidad de los usuarios en línea, por lo cual deben adoptar políticas que se
adapten a los estándares de la AMIPCI, en las que se prevean los siguientes aspectos: puesta en práctica de una
política de privacidad, avisos y divulgación, opciones y consentimiento, calidad de los datos, y limitaciones de uso
y seguridad. Este Código de Ética también establece, en su Título III, la imposición de sanciones para cualquier
asociado que incumpla con esta norma.11

• Grupo Financiero Banco Bilbao Vizcaya Argentaria, S.A. Bancomer (BBVA Bancomer)

Esta institución tiene un Código de Ética12 que, en materia de protección de datos personales y privacidad,
contiene un conjunto de normas y procedimientos específicos que han sido adoptados por las entidades del
grupo, con la finalidad de proteger y asegurar el tratamiento apropiado de la información de carácter personal
que, como consecuencia del desarrollo de sus actividades empresariales, obtienen de sus clientes, accionistas,
empleados y administradores, o de cualquier otra persona física con la que se relacionan. El Código establece,
entre otras, las siguientes responsabilidades para la institución y sus empleados:

9 Conocer y observar las normas y procedimientos internos que resulten de aplicación en materia de
seguridad de la información y de protección de datos de carácter personal.
9 Aplicar medidas adecuadas para evitar el acceso indebido a tal información.
9 Los empleados que, por razón de su cargo o de su actividad, dispongan de datos o tengan acceso a datos
personales son responsables últimos de su custodia y apropiado uso.

                                                            
10 En particular, el sello de confianza de AMIPCI promueve el cumplimiento de los siguientes documentos: LFPDPPP y su Reglamento, Ley
Federal de Protección al Consumidor, Código de Ética de AMIPCI y Marco de Privacidad del Foro de Cooperación Económica Asia Pacífico
(APEC).
11 La información sobre la AMIPCI fue obtenida de su propia página electrónica, en las siguientes direcciones:

http://www.amipci.org.mx/somos
http://www.sellosdeconfianza.org.mx/
http://www.sellosdeconfianza.org.mx/etica.php
12 Disponible en: http://www.segurosbancomer.com.mx/seguros/pdf/CodigoDeConducta_ManualDePol%C3%ACticas.pdf  

7 
 
 • Código de Conducta del Grupo Novartis13

El Grupo Novartis está conformado por empresas que desarrollan productos farmacéuticos.14 Este grupo cuenta
con un Código de Ética que en uno de sus puntos señala que sus empresas: respetan el derecho a la privacidad
de sus empleados, pacientes, médicos y otros grupos de interés; están obligadas a informar a las personas de la
recogida y el tratamiento de sus datos personales; y recogen y procesan datos personales con fines comerciales
legítimos y concretos, además de que protegen dichos datos de accesos no autorizados.

II. NORMATIVIDAD Y CUMPLIMIENTO

A. ¿Cuál es el mecanismo o los mecanismos para hacer efectivo el cumplimiento de las leyes, normas
o procedimientos sobre privacidad y protección de datos arriba referidos, y qué recursos pueden
interponerse? Describa todos los mecanismos que existan y adjunte copia de los textos o
documentos pertinentes.

Los mecanismos para lograr que se haga efectivo el cumplimiento de la normatividad sobre privacidad y
protección de datos personales pueden ser de carácter voluntario y coercitivo; a continuación se explican los que
aplican para el sector privado. Recuérdese que dicho sector está regulado a nivel nacional, por lo que la
aplicación de la normatividad que lo rige ha sido encomendada a autoridades federales, sin que los gobiernos de
las entidades federativas tengan competencia en este tema.

Como un mecanismo de carácter voluntario, la LFPDPPP faculta a que los responsables convengan entre ellos o
con organizaciones civiles o gubernamentales, nacionales o extranjeras, esquemas de autorregulación vinculante
que permitan facilitar el cumplimiento de esta norma y las que de ella deriven, en los tratamientos de datos
personales que realicen, a la vez que favorezcan el ejercicio de los derechos de los titulares. Estos esquemas
pueden tomar la forma de códigos deontológicos o de buena práctica profesional, sellos de confianza, políticas de
privacidad, reglas de privacidad corporativas, o algún otro; y tienen que ser notificados al IFAI y a las autoridades
sectoriales correspondientes.15

Los contenidos mínimos que deben establecer y definir los responsables al desarrollar sus esquemas de
autorregulación están previstos en el Reglamento de la LFPDPPP y son los siguientes: ámbito de aplicación;
procedimientos que se utilizarán para que los adheridos cumplan eficazmente con la protección de datos
personales y para medir su eficacia; sistemas de supervisión y vigilancia internos y externos; programas de
capacitación para las personas que traten los datos; mecanismos que permitan facilitar los derechos de los
titulares; identificación de los adheridos, a fin de que sea posible reconocer a los responsables de cumplir con el
esquema de autorregulación; y medidas correctivas en caso de incumplimiento.16

Estos esquemas de autorregulación incluyen también la certificación de los responsables en materia de

protección de datos personales, la cual puede ser otorgada bajo un procedimiento llevado a cabo por una
persona física o moral acreditada que avale que las políticas, programas y procedimientos de privacidad que

                                                            
13 El IFAI tuvo conocimiento de este Código por una presentación que le hizo el Grupo Novartis; sin embargo, este documento no fue
encontrado en su página electrónica en México, disponible en:
http://www.novartis.com.mx/10ybrand/NOVARTIS_WEB_2009/Soft_Templates/index.html
14 En México, dichas empresas son: Novartis Farmacéutica (medicamentos de patente), Sandoz (productos genéricos intercambiables), OTC

(medicamentos de libre prescripción), CIBA Vision (proveedor de lentes de contacto de alta tecnología y productos para su cuidado), Novartis
Salud Animal (al cuidado de la salud de mascotas y animales productivos) y Novartis Vacunas y Diagnósticos (vacunas y productos de
diagnóstico clínico.). Para corroborar lo anterior, diríjase a:
http://www.novartis.com.mx/10ybrand/NOVARTIS_WEB_2009/Soft_Templates/ACERCA_DE/Grupo_Novartis.html
15 Artículo 44 de la LFPDPPP y 80 del Reglamento de la LFPDPPP.
16 Artículo 82.

8 
 
 implementaron los responsables aseguran el debido tratamiento de los datos y que las medidas de seguridad que
adoptaron son las adecuadas para protegerlos.17

Otros mecanismos no coercitivos a cargo del IFAI, previstos en la LFPDPPP para favorecer el cumplimiento de la
normatividad de privacidad y protección de datos personales, consisten en: coadyuvar con otras instituciones de
gobierno para la expedición de regulación; emitir criterios y recomendaciones, así como divulgar estándares y
mejores prácticas internacionales en la materia; cooperar con autoridades de supervisión y organismos
nacionales e internacionales; elaborar estudios e investigaciones, incluidos los de impacto sobre la privacidad; y
ofrecer capacitación a los sujetos obligados.18

En cuanto a los mecanismos coercitivos, la LFPDPPP y su Reglamento contienen disposiciones relativas a: (i) el
procedimiento para ejercer los derechos de acceso, rectificación, cancelación y oposición; (ii) el procedimiento de
protección de los derechos indicados; (iii) el procedimiento de verificación del cumplimiento de esta normatividad;
y (iv) el procedimiento de imposición de sanciones. Cuando exista inconformidad por las resoluciones del IFAI se
puede acudir ante el Tribunal Federal de Justicia Fiscal y Administrativa para tramitar el juicio de nulidad
correspondiente.

Respecto a los datos personales en posesión del sector público a nivel federal, el acceso y rectificación a los
mismos se ejerce ante los órganos del Estado, en una primera instancia, a través de una solicitud de acceso o
rectificación de datos. El solicitante de los datos puede inconformarse de la respuesta que se le otorgue ante el
IFAI o instancia equivalente en los otros Poderes de la Unión, órganos constitucionales autónomos y tribunales
administrativos federales, vía recurso de revisión.

En el caso del Poder Ejecutivo, una vez que haya transcurrido un año desde que el IFAI emitió una resolución
que confirme la decisión de una dependencia o entidad federal, se puede promover la reconsideración ante el
mismo Instituto.

Las resoluciones que emita el IFAI son susceptibles de ser impugnadas ante el Poder Judicial de la Federación
por medio del juicio de amparo. Esto tiene su fundamento en la LFTAIPG y su Reglamento.

En el caso de los datos personales en posesión de los gobiernos estatales y del Distrito Federal, sus respectivas
leyes prevén una vía administrativa, generalmente en forma de solicitud, para ejercer uno o más de los siguientes
derechos: acceso, rectificación, cancelación y oposición; así como otra, también de carácter administrativo, para
impugnar las respuestas que se les proporcionó a los titulares. Este medio de impugnación generalmente es
conocido como recurso, pero dependiendo de la legislación de que se trate puede denominarse queja, recurso de
revisión, recurso de reconsideración, procedimiento de inconformidad, entre otros. En el cuadro que forma parte
de esta respuesta se presenta un listado, ordenado por entidad federativa, con los derechos que en materia de
datos personales se conceden a nivel local, así como los medios administrativos de impugnación para
garantizarlos y los nombres de las leyes que fundamentan estas acciones.

Recuérdese que tanto para el sector público como para el privado, la vía judicial es la última instancia ante la cual
es posible hacer efectivo el ejercicio del derecho a la protección de los datos personales mediante el juicio de
amparo. Este juicio está previsto en la Constitución Política de los Estados Unidos Mexicanos en los artículos 103
y 107 y existe una ley específica en la materia que se denomina “Ley de Amparo, Reglamentaria de los artículos
103 y 107 de la Constitución Política De Los Estados Unidos Mexicanos”.

No se omite indicar que como mecanismos no coercitivos para conseguir el cumplimiento de normas sobre
privacidad y protección de datos a nivel federal en el sector público, la LFTAIPG indica que el IFAI está facultado

                                                            
17 Artículos 83 y 84 del Reglamento de la LFPDPPP.
18 Artículo 39 de la LFPDPPP. 

9 
 
 para establecer lineamientos y políticas generales para el manejo, mantenimiento, seguridad y protección de ese
tipo de datos; capacitar a los servidores públicos; elaborar y publicar estudios para ampliar el conocimiento del
tema; y cooperar con los demás sujetos obligados, las entidades federativas y los municipios, mediante la
celebración de acuerdos o programas.19 Véase en el Anexo I.A los textos correspondientes a la normatividad
antes señalada.

En el mismo sentido, las leyes locales prevén mecanismos como la capacitación de servidores públicos, la
cooperación con otras autoridades y la elaboración de estudios e investigaciones, entre otros, para contribuir a
hacer efectivo el derecho a la protección de datos personales. Véase en el Anexo I.B los textos correspondientes
a la normatividad de nivel estatal.

Cuadro II.A Sector público

No. Entidad Nombre de la Ley Prevé solicitud de uno o más Nombre del recurso para
derechos arco y cuáles impugnar la solicitud de
derechos arco
1 Aguascalientes Ley de Transparencia y Acceso a la Acceso, rectificación, supresión Recursos de revisión e
Información Pública del Estado de y oposición. inconformidad.
Aguascalientes.
2 Baja California Ley de Acceso a la Información Pública Acceso, rectificación, Recurso de revisión.
para el Estado de Baja California. supresión y oposición.
3 Baja California Sur Ley de Transparencia y Acceso a la Acceso y rectificación. Recurso de revisión.
Información Pública para el estado de
Baja California Sur.
4 Campeche Ley de Transparencia y Acceso a la Acceso y rectificación Recurso de revisión.
Información Pública del Estado de (corrección).
Campeche.
5 Coahuila Ley de Acceso a la Información Pública y Acceso, rectificación, Recurso de revisión.
Protección de Datos Personales para el cancelación y oposición.
Estado de Coahuila.
6 Colima Ley de Protección de Datos Personales Acceso, rectificación, Denuncia (reclamación).
del Estado de Colima. cancelación y oposición.
7 Chiapas Ley que Garantiza la Transparencia y el Acceso y rectificación. Recurso de revisión.
Derecho a la Información Pública para el
Estado de Chiapas.
8 Chihuahua Ley de Transparencia y Acceso a la Acceso, rectificación y Recurso de revisión.
Información Pública del Estado de supresión.
Chihuahua
9 Durango Ley de Acceso a la Información Pública Acceso, rectificación, Recurso de revisión.
del Estado de Durango cancelación y oposición.
10 Distrito Federal Ley de Protección de Datos Personales Acceso, rectificación, Recurso de revisión.
para el Distrito Federal cancelación y oposición.
11 Guanajuato Ley de Protección de Datos Personales Acceso, rectificación, Recurso de queja.
para el Estado y los Municipios de cancelación y oposición.
Guanajuato
12 Guerrero Ley de Acceso a la Información Pública Acceso y actualización. Queja.
del Estado de Guerrero
13 Hidalgo Ley de Transparencia y Acceso a la Corrección, sustitución, Recursos de aclaración e
Información Publica Gubernamental del rectificación o supresión total o inconformidad.
Estado de Hidalgo parcial de los datos
personales.
14 Jalisco Ley de Transparencia e Información Acceso, rectificación, Recurso de revisión.
Pública del Estado de Jalisco cancelación y oposición.
15 México Ley de Transparencia y Acceso a la Acceso, corrección, Recurso de revisión.
Información Pública del Estado de México sustitución, rectificación, o
y Municipios supresión total o parcial.
16 Michoacán Ley de transparencia y acceso a la Acceso, rectificación, Recurso de revisión.
información pública cancelación y oposición.
                                                            
19 Artículo 37.

10 
 
 Del estado de Michoacán de Ocampo
17 Ley de Información Pública, Estadística y Acceso y modificación. Recurso de inconformidad.
Morelos Protección de Datos Personales del
Estado de Morelos
18 Ley de Transparencia y Acceso a la Acceso y modificación. Recurso de revisión.
Nayarit
Información Pública del Estado de Nayarit
19 Ley de Transparencia y Acceso a la Acceso, rectificación, Procedimiento de
Nuevo León
Información del Estado de Nuevo León cancelación y oposición. inconformidad.
20 Ley de Protección de Datos Personales Acceso, corrección, Recurso de revisión.
Oaxaca
del Estado de Oaxaca. cancelación y oposición.
21 Ley de Transparencia y Acceso a la Acceso, modificación y Recurso de revisión.
Puebla Información Pública del Estado de Puebla corrección.

22 Ley Estatal de Acceso a la Información Acceso y oposición a la Recurso de revisión.

Gubernamental en el Estado de Querétaro publicación de datos
Querétaro
personales en sentencias y
resoluciones.
23 Ley de Transparencia y Acceso a la Acceso y corrección. Recurso de revisión.
Quintana Roo Información Pública del Estado de
Quintana Roo
24 Ley de Transparencia y Acceso a la Acceso, corrección, Queja.
Información Pública del Estado de San sustitución, rectificación y
San Luis Potosí
Luis Potosí supresión total o parcialmente
los datos personales.
25 Ley de Acceso a la Información Pública Acceso, rectificación y No prevé de manera expresa
Sinaloa del Estado de Sinaloa supresión. un recurso en materia de
datos personales.
26 Ley de Acceso a la Información Pública Acceso, rectificación, Recurso de revisión.
Sonora del Estado de Sonora sustitución, supresión y
exclusión.
27 Ley de Transparencia y Acceso a la Acceso, rectificación, Recurso de revisión.
Información Pública del Estado de supresión y oposición a la
Tabasco
Tabasco publicación de sus datos
personales.
28 Ley de Información Pública del Estado de Acceso, rectificación y Recurso de revisión.
Tamaulipas
Tamaulipas supresión.
29 Ley de Acceso a la Información Pública y Acceso, cancelación, inclusión, Recurso de revisión.
Protección de Datos Personales del complementación, rectificación,
Tlaxcala
Estado de Tlaxcala suspensión y reserva.

30 Ley de Transparencia y Acceso a la Acceso, rectificación y Recurso de revisión.

Veracruz Información Pública para el Estado de supresión.
Veracruz de Ignacio de la Llave
31 Ley de Acceso a la Información Pública Acceso, rectificación y Recurso de inconformidad.
Yucatán para el Estado y los Municipios de supresión.
Yucatán
32 Ley de Acceso a la Información Pública Acceso, rectificación, Recurso de revisión.
Zacatecas
del Estado de Zacatecas cancelación y oposición.

B. ¿El ordenamiento jurídico interno de su país prevé la interposición de recursos en el sistema

nacional de órganos jurisdiccionales para personas que han sido perjudicadas por violaciones a su
privacidad o a la protección de datos? ¿Les otorga a las autoridades gubernamentales facultades
para asegurar el cumplimiento de las leyes y normas pertinentes sobre privacidad y protección de
datos? En caso afirmativo, describa y adjunte copia de los textos o documentos pertinentes.

El IFAI según los artículos 38 al 44 de la LFPDPPP, así como 24, 25, 26 y 50 de la LFTAIPG es la autoridad
administrativa facultada para asegurar el cumplimiento de la misma, tanto con atribuciones de oficio como con
procedimientos puestos a disposición de la Ciudadanía. Aunque el IFAI es una entidad del Poder Ejecutivo,

11 
 
 cuenta con atribuciones materialmente jurisdiccionales por lo que conoce de los recursos que los ciudadanos
promueven ante esa autoridad, según ha quedado descrito anteriormente.

Por lo que hace a la existencia de facultades para asegurar el cumplimiento de las leyes, la LFPDPPP en su
artículo 39, fracción VI, faculta al IFAI para conocer y resolver los procedimientos de protección de derechos y de
verificación, así como para imponer sanciones. Cabe señalar que en términos de lo establecido en el artículo 56
de la LFPDPPP, en contra de las resoluciones del IFAI los particulares pueden promover el juicio de nulidad ante
el Tribunal Federal de Justicia Fiscal y Administrativa y ante la resolución dictada por este tribunal administrativo
es posible presentar el juicio de amparo ante el Poder Judicial.

A su vez, la LFTAIPG en su artículo 37, fracción II otorga atribuciones al IFAI para conocer y resolver los recursos
de revisión tanto en materia de acceso a información como de protección de datos personales, pero sólo cuenta
con atribuciones para hacer del conocimiento del órgano interno de control correspondiente las presuntas
infracciones a la Ley y a su Reglamento, es decir, para el sector público no se cuenta con facultades propias para
imponer sanciones a los sujetos obligados de la LFTAIPG. Cabe señalar que las resoluciones a recursos de
revisión que dicta el Pleno del IFAI, sólo pueden ser combatidas por los particulares a través del juicio de amparo
del cual conoce el Poder Judicial de la Federación. Para los sujetos obligados por la LFTAIPG las resoluciones a
recursos de revisión que dicta el Pleno del IFAI son definitivas. Véase en el Anexo I.A. la normatividad antes
señalada.

C. ¿Cuáles son en su país las principales autoridades gubernamentales responsables de la aplicación

de las leyes y normas sobre privacidad y protección de datos? Describa su relación con (o
independencia de) el gobierno, indique su tamaño en términos de dotación de personal y presupuesto
y adjunte copia de los textos y documentos pertinentes.

La Autoridad Garante en materia de protección de datos personales y derecho a la privacidad, tanto frente al
sector privado como a la Administración Pública a nivel federal es el IFAI.

De acuerdo con el artículo 33 de la LFTAIPG “El Instituto es un organismo descentralizado de la Administración

Pública Federal, no sectorizado, con autonomía operativa, presupuestaria y de decisión, encargado de
promover y difundir el ejercicio del derecho a la información; resolver sobre la negativa a las solicitudes de
acceso a la información y proteger los datos personales en poder de las dependencias y entidades”; por su parte,
el artículo 38 de la LFPDPPP establece que “El Instituto, para efectos de esta Ley, tendrá por objeto difundir el
conocimiento del derecho a la protección de datos personales en la sociedad mexicana, promover su ejercicio y
vigilar por la debida observancia de las disposiciones previstas en la presente Ley y que deriven de la misma; en
particular aquellas relacionadas con el cumplimiento de obligaciones por parte de los sujetos regulados por este
ordenamiento.”

Según el Presupuesto de Egresos de la Federación, para el ejercicio 2012 se asignó al IFAI un presupuesto total
para cumplir con sus atribuciones de: 482’382,497.0020 (Cuatrocientos ochenta y dos millones, trescientos
ochenta y dos mil cuatrocientos noventa y siete pesos 00/100 Moneda Nacional) y al 15 de enero de 2011 tiene
en funciones un aproximado de 393 empleados. Cabe señalar que ambas cifras comprenden la totalidad de
atribuciones del IFAI entre las que se encuentran principalmente las relacionadas con la materia de protección de
datos personales en el sector público federal y el sector privado, así como las correspondientes al acceso a
información pública gubernamental.

Además del IFAI --que es la autoridad garante del derecho a la protección de datos personales en el ámbito de la
administración pública federal (Poder Ejecutivo)-- cabe señalar que a nivel federal existen también las siguientes

                                                            
20 http://www.apartados.hacienda.gob.mx/presupuesto/temas/pef/2012/temas/tomos/06/r06_hhe_afpefe.pdf

12 
 
 autoridades gubernamentales responsables de la aplicación de las leyes y normas sobre privacidad y protección
de datos:

1. Dentro del Poder Legislativo Federal, la Cámara de Senadores del Congreso de la Unión cuenta con un
Comité de Garantía de Acceso y Transparencia de la Información, conformado por 4 Senadores y que es
parte de las comisiones de la propia Cámara. Este Comité conoce y resuelve los asuntos relacionados con
protección de datos personales21. La Cámara de Diputados cuenta con un Órgano Rector de las políticas y
lineamientos en materia de transparencia, acceso a la información pública y protección de datos personales.
En términos del Reglamento de Transparencia, Acceso a la Información Pública y Protección de Datos
Personales de la Cámara de Diputados, el Órgano Rector conoce y resuelve los recursos de revisión que se
presenten en materia de protección de datos personales. En ambos casos, la autoridad en materia de
protección de datos personales es interna y no existen normas o mecanismos que les doten de algún grado
de autonomía.

2. En el Poder Judicial de la Federación, la protección de datos personales se rige conforme a lo establecido

en el “Reglamento de la Suprema Corte de Justicia de la Nación y del Consejo de la Judicatura Federal para
la aplicación de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental”22. La
Suprema Corte de Justicia de la Nación cuenta con una “Comisión de la Suprema Corte”, órgano encargado
de supervisar el cumplimiento de las disposiciones legales incluidas el Reglamento señalado por parte de
los servidores públicos de la Suprema Corte. A su vez, el Consejo de la Judicatura Federal cuenta con la
“Comisión del Consejo”, integrada por los Consejeros miembros de la Comisión de Vigilancia, Información y
Evaluación del propio Consejo. Es el órgano encargado de supervisar el cumplimiento de las disposiciones
legales y de ese Reglamento por parte de los servidores públicos del Consejo y de los Órganos
Jurisdiccionales. En consecuencia, en el Poder Judicial Federal, ambas Comisiones son la autoridad en
materia de protección de datos personales. En ambos casos, la autoridad en materia de protección de datos
personales es interna y no existen normas o mecanismos que les doten de algún grado de autonomía.

3. La Universidad Nacional Autónoma de México, en materia de protección de datos personales, se rige en

términos de lo establecido en su “Reglamento de Transparencia, Acceso a la Información Pública y
Protección de Datos Personales para la Universidad Nacional Autónoma De México”23. El Consejo de
Transparencia Universitaria es el órgano especializado e imparcial, con autonomía de operación, de gestión
y de decisión, encargado de la resolución del recurso de revisión y reconsideración en los términos
establecidos en ese Reglamento.

4. El Banco de México cuenta con un Comité de Información para clasificar la información en reservada y
confidencial de conformidad con la Ley Federal de Transparencia y Acceso a la Información Pública
Gubernamental que igualmente es una unidad administrativa dependiente del propio Banco y tiene a su
cargo la protección de la información reservada y confidencial en términos de la LFTAIPG, dentro de la que,
por criterios propios, incluye la relativa a Datos Personales24.

5. El Instituto Federal Electoral se rige, en materia de protección de datos personales, conforme a lo

establecido en el “Reglamento del Instituto Federal Electoral en Materia de Transparencia y acceso a la
Información Pública”25. La autoridad en materia de protección es el “Órgano Garante” que pertenece al
propio Instituto.

                                                            
21 http://www.senado.gob.mx/index.php?ver=int&mn=41&sm=20&id=65 
22 Disponible en: http://www.ordenjuridico.gob.mx/Federal/PJ/SCJN/Reglamentos/REGLAMENTO%20DE%20LA%20SCJN%20Y%20CJF.pdf
23 Disponible en: http://www.transparencia.unam.mx/reglamento.pdf
24 http://www.banxico.org.mx/ley-de-transparencia/guia-acceso-informacion/guia-ley-federal-transparenci.html 
25http://normateca.ife.org.mx/internet/files_disp/27/98/REGTO_DEL_IFE_EN_MATERIA_TRASPARENCIA_Y_ACCESO_A_LA_INFORMACIO

N_PUBLICA.pdf

13 
 
 6. El Instituto Nacional de Estadística y Geografía, se rige en materia de protección de datos personales
conforme a lo establecido en el Reglamento de Transparencia y Acceso a la Información Pública del
INEGI26. La Comisión de Transparencia y Acceso a la Información Pública del INEGI (instancia dependiente
del INEGI), es el órgano garante responsable de aplicar la Ley así como de resolver los recursos de revisión
que puedan presentarse en temas tanto de acceso a información como de protección de datos personales.

7. La Comisión Nacional de Derechos Humanos, en materia de protección de datos personales se rige

conforme a lo establecido en el Reglamento de Transparencia y Acceso a la Información de la Comisión
Nacional de los Derechos Humanos27. Cuenta con un Órgano Revisor especializado que goza de plena
autonomía de gestión y de decisión, y que resuelve los recursos de revisión que se presenten en materia de
acceso a información y protección de datos personales.

Lo anterior por lo que hace a las principales autoridades a nivel federal (véase en Anexo II.C la normatividad
aplicable). Ahora bien, por lo que hace al ámbito estatal, como ya se mencionó en la respuesta a la pregunta I.B,
también existen autoridades encargadas de la protección de datos personales en el sector público. A
continuación se presenta el listado de autoridades clasificadas por su nivel de independencia:

Cuadro III. C Grado de Autonomía de los Órganos Garantes

Órganos con autonomía constitucional28
No. Entidad Autoridad encargada de la protección de datos
1 Baja California Instituto de Transparencia y Acceso a la Información Pública del Estado de Baja California
2 Campeche Comisión de Transparencia y Acceso a la Información Pública del Estado de Campeche
3 Coahuila Instituto Coahuilense de Acceso a la Información Pública
4 Chihuahua Instituto Chihuahuense para la Transparencia y Acceso a la Información
5 Durango Comisión Estatal para el Acceso a la Información Pública de Durango
6 Estado de México Instituto de Acceso a la Información del Estado de México
7 Jalisco Instituto de Transparencia e Información Pública de Jalisco
8 Morelos Instituto Morelense de Información Pública y Estadística.
9 Michoacán Instituto para la Transparencia y Acceso a la Información Pública del Estado de Michoacán
10 Nuevo León Comisión de Transparencia y Acceso a la Información Pública de Nuevo León
Puebla Comisión para el Acceso a la Información Pública y Protección de Datos Personales del Estado de
11
Puebla
12 Querétaro Comisión Estatal de Información Gubernamental de Querétaro
13 San Luis Potosí Comisión Estatal de Garantía de Acceso a la Información Pública de San Luis Potosí
14 Tabasco Instituto Tabasqueño de Transparencia y Acceso a la Información Pública
Tlaxcala Comisión de Acceso a la Información Pública y Protección de Datos Personales del Estado de
15
Tlaxcala
Órganos con autonomía legal29
1 Aguascalientes Instituto de Transparencia del Estado de Aguascalientes
2 Baja California Sur Instituto de Transparencia y Acceso a la Información Pública del Estado de Baja California Sur
3 Colima Comisión Estatal para el Acceso a la Información Pública
4 Chiapas Instituto de Acceso a la Información Pública de la Administración Pública Estatal de Chiapas
5 Distrito Federal Instituto de Acceso a la Información Pública del Distrito Federal
6 Guanajuato Instituto de Acceso a la Información Pública de Guanajuato
7 Guerrero Instituto de Transparencia y Acceso a la información Pública del Estado de Guerrero
8 Hidalgo Instituto de Acceso a la Información Pública Gubernamental de Hidalgo
9 Nayarit Instituto de Transparencia y Acceso a la Información Pública del Estado de Nayarit
10 Oaxaca Instituto Estatal de Acceso a la Información Pública de Oaxaca
11 Quintana Roo Instituto de Transparencia y Acceso a la Información Pública de Quintana Roo
                                                            
26 http://www.inegi.org.mx/inegi/transparencia/XIV_MarcoN.aspx?_file=R_trans.pdf
27 http://www.cndh.org.mx/node/515
28 La autonomía constitucional implica el grado máximo de independencia de que un órgano puede gozar frente a los Poderes Constitucionales

(Ejecutivo, Legislativo y Judicial), en este sentido, no tiene una relación de subordinación frente a ninguno de éstos.
29 La autonomía legal implica autonomía técnica, presupuestaria y de decisión, aunque jerárquicamente existe subordinación frente a alguno

de los poderes en temas como el nombramiento de su órgano de decisión, por citar un ejemplo.

14 
 
 12 Sinaloa Comisión Estatal para el Acceso a la Información Pública del Estado de Sinaloa
13 Tamaulipas Instituto de Transparencia y Acceso a la Información del Estado de Tamaulipas
Veracruz Instituto Veracruzano de Acceso a la Información
14
15 Yucatán Instituto de Acceso a la Información Pública del Estado de Yucatán
16 Zacatecas Comisión Estatal para el Acceso a la Información Pública de Zacatecas
Órganos sin autonomía30
1 Sonora31 Instituto de Transparencia Informativa del Estado de Sonora

D. ¿Qué volumen de quejas relacionadas con violaciones de la privacidad y de la protección de datos

reciben sus autoridades gubernamentales correspondientes? ¿Estas autoridades abordan
individualmente cada queja o tienen discrecionalidad respecto a los asuntos que investigan o
procesan?

En el caso de las quejas presentadas con relación a datos personales en el sector público, el equivalente más
cercano corresponde al recurso de revisión interpuesto una vez que se ha presentado una solicitud de acceso a
datos personales o petición de corrección de los mismos. En este rubro (durante el periodo del 12 de junio del
2003 al 31 de diciembre de 2011) el IFAI ha recibido un total de 4,505 recursos en materia de datos personales,
de los cuales 4,373 corresponden por la negativa al derecho de acceso y el resto, 132 recursos, derivados de
alguna queja relacionada con la rectificación de los mismos. Adicionalmente se han recibido 11 quejas o
denuncias ante Instituto relacionados con el tratamiento de datos en el sector público.

En lo que respecta a las quejas presentadas ante el IFAI con motivo de la LFPDPPP, se han recibido un total de
70 quejas correspondientes al sector privado. Nótese que la Ley en esta materia es de reciente emisión32.

Con relación a los asuntos que se presentan, cabe señalar que el IFAI conoce de todos aquéllos asuntos para los
cuales se aporten los elementos suficientes para su debida atención, es decir, no es potestativo para dicha
autoridad dejar de conocer de los casos que promueven los particulares siempre que se cuente con los
elementos que la normatividad exige para tales efectos.

E. ¿Las investigaciones y acciones para asegurar la observancia de la privacidad y de la protección de

datos son emprendidas por autoridades exclusivamente en respuesta a quejas, o tienen esas
autoridades otras bases o criterios para seleccionar e iniciar una investigación o acción de ese tipo
(por ejemplo auditorías proactivas o requisitos de presentación de documentos)? Explique.

La LFPDPPP prevé la existencia de dos procedimientos relacionados con la observancia de los principios y
derechos en materia de privacidad. Por una parte en la LFPDPPP en sus artículos 45 a 58 establece el
Procedimiento de Protección de Derechos que en todos los casos se inicia a petición del titular de los datos o de
su representante legal, y también prevé en los artículos 59 y 60 el Procedimiento de Verificación que puede
iniciar de oficio o a petición de parte. En el Procedimiento de Verificación de oficio el IFAI cuenta con la facultad
para iniciarlo cuando presuma fundada y motivadamente la existencia de violaciones a la LFPDPPP.

                                                            
30 Los órganos no autónomos son instancias que si bien desarrollan actividades especializadas en materia de protección de datos personales,
no poseen algún grado de autonomía respecto de su superior jerárquico. 
31 El 1 de junio de 2010 el Congreso de Sonora aprobó una reforma a la Constitución del Estado para dotar al Instituto de autonomía

constitucional, pero surtirá plenos efectos cuando entre en vigor la reforma a la ley de la materia. La reforma constitucional fue publicada el 16
de diciembre de 2010 y entró en vigor el 1 de enero de 2011. La reforma a la Ley de Transparencia y Acceso a la Información Pública del
estado de Sonora fue publicada el 26 de diciembre de 2011y entrará en vigor el 25 de marzo de 2012.
32 La Ley se publicó en el Diario Oficial de la Federación el 5 de julio de 2010, sin embargo el ejercicio de los derechos de acceso, rectificación,

cancelación y oposición contemplados en la Ley inició a partir del 6 de enero de 2012.

15 
 
 Por lo que hace a la LFTAIPG, es a instancia de parte que el IFAI conoce de recursos de revisión. Los recursos
de revisión relacionados con protección de datos personales proceden en contra de la negativa de entregar o
corregir datos personales, así como ante la falta de respuesta a una solicitud de acceso o corrección de datos
personales. Por otra parte, el IFAI cuenta con facultades para realizar verificaciones y emitir recomendaciones en
materia de protección de datos personales a los sujetos obligados; ello con fundamento en lo previsto en los
artículos 37, fracciones IX y XIX, de la LFATIPG, 2, fracción V y 6 de su Reglamento, así como con base en el
Cuadragésimo Tercero de los Lineamientos de Protección de Datos Personales.

Cabe señalar que la LFPDPPP contempla esquemas de autorregulación vinculante. A través de la

autorregulación vinculante los responsables del tratamiento de datos personales pueden someterse a “auditorías
proactivas” con la finalidad de obtener una certificación (art. 83 del Reglamento de esta Ley). Para tales efectos,
en términos de lo establecido en el artículo 84, las certificadoras serán personas físicas o morales acreditadas
para estos fines de acuerdo con los parámetros que para tales efectos se establezcan.

F. ¿Las quejas relacionadas con la privacidad de datos comerciales se pueden sujetar a posible
enjuiciamiento penal? En caso afirmativo explique la relación, en su caso, entre los responsables de
las normas sobre privacidad y los fiscales en tales casos, así como el volumen general y la
naturaleza de los procesos penales.

Sí. En el caso del tratamiento de datos personales en posesión de particulares, los artículos 67 y 68 de la
LFPDPPP contienen sendos tipos penales, por lo que la actualización de las conductas ilícitas ahí descritas
puede ser objeto de responsabilidad penal.

Las quejas relacionadas con comercio ilegal de datos personales deben ser denunciadas ante el Ministerio
Público que es el órgano administrativo encargado de llevar a cabo las investigaciones en materia criminal y en
su caso, ejercer la acción penal ante la autoridad judicial.

Así, la relación entre los responsables de las normas sobre privacidad y los fiscales en tales casos es de
cooperación, por una parte, para hacer del conocimiento y aportar los elementos que permitan determinar la
existencia de elementos que hagan procedente el ejercicio de la acción penal, y por parte, de la autoridad
ministerial desarrollar las investigaciones y hacerse de los elementos necesarios para determinar si procede o no
el ejercicio de la acción penal ante la autoridad judicial.

A la fecha el IFAI no tiene conocimiento del inicio de algún procedimiento por la actualización de los tipos penales
previstos en los artículos 67 y 68 de la LFPDPPP.

III. JURISPRIDENCIA

A. ¿Cuál es el papel de la jurisprudencia en la protección de la privacidad de las personas en su país?

Adjunte los casos de tribunales superiores o de apelaciones en su país.

La jurisprudencia dota de certeza o certidumbre en relación con la interpretación y alcance que el Poder Judicial
de la Federación da a los preceptos jurídicos que rigen la vida de las personas. En específico, en relación con la
protección de la privacidad de las personas véase en Anexo III A algunas jurisprudencias tocantes al tema de
protección de datos personales.

IV. COOPERACIÓN TRANSFRONTERIZA

16 
 
 A. ¿El ordenamiento jurídico interno de su país limita o condiciona la transferencia de cualesquiera datos
personales a otros países? En caso afirmativo explique.

En términos de lo establecido en los artículos 36 y 37 de la LFPDPPP las transferencias de datos, ya sean

nacionales o internacionales, están sujetas a los mismos principios y derechos que rigen el tratamiento de datos
personales en términos de la LFPDPPP. En este sentido, es necesario observar principalmente los principios de
información y de consentimiento.

A mayor abundamiento, el Reglamento de la LFPDPPP establece condiciones específicas para las transferencias
nacionales en sus artículos 71 al 73, al señalar por ejemplo, que el receptor de los datos personales será un
sujeto regulado por la Ley y el Reglamento en su carácter de responsable, y deberá tratar los datos personales
conforme a lo convenido en el aviso de privacidad que le comunique el responsable transferente.

Mientras que para el caso de las transferencias internacionales, el artículo 74 del Reglamento de la LFPDPPP
establece que éstas sólo serán posibles cuando el receptor de los datos personales asuma las mismas
obligaciones que corresponden al responsable que transfirió los datos personales.

B. ¿Ha recibido su país una certificación de privacidad y protección de datos de la Unión Europea?

México no cuenta con una certificación de privacidad y protección de datos de la Unión Europea. Sin embargo,
uno de los proyectos, en el ámbito internacional, en materia de protección de datos del Instituto es impulsar y
apoyar a las instancias nacionales correspondientes con el inicio del trámite para la adecuación a terceros países
ante la Comisión Europea. Al respecto, la Secretaría de Relaciones Exteriores es el órgano responsable de
solicitar el proceso de adecuación.

C. ¿Es parte su país de algún instrumento o arreglo internacional relacionado con los principios de
privacidad y el flujo transfronterizo de información (por ejemplo, las directrices de la OCDE sobre
protección de la privacidad y flujos transfronterizos de datos personales; el Marco de Privacidad y las
Reglas de Privacidad Transfronterizas del APEC; la Convención No. 108 del consejo de Europa? En
caso afirmativo enumere los instrumentos o arreglos de los que es parte su país, la fecha en que
adquirieron fuerza de ley en su jurisdicción y las acciones que ha adoptado su país, en su caso, para
su aplicación.

México no forma parte de algún instrumento o arreglo internacional relacionado con los principios de privacidad y
flujo transfronterizo de información, sin embargo, el IFAI comprometido con la protección de la privacidad y sus
principios, ha participado en los grupos de trabajo de la Organización de Cooperación y Desarrollo Económico
(OCDE), del Foro de Cooperación Económica de Asia Pacífico (APEC) y del Consejo de Europa (CoE), en cuyas
políticas se incluyen aquéllas que tienen la finalidad de proteger la privacidad y permitir el libre flujo responsable
de datos personales. En este sentido a continuación se detallan las actividades realizadas con estos organismos:

‐ OCDE: La representación oficial de México ante este Organismo, recae en la Secretaria de Economía, es
miembro de la Organización desde el 18 de mayo de 1994. Respecto a la protección de datos y privacidad, la
LFPDPPP fue configurada tomando como referente las Directrices de Privacidad y el Flujo Transfronterizo de
Datos de dicho organismo, sin tener algún otro acuerdo en la materia, en el marco de esta organización. Sin
embargo, a partir del año 2010, el IFAI ha participado activamente en los trabajos organizados por el Grupo
de Trabajo sobre Seguridad de la Información y Privacidad (Working Party on Information Security and
Privacy - WPISP por sus siglas en inglés) de la OCDE. El IFAI asiste a las dos reuniones anuales que se
programan como parte de la agenda del WPISP para participar en la discusión de documentos y elaborar
propuestas. Asimismo, es integrante del Grupo Voluntario de Privacidad del WPISP, encabezado por la

17 
 
 Comisionada de Privacidad de Canadá, Jennifer Stoddart, cuyo objetivo principal está dedicado a explorar
maneras de fomentar la cooperación entre las autoridades de protección de datos y otros organismos de
ejecución con respecto a las reclamaciones transfronterizas y otros casos que surgen de del flujo de datos.

‐ APEC: La representación oficial de México ante APEC recae en la Secretaria de Economía, es miembro del
Foro APEC desde noviembre de 1993. La LFPDPPP igualmente tomó como base el Marco de Privacidad de
APEC en el 2005, que sienta los principios que seguirán las economías en esta materia. Asimismo, México
pertenece al Subgrupo de Privacidad (Data Privacy Sub-Group, DPS), donde actualmente se está trabajando
en el diseño e implementación del Sistema de las Reglas Transfronterizas de Privacidad y que a su vez forma
parte del Grupo Ejecutivo de Comercio Electrónico (Electronic Commerce Steering Group) de APEC. Cabe
mencionar que México aún no forma parte del Sistema de Reglas Transfronterizas de Privacidad en lo
específico.

‐ CONSEJO DE EUROPA (CoE): México es observador del Consejo de Europa desde 1999. En 2001, el país
fue aceptado por el Comité de Ministros del Consejo como Observador de la Comisión de Venecia,
involucrándose en el diseño de legislación para cortes constitucionales, minorías nacionales, y leyes
electorales. En el caso específico sobre el Convenio 108 para la Protección de las Personas con respecto al
Tratamiento Automatizado de Datos de Carácter Personal, a pesar de que el país no ha firmado su adhesión
al Convenio, el IFAI ha comenzado a explorar esta posibilidad y desde hace algunos años asiste a las
reuniones del Comité Consultivo sobre la Modernización del Convenio 108 de acuerdo a la agenda que el
Consejo de Europa marca para tales efectos. El acercamiento ha sido tal, que en el marco de la pasada
edición 33 de la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada en
la Ciudad de México, y en específico en el IX Encuentro Iberoamericano de Protección de Datos, el CoE
organizó un panel sobre la Modernización del Convenio y la relación con los países latinoamericanos. Lo
anterior permitió reforzar la relación del IFAI con el Consejo, así como el liderazgo que el Instituto ha tenido en
la región de América Latina respecto a los temas de acceso a la información y protección de datos.

Adicionalmente, México es miembro de la Red Iberoamericana de Protección de Datos desde 2003 y desde el
2010 se congratula de ser el país presidente de la Red; a través de su Comisionada Presidenta Jacqueline
Peschard. México también ha sido sede en tres ocasiones de los Encuentros Iberoamericanos, en el 2006, 2010
y 2011. Año con año La Red lleva acabo seminarios en los que autoridades, industria y académicos debaten y
presentan diversos temáticas acerca de los retos de la protección de datos a nivel mundial en los que México
participa activamente en la elaboración del programa. Su IX Encuentro Iberoamericano de Protección de Datos
se realizó el 31 de noviembre en la Ciudad de México, en el marco de la 33 Conferencia Internacional de
Autoridades de Protección de Datos y Privacidad.

D. ¿La legislación de su país permite que las autoridades pertinentes encargadas del cumplimiento de
las leyes compartan información y pruebas sobre investigación y cumplimiento con autoridades
homologas en jurisdicciones extranjeras? En caso afirmativo, explique.

Partiendo de un punto de vista general, efectivamente el marco jurídico mexicano otorga a las autoridades de los
distintos órdenes de gobierno la facultad para implementar mecanismos de comunicación e intercambio de
información con autoridades homólogas de otros países. Por ejemplo, en materia penal federal, la Secretaría de
Seguridad Pública, de conformidad con el artículo 26 de su Reglamento Interior33, y la Procuraduría General de
la República (PGR), de conformidad con el artículo 5 de la Ley Orgánica de la PGR34, se encuentran facultadas
para intercambiar diversa información con sus homólogas en el extranjero.

                                                            
33 Disponible en: http://www.ssp.gob.mx/portalWebApp/ShowBinary?nodeId=/BEA%20Repository/770061//archivo
34 Ley disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LOPGR.pdf

18 
 
 En materia administrativa, por ejemplo, la Procuraduría Federal del Consumidor y la Secretaría de Hacienda y
Crédito Público (SHCP) constituyen otro ejemplo de autoridades mexicanas con facultades para intercambiar
información con gobiernos extranjeros. En efecto, el artículo 24 de la Ley Federal de Protección al Consumidor35,
y los artículos 15 A y 36 B del Reglamento Interior de la SHCP36, respectivamente, establecen facultades para
comunicar información a gobiernos de otras naciones.

E. ¿Su gobierno o sus autoridades encargadas del cumplimiento de las leyes cooperan con otros
gobiernos o con autoridades homologas en asuntos de investigación o de cumplimiento relacionados
con privacidad y protección de datos, por ejemplo, para hacer frente al uso fraudulento, transferencia
o mal manejo de datos personales?

En materia de privacidad y protección de datos personales en específico, la LFPDPPP otorga al IFAI la facultad
de cooperar con otras autoridades de supervisión y organismos nacionales e internacionales (artículo 39, fracción
VII).

F. En caso de existir la colaboración transfronteriza, ¿es informal esta colaboración, ocurre a través de
entidades reguladoras de la privacidad y de la protección de datos, o se lleva a cabo a través de redes
de cooperación transfronteriza, tales como la Red global de Vigilancia de la privacidad (GPEN), el
arreglo transfronterizo de vigilancia de la privacidad (Cross Border Privacy Enforcement Arrangement)
de la APEC, o la Red Iberoamericana de de Protección de Datos? En caso afirmativo, describa esta
colaboración o la participación de su país en estas redes.

Si bien formalmente el Instituto no forma parte de la Red la Red global de vigilancia de la privacidad (GPEN) y del
arreglo transfronterizo de vigilancia de la privacidad (Cross Border Privacy Enforcement Arrangement) de la
APEC, participa en las reuniones de ambos mecanismos.

Por otra parte, el IFAI ha sido uno de los principales impulsores de los trabajos de la Red Iberoamericana de
Protección de Datos participando en este mecanismo desde su creación. Actualmente, el IFAI preside la Red
Iberoamericana y en este carácter ha sido la autoridad anfitrionana de los últimos dos Encuentros
Iberoamericanos de la Red.

G. De no existir, ¿podría alguna forma de colaboración transfronteriza entre los Estados miembros de la
OEA ayudar al cumplimiento o a la implementación de leyes de privacidad y protección de datos en su
país? En caso afirmativo, suministre sugerencias sobre lo que podría resultar más útil.

Sería de gran utilidad contar con un Convenio de Colaboración Transfronteriza en la OEA que permita a las
autoridades encargadas de la protección de datos y la privacidad no sólo un fluido mecanismo de comunicación
entre autoridades sino también un esquema que facilite a los ciudadanos de los países integrantes el ejercicio de
sus derechos en países diversos a aquellos en que tienen su residencia, de manera que su derecho no se vea
limitado por una cuestión territorial. Lo anterior considerando los amplios alcances del desarrollo tecnológico.

La organización de foros para el intercambio de experiencias y mejores prácticas sería muy también provechosa
para México, ya que, por ejemplo, la ley que protege los datos personales en posesión del sector privado es de
emisión reciente, por lo que compartir la experiencia de otros países sería de mucha utilidad.

                                                            
35 Disponible en: http://www.diputados.gob.mx/LeyesBiblio/pdf/113.pdf  
36 Disponible en: http://www.shcp.gob.mx/LASHCP/MarcoJuridico/documentosDOF/2006/julio/reglamentos_18072006_105652.pdf

19 
 
 Del mismo modo el desarrollo de una herramienta tipo “toolkit” con las mejores prácticas en materia de protección
de datos personales, serviría de orientación tanto para aquéllos países miembros que aún no desarrollan
normatividad específica en la materia así como a los que aún ya contando con la misma, están en el proceso de
desarrollar o implementar regulación por sectores.

V. HABEAS DATA

A. ¿Existen en el ordenamiento jurídico interno de su país leyes que prevean el acceso a la información
sobre uno mismo, incluyendo el habeas data? En caso afirmativo, caracterice los derechos que las
personas pueden ejercer a través del habeas data, describa brevemente la fuente del derecho,
describa si este derecho se aplica a los contextos de los sectores privado o público y adjunte copia de
las disposiciones y documentos en que esté previsto.

En México, el derecho de acceso a la información personal, junto con los derechos de rectificación, cancelación y
oposición de datos personales (derechos ARCO), están previstos en el artículo 16 de la Constitución Política de
los Estados Unidos Mexicanos. Estos derechos se desarrollan en leyes específicas para el sector público y
privado cuya jurisdicción abarca a todo el territorio nacional.

Así pues, la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental y su Reglamento
tienen como finalidad, en materia de datos personales, garantizar el acceso y la corrección de los mismos, así
como regular su protección para el caso de los datos en posesión de los Poderes de la Unión, los órganos
constitucionales autónomos o con autonomía legal, y cualquier otra entidad federal. A nivel local existen
instrumentos jurídicos propios que garantizan el derecho de acceso a datos personales en posesión del sector
público de las entidades federativas correspondientes, como se aprecia en el cuadro I.B.

Por otra parte, para el sector privado, la Ley Federal de Protección de Datos Personales en Posesión de los
Particulares (en adelante, LFPDPPP), publicada el 5 de julio de 2010, y su Reglamento, regulan el acceso a los
datos personales que se encuentren en posesión de particulares, sean personas físicas o morales de carácter
privado. Lo anterior, en todo el territorio nacional.

En particular, la LFPDPPP ha sido creada como una nueva regulación que garantiza al titular de los datos
personales los derechos de acceso, rectificación, cancelación y oposición de los mismos. En este sentido, el
artículo 22 de la LFPDPPP dispone que:

Artículo 22.- Cualquier titular, o en su caso su representante legal, podrá ejercer los derechos de acceso,
rectificación, cancelación y oposición previstos en la presente Ley. El ejercicio de cualquiera de ellos no es requisito
previo ni impide el ejercicio de otro. Los datos personales deben ser resguardados de tal manera que permitan el
ejercicio sin dilación de estos derechos.

En términos generales, respecto del derecho de acceso a los datos personales, el artículo 23 de la LFPDPPP
dispone que los titulares tienen derecho a acceder a sus datos personales que obren en poder del responsable,
así como conocer el Aviso de Privacidad al que está sujeto el tratamiento. Por otra parte, respecto del derecho de
rectificación, el artículo 24 de la LFPDPPP señala que el titular de los datos tendrá derecho a rectificarlos cuando
sean inexactos o incompletos. Adicionalmente, el derecho de cancelación está previsto en el artículo 25 de la
Ley, y establece que el titular tendrá en todo momento el derecho a cancelar sus datos personales. Finalmente, el
artículo 27 de la LFPDPPP dispone que el titular tendrá derecho en todo momento y por causa legítima a
oponerse al tratamiento de sus datos.

VI. DESAFÍOS TECNOLÓGICOS Y EMPRESARIALES

20 
 
 A. ¿Existen tecnologías o prácticas empresariales que planteen desafíos particulares para la aplicación o
la implementación de las leyes de privacidad y protección de datos o de otras leyes de protección del
consumidor en su país? En caso afirmativo, descríbalas.

En México, en términos generales, los desafíos para la aplicación e implementación de leyes de privacidad y
protección de datos apuntan a los sectores de las comunicaciones electrónicas y el bancario, por citar algunos de
los más importantes.

También representa un reto importante el tema de las redes sociales, tanto por la amplitud de usuarios de los
mismos, así como por la dificultad de aplicar las leyes a empresas que se encuentran establecidas fuera del
ámbito de la Ley. En el mismo sentido, se encuentran los desafíos que significan los temas de jurisdicción y
Cloud Computing, ya que estos requieren de la existencia de un diseño legislativo suficiente que permita generar
criterios para la aplicación de leyes nacionales ante el fenómeno de la desmaterialización que ha generado el
internet y los correspondientes desarrollos sobre dicha plataforma.

Adicionalmente, la regulación de la Cloud Computing conlleva un reto importante, entre otras, en las siguientes
áreas:
1. Administración de la seguridad por parte de los proveedores de servicios;
2. Gestión de derechos;
3. Arquitectura de seguridad;
4. Monitoreo y administración de incidentes de seguridad;
5. Pruebas y medidas de seguridad;
6. Capacitación del personal;
7. Transparencia;
8. Opciones de control para el usuario;
9. Portabilidad y uso de los datos personales;
10. Interoperabilidad;
11. Protección de datos y cumplimiento;
12. Certificación; y
13. Proveedores de servicios para la administración pública.

La regulación del telemarketing vía SMS, e-mail, MMS, llamadas telefónicas pre-grabadas y faxes, entre otros,
establece grandes desafíos para la regulación de las comunicaciones electrónicas. Lo mismo si las empresas
están usando los datos recabados de forma automática a través de Internet u obtenidos de los foros o grupos de
noticias, listas de correo a los suscriptores de un proveedor y los datos en Internet.

Por último, un tema de especial interés es el correspondiente a la video-vigilancia ya que implica dos intereses
jurídicos de la mayor relevancia pera nuestro país: la seguridad y la protección de datos. En este caso el reto está
en lograr una verdadera armonización que dimensione correctamente los alcances de cada uno de los intereses
jurídicos en presencia.

21