Proteccin de Datos Personales Instituto de Transparencia del

Protección de Datos Personales Instituto de Transparencia del Estado de Aguascalientes

INTRODUCCIÓN Y ANTECEDENTES

Introducción

Introducción

Antecedentes de la Protección de Datos Personales

Antecedentes de la Protección de los Datos Personales en México 2009 2008 • Reformas a los artículos 16 y 73 de la CPEUM e 2007 introduce el • El Congreso de derecho de toda la Unión aprobó persona a la reforma al protección de su 2002 artículo 6° información. • Ley de constitucional Transparencia y • Establece la Acceso a la protección de Información los Datos Pública Personales. Gubernamental El artículo 16 constitucional incorpora el Derecho a la Protección de Datos Personales, como un derecho fundamental. 2010 2017 Aprobación y publicación de la Aprobación de la Ley Federal Ley General de Protección de de Protección Datos Personales de Datos en Posesión de Personales en los Sujetos Posesión de Obligados. Particulares.

CONCEPTOS BÁSICOS

Sujetos Obligados Son sujetos obligados en el ámbito federal, estatal y municipal cualquier autoridad, entidad, órgano y organismo de: Los Poderes Ejecutivo, Legislativo y Judicial Partidos Políticos Órganos Autónomos Fideicomisos y Fondos públicos

Conceptos Básicos Titular: La persona física a quien corresponden los Datos Personales. Responsable: Encargado: Los sujetos La persona física o jurídica, obligados que pública o privada, ajena a la deciden sobre el tratamiento de los Datos Personales. organización del responsable, que sola o conjuntamente con otras trate Datos Personales A NOMBRE Y POR CUENTA del responsable.

Conceptos Básicos Tratamiento Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados, aplicados a los datos personales, personales relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales. Supresión La baja archivística de los datos personales conforme a la normativa archivística aplicable, que resulte en la eliminación, borrado o destrucción de los datos personales bajo las medidas de seguridad previamente establecidas por el responsable. Transferencia Toda comunicación de datos personales dentro o fuera del territorio mexicano, mexicano realizada a persona distinta del titular, del responsable o del encargado.

CONCEPTO DE DATOS PERSONALES

¿Qué son los Datos Personales? Datos Personales Es toda aquella información concerniente a una persona física identificada o identificable Pudiendo ser: - numérica - alfabética - gráfica - fotográfica - acústica - o de cualquier otro tipo

Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información. ¿EN QUÉ CONSISTE EL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES? Derecho que tiene toda persona a conocer y decidir, quién, cómo y de qué manera recaba, utiliza y comparte sus Datos Personales.

Tipo de Datos Personales 1. Identificación 2. Laborales 3. Patrimoniales 4. Académicos 5. Ideológicos 6. Salud 7. Características Personales 8. Características Físicas 9. Vida: Sexual y Origen

Datos Personales Sensibles Son aquellos datos personales que afectan la esfera más íntima de su titular o cuya utilización indebida pueda dar origen a la discriminación o conlleve un riesgo grave para el titular. Ejemplo: origen racial, estado de salud, información genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.

DISPOSICIONES GENERALES DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS DEL ESTADO DE AGUASCALIENTES Y SUS MUNICIPIOS

Ámbito de aplicación v. Orden público v. Observancia obligatoria v. En todo el Estado de Aguascalientes

Objetivo General Garantizar el derecho de toda persona a la protección de sus datos personales en posesión de sujetos obligados.

Objetivo Específicos ØGarantizar el derecho a la protección de datos personales. ØProteger los datos personales en posesión de sujetos obligados. ØGarantizar la observancia de la ley (sanciones). ØEstablecer obligaciones, procedimientos y condiciones homogéneas (Derechos ARCO, tratamiento). ØEstablecer sanciones.

La normatividad Estatal es aplicable a cualquier tratamiento de Datos Personales que obren en soportes físicos o electrónicos, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización • Soporte físico (inteligible a simple vista). • Soporte electrónico (se requiere de un aparato con circuitos electrónicos que procese su contenido). El Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente

Por regla general no podrán tratarse Datos Personales sensibles, salvo que se cuente con el consentimiento expreso de su titular. El tratamiento de Datos Personales de menores de edad se deberá privilegiar el interés superior de la niña, el niño y el adolescente (entrevistas de menores). La aplicación e interpretación de la Ley se hará favoreciendo en todo tiempo el derecho a la privacidad, la protección de datos personales y a las personas la protección más amplia.

PRINCIPIOS Y DEBERES

ØLos Datos Personales NO podrán solicitarse y tratarse (transmitirse), salvo que sean estrictamente necesarios para el ejercicio y cumplimiento de las atribuciones y obligaciones del responsable. Excepciones: üCuando se dé cumplimiento a un mandato judicial. üSe cuente con el consentimiento expreso y por escrito del titular. üSea necesario que se recaben por materia de seguridad pública o salvaguarda de derechos de terceros.

Principios

Principios

Principios

Obligaciones de los Responsables Ø Adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesión. Ø Supresión de datos personales (atender al plazo de conservación) Ø Dar a conocer al titular, el aviso de privacidad. Ø Obtener el consentimiento previo del titular para el tratamiento y transmisión de los datos personales (ejemplo tratamiento).

CONSENTIMIENTO

Consentimiento ØEl responsable deberá obtener el consentimiento para el tratamiento de los datos personales, a menos que no sea exigible. Ø La solicitud del consentimiento deberá ir referida a una finalidad o finalidades determinadas, previstas en el aviso de privacidad.

Consentimiento ØForma expresa: Por escrito o medios electrónicos, ópticos, signos inequívocos o por cualquier otra tecnología. El responsable deberá proporcionar al titular un medio gratuito y sencillo para este fin (Carga de la prueba) Ø Forma tácita: Cuando puesto a disposición el aviso de privacidad, no se manifieste voluntad en sentido contrario

Consentimiento Se considerará que el consentimiento expreso se otorgó por escrito cuando el titular lo externe mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por la normativa aplicable. Tratándose del entorno digital, podrán utilizarse firma electrónica o cualquier mecanismo o procedimiento que al efecto se establezca y permita identificar al titular y recabar su consentimiento

Oposición al tratamiento El titular podrá negar o revocar su consentimiento, así como oponerse para el tratamiento de sus datos personales para las finalidades que sean distintas a aquéllas que son necesarias y den origen a la relación jurídica entre el responsable y el titular, sin que ello tenga como consecuencia la conclusión del tratamiento para estas últimas finalidades.

Revocación del Consentimiento ØEn cualquier momento, el titular podrá revocar su consentimiento para el tratamiento de sus datos personales, para lo cual el responsable deberá establecer mecanismos sencillos y gratuitos, que permitan al titular revocar su consentimiento al menos por el mismo medio por el que lo otorgó, siempre y cuando no lo impida una disposición legal. ØCuando el titular solicite la confirmación del cese del tratamiento de sus datos personales, el responsable deberá responder expresamente a dicha solicitud. En caso de que los datos personales hubiesen sido remitidos con anterioridad a la fecha de revocación del consentimiento y sigan siendo tratados por encargados, el responsable deberá hacer de su conocimiento dicha revocación, para que procedan a efectuar lo conducente.

Excepciones ØCuando una ley lo señale expresamente. ØOrden judicial. ØCuando los datos se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable. ØPersonas desaparecidas.

ØCuando los datos personales figuren en fuentes de acceso público (Páginas de internet, directorios telefónicos, diarios, periódicos o gacetas, medios de comunicación social y registros públicos). ØCuando las transferencias que se realicen entre responsables: üEjercicio de facultades propias üCompatibles o análogas con la finalidad que motivó el tratamiento de los datos personales.

AVISO DE PRIVACIDAD

Características • Sencillo. • Deberá contener solo la información necesaria. • Utilizar lenguaje claro y comprensible. • Estructura y diseño que facilite su entendimiento.

Prohibiciones • Usar frases inexactas, ambiguas o vagas. • Incluir textos o formatos que induzcan a elegir una opción específico. • Marcar previamente casillas. • Remitir a textos o documentos que no estén disponibles para el titular.

¿Cuando poner a disposición del titular el aviso de privacidad simplificado? ØCuando los datos personales se obtienen de manera directa del titular, previo a la obtención de los mismos. ØCuando los datos personales se obtienen de manera indirecta del titular, previo al uso o aprovechamiento de éstos. ØLo anterior, no exime de proporcionar al titular el aviso de privacidad integral en cualquier momento.

Difusión ØFormatos físicos ØElectrónicos ØMedios verbales ØCualquier otra tecnología ØMedios masivos (Cuando resulte imposible dar a conocer el aviso de privacidad al titular).

Aviso de Privacidad* * Principio de Información. Simplificado • Debe contener: • I. Denominación del responsable. • II. Finalidades del tratamiento. • III. Consentimiento en caso de transferencias. • IV. Mecanismos y medios para manifestar su negativa en el tratamiento. • V. Sitio donde puede consultar el aviso integral. El responsable debe poner a disposición del titular el aviso cuando: 1. Se obtienen de manera directa previo a la obtención de los mismos. 2. Cuando son de manera indirecta, previo al uso o aprovechamiento de los mismos.

Integral • Además de lo anterior deberá contener: • I. El domicilio del responsable. • II. Los DP que serán sometidos a tratamiento, identificando los sensibles. • III. Fundamento legal que faculte al responsable a tratar los DP y las transferencias. • IV. Los mecanismos, medios y procedimientos para ejercer los derechos ARCO. • V. Los medios para comunicar los cambios al aviso de privacidad. Cuando el Responsable pretenda tratar los DP para una finalidad distinta, se debe poner a disposición un nuevo Aviso de Privacidad, previo al aprovechamiento de los DP.

DOCUMENTO DE SEGURIDAD

Definición El documento de seguridad es una de las partes fundamentales de la protección de datos. El documento de seguridad es el documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal, su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento.

Características Deberá constar por escrito, contener las medidas de seguridad, de carácter físico, técnico y administrativo, será de observancia obligatoria para los encargados y demás personas que realicen algún tipo de tratamiento de datos personales

Contenido I. III. IV. V. VII. Nombre de los sistemas de tratamiento o base de datos. Nombre, cargo y adscripción del administrador de cada sistema. Funciones y obligaciones del responsable, encargados y demás personas. Inventario de datos personales tratados. Estructura y descripción de los sistemas de tratamiento, indicando tipo de soporte y las características del lugar donde se resguardan. Controles y mecanismos de seguridad para transferencias. Resguardo de los soportes físicos y electrónicos.

VIII. Análisis de riesgos (causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir) IX. Análisis de brecha (lo que es vs lo que se espera). X. Gestión de vulneraciones (resolución). XI. Las medidas de seguridad físicas aplicadas a las instalaciones. XII. Controles de identificación y autenticación de usuarios. XIII. Procedimientos de respaldo y recuperación de datos personales. XIV. El plan de contingencia (respuesta rápida en caso de incidentes, accidentes o estados de emergencia). XV. Las técnicas utilizadas para la supresión y borrado seguro de los datos personales.

XVI. El plan de trabajo. XVII. Los mecanismos de monitoreo y revisión de las medidas de seguridad (abarca todo lo anterior). XVIII. El programa general de capacitación. XIX. Las bitácoras de acceso, operación cotidiana y vulneraciones a la seguridad de datos personales.

ØActualización del documento de seguridad. üProcesos de mejora üMedidas preventivas o correctivas ØVulneraciones de seguridad üPérdida üRobo, extravío üUso, acceso, tratamiento no autorizado üDaño, alteración o modificación ni autorizada ØBitácora de vulneraciones üCuando üPor qué üAcciones implementadas

MEDIDAS DE SEGURIDAD

Principales definiciones MEDIDAS DE SEGURIDAD: Conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos y físicos, que permitan a los sujetos obligados proteger los datos personales.

Administrativas: Políticas y procedimientos necesarios para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales. Físicas: Medidas de acciones y mecanismos para proteger el entorno físico de los datos personales Conjunto de y de los recursos involucrados en su tratamiento. Seguridad Técnicas: acciones y mecanismos encaminados al empleo de la tecnología relacionada con hardware y software, para Conjunto de proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento.

RELACIÓN DEL RESPONSABLE Y ENCARGADO (art. 77 -84)

- Clausulas: Encargado Debe realizar las actividades de tratamiento sin ostentar poder alguno de decisión sobre el alcance y contenido del mismo. Responsable Limita las actuaciones del Encargado, a través de un contrato o cualquier instrumento jurídico, jurídico que permita acreditar su existencia, alcance y contenido. Subcontratado El Encargado podrá subcontratar servicios que impliquen el tratamiento de los Datos Personales, siempre que exista autorización del Responsable, formalizándolo a través de un contrato. - El contrato deberá contener: 1. Realizar el tratamiento de los DP conforme a las instrucciones. 2. Abstenerse de tratar los DP para finalidades distintas. 3. Implementar medidas de seguridad. 4. Informar cuando ocurran vulneraciones. 1. Tener políticas de protección de DP; 2. Transparentar la subcontratación; 3. Abstenerse de incluir condiciones o asumir la propiedad de la información; 4. Guardar confidencialidad; 5. Cuente con mecanismos de seguridad, entre otros. 5. Guardar confidencialidad 6. Abstenerse de transferir, salvo que exista mandato expreso. *Nota: Si el Encargado incumple las instrucciones, asumirá el carácter de Responsable.

COMITÉ Y UNIDAD DE TRANSPARENCIA

Atribuciones: 1. Instituir procedimientos internos para eficientizar el ejercicio del derecho ARCO. 2. Confirmar, modificar o revocar inexistencias de DP o negativas del ejercicio de los derechos ARCO. 3. Establecer criterios específicos. 4. Supervisar el cumplimiento de medidas, controles y acciones de seguridad. 5. Entre otras* Comité de Transparencia *Artículo 106 Ley Estatal.

Atribuciones: Unidad de Transparencia **Artículo 102 Ley Estatal. 1. Gestionar las solicitudes para el ejercicio de los derechos ARCO. 2. Establecer mecanismos para asegurar que los DP solo se entreguen a su Titular o representante acreditado. 3. Aplicar instrumentos de evaluación de calidad sobre la gestión de las solicitudes del ejercicio de los derechos ARCO. 4. Asesorar a las áreas adscritas al Responsable en la materia. 5. Entre otras**

ORGANISMOS GARANTES

* Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) y organismos garantes. Atribuciones del INAI: 1. Garantizar el derecho de protección de DP. 2. Interpretar la Ley. 3. Conocer y resolver los recursos de revisión, facultad de atracción (de oficio o a petición) y recursos de inconformidad. 4. Conocer, sustanciar y resolver los procedimientos de verificación. 5. Entre otras. Atribuciones de los organismos garantes: 1. Conocer, sustancia y resolver los recursos de revisión. 2. Presentar petición fundada al INAI para que conozca los recursos de interés y trascendencia. 3. Imponer medidas de apremio. 4. Promover y difundir el ejercicio a la protección de DP. 5. Entre otras.

DERECHOS DE LOS TITULARES Y SU EJERCICIO (DERECHOS ARCO)

Derechos A R C O

Derechos A R C O

Derechos A R C O

Derechos A R C O

Derechos A R C O El titular podrá oponerse al tratamiento de sus datos personales o exigir que se cese el mismo, cuando: I. El tratamiento debe cesar para evitar que su persistencia cause un daño o perjuicio al titular. II. Sus datos personales sean objeto de un tratamiento automatizado, el cual le produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades, y estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo.

Ejercicio de los Derechos ARCO $ 1 2 3 • El ejercicio de los derechos ARCO por parte del Titular será gratuito. • El Titular sólo cubrirá los gastos de reproducción, certificación o envío. • Si el Titular proporciona el medio magnético, electrónico o el mecanismo necesario para reproducir los DP, los mismos deberán ser entregados sin costo.

Ejercicio de los Derechos ARCO El ejercicio de los derechos ARCO por persona distinta al Titular o su representante será posible si: • Si existe disposición legal que lo prevea, o en su caso por mandato judicial. • Tratándose de menores se estará a las reglas de representación en materia civil. • Si se trata de personas fallecidas, la persona que acredite tener interés jurídico podrá ejercer los derechos, siempre que exista una expresión fehaciente o exista mandato judicial.

Ejercicio de los Derechos ARCO La solicitud deberá contener: Nombre del titular y domicilio u otro medio para recibir notificaciones; Documento que acrediten la identidad del Titular, y en su caso, la personalidad e identidad de su representante De ser posible, el área responsable que trata los DP y ante la cual se presenta la solicitud La descripción clara y precisa de los DP respecto de los que se busca ejercer los derechos ARCO Cualquier otro elemento o documento que facilite la localización de los DP

Procedimiento: Titular Presenta su solicitud 10 días hábiles para notificar la determinación (contados a partir del día siguiente al que se recibió la solicitud. Art. 71)) Responsable Si la solicitud es insuficiente o errónea, se interrumpe el plazo** para hacer un requerimiento al Titular Dentro de los primeros 5 días hábiles + 10 días hábiles* Si procede el derecho ARCO se hará efectivo en un plazo no mayor a 15 días Sí Titular Atiende el requerimiento 10 días hábiles No Se tendrá por no presentada la solicitud *Ampliación de plazos: podrán ser ampliados por una sola ocasión, por un periodo igual y de manera justificada. **Se interrumpirá el plazo para resolver la solicitud, comenzando de nuevo al día siguiente de que se atienda el requerimiento.

MEDIOS DE IMPUGNACIÓN

Disposiciones comunes para los Recursos de Revisión e Inconformidad Interposición • Escrito libre. • Correo certificado con acuse de recibo. • Formatos. • Medios electrónicos. • Cualquier otro medio. Identidad • Identificación oficial. • Firma electrónica avanzada. • Mecanismos de autenticación. • Interés legítimo o interés jurídico * Términos y plazos: Representación • Si es persona física: carta poder simple, instrumento público o declaración de comparecencia. • Si es persona moral: instrumento público. Fallecimiento • Si la interposición del recurso concierne a personas fallecidas, la podrá realizar la persona que acredite tener un interés jurídico o legítimo.

Recurso de Revisión *Procedencia: El Recurso de Revisión procede en los siguientes supuestos: (Art. 113) *Requisitos: art. 117 Ø La denominación del responsable. Ø El nombre completo del titular que recurre, su representante y, en su caso, el tercero interesado. Ø La fecha de notificación de la respuesta. Ø El acto que recurre y los puntos petitorios.

Atracción de los Recursos de Revisión El Pleno del INAI, cuando así lo aprueben la mayoría de sus Comisionados, de oficio, o a petición fundada del ITEA, podrá ejercer la facultad de atracción (art. 135) *Para: I • Conocer de aquellos recursos de revisión pendientes de resolución. II • Que por su interés y trascendencia así lo ameriten, y III • Cuya competencia original corresponda a los Organismos garantes. La facultad de atracción conferida al INAI se ejercerá conforme a las siguientes reglas (art. 134 LGPDTPSO): Cuando se efectúe de oficio: El Pleno podrá ejercer en cualquier momento la atracción en tanto no se haya resuelto el recurso. Cuando sea a petición: El organismo garante contará con un plazo no mayor a 5 días para que el INAI ejerza esa facultad.

Recurso de Inconformidad El Titular o se Representante podrán impugnar la resolución del Recurso de Revisión. (Art. 117 Ley General) Las resoluciones del INAI podrán: I. Sobreseer o desechar. II. Confirmar. III. Revocar o modificar. IV. Ordenar la entrega de los DP. Se podrá presentar ante el organismo garante que haya emitido la resolución o ante el INAI, en un plazo de 15 días contados a partir del siguiente a la fecha de la notificación de la resolución impugnada. El INAI resolverá el Recurso en un plazo que no podrá exceder de 30 días contados a partir del día siguiente de la interposición del recurso (facultad de prórroga). Los organismos garantes deberán remitir el recurso de inconformidad al INAI al día siguiente de haberlo recibido. El Recurso de Inconformidad procede contra resoluciones que: I. Clasifiquen los DP sin que se cumplan las características señaladas en la ley. II. Determinen la inexistencia de DP. III. Declaren la negativa de DP. IV. Inconformidad con costos de reproducción

PROCEDIMIENTO DE VERIFICACIÓN

* Procedimiento de verificación: El ITEA tendrá la atribución de vigilar y verificar el cumplimiento de las disposiciones contenidas en la Ley. Generalidades: 1 El personal que realice las verificaciones están obligados confidencialidad sobre la información a la que tengan acceso. a guardar 2 El Responsable no podrá negar el acceso a la documentación solicitada con motivo de una verificación, o a sus bases de DP, ni podrá invocar la reserva o confidencialidad de la información.

La verificación podrá iniciarse: a) De oficio: cuando se cuenten con indicios que hagan presumir la existencia de violaciones a la Ley. 3 a) Por denuncia del Titular: cuando se considere que ha sido afectado por acto del Responsable que puedan ser contrarios a lo dispuesto por la Ley. a) Por denuncia de cualquier persona: cuando tenga conocimiento de presuntos incumplimientos a las obligaciones previstas en la presente ley y demás normatividad aplicable. 4 El procedimiento de verificación deberá tener una duración máxima de 50 días. 5 El derecho a presentar una denuncia precluye en el término de 1 año contado a partir del día siguiente en que se realicen los hechos u omisiones materia de la misma (tracto sucesivo). 6 La verificación no se admitirá o se tramitará en los supuestos de procedencia del recurso de revisión o de inconformidad.

7 Previo a la verificación se podrán desarrollar investigaciones previas, con el fin de contar con elementos para fundar y motivar el acuerdo de inicio del mismo. 8 La denuncia podrá presentarse por escrito libre, o a través de los formatos, medios electrónicos o cualquier otro medio que al efecto establezca el ITEA. 9 Los organismos garantes podrán ordenar medidas cautelares, si el desahogo de la verificación advierten un daño inminente o irreparable, siempre y cuando no impidan el cumplimiento de las funciones ni el aseguramiento de bases de datos de los sujetos obligados. 10 Las medidas son correctivas y temporales hasta en tanto los sujetos obligados lleven a cabo las recomendaciones hechas por los organismos garantes. 11 El procedimiento de verificación concluirá con la resolución que emita el organismo garante. 12 Auditorías voluntarias

Procedimiento de verificación (art. 139 -161): Acuerdo de inicio Ø Datos del Denunciante Ø Objeto y alcance del procedimiento Ø Datos del Responsable Ø Lugar y fecha de emisión Ø Firma autógrafa Notificación al Responsable Auxiliares externos Desahogo Visitas de inspección Requerimientos Una o varias Medidas cautelares Lugares y horarios Emisión de orden de visita Conclusión de visita Resolución Acta circunstanciada Ø Medidas correctivas Ø Responsabilidades Administrativas Ø Medidas de apremio

MEDIDAD DE APREMIO Y RESPONSABILIDADES

Medidas de Apremio y Responsabilidades El ITEA podrá imponer las siguientes medidas de apremio para asegurar el cumplimiento de sus determinaciones: Amonestación Multa • Pública. • 150 hasta • 1, 500 UMA $80. 60 Valor diario $12, 090. 00 $120, 900. 00

Sanciones Serán causa de sanción por incumplimiento lo siguiente: I. Actuar con negligencia, dolo o mala fe durante la sustanciación de solicitudes ARCO. II. Incumplir con los plazos de atención a dichas solicitudes. III. No contar con el Aviso de Privacidad. IV. No establecer las medidas de seguridad en términos de la Ley. V. Clasificar como confidencial Datos Personales sin que se cumplan con las condiciones señaladas en la Ley. VI. Presentar vulneraciones a los Datos Personales por falta de implementación de medidas de seguridad. VII. Entre otras. Las conductas mencionadas se harán del conocimiento de las autoridades respectivas para que impongan o ejecuten la sanción. Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.

Dirección de Información Pública y Protección de Datos Personales Tel. 9155638 y 9150537 extensión 134 Instituto de Transparencia del Estado de Aguascalientes