Archivos de la etiqueta: Reglamento de 13 de julio de 2012

28Mar/18

Reglamento de 13 de julio de 2012, de la Ley de Protección de Datos Personales del Estado de Tlaxcala

Reglamento de 13 de julio de 2012, de la Ley de Protección de Datos Personales del Estado de Tlaxcala. (Publicado en la Segunda Sección del Periódico Oficial del Estado de Tlaxcala, el miércoles 28 de noviembre de 2012).

REGLAMENTO DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES

TÍTULO PRIMERO.- Generalidades

CAPÍTULO ÚNICO.- Disposiciones Generales

Artículo 1.
Este Reglamento tiene por objeto establecer las directrices y criterios que deberán observar los sujetos obligados establecidos en el Artículo 2 de la Ley de Protección de Datos Personales para el Estado de Tlaxcala.

Para la interpretación de este Reglamento se observará lo dispuesto por el artículo 4 de la Ley de Protección de Datos Personales para el Estado de Tlaxcala.

Artículo 2.
Los datos personales serán debidamente protegidos y los responsables, encargados y usuarios deberán garantizar el manejo cuidadoso en su tratamiento.

Artículo 3.
Para efectos de la aplicación de este Reglamento, además de lo que establece el Artículo 3 de la Ley de Protección de Datos personales para el Estado de Tlaxcala se entenderá por:

I. Ley de Protección: Ley de Protección de Datos Personales para el Estado de Tlaxcala;

II. Cédula Estadística para el Registro Estatal de Datos Personales: Aplicación informática desarrollada por la Comisión para mantener actualizado el listado de los sistemas de datos personales que posean las dependencias y entidades para registrar e informar sobre las transmisiones, modificaciones y cancelaciones de los mismos;

III. Derechos ARCO: Son los derechos de acceso, rectificación, cancelación y oposición de los datos personales;

IV. Destinatario: Cualquier persona física o moral pública o privada que recibe datos personales;

V. Autentificación: Comprobación de la identidad de aquella persona autorizada para el tratamiento de datos personales;

VI. Documentos: Los expedientes, reportes, estudios, actas, resoluciones, oficios, correspondencia, acuerdos, directivas, directrices, circulares, contratos, convenios, instructivos, notas, memorandos, estadísticas, o bien cualquier otro registro en posesión de los entes públicos sin importar su fuente o fecha de elaboración. Los documentos podrán estar en cualquier soporte, escrito, impreso, sonoro, visual, electrónico, informático u holográfico y demás análogos;

VII. Documento de seguridad: Instrumento que establece las medidas y procedimientos administrativos de seguridad, físicos y técnicos aplicables a los sistemas de datos personales necesarios para garantizar la protección, confidencialidad, integridad y disponibilidad de los datos contenidos en dichos sistemas;

VIII. Incidencia: Cualquier anomalía que afecte o pudiera afectar la seguridad de los datos personales;

IX. Inmovilización: Medida cautelar que consiste en la interrupción temporal en el uso de un sistema de datos personales ordenada por la Comisión en los supuestos de tratamiento ilícito de datos de carácter personal;

X. Reglamento de Protección: Reglamento de la Ley de Protección de Datos Personales para el Estado de Tlaxcala;

XI. Transferencia: Es la transmisión controlada y sistemática de datos entre sujetos obligados; y

XII. Visitador: Servidor público de la Comisión, dotado de fe pública en el ejercicio de sus funciones, que con motivo de ellas, acude con los sujetos obligados, para obtener la información, datos o evidencia.

TÍTULO SEGUNDO.- Estructura Orgánica de la Unidad de Protección de Datos Personales

CAPÍTULO ÚNICO.- Unidad de Protección de Datos Personales

Artículo 4.
Para el cumplimiento de sus funciones la Unidad de Protección contará con el siguiente personal:

I. Un Jefe de Unidad; mismo que tendrá las atribuciones establecidas en la Fracción III del artículo 24 del Reglamento Interno de la Comisión;

II. Un Visitador; mismo que tendrá las atribuciones siguientes:

a) Practicar las visitas ordinarias de inspección que corresponda conforme al programa de visitas aprobado;

b) Practicar las visitas extraordinarias de inspección que ordene el Pleno y el Secretario Técnico y de Asuntos Jurídicos, cuando para ello lo faculte el Pleno;

c) Expresar ante la Comisión de Disciplina del Consejo, el impedimento que tengan para realizar visitas de inspección;

d) Informar al Consejo General a través del Jefe de la Unidad de Protección, sobre la existencia de algún acto que pudiera lesionar gravemente el cumplimiento de la Ley de Protección y demás normativa aplicable;

e) Realizar el informe de las visitas a los Sujetos Obligados, levantar actas en cada visita realizada y, llevar un registro de las mismas; y

d) Las que le confiera la Ley de Protección, el Consejo General y demás normatividad aplicable.

III. Un Auxiliar Tecnológico, quien deberá preferentemente, tener perfil profesional o conocimiento en tecnologías de la información.

TÍTULO TERCERO.- Tutela de Datos Personales

CAPÍTULO I .- Sistemas de Datos Personales

Artículo 5.
Un Sistema de Datos Personales podrá distinguirse entre físico y automatizado, definiéndose cada uno de ellos de la siguiente forma:

I. Físicos: Conjunto ordenado de datos de carácter personal que para su tratamiento están contenidos en registros manuales, impresos, sonoros, magnéticos, visuales u holográficos, estructurado conforme a criterios específicos relativos a personas físicas que permitan acceder sin esfuerzos desproporcionados a sus datos personales; y

II. Automatizados: Conjunto ordenado de datos de carácter personal que permita acceder a la información relativa a una persona física, utilizando herramientas tecnológicas.

Artículo 6.
Los datos personales contenidos en los sistemas se clasificarán, de manera enunciativa, más no limitativa, de acuerdo a las siguientes categorías:

I. Datos identificativos: El nombre, domicilio, teléfono particular, teléfono celular, firma, clave del Registro Federal de Contribuyentes (RFC), Clave Única de Registro de Población (CURP), Matrícula del Servicio Militar Nacional, número de pasaporte, lugar y fecha de nacimiento, nacionalidad, edad, fotografía y demás análogos;

II. Datos electrónicos: Las direcciones electrónicas, tales como, el correo electrónico no oficial, dirección IP (Protocolo de Internet), dirección MAC (dirección Media Access Control o dirección de control de acceso al medio), así como el nombre del usuario, contraseñas, firma electrónica; o cualquier otra información empleada por la persona, para su identificación en Internet u otra red de comunicaciones electrónicas;

III. Datos laborales: Documentos de reclutamiento y selección, nombramiento, incidencia, capacitación, actividades extracurriculares, referencias laborales, referencias personales, solicitud de empleo, hoja de servicio y demás análogos;

IV. Datos patrimoniales: Los correspondientes a bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas, servicios contratados, referencias personales y demás análogos;

V. Datos sobre procedimientos administrativos y/o jurisdiccionales: La información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal, fiscal, administrativa o de cualquier otra rama del Derecho;

VI. Datos académicos: Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados y reconocimientos y demás análogos;

VII. Datos de tránsito y movimientos migratorios: Información relativa al tránsito de las personas dentro y fuera del país, así como información migratoria;

VIII. Datos sobre la salud: El expediente clínico de cualquier atención médica, referencias o descripción de sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, así como el estado físico o mental de la persona;

IX. Datos biométricos: huellas dactilares, ADN, geometría de la mano, características de iris y retina y demás análogos;

X. Datos especialmente protegidos (sensibles): origen étnico o racial, características morales o emocionales, ideología y opiniones políticas, creencias, convicciones religiosas, filosóficas y preferencia sexual; y

XI. Datos personales de naturaleza pública: aquellos que por mandato legal sean accesibles al público.

Artículo 7.
El cumplimiento de la inscripción en el Registro Estatal de Datos Personales se regirá de la siguiente manera:

I. La Comisión de Acceso a la Información Pública y Protección de Datos Personales del Estado de Tlaxcala, remitirá a los sujetos obligados la Cédula Estadística para el Registro Estatal de Datos Personales;

II. Dicha Cédula deberá ser actualizada semestralmente por los sujetos obligados y enviada a esta Comisión;

III. Los periodos de actualización comprenden los meses de junio y diciembre; y

IV. Las creaciones, modificaciones o supresiones deberán ser notificadas a esta Comisión en un término de 10 días previos a realizar dichos procedimientos.

Artículo 8.
A efecto de cumplir con el deber de información previsto en el artículo 34 de la Ley de Protección, en el momento en que se recaben datos personales, por cualquier medio, el sujeto obligado deberá hacer del conocimiento del interesado las advertencias a las que se refiere dicho artículo.

Artículo 9.
Sin perjuicio de la modalidad mediante la cual los sujetos obligados recaben datos personales, éstos, deberán utilizar el siguiente modelo de aviso de privacidad para informar al interesado de las advertencias a que se refiere el artículo 34 de la Ley: “Los datos personales recabados serán protegidos, incorporados y tratados en el Sistema de Datos Personales (nombre del sistema de datos personales), el cual tiene su fundamento en (fundamento legal que faculta al sujeto obligado para recabar los datos personales), cuya finalidad es (describir la finalidad del sistema) y podrán ser transmitidos a (destinatario y finalidad de la transmisión), además de otras transmisiones previstas en la Ley de Protección de Datos Personales para el Estado de Tlaxcala.

Los datos marcados con un asterisco (*) son obligatorios y sin ellos no podrá acceder al servicio o completar el trámite (indicar el servicio o trámite de que se trate)

Asimismo, se le informa que sus datos no podrán ser difundidos sin su consentimiento expreso, salvo las excepciones previstas en la Ley.

El responsable del Sistema de datos personales es (nombre del responsable), y la dirección donde podrá ejercer los derechos de acceso, rectificación, cancelación y oposición, así como la revocación del consentimiento es (indicar el domicilio de la Área Responsable del Sistema de Datos Personales correspondiente).

El interesado podrá dirigirse a la Comisión de Acceso a la Información Pública y Protección de Datos Personales del Estado de Tlaxcala, donde recibirá asesoría sobre los derechos que tutela la Ley de Protección de Datos Personales para el Estado de Tlaxcala al teléfono: 01-246-4620939, 4620039, 4629004, 4628921; Correo Electrónico: [email protected] o bien en la página www.caiptlax.org.mx

CAPÍTULO II.- Medidas de Seguridad

Artículo 10.
Las incidencias contarán necesariamente con un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se comunica, los efectos que se hubieran derivado de la misma y las acciones implementadas.

Artículo 11.
El responsable tendrá a su cargo la elaboración de una relación actualizada de servidores públicos que tengan acceso autorizado al sistema de datos personales y de establecer procedimientos que permitan la correcta identificación y autentificación para dicho acceso.

El responsable establecerá un mecanismo que permita la identificación, de forma inequívoca y personalizada, de toda aquella persona que intente acceder al sistema de datos personales y la verificación de que está autorizada.

Cuando el mecanismo de autentificación se base en la existencia de contraseñas se establecerá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y se conservarán cifradas.

Asimismo, se establecerá un procedimiento de creación y modificación de contraseñas (longitud, formato, contenido).

Artículo 12.
Para cumplir con lo establecido en el inciso k del artículo 10 de la Ley de Protección; se deberán observar las siguientes medidas:

I. Al almacenar los soportes físicos y electrónicos que contengan datos de carácter personal se deberá cuidar que estén etiquetados para permitir identificar el tipo de información que contienen, ser inventariados y sólo podrán ser accesibles por el personal autorizado para ello en el documento de seguridad;

II. La salida de soportes y documentos que contengan datos de carácter personal, fuera de las instalaciones u oficinas bajo el control del responsable, deberá ser autorizada por éste, o encontrarse debidamente autorizada en el documento de seguridad;

III. En el traslado de soportes físicos y electrónicos se adoptarán medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transport (sic);

IV. Siempre que vaya a desecharse cualquier soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior; y

V. Las medidas de seguridad adoptadas para los sistemas de datos personales son confidenciales, por lo que los responsables sólo deberán comunicar a la Comisión el nivel de seguridad aplicable a los sistemas de datos personales para su registro.

CAPÍTULO III.- Tratamiento de Datos Personales

Artículo 13.
En el tratamiento de los datos personales los sujetos obligados deberán observar los principios de licitud, consentimiento, calidad de los datos, confidencialidad, seguridad, disponibilidad y temporalidad que establece el artículo 6 de la Ley de Protección.

Para los efectos de la Ley de Protección y del presente Reglamento se entenderá que:

I. Con relación al principio de consentimiento, éste es:

a) Libre: Cuando es obtenido sin la intervención de vicio alguno de la voluntad;

b) Inequívoco: Cuando existe expresamente una acción que implique su otorgamiento;

c) Específico: Cuando se otorga referido a una determinada finalidad; e

d) Informado: Cuando se otorga con conocimiento de las finalidades para las que el mismo se produce.

II. Con relación al principio de calidad de los datos, el tratamiento de los datos personales deberá ser:

a) Cierto: Cuando los datos se mantienen actualizados de tal manera que no se altere la veracidad de la información que traiga como consecuencia que el titular se vea afectado por dicha situación;

b) Adecuado: Cuando se observa una relación proporcional entre los datos recabados y la finalidad del tratamiento;

c) Pertinente: Cuando es realizado por el personal autorizado para el cumplimiento de las atribuciones de los entes públicos que los hayan recabado; e

d) No excesivo: Cuando la información solicitada al titular de los datos es la estrictamente necesaria para cumplir con los fines para los cuales se hubieran recabado.

III. Con relación al principio de confidencialidad, se entenderá que los datos personales son:

a) Irrenunciables: El interesado está imposibilitado de privarse voluntariamente de las garantías que le otorga la legislación en materia de protección de datos personales;

b) Intransferibles: El interesado es el único titular de los datos y éstos no pueden ser cedidos a otra persona; e

c) Indelegables: Sólo el interesado tiene la facultad de decidir a quién transmite sus datos personales.

El deber de secrecía y el de confidencialidad se considerarán equiparables.

Artículo 14.
Los datos personales en posesión de los sujetos obligados deberán tratarse únicamente para la finalidad para la cual fueron obtenidos. Dicha finalidad deber ser explícita, determinada y legal.

Artículo 15.
El responsable deberá dirigirse al interesado por escrito para hacer de su conocimiento los aspectos a que se refiere el artículo 34 de la Ley de Protección, concediéndole un plazo de quince días hábiles para manifestar su negativa al tratamiento, bajo la advertencia de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos personales. Para tal efecto, el responsable deberá incorporar al escrito el modelo de aviso de privacidad a que hace referencia el artículo 8 de este Reglamento.

Artículo 16.
En caso de los sistemas de datos creados con anterioridad a la entrada en vigor de la Ley de Protección, así como en los casos y excepciones señalados en el artículo 16 de la misma, no se requerirá la notificación a la que se hace referencia en el artículo anterior, salvo que los datos reciban un tratamiento distinto a aquel para el que fueron recabados.

Artículo 17.
El interesado podrá revocar su consentimiento de conformidad con lo dispuesto en el artículo 16 de la Ley de Protección, mediante solicitud presentada ante el Área Responsable del Sistema de Datos Personales del sujeto obligado que corresponda, a través de los formatos que para tal efecto emita la Comisión. La solicitud deberá ser acompañada de un medio de identificación oficial.

Además de cumplir con los requisitos establecidos en el artículo 64 de la Ley de Protección, los interesados deberán, en su caso, especificar la finalidad para la cual se revoca el consentimiento para tratar sus datos personales.

El Área Responsable del Sistema de Datos Personales del sujeto obligado realizará las gestiones necesarias ante el responsable que corresponda hasta la culminación del procedimiento que se hará de conformidad con lo dispuesto en el artículo 60 de la Ley de Protección.

Artículo 18.
El interesado podrá solicitar la revocación de su consentimiento ante el Área Responsable del Sistema de Datos Personales del sujeto obligado. En caso de que el responsable determine que la solicitud de revocación del consentimiento es procedente, éste deberá cesar en el tratamiento de los datos, sin perjuicio de la obligación de bloquear los datos conforme a la Ley de Protección y este Reglamento.

En el caso de que los datos hubieren sido cedidos previamente, el responsable, una vez revocado el consentimiento, deberá comunicarlo a los cesionarios dentro del plazo de diez días hábiles para que procedan de conformidad con el párrafo anterior.

Ante la improcedencia de la revocación del consentimiento, el interesado podrá ejercer su derecho de cancelación, conforme a la Ley de Protección.

Artículo 19.
La Comisión podrá, requerir en los supuestos a que hace referencia al artículo 18 de la Ley de Protección y mediante resolución fundada y motivada del

Pleno, que los responsables de sistema de datos personales suspenda la utilización o cesión de determinados datos.

El requerimiento deberá ser atendido dentro de un plazo improrrogable de cinco días hábiles al término del cual el responsable deberá rendir un informe en el cual señale las medidas adoptadas para la suspensión y en el que alegue lo que a su derecho convenga.

Transcurrido el plazo, la Comisión deberá emitir una resolución, dentro del término de quince días hábiles, en la que podrá:

I. Emitir recomendaciones en las que requiera a los sujetos obligados se subsanen las irregularidades detectadas, mismas que tendrán que ser solventadas dentro del plazo y condiciones que al efecto se establezcan;

II. Requerir al responsable la cancelación o rectificación de determinados datos contenidos en el sistema que corresponda;

III. Requerir que el responsable modifique el sistema a efecto de que se ajuste a lo establecido en la Ley de Protección y demás normativa aplicable; y

IV. Determinar que no hay elementos que permitan establecer que se actualizan los supuestos a que hace referencia el artículo 18 de la Ley de Protección.

En los supuestos previstos en las fracciones I a la IV, del presente artículo, la Comisión podrá ordenar el levantamiento de la suspensión y el archivo del expediente.

Artículo 20.
En caso de que el requerimiento de suspensión fuera desatendido, la Comisión, mediante resolución fundada y motivada del Pleno, podrá requerir la inmovilización del sistema correspondiente, con el único fin de restaurar los derechos de las personas afectadas, lo que se hará de conformidad con el artículo anterior.

Artículo 21.
Los datos personales que hayan sido objeto de tratamiento y no contengan valores históricos, científicos o estadísticos, deberán ser cancelados del sistema de datos personales, teniendo en cuenta los siguientes plazos:

I. El que se haya establecido en el formato físico o electrónico por medio del cual se recabaron;

II. El establecido por las disposiciones aplicables; y

III. El establecido en el instrumento jurídico formalizado entre un tercero y el sujeto obligado.

Artículo 22.
El informe a que hace referencia la fracción II del artículo 42 de la Ley de Protección deberá contener los siguientes apartados:

I. Número de solicitudes de acceso, rectificación, cancelación y oposición de datos personales presentadas ante el sujeto obligado, así como su resultado;

II. El tiempo de respuesta a la solicitud;

III. El estado que guardan las denuncias presentadas ante el Área Responsable del Sistema de Datos Personales, así como de las vistas dadas por la Comisión;

IV. Dificultades observadas en el cumplimiento de la Ley;

V. Descripción de los recursos públicos utilizados en la materia;

VI. Sistemas de datos personales creados, modificados y/o suprimidos;

VII. Acciones desarrolladas para dar cumplimiento a las disposiciones contenidas en la Ley de Protección; y

VIII. Cesiones o transferencias de datos personales efectuadas que deberá detallar:

a) Identificación del sistema mediante número de folio, del sujeto obligado cedente y del cesionario;

b) Finalidad de la cesión;

c) La mención de si se trata de una cesión total o parcial de un sistema de datos personales y, en su caso, las categorías de datos de que se trate;

d) Fecha de inicio y término de la cesión y, en su caso, la periodicidad de la misma;

e) Medio empleado para realizar la cesión;

f) Medidas y niveles de seguridad empleados para la cesión;

g) Obligaciones al término del tratamiento; y

h) El nivel de seguridad aplicado por el cesionario.

Artículo 23.
El servidor público designado como responsable al que se refiere el artículo 40 de la Ley de Protección, será incorporado a una base de datos que estará sujeta a publicación mediante la página oficial de la Comisión debiéndose actualizar por lo menos cada tres meses.

Artículo 24.
El servidor público designado como Responsable tendrá las siguientes obligaciones:

I. Garantizar el ejercicio de los derechos ARCO, conforme lo establecido en el Capítulo I del Título V de la Ley de Protección;

II. Coordinar al encargado al interior del sujeto obligado para el cumplimiento de la Ley de Protección, este Reglamento y demás normativa aplicable;

III. Supervisar la actualización de la inscripción de los sistemas bajo su responsabilidad en el Registro;

IV. Coordinar las acciones en materia de capacitación;

V. Remitir el informe a que hace referencia la fracción II del artículo 42 de la Ley de Protección; y

VI. Diseñar el folio al que se refiere el artículo 21 de este Reglamento, mismo que deberá contener los siguientes datos:

a) Iniciales del sujeto obligado;

b) Iniciales del programa que contiene el sistema de datos personales;

c) Número progresivo; y

d) Año de apertura.

TÍTULO CUARTO.- Autoridad Responsable del Control de Vigilancia

CAPÍTULO I .- Comisión de Acceso a la Información Pública y Protección de Datos Personales

Artículo 25.
La Comisión dispondrá de los medios de investigación y de la facultad de intervenir frente a la creación, modificación y supresión de sistemas de datos personales sujetos al ámbito de aplicación de la Ley de Protección, que no se ajusten a las disposiciones de la misma, de este Reglamento y de las demás disposiciones que resulten aplicables.

A tal efecto, tendrá acceso a los sistemas de datos personales, podrá inspeccionarlos y recabar toda la información necesaria para el cumplimiento de su función de control, podrá solicitar la exhibición o el envío de documentos y datos, así como examinarlos en el lugar en donde se encuentren instalados.

Artículo 26.
La Comisión, en términos del artículo 47, fracción XV de la Ley de Protección, podrá realizar visitas de inspección, las cuales no podrán referirse a información de acceso restringido, a efecto de evaluar la actuación de los sujetos obligados, las cuales podrán ser de la siguiente forma:

a) Visitas de inspección ordinarias, y

b) Visitas de procedimiento de investigación.

Las visitas de inspección ordinarias, procederán de conformidad con lo siguiente:

I. Toda visita de inspección ordinaria deberá ajustarse a los procedimientos y formalidades establecidos en este Reglamento;

II. Los visitadores, deberán llevar siempre consigo:

a) Credencial vigente con fotografía expedida por la Comisión;

b) Acuerdo del Pleno de la Comisión que determinó la diligencia en el que deberá precisarse el sujeto obligado que ha de inspeccionarse, el objeto de la visita, el alcance que deba tener y las disposiciones legales que la fundamenten;

III. Los responsables o encargados del sistema de datos personales objeto de inspección estarán obligados a permitir el acceso y dar facilidades e informes a los visitadores para el desarrollo de su labor;

IV. De toda visita de inspección ordinaria se levantará acta circunstanciada, en presencia de dos testigos propuestos por el responsable o servidor público con quien se entienda la diligencia o, en su caso, por quien la practique si aquél se hubiere negado a proponerlos;

V. De toda acta se dejará copia al servidor público con quien se entendió la diligencia, aunque se hubiere negado a firmar, lo que no afectará la validez de la diligencia ni del documento de que se trate, siempre y cuando el inspector haga constar tal circunstancia en el acta;

VI. En las actas se hará constar:

a) Identificación del sujeto obligado visitado;

b) Hora, día, mes y año en que se inicie y concluya la diligencia;

c) Calle, número, población o colonia, teléfono u otra forma de comunicación disponible, municipio y código postal en que se encuentre ubicado el lugar en que se practique la visita;

d) Número y fecha del acuerdo del Pleno que la motivó;

e) Nombre y cargo de la persona con quien se entendió la diligencia;

f) Nombre y cargo de las personas que fungieron como testigos;

g) Datos relativos a la actuación;

h) Declaración del visitado, si quiere hacerla; y

i) Nombre y firma de quienes intervinieron en la diligencia incluyendo los de quien o quienes la hubieren llevado a cabo. Si se negare a firmar el visitado, ello no afectará la validez del acta, debiendo el visitador asentar la razón relativa.

VII. La visita debe entenderse con el responsable del sistema. En caso de que no se encontrara presente, la diligencia se entenderá con el encargado y, en su defecto, con quien se encuentre presente, circunstancia que se hará constar en el acta;

VIII. Los visitados a quienes se haya levantado acta de inspección podrán formular observaciones en el acto de la diligencia y ofrecer pruebas en relación a los hechos contenidos en ella, o bien por escrito, así como hacer uso de tal derecho dentro del término de cinco días hábiles siguientes a la fecha en que se hubiere levantado; y

IX. Transcurrido el plazo señalado en el artículo anterior, la Comisión deberá emitir una resolución dentro del término de quince días hábiles en la que podrá:

a) Determinar que el sistema de datos personales se ajusta a lo establecido en la Ley de Protección;

b) Determinar que existen irregularidades que contravienen lo establecido en la Ley de Protección y demás normatividad aplicable, caso en el que formulará recomendaciones al sujeto obligado, a efecto de que subsane las inconsistencias detectadas dentro del plazo y condiciones que al efecto se determinen;

c) El sujeto obligado deberá informar por escrito a la Comisión, dentro de los cinco días hábiles siguientes a que termine el plazo a que se refiere el artículo 25, sobre la atención a las recomendaciones formuladas por la Comisión; y

d) En caso de que el sujeto obligado fuese omiso en presentar los informes o en solventar las recomendaciones, la Comisión dará vista para los efectos legales correspondientes, sin que esta situación lo exima del cumplimiento de las mismas.

En caso de que, en la visita de inspección se advirtiera un posible tratamiento ilícito de los datos personales, se estará a lo dispuesto en los numerales 18 y 19 del presente Reglamento.

TÍTULO QUINTO.- Derechos Arco y Procedimiento para su Ejercicio

CAPÍTULO I.- Procedimiento para su Ejercicio

Artículo 27.
Los derechos de acceso, rectificación, cancelación y oposición de datos personales, también conocidos como derechos ARCO son personalísimos y, serán ejercidos directamente por el interesado o su representante legal, quienes tendrán que acreditar su personalidad.

Artículo 28.
Los sujetos obligados deberán observar lo establecido en la Ley de Protección para la gestión de solicitudes personales, relacionadas con los derechos ARCO.

Artículo 29.
Para acreditar la personalidad y poder ejercer los derechos ARCO, el interesado tendrá que presentar los siguientes requisitos:

I. El interesado:

a) Identificación oficial vigente (credencial para votar del IFE, pasaporte, cédula profesional o cartilla militar); y

b) Clave Única de Registro de Población.

II. El Representante Legal:

a) Identificación oficial (credencial para votar del IFE, pasaporte, cédula profesional o cartilla militar);

b) Clave Única de Registro de Población; y

c) Carta poder.

III. Para el caso de menores de edad o personas incapaces:

a) El padre, tutor o representante legal del interesado, deberá presentar además de los requisitos establecidos en las fracciones I y II de este artículo:

b) Clave Única de Registro de Población del interesado.

CAPÍTULO II.- Procedimiento del Recurso de Revisión en Materia de Datos Personales

Artículo 30.
Para iniciar el procedimiento del Recurso de Revisión en materia de protección de Datos Personales deberá presentarse por el recurrente o su representante; ya sea mediante escrito libre, en los formatos que para tal efecto determine la Comisión o a través de correo electrónico, en el plazo previsto en el artículo 72 de la Ley.

Cuando el Recurso de Revisión sea presentado a través de correo electrónico, deberá anexar, de preferencia por la misma vía, los documentos y/o fundatorios de la acción.

El recurrente o su representante deberán ratificar su escrito inicial de Recurso de Revisión dentro de los tres días hábiles contados a partir del día siguiente en que le sea notificado dicho acuerdo.

Al promover el Recurso de Revisión, el recurrente o su representante deberán acreditar su identidad o personalidad respectivamente. La Comisión podrá tener por reconocida la identidad del recurrente o la personalidad del representante cuando la misma ya hubiere sido acreditada ante el responsable al ejercer sus derechos ARCO.

Causales de procedencia

Artículo 31.
El Recurso de Revisión procederá cuando exista una inconformidad por parte del recurrente, derivada de acciones u omisiones del responsable de la protección y tratamiento de datos personales del sujeto obligado con motivo del ejercicio de los derechos ARCO cuando:

I. El recurrente no haya recibido respuesta por parte del responsable;

II. El responsable no otorgue acceso a los datos personales solicitados o lo haga en un formato incomprensible;

III. El responsable se niegue a efectuar las rectificaciones a los datos personales;

IV. El recurrente no esté conforme con la información entregada por considerar que es incompleta o no corresponde a la solicitada, o bien, con el costo o modalidad de la reproducción;

V. El responsable se niegue a cancelar los datos personales;

VI. El responsable persista en el tratamiento a pesar de haber procedido la solicitud de oposición, o bien, se niegue a atender la solicitud de oposición; y

VII. Por otras causas que a juicio de la Comisión sean procedentes conforme a la Ley o al presente Reglamento.

Artículo 32.
El promovente, deberá adjuntar a su Recurso de Revisión la información y documentos siguientes:

I. Copia de la solicitud de acceso, rectificación, cancelación u oposición de datos personales que corresponda, así como copia de los documentos anexos para cada una de las partes, de ser el caso;

II. El documento que acredite que actúa por su propio derecho o en representación del recurrente;

III. El documento en que conste la respuesta del responsable, de ser el caso;

IV. En el supuesto en que impugne la falta de respuesta del responsable, deberá acompañar una copia en la que obre el acuse o constancia de recepción de la solicitud de acceso, rectificación, cancelación u oposición de datos personales por parte del responsable;

V. Las pruebas documentales que ofrece para demostrar sus afirmaciones;

VI. El documento en el que señale las demás pruebas que ofrezca; y

VII. Cualquier otro documento que considere procedente someter a juicio de la Comisión.

Si el recurrente no pudiera acreditar que acudió con el responsable, ya sea porque éste se hubiere negado a recibir la solicitud acceso (sic), rectificación, cancelación u oposición de datos personales o a emitir el acuse de recibido, lo hará del conocimiento de la Comisión mediante escrito, y éste le dará vista al responsable para que manifieste lo que a su derecho convenga, a fin de garantizar al solicitante el ejercicio de sus derechos ARCO.

Artículo 33.
Presentando el recurso de revisión, dentro de las veinticuatro horas siguientes, será turnado al Comisionado Ponente que, por razón del turno correspondiente, deba de conocer del asunto, para que este a su vez, dentro de otras veinticuatro horas siguientes al turno, dicte el acuerdo correspondiente, sea este de admisión, prevención o desechamiento, según corresponda.

Admisión o desechamiento de las pruebas

Artículo 34.
La Comisión dictará un acuerdo de admisión o desechamiento de las pruebas, y de ser necesario éstas serán desahogadas en una audiencia, de la cual se notificará el lugar o medio, la fecha y hora a las partes.

Ofrecimiento de pruebas

Artículo 35.
Los medios de prueba que podrán ofrecerse son los siguientes:

I. La documental pública;

II. La documental privada;

III. La inspección, siempre y cuando se realice a través de la autoridad competente;

IV. La presuncional legal y humana;

V. La pericial;

VI. La testimonial; y

VII. Las fotografías, páginas electrónicas, escritos y demás elementos aportados por la ciencia y tecnología.

Las pruebas se admitirán, desahogarán o se desecharán aplicando supletoriamente el Código de Procedimientos Civiles para el Estado Libre y Soberano de Tlaxcala.

En caso de que se ofrezca prueba pericial o testimonial, se precisarán los hechos sobre los que deban versar y se señalarán los nombres y domicilios del perito o de los testigos, exhibiéndose el cuestionario o el interrogatorio respectivo en preparación de las mismas. Sin estos señalamientos, dichas pruebas se tendrán por no ofrecidas.

Conciliación

Artículo 36.
Admitido el Recurso de Revisión y sin perjuicio de lo dispuesto por el artículo 71 de la Ley, la Comisión promoverá la conciliación entre las partes, de conformidad con el siguiente procedimiento:

I. En el acuerdo de admisión del Recurso de Revisión, la Comisión requerirá a las partes que manifiesten, por cualquier medio, su voluntad de conciliar, en un plazo no mayor a cinco días, contados a partir de la notificación de dicho acuerdo, mismo que contendrá un resumen de la solicitud de acceso, rectificación, cancelación u oposición y de la respuesta del responsable si la hubiere, señalando los elementos comunes y los puntos de controversia;

La conciliación podrá celebrarse presencialmente, por medios remotos o locales de comunicación electrónica o por cualquier otro medio que determine la Comisión. En cualquier caso, la conciliación habrá de hacerse constar por el medio que permita acreditar su existencia.

Quedan exceptuados de la etapa de conciliación, los casos en los que el recurrente sea menor de edad y se haya vulnerado alguno de los derechos contemplados en la Ley para la Protección de los Derechos de Niñas, Niños y Adolescentes, vinculados con la Ley y el presente Reglamento, salvo que cuente con representación legal debidamente acreditado;

II. Aceptada la posibilidad de conciliar por las partes, la Comisión señalará el lugar o medio, día y hora para la celebración de una audiencia de conciliación, la cual deberá realizarse dentro de los diez días siguientes en que la Comisión haya recibido la manifestación de la voluntad de conciliar de las partes, en la que se procurará avenir los intereses entre el recurrente y el responsable.

En la etapa de conciliación, el conciliador podrá, en todo momento, requerir a las partes que presenten en un plazo máximo de cinco días, los elementos de convicción que estime necesarios para la conciliación.

Cuando lo estime pertinente o a instancia de ambas partes, el conciliador podrá suspender la audiencia de conciliación hasta en dos ocasiones. En caso de que se suspenda la audiencia, el conciliador señalará día y hora para su reanudación.

De toda audiencia de conciliación se levantará el acta respectiva, en la que conste el resultado de la misma. En caso de que el responsable o el recurrente o sus respectivos representantes no firmen el acta, ello no afectará su validez, debiéndose hacer constar dicha negativa;

III. Si alguna de las partes no acude a la audiencia de conciliación y justifica su ausencia en un plazo de tres días, será convocado a una segunda audiencia de conciliación; en caso de que no acuda a esta última, se continuará con el procedimiento del Recurso de Revisión. Cuando alguna de las partes no acuda a la audiencia de conciliación sin justificación alguna, se continuará con el procedimiento;

IV. De no existir acuerdo en la audiencia de conciliación, se continuará con el procedimiento del Recurso de Revisión;

V. En caso de que en la audiencia se logre la conciliación, el acuerdo deberá constar por escrito y tendrá efectos vinculantes y señalará, en su caso, el plazo de su cumplimiento; y

VI. El cumplimiento del acuerdo dará por concluido el procedimiento de Recurso de Revisión, en caso contrario, la Comisión reanudará el procedimiento.

La Comisión podrá buscar la conciliación en cualquier momento del procedimiento del Recurso de Revisión.

Audiencia

Artículo 37.
La Comisión determinará, en su caso, el lugar o medio, fecha y hora para la celebración de la audiencia de desahogo de pruebas, la cual podrá por única vez posponerse sólo por causa justificada. En dicha audiencia se desahogarán las pruebas que por su naturaleza así lo requieran y se levantará el acta correspondiente.

Presentación de alegatos

Artículo 38.
Dictado el acuerdo que tenga por desahogadas todas las pruebas, se pondrán las actuaciones a disposición de las partes, para que éstos, en caso de quererlo, formulen alegatos en un plazo de tres días hábiles siguientes a la conclusión del periodo probatorio.

Tercero interesado

Artículo 39.
En caso de que no se haya señalado tercero interesado, éste podrá apersonarse en el procedimiento mediante escrito en el que acredite interés jurídico para intervenir en el asunto, hasta antes del cierre de instrucción. Deberá adjuntar a su escrito el documento en el que se acredite su personalidad cuando no actúe en nombre propio y las pruebas documentales que ofrezca.

Falta de respuesta

Artículo 40.
En caso de que el procedimiento se inicie por falta de respuesta del responsable a una solicitud de acceso, rectificación, cancelación, u oposición de datos personales, la Comisión correrá traslado al responsable para que, en su caso, acredite haber dado respuesta a la misma, o bien, a falta de ésta, emita la respuesta correspondiente y la notifique al recurrente con copia a la Comisión, en un plazo de cinco días contados a partir de la notificación.

En caso de que el responsable acredite haber dado respuesta a la solicitud de acceso, rectificación, cancelación, u oposición de datos personales en tiempo y forma, y haberla notificado al recurrente o su representante, el procedimiento de Recurso de Revisión será sobreseído por quedar sin materia, de conformidad con lo previsto en el artículo 82 de la Ley.

Cuando el responsable acredite haber dado respuesta a la solicitud de acceso, rectificación, cancelación, u oposición de datos personales en tiempo y forma, y el Recurso de Revisión no haya sido presentado por el recurrente en el plazo que establece la Ley, el Recurso de Revisión se sobreseerá por extemporáneo, de conformidad con lo previsto en el artículo 82 de la Ley.

En caso de que la respuesta sea emitida por el responsable durante el procedimiento de Recurso de Revisión o hubiere sido emitida fuera del plazo establecido por el artículo 62 de la Ley, el responsable notificará dicha respuesta a la Comisión y al recurrente, para que este último, en un plazo de cinco días contados a partir de la notificación, manifieste lo que a su derecho convenga, a efecto de continuar el curso del procedimiento. Si el recurrente manifiesta su conformidad con la respuesta, el procedimiento será sobreseído por quedar sin materia.

Cuando el responsable no atienda el requerimiento al que refiere el primer párrafo del presente artículo, la Comisión resolverá conforme a los elementos que consten en el expediente.

Resoluciones

Artículo 41.
Las resoluciones de la Comisión deberán dictarse en el plazo de diez días hábiles, una vez agotada la etapa de alegatos, y podrán instruir el inicio de otros procedimientos previstos en la Ley.

Artículo 42.
Las resoluciones deberán contener lo siguiente:

I. Lugar y fecha en que se pronuncia, nombre del sujeto obligado y extracto breve de los hechos recurridos y el nombre del recurrente, salvo la existencia de oposición para publicar sus datos personales;

II. Los preceptos legales que la fundamenten y las consideraciones que la sustenten;

III. Los puntos resolutivos, que podrán confirmar, modificar o revocar la resolución o acto emitido del sujeto obligado;

IV. Los alcances, efectos de la resolución y los términos para ejecutarla fijando con precisión, los órganos obligados a cumplirla; y

V. La determinación de la existencia de responsabilidad del sujeto obligado y en su caso la solicitud de inicio de investigación en materia de responsabilidad de servidores públicos al Órgano de Control Interno que corresponda.

Artículo 43.
Si durante el procedimiento del recurso, apareciere alguna circunstancia procesal por la cual se deba archivar a manera de reserva el expediente, se emitirá el acuerdo respectivo fundando y motivando la reserva, así como el tiempo en que deberá permanecer en ese estado el expediente.

Procedimiento de investigación

Artículo 44.
El procedimiento de investigación se iniciará de oficio o a petición de parte, por instrucción del Consejo de la Comisión.

Cualquier persona podrá denunciar ante la Comisión las presuntas violaciones a las disposiciones previstas en la Ley y demás ordenamientos aplicables. En este caso, el Consejo determinará, de manera fundada y motivada, la procedencia de iniciar la Investigación correspondiente.

Fe pública

Artículo 45.
En el ejercicio de las funciones de investigación, el Secretario Técnico y de Asuntos Jurídicos estará dotado de fe pública para constatar la veracidad de los hechos en relación con los trámites a su cargo.

Requisitos de la denuncia

Artículo 46.
La denuncia deberá indicar lo siguiente:

I. Nombre del denunciante y el domicilio o el medio para recibir notificaciones, en su caso;

II. Relación de los hechos en los que basa su denuncia y los elementos con los que cuente para probar su dicho; y

III. Nombre y domicilio del denunciado o, en su caso, datos para su ubicación.

La denuncia podrá presentarse en los mismos medios establecidos para el procedimiento de Recurso de Revisión.

Cuando la denuncia se presente por medios electrónicos a través del sistema que establezca la Comisión, se entenderá que se acepta que las notificaciones sean efectuadas por dicho sistema o a través de otros medios electrónicos generados por éste, salvo que se señale un medio distinto para efectos de las mismas.

Cuando las actuaciones se lleven a cabo como consecuencia de una denuncia, la Comisión acusará recibo de la misma, pudiendo solicitar la documentación que estime oportuna para el desarrollo del procedimiento.

Desarrollo de la investigación

Artículo 47.
El procedimiento de investigación tendrá una duración máxima de noventa días, este plazo comenzará a contar a partir de la fecha en que el Consejo hubiera dictado el acuerdo de inicio y concluirá con la determinación del mismo, el cual no excederá el plazo establecido. El Consejo de la Comisión podrá ampliar el plazo por una vez y hasta por un periodo igual.

La Comisión podrá realizar diversas visitas de investigación para allegarse de los elementos de convicción necesarios, las cuales se desarrollarán en un plazo máximo de diez días cada una. Este plazo deberá ser notificado al responsable o encargado y, en su caso, al denunciante.

Visitas de investigación

Artículo 48.
El personal de la Comisión que lleve a cabo las visitas de investigación deberá estar provisto de orden escrita fundada y motivada con firma autógrafa de la autoridad competente de la Comisión, en la que deberá precisarse el lugar en donde se encuentra el establecimiento del responsable, o bien en donde se encuentren las bases de datos objeto de la investigación, el objeto de la visita, el alcance que deba tener la misma y las disposiciones legales que lo fundamenten.

Identificación del personal investigador

Artículo 49.
Al iniciar la visita, el personal investigador deberá exhibir credencial vigente con fotografía, expedida por la Comisión que lo acredite para desempeñar dicha función, así como la orden escrita fundada y motivada a la que se refiere el artículo anterior, de la que deberá dejar copia con quien se entendió la visita.

Acta de investigación

Artículo 50.
Las visitas de investigación concluirán con el levantamiento del acta correspondiente, en la que quedará constancia de las actuaciones practicadas durante la visita o visitas de investigación. Dicha acta se levantará en presencia de dos testigos propuestos por la persona con quien se hubiera entendido la diligencia o por quien la practique si aquélla se hubiera negado a proponerlos.

El acta que se emita por duplicado será firmada por el personal investigador actuante y por el responsable, encargado o con quien se haya entendido la actuación, quien podrá manifestar lo que a su derecho convenga.

En caso de que el responsable se niegue a firmar el acta, se hará constar expresamente esta circunstancia en la misma. Dicha negativa no afectará la validez de las actuaciones o de la propia acta. La firma del responsable no supondrá su conformidad, sino tan sólo la recepción de la misma.

Se entregará al responsable uno de los originales del acta de investigación, incorporándose el otro a las actuaciones.

Contenido de las actas de investigación

Artículo 51.
En las actas de investigación se hará constar:

I. Nombre, denominación o razón social del responsable del sujeto obligado;

II. Hora, día, mes y año en que se inicie y concluya la investigación;

III. Los datos que identifiquen plenamente el domicilio, tales como calle, número, población o colonia, municipio o delegación, código postal y entidad federativa en que se encuentre ubicado el lugar en que se practique la investigación, así como número telefónico u otra forma de comunicación disponible con el responsable;

IV. Número y fecha del oficio de comisión que la motivó;

V. Nombre y cargo de la persona con quien se entendió la investigación;

VI. Nombre y domicilio de las personas que fungieron como testigos;

VII. Datos relativos a la actuación;

VIII. Declaración del responsable, si quisiera hacerla, y

IX. Nombre y firma de quienes intervinieron en la investigación, incluyendo los de quienes la hubieran llevado a cabo. Si se negara a firmar el responsable, su representante legal o la persona con quien se entendió la investigación, ello no afectará la validez del acta, debiendo el personal investigador asentar la razón relativa.

Los responsables a quienes se haya levantado acta de investigación, podrán formular observaciones en el acto de la investigación y manifestar lo que a su derecho convenga en relación a los hechos contenidos en ella, o bien, por escrito dentro del término de los cinco días siguientes a la fecha en que se hubiere levantado.

Artículo 52.
El procedimiento de investigación concluirá con la resolución que emita el Consejo de la Comisión, en la cual, en su caso, se establecerán las medidas que deberá adoptar el responsable del sujeto obligado en el plazo que la misma establezca.

La resolución del Consejo podrá instruir el inicio del procedimiento de imposición de sanciones o establecer un plazo para su inicio, el cual se llevará a cabo conforme a lo dispuesto por la Ley.

La determinación del Consejo será notificada al responsable y al denunciante.

Artículo 53.
Para efectos de los artículos 88 y 89 de la Ley, la Comisión denunciará ante las autoridades competentes, cuando de los procedimientos de Recurso de Revisión o de Investigación, se determinen presuntas infracciones a la Ley susceptibles de ser sancionadas.

El procedimiento iniciará con la notificación que se haga al presunto infractor, en el domicilio que la Comisión tenga registrado, derivado de los procedimientos de Recursos de Revisión o de investigación.

De las Notificaciones

Artículo 54.
Las notificaciones podrán realizarse:

I. Personalmente o a través de un representante acreditado conforme a lo previsto en la Ley. Si el domicilio del recurrente se encuentra dentro de la demarcación del Estado, para el caso de que el recurrente no se encuentre en la primera búsqueda, se le dejará citatorio para hora fija dentro de las veinticuatro horas siguientes; si no espera el recurrente citado, se le hará la notificación por instructivo con la persona que se encuentre en el domicilio;

II. Por correo certificado o por mensajería con acuse de recibo, siempre que el particular, al presentar el recurso, haya cubierto el pago de servicio respectivo;

III. Por medios electrónicos, a través del sistema que establezca la Comisión, en cuyo caso el particular deberá indicar que acepta los mismos como medio para recibir notificaciones; y

IV. Por estrados, en caso de que el particular no señale domicilio u otro medio para recibir notificaciones o no cubra el pago del servicio que se menciona en la fracción II de este artículo.

Artículo 55.
De recibirse dos o más recursos de revisión por los mismos actos u omisiones que se atribuyan a la misma autoridad o servidor público, se acordará su acumulación en un solo expediente. El acuerdo respectivo será notificado a las partes.

La acumulación se iniciará de oficio o a petición de la parte.

El Comisionado Ponente será asistido en las diligencias que realice, por el Secretario de Estudio.

El Secretario de Estudio, será el responsable de vigilar que se cumplan los términos y plazos señalados para la tramitación de este recurso.

Impedimentos

Artículo 56.
Cada Comisionado estará impedido de conocer cualquier asunto o caso en el que tenga interés directo o indirecto. Se considera que existe un interés directo o indirecto, cuando:

I. Tenga parentesco en línea recta, sin limitación de grado, en la colateral por consanguinidad, hasta el cuarto grado, y en la colateral por afinidad, hasta el segundo con alguno de los servidores públicos obligados;

II. Tenga interés personal en el asunto, o lo tenga su cónyuge;

III. Haya sido perito, testigo, apoderado patrono o defensor en el asunto de que se trata, o haya gestionado o recomendado anteriormente el asunto, en favor o en contra de alguno de los servidores públicos, y

IV. Esté en una situación que pueda afectar su imparcialidad en forma análoga a las anteriores.

Los comisionados tienen la obligación de excusarse del conocimiento de los negocios en que se presente alguno de los impedimentos señalados en este Artículo, expresando concretamente la causa del impedimento, en cuyo caso el Pleno calificará la excusa.

TRANSITORIOS

PRIMERO.
El presente Reglamento entrará en vigor al día siguiente de su publicación en el Periódico Oficial del Estado de Tlaxcala.

SEGUNDO.
Los responsables deberán inscribir los sistemas de datos personales bajo su custodia dentro de los ciento veinte días hábiles siguientes a la entrada en vigor de este Reglamento en el Registro Estatal de Sistemas de Datos Personales.

TERCERO.
Los sujetos obligados contarán con ciento veinte días hábiles para realizar las adecuaciones necesarias que permitan atender los requerimientos sobre las medidas de seguridad referidas en este Reglamento.

Así lo aprobaron y firman a los 13 días del mes de julio del año dos mil doce, en la ciudad capital de Tlaxcala, Tlaxcala, los integrantes del Consejo General de la Comisión de Acceso a la Información Pública y Protección de Datos Personales del Estado de Tlaxcala.

EL CONSEJO GENERAL

MTRA. MAYRA ROMERO GAYTÁN, PRESIDENTE

LIC. CLAUDIO CIRIO ROMERO, COMISIONADO

MTRO. MIGUEL ÁNGEL CARRO AGUIRRE, COMISIONADO

 

19Mar/18

Reglamento de 13 de julio de 2012, de la Ley de Protección de Datos Personales del Estado de Tlaxcala

Reglamento de 13 de julio de 2012, de la Ley de Protección de Datos Personales del Estado de Tlaxcala. (Publicado en la Segunda Sección del Periódico Oficial del Estado de Tlaxcala, el miércoles 28 de noviembre de 2012).

TÍTULO PRIMERO.- Generalidades

CAPÍTULO ÚNICO .- Disposiciones Generales

Artículo 1.
Este Reglamento tiene por objeto establecer las directrices y criterios que deberán observar los sujetos obligados establecidos en el Artículo 2 de la Ley de Protección de Datos Personales para el Estado de Tlaxcala.

Para la interpretación de este Reglamento se observará lo dispuesto por el artículo 4 de la Ley de Protección de Datos Personales para el Estado de Tlaxcala.

Artículo 2.
Los datos personales serán debidamente protegidos y los responsables, encargados y usuarios deberán garantizar el manejo cuidadoso en su tratamiento.

Artículo 3.
Para efectos de la aplicación de este Reglamento, además de lo que establece el Artículo 3 de la Ley de Protección de Datos personales para el Estado de Tlaxcala se entenderá por:

I. Ley de Protección: Ley de Protección de Datos Personales para el Estado de Tlaxcala;

II. Cédula Estadística para el Registro Estatal de Datos Personales: Aplicación informática desarrollada por la Comisión para mantener actualizado el listado de los sistemas de datos personales que posean las dependencias y entidades para registrar e informar sobre las transmisiones, modificaciones y cancelaciones de los mismos;

III. Derechos ARCO: Son los derechos de acceso, rectificación, cancelación y oposición de los datos personales;

IV. Destinatario: Cualquier persona física o moral pública o privada que recibe datos personales;

V. Autentificación: Comprobación de la identidad de aquella persona autorizada para el tratamiento de datos personales;

VI. Documentos: Los expedientes, reportes, estudios, actas, resoluciones, oficios, correspondencia, acuerdos, directivas, directrices, circulares, contratos, convenios, instructivos, notas, memorandos, estadísticas, o bien cualquier otro registro en posesión de los entes públicos sin importar su fuente o fecha de elaboración. Los documentos podrán estar en cualquier soporte, escrito, impreso, sonoro, visual, electrónico, informático u holográfico y demás análogos;

VII. Documento de seguridad: Instrumento que establece las medidas y procedimientos administrativos de seguridad, físicos y técnicos aplicables a los sistemas de datos personales necesarios para garantizar la protección, confidencialidad, integridad y disponibilidad de los datos contenidos en dichos sistemas;

VIII. Incidencia: Cualquier anomalía que afecte o pudiera afectar la seguridad de los datos personales;

IX. Inmovilización: Medida cautelar que consiste en la interrupción temporal en el uso de un sistema de datos personales ordenada por la Comisión en los supuestos de tratamiento ilícito de datos de carácter personal;

X. Reglamento de Protección: Reglamento de la Ley de Protección de Datos Personales para el Estado de Tlaxcala;

XI. Transferencia: Es la transmisión controlada y sistemática de datos entre sujetos obligados; y

XII. Visitador: Servidor público de la Comisión, dotado de fe pública en el ejercicio de sus funciones, que con motivo de ellas, acude con los sujetos obligados, para obtener la información, datos o evidencia.

TÍTULO SEGUNDO.- Estructura Orgánica de la Unidad de Protección de Datos Personales

CAPÍTULO ÚNICO .- Unidad de Protección de Datos Personales

Artículo 4.
Para el cumplimiento de sus funciones la Unidad de Protección contará con el siguiente personal:

I. Un Jefe de Unidad; mismo que tendrá las atribuciones establecidas en la Fracción III del artículo 24 del Reglamento Interno de la Comisión;

II. Un Visitador; mismo que tendrá las atribuciones siguientes:

a) Practicar las visitas ordinarias de inspección que corresponda conforme al programa de visitas aprobado;

b) Practicar las visitas extraordinarias de inspección que ordene el Pleno y el Secretario Técnico y de Asuntos Jurídicos, cuando para ello lo faculte el Pleno;

c) Expresar ante la Comisión de Disciplina del Consejo, el impedimento que tengan para realizar visitas de inspección;

d) Informar al Consejo General a través del Jefe de la Unidad de Protección, sobre la existencia de algún acto que pudiera lesionar gravemente el cumplimiento de la Ley de Protección y demás normativa aplicable;

e) Realizar el informe de las visitas a los Sujetos Obligados, levantar actas en cada visita realizada y, llevar un registro de las mismas; y

d) Las que le confiera la Ley de Protección, el Consejo General y demás normatividad aplicable.

III. Un Auxiliar Tecnológico, quien deberá preferentemente, tener perfil profesional o conocimiento en tecnologías de la información.

TÍTULO TERCERO.- Tutela de Datos Personales

CAPÍTULO I.- Sistemas de Datos Personales

Artículo 5.
Un Sistema de Datos Personales podrá distinguirse entre físico y automatizado, definiéndose cada uno de ellos de la siguiente forma:

I. Físicos: Conjunto ordenado de datos de carácter personal que para su tratamiento están contenidos en registros manuales, impresos, sonoros, magnéticos, visuales u holográficos, estructurado conforme a criterios específicos relativos a personas físicas que permitan acceder sin esfuerzos desproporcionados a sus datos personales; y

II. Automatizados: Conjunto ordenado de datos de carácter personal que permita acceder a la información relativa a una persona física, utilizando herramientas tecnológicas.

Artículo 6.
Los datos personales contenidos en los sistemas se clasificarán, de manera enunciativa, más no limitativa, de acuerdo a las siguientes categorías:

I. Datos identificativos: El nombre, domicilio, teléfono particular, teléfono celular, firma, clave del Registro Federal de Contribuyentes (RFC), Clave Única de Registro de Población (CURP), Matrícula del Servicio Militar Nacional, número de pasaporte, lugar y fecha de nacimiento, nacionalidad, edad, fotografía y demás análogos;

II. Datos electrónicos: Las direcciones electrónicas, tales como, el correo electrónico no oficial, dirección IP (Protocolo de Internet), dirección MAC (dirección Media Access Control o dirección de control de acceso al medio), así como el nombre del usuario, contraseñas, firma electrónica; o cualquier otra información empleada por la persona, para su identificación en Internet u otra red de comunicaciones electrónicas;

III. Datos laborales: Documentos de reclutamiento y selección, nombramiento, incidencia, capacitación, actividades extracurriculares, referencias laborales, referencias personales, solicitud de empleo, hoja de servicio y demás análogos;

IV. Datos patrimoniales: Los correspondientes a bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas, servicios contratados, referencias personales y demás análogos;

V. Datos sobre procedimientos administrativos y/o jurisdiccionales: La información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal, fiscal, administrativa o de cualquier otra rama del Derecho;

VI. Datos académicos: Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados y reconocimientos y demás análogos;

VII. Datos de tránsito y movimientos migratorios: Información relativa al tránsito de las personas dentro y fuera del país, así como información migratoria;

VIII. Datos sobre la salud: El expediente clínico de cualquier atención médica, referencias o descripción de sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, así como el estado físico o mental de la persona;

IX. Datos biométricos: huellas dactilares, ADN, geometría de la mano, características de iris y retina y demás análogos;

X. Datos especialmente protegidos (sensibles): origen étnico o racial, características morales o emocionales, ideología y opiniones políticas, creencias, convicciones religiosas, filosóficas y preferencia sexual; y

XI. Datos personales de naturaleza pública: aquellos que por mandato legal sean accesibles al público.

Artículo 7.
El cumplimiento de la inscripción en el Registro Estatal de Datos Personales se regirá de la siguiente manera:

I. La Comisión de Acceso a la Información Pública y Protección de Datos Personales del Estado de Tlaxcala, remitirá a los sujetos obligados la Cédula Estadística para el Registro Estatal de Datos Personales;

II. Dicha Cédula deberá ser actualizada semestralmente por los sujetos obligados y enviada a esta Comisión;

III. Los periodos de actualización comprenden los meses de junio y diciembre; y

IV. Las creaciones, modificaciones o supresiones deberán ser notificadas a esta Comisión en un término de 10 días previos a realizar dichos procedimientos.

Artículo 8.
A efecto de cumplir con el deber de información previsto en el artículo 34 de la Ley de Protección, en el momento en que se recaben datos personales, por cualquier medio, el sujeto obligado deberá hacer del conocimiento del interesado las advertencias a las que se refiere dicho artículo.

Artículo 9.
Sin perjuicio de la modalidad mediante la cual los sujetos obligados recaben datos personales, éstos, deberán utilizar el siguiente modelo de aviso de privacidad para informar al interesado de las advertencias a que se refiere el artículo 34 de la Ley: “Los datos personales recabados serán protegidos, incorporados y tratados en el Sistema de Datos Personales (nombre del sistema de datos personales), el cual tiene su fundamento en (fundamento legal que faculta al sujeto obligado para recabar los datos personales), cuya finalidad es (describir la finalidad del sistema) y podrán ser transmitidos a (destinatario y finalidad de la transmisión), además de otras transmisiones previstas en la Ley de Protección de Datos Personales para el Estado de Tlaxcala.

Los datos marcados con un asterisco (*) son obligatorios y sin ellos no podrá acceder al servicio o completar el trámite (indicar el servicio o trámite de que se trate)

Asimismo, se le informa que sus datos no podrán ser difundidos sin su consentimiento expreso, salvo las excepciones previstas en la Ley.

El responsable del Sistema de datos personales es (nombre del responsable), y la dirección donde podrá ejercer los derechos de acceso, rectificación, cancelación y oposición, así como la revocación del consentimiento es (indicar el domicilio de la Área Responsable del Sistema de Datos Personales correspondiente).

El interesado podrá dirigirse a la Comisión de Acceso a la Información Pública y Protección de Datos Personales del Estado de Tlaxcala, donde recibirá asesoría sobre los derechos que tutela la Ley de Protección de Datos Personales para el Estado de Tlaxcala al teléfono: 01-246-4620939, 4620039, 4629004, 4628921; Correo Electrónico: [email protected] o bien en la página www.caiptlax.org.mx

CAPÍTULO II.- Medidas de Seguridad

Artículo 10.
Las incidencias contarán necesariamente con un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se comunica, los efectos que se hubieran derivado de la misma y las acciones implementadas.

Artículo 11.
El responsable tendrá a su cargo la elaboración de una relación actualizada de servidores públicos que tengan acceso autorizado al sistema de datos personales y de establecer procedimientos que permitan la correcta identificación y autentificación para dicho acceso.

El responsable establecerá un mecanismo que permita la identificación, de forma inequívoca y personalizada, de toda aquella persona que intente acceder al sistema de datos personales y la verificación de que está autorizada.

Cuando el mecanismo de autentificación se base en la existencia de contraseñas se establecerá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

Las contraseñas se cambiarán con la periodicidad que se determine en el documento de seguridad y se conservarán cifradas.

Asimismo, se establecerá un procedimiento de creación y modificación de contraseñas (longitud, formato, contenido).

Artículo 12.
Para cumplir con lo establecido en el inciso k del artículo 10 de la Ley de Protección; se deberán observar las siguientes medidas:

I. Al almacenar los soportes físicos y electrónicos que contengan datos de carácter personal se deberá cuidar que estén etiquetados para permitir identificar el tipo de información que contienen, ser inventariados y sólo podrán ser accesibles por el personal autorizado para ello en el documento de seguridad;

II. La salida de soportes y documentos que contengan datos de carácter personal, fuera de las instalaciones u oficinas bajo el control del responsable, deberá ser autorizada por éste, o encontrarse debidamente autorizada en el documento de seguridad;

III. En el traslado de soportes físicos y electrónicos se adoptarán medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transport (sic);

IV. Siempre que vaya a desecharse cualquier soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior; y

V. Las medidas de seguridad adoptadas para los sistemas de datos personales son confidenciales, por lo que los responsables sólo deberán comunicar a la Comisión el nivel de seguridad aplicable a los sistemas de datos personales para su registro.

CAPÍTULO III.- Tratamiento de Datos Personales

Artículo 13.
En el tratamiento de los datos personales los sujetos obligados deberán observar los principios de licitud, consentimiento, calidad de los datos, confidencialidad, seguridad, disponibilidad y temporalidad que establece el artículo 6 de la Ley de Protección.

Para los efectos de la Ley de Protección y del presente Reglamento se entenderá que:

I. Con relación al principio de consentimiento, éste es:

a) Libre: Cuando es obtenido sin la intervención de vicio alguno de la voluntad;

b) Inequívoco: Cuando existe expresamente una acción que implique su otorgamiento;

c) Específico: Cuando se otorga referido a una determinada finalidad; e

d) Informado: Cuando se otorga con conocimiento de las finalidades para las que el mismo se produce.

II. Con relación al principio de calidad de los datos, el tratamiento de los datos personales deberá ser:

a) Cierto: Cuando los datos se mantienen actualizados de tal manera que no se altere la veracidad de la información que traiga como consecuencia que el titular se vea afectado por dicha situación;

b) Adecuado: Cuando se observa una relación proporcional entre los datos recabados y la finalidad del tratamiento;

c) Pertinente: Cuando es realizado por el personal autorizado para el cumplimiento de las atribuciones de los entes públicos que los hayan recabado; e

d) No excesivo: Cuando la información solicitada al titular de los datos es la estrictamente necesaria para cumplir con los fines para los cuales se hubieran recabado.

III. Con relación al principio de confidencialidad, se entenderá que los datos personales son:

a) Irrenunciables: El interesado está imposibilitado de privarse voluntariamente de las garantías que le otorga la legislación en materia de protección de datos personales;

b) Intransferibles: El interesado es el único titular de los datos y éstos no pueden ser cedidos a otra persona; e

c) Indelegables: Sólo el interesado tiene la facultad de decidir a quién transmite sus datos personales.

El deber de secrecía y el de confidencialidad se considerarán equiparables.

Artículo 14.
Los datos personales en posesión de los sujetos obligados deberán tratarse únicamente para la finalidad para la cual fueron obtenidos. Dicha finalidad deber ser explícita, determinada y legal.

Artículo 15.
El responsable deberá dirigirse al interesado por escrito para hacer de su conocimiento los aspectos a que se refiere el artículo 34 de la Ley de Protección, concediéndole un plazo de quince días hábiles para manifestar su negativa al tratamiento, bajo la advertencia de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento de sus datos personales. Para tal efecto, el responsable deberá incorporar al escrito el modelo de aviso de privacidad a que hace referencia el artículo 8 de este Reglamento.

Artículo 16.
En caso de los sistemas de datos creados con anterioridad a la entrada en vigor de la Ley de Protección, así como en los casos y excepciones señalados en el artículo 16 de la misma, no se requerirá la notificación a la que se hace referencia en el artículo anterior, salvo que los datos reciban un tratamiento distinto a aquel para el que fueron recabados.

Artículo 17.
El interesado podrá revocar su consentimiento de conformidad con lo dispuesto en el artículo 16 de la Ley de Protección, mediante solicitud presentada ante el Área Responsable del Sistema de Datos Personales del sujeto obligado que corresponda, a través de los formatos que para tal efecto emita la Comisión. La solicitud deberá ser acompañada de un medio de identificación oficial.

Además de cumplir con los requisitos establecidos en el artículo 64 de la Ley de Protección, los interesados deberán, en su caso, especificar la finalidad para la cual se revoca el consentimiento para tratar sus datos personales.

El Área Responsable del Sistema de Datos Personales del sujeto obligado realizará las gestiones necesarias ante el responsable que corresponda hasta la culminación del procedimiento que se hará de conformidad con lo dispuesto en el artículo 60 de la Ley de Protección.

Artículo 18.
El interesado podrá solicitar la revocación de su consentimiento ante el Área Responsable del Sistema de Datos Personales del sujeto obligado. En caso de que el responsable determine que la solicitud de revocación del consentimiento es procedente, éste deberá cesar en el tratamiento de los datos, sin perjuicio de la obligación de bloquear los datos conforme a la Ley de Protección y este Reglamento.

En el caso de que los datos hubieren sido cedidos previamente, el responsable, una vez revocado el consentimiento, deberá comunicarlo a los cesionarios dentro del plazo de diez días hábiles para que procedan de conformidad con el párrafo anterior.

Ante la improcedencia de la revocación del consentimiento, el interesado podrá ejercer su derecho de cancelación, conforme a la Ley de Protección.

Artículo 19.
La Comisión podrá, requerir en los supuestos a que hace referencia al artículo 18 de la Ley de Protección y mediante resolución fundada y motivada del Pleno, que los responsables de sistema de datos personales suspenda la utilización o cesión de determinados datos.

El requerimiento deberá ser atendido dentro de un plazo improrrogable de cinco días hábiles al término del cual el responsable deberá rendir un informe en el cual señale las medidas adoptadas para la suspensión y en el que alegue lo que a su derecho convenga.

Transcurrido el plazo, la Comisión deberá emitir una resolución, dentro del término de quince días hábiles, en la que podrá:

I. Emitir recomendaciones en las que requiera a los sujetos obligados se subsanen las irregularidades detectadas, mismas que tendrán que ser solventadas dentro del plazo y condiciones que al efecto se establezcan;

II. Requerir al responsable la cancelación o rectificación de determinados datos contenidos en el sistema que corresponda;

III. Requerir que el responsable modifique el sistema a efecto de que se ajuste a lo establecido en la Ley de Protección y demás normativa aplicable; y

IV. Determinar que no hay elementos que permitan establecer que se actualizan los supuestos a que hace referencia el artículo 18 de la Ley de Protección.

En los supuestos previstos en las fracciones I a la IV, del presente artículo, la Comisión podrá ordenar el levantamiento de la suspensión y el archivo del expediente.

Artículo 20.
En caso de que el requerimiento de suspensión fuera desatendido, la Comisión, mediante resolución fundada y motivada del Pleno, podrá requerir la inmovilización del sistema correspondiente, con el único fin de restaurar los derechos de las personas afectadas, lo que se hará de conformidad con el artículo anterior.

Artículo 21.
Los datos personales que hayan sido objeto de tratamiento y no contengan valores históricos, científicos o estadísticos, deberán ser cancelados del sistema de datos personales, teniendo en cuenta los siguientes plazos:

I. El que se haya establecido en el formato físico o electrónico por medio del cual se recabaron;

II. El establecido por las disposiciones aplicables; y

III. El establecido en el instrumento jurídico formalizado entre un tercero y el sujeto obligado.

Artículo 22.
El informe a que hace referencia la fracción II del artículo 42 de la Ley de Protección deberá contener los siguientes apartados:

I. Número de solicitudes de acceso, rectificación, cancelación y oposición de datos personales presentadas ante el sujeto obligado, así como su resultado;

II. El tiempo de respuesta a la solicitud;

III. El estado que guardan las denuncias presentadas ante el Área Responsable del Sistema de Datos Personales, así como de las vistas dadas por la Comisión;

IV. Dificultades observadas en el cumplimiento de la Ley;

V. Descripción de los recursos públicos utilizados en la materia;

VI. Sistemas de datos personales creados, modificados y/o suprimidos;

VII. Acciones desarrolladas para dar cumplimiento a las disposiciones contenidas en la Ley de Protección; y

VIII. Cesiones o transferencias de datos personales efectuadas que deberá detallar:

a) Identificación del sistema mediante número de folio, del sujeto obligado cedente y del cesionario;

b) Finalidad de la cesión;

c) La mención de si se trata de una cesión total o parcial de un sistema de datos personales y, en su caso, las categorías de datos de que se trate;

d) Fecha de inicio y término de la cesión y, en su caso, la periodicidad de la misma;

e) Medio empleado para realizar la cesión;

f) Medidas y niveles de seguridad empleados para la cesión;

g) Obligaciones al término del tratamiento; y

h) El nivel de seguridad aplicado por el cesionario.

Artículo 23.
El servidor público designado como responsable al que se refiere el artículo 40 de la Ley de Protección, será incorporado a una base de datos que estará sujeta a publicación mediante la página oficial de la Comisión debiéndose actualizar por lo menos cada tres meses.

Artículo 24.
El servidor público designado como Responsable tendrá las siguientes obligaciones:

I. Garantizar el ejercicio de los derechos ARCO, conforme lo establecido en el Capítulo I del Título V de la Ley de Protección;

II. Coordinar al encargado al interior del sujeto obligado para el cumplimiento de la Ley de Protección, este Reglamento y demás normativa aplicable;

III. Supervisar la actualización de la inscripción de los sistemas bajo su responsabilidad en el Registro;

IV. Coordinar las acciones en materia de capacitación;

V. Remitir el informe a que hace referencia la fracción II del artículo 42 de la Ley de Protección; y

VI. Diseñar el folio al que se refiere el artículo 21 de este Reglamento, mismo que deberá contener los siguientes datos:

a) Iniciales del sujeto obligado;

b) Iniciales del programa que contiene el sistema de datos personales;

c) Número progresivo; y

d) Año de apertura.

TÍTULO CUARTO.- Autoridad Responsable del Control de Vigilancia

CAPÍTULO I.- Comisión de Acceso a la Información Pública y Protección de Datos Personales

Artículo 25.
La Comisión dispondrá de los medios de investigación y de la facultad de intervenir frente a la creación, modificación y supresión de sistemas de datos personales sujetos al ámbito de aplicación de la Ley de Protección, que no se ajusten a las disposiciones de la misma, de este Reglamento y de las demás disposiciones que resulten aplicables.

A tal efecto, tendrá acceso a los sistemas de datos personales, podrá inspeccionarlos y recabar toda la información necesaria para el cumplimiento de su función de control, podrá solicitar la exhibición o el envío de documentos y datos, así como examinarlos en el lugar en donde se encuentren instalados.

Artículo 26.
La Comisión, en términos del artículo 47, fracción XV de la Ley de Protección, podrá realizar visitas de inspección, las cuales no podrán referirse a información de acceso restringido, a efecto de evaluar la actuación de los sujetos obligados, las cuales podrán ser de la siguiente forma:

a) Visitas de inspección ordinarias, y

b) Visitas de procedimiento de investigación.

Las visitas de inspección ordinarias, procederán de conformidad con lo siguiente:

I. Toda visita de inspección ordinaria deberá ajustarse a los procedimientos y formalidades establecidos en este Reglamento;

II. Los visitadores, deberán llevar siempre consigo:

a) Credencial vigente con fotografía expedida por la Comisión;

b) Acuerdo del Pleno de la Comisión que determinó la diligencia en el que deberá precisarse el sujeto obligado que ha de inspeccionarse, el objeto de la visita, el alcance que deba tener y las disposiciones legales que la fundamenten;

III. Los responsables o encargados del sistema de datos personales objeto de inspección estarán obligados a permitir el acceso y dar facilidades e informes a los visitadores para el desarrollo de su labor;

IV. De toda visita de inspección ordinaria se levantará acta circunstanciada, en presencia de dos testigos propuestos por el responsable o servidor público con quien se entienda la diligencia o, en su caso, por quien la practique si aquél se hubiere negado a proponerlos;

V. De toda acta se dejará copia al servidor público con quien se entendió la diligencia, aunque se hubiere negado a firmar, lo que no afectará la validez de la diligencia ni del documento de que se trate, siempre y cuando el inspector haga constar tal circunstancia en el acta;

VI. En las actas se hará constar:

a) Identificación del sujeto obligado visitado;

b) Hora, día, mes y año en que se inicie y concluya la diligencia;

c) Calle, número, población o colonia, teléfono u otra forma de comunicación disponible, municipio y código postal en que se encuentre ubicado el lugar en que se practique la visita;

d) Número y fecha del acuerdo del Pleno que la motivó;

e) Nombre y cargo de la persona con quien se entendió la diligencia;

f) Nombre y cargo de las personas que fungieron como testigos;

g) Datos relativos a la actuación;

h) Declaración del visitado, si quiere hacerla; y

i) Nombre y firma de quienes intervinieron en la diligencia incluyendo los de quien o quienes la hubieren llevado a cabo. Si se negare a firmar el visitado, ello no afectará la validez del acta, debiendo el visitador asentar la razón relativa.

VII. La visita debe entenderse con el responsable del sistema. En caso de que no se encontrara presente, la diligencia se entenderá con el encargado y, en su defecto, con quien se encuentre presente, circunstancia que se hará constar en el acta;

VIII. Los visitados a quienes se haya levantado acta de inspección podrán formular observaciones en el acto de la diligencia y ofrecer pruebas en relación a los hechos contenidos en ella, o bien por escrito, así como hacer uso de tal derecho dentro del término de cinco días hábiles siguientes a la fecha en que se hubiere levantado; y

IX. Transcurrido el plazo señalado en el artículo anterior, la Comisión deberá emitir una resolución dentro del término de quince días hábiles en la que podrá:

a) Determinar que el sistema de datos personales se ajusta a lo establecido en la Ley de Protección;

b) Determinar que existen irregularidades que contravienen lo establecido en la Ley de Protección y demás normatividad aplicable, caso en el que formulará recomendaciones al sujeto obligado, a efecto de que subsane las inconsistencias detectadas dentro del plazo y condiciones que al efecto se determinen;

c) El sujeto obligado deberá informar por escrito a la Comisión, dentro de los cinco días hábiles siguientes a que termine el plazo a que se refiere el artículo 25, sobre la atención a las recomendaciones formuladas por la Comisión; y

d) En caso de que el sujeto obligado fuese omiso en presentar los informes o en solventar las recomendaciones, la Comisión dará vista para los efectos legales correspondientes, sin que esta situación lo exima del cumplimiento de las mismas.

En caso de que, en la visita de inspección se advirtiera un posible tratamiento ilícito de los datos personales, se estará a lo dispuesto en los numerales 18 y 19 del presente Reglamento.

TÍTULO QUINTO.- Derechos Arco y Procedimiento para su Ejercicio

CAPÍTULO I.- Procedimiento para su Ejercicio

Artículo 27.
Los derechos de acceso, rectificación, cancelación y oposición de datos personales, también conocidos como derechos ARCO son personalísimos y, serán ejercidos directamente por el interesado o su representante legal, quienes tendrán que acreditar su personalidad.

Artículo 28.
Los sujetos obligados deberán observar lo establecido en la Ley de Protección para la gestión de solicitudes personales, relacionadas con los derechos ARCO.

Artículo 29.
Para acreditar la personalidad y poder ejercer los derechos ARCO, el interesado tendrá que presentar los siguientes requisitos:

I. El interesado:

a) Identificación oficial vigente (credencial para votar del IFE, pasaporte, cédula profesional o cartilla militar); y

b) Clave Única de Registro de Población.

II. El Representante Legal:

a) Identificación oficial (credencial para votar del IFE, pasaporte, cédula profesional o cartilla militar);

b) Clave Única de Registro de Población; y

c) Carta poder.

III. Para el caso de menores de edad o personas incapaces:

a) El padre, tutor o representante legal del interesado, deberá presentar además de los requisitos establecidos en las fracciones I y II de este artículo:

b) Clave Única de Registro de Población del interesado.

CAPÍTULO II.- Procedimiento del Recurso de Revisión en Materia de Datos Personales

Artículo 30.
Para iniciar el procedimiento del Recurso de Revisión en materia de protección de Datos Personales deberá presentarse por el recurrente o su representante; ya sea mediante escrito libre, en los formatos que para tal efecto determine la Comisión o a través de correo electrónico, en el plazo previsto en el artículo 72 de la Ley.

Cuando el Recurso de Revisión sea presentado a través de correo electrónico, deberá anexar, de preferencia por la misma vía, los documentos y/o fundatorios de la acción.

El recurrente o su representante deberán ratificar su escrito inicial de Recurso de Revisión dentro de los tres días hábiles contados a partir del día siguiente en que le sea notificado dicho acuerdo.

Al promover el Recurso de Revisión, el recurrente o su representante deberán acreditar su identidad o personalidad respectivamente. La Comisión podrá tener por reconocida la identidad del recurrente o la personalidad del representante cuando la misma ya hubiere sido acreditada ante el responsable al ejercer sus derechos ARCO.

Causales de procedencia

Artículo 31.
El Recurso de Revisión procederá cuando exista una inconformidad por parte del recurrente, derivada de acciones u omisiones del responsable de la protección y tratamiento de datos personales del sujeto obligado con motivo del ejercicio de los derechos ARCO cuando:

I. El recurrente no haya recibido respuesta por parte del responsable;

II. El responsable no otorgue acceso a los datos personales solicitados o lo haga en un formato incomprensible;

III. El responsable se niegue a efectuar las rectificaciones a los datos personales;

IV. El recurrente no esté conforme con la información entregada por considerar que es incompleta o no corresponde a la solicitada, o bien, con el costo o modalidad de la reproducción;

V. El responsable se niegue a cancelar los datos personales;

VI. El responsable persista en el tratamiento a pesar de haber procedido la solicitud de oposición, o bien, se niegue a atender la solicitud de oposición; y

VII. Por otras causas que a juicio de la Comisión sean procedentes conforme a la Ley o al presente Reglamento.

Artículo 32.
El promovente, deberá adjuntar a su Recurso de Revisión la información y documentos siguientes:

I. Copia de la solicitud de acceso, rectificación, cancelación u oposición de datos personales que corresponda, así como copia de los documentos anexos para cada una de las partes, de ser el caso;

II. El documento que acredite que actúa por su propio derecho o en representación del recurrente;

III. El documento en que conste la respuesta del responsable, de ser el caso;

IV. En el supuesto en que impugne la falta de respuesta del responsable, deberá acompañar una copia en la que obre el acuse o constancia de recepción de la solicitud de acceso, rectificación, cancelación u oposición de datos personales por parte del responsable;

V. Las pruebas documentales que ofrece para demostrar sus afirmaciones;

VI. El documento en el que señale las demás pruebas que ofrezca; y

VII. Cualquier otro documento que considere procedente someter a juicio de la Comisión.

Si el recurrente no pudiera acreditar que acudió con el responsable, ya sea porque éste se hubiere negado a recibir la solicitud acceso (sic), rectificación, cancelación u oposición de datos personales o a emitir el acuse de recibido, lo hará del conocimiento de la Comisión mediante escrito, y éste le dará vista al responsable para que manifieste lo que a su derecho convenga, a fin de garantizar al solicitante el ejercicio de sus derechos ARCO.

Artículo 33.
Presentando el recurso de revisión, dentro de las veinticuatro horas siguientes, será turnado al Comisionado Ponente que, por razón del turno correspondiente, deba de conocer del asunto, para que este a su vez, dentro de otras veinticuatro horas siguientes al turno, dicte el acuerdo correspondiente, sea este de admisión, prevención o desechamiento, según corresponda.

Admisión o desechamiento de las pruebas

Artículo 34.
La Comisión dictará un acuerdo de admisión o desechamiento de las pruebas, y de ser necesario éstas serán desahogadas en una audiencia, de la cual se notificará el lugar o medio, la fecha y hora a las partes.

Ofrecimiento de pruebas

Artículo 35.
Los medios de prueba que podrán ofrecerse son los siguientes:

I. La documental pública;

II. La documental privada;

III. La inspección, siempre y cuando se realice a través de la autoridad competente;

IV. La presuncional legal y humana;

V. La pericial;

VI. La testimonial; y

VII. Las fotografías, páginas electrónicas, escritos y demás elementos aportados por la ciencia y tecnología.

Las pruebas se admitirán, desahogarán o se desecharán aplicando supletoriamente el Código de Procedimientos Civiles para el Estado Libre y Soberano de Tlaxcala.

En caso de que se ofrezca prueba pericial o testimonial, se precisarán los hechos sobre los que deban versar y se señalarán los nombres y domicilios del perito o de los testigos, exhibiéndose el cuestionario o el interrogatorio respectivo en preparación de las mismas. Sin estos señalamientos, dichas pruebas se tendrán por no ofrecidas.

Conciliación

Artículo 36.
Admitido el Recurso de Revisión y sin perjuicio de lo dispuesto por el artículo 71 de la Ley, la Comisión promoverá la conciliación entre las partes, de conformidad con el siguiente procedimiento:

I. En el acuerdo de admisión del Recurso de Revisión, la Comisión requerirá a las partes que manifiesten, por cualquier medio, su voluntad de conciliar, en un plazo no mayor a cinco días, contados a partir de la notificación de dicho acuerdo, mismo que contendrá un resumen de la solicitud de acceso, rectificación, cancelación u oposición y de la respuesta del responsable si la hubiere, señalando los elementos comunes y los puntos de controversia;

La conciliación podrá celebrarse presencialmente, por medios remotos o locales de comunicación electrónica o por cualquier otro medio que determine la Comisión. En cualquier caso, la conciliación habrá de hacerse constar por el medio que permita acreditar su existencia.

Quedan exceptuados de la etapa de conciliación, los casos en los que el recurrente sea menor de edad y se haya vulnerado alguno de los derechos contemplados en la Ley para la Protección de los Derechos de Niñas, Niños y Adolescentes, vinculados con la Ley y el presente Reglamento, salvo que cuente con representación legal debidamente acreditado;

II. Aceptada la posibilidad de conciliar por las partes, la Comisión señalará el lugar o medio, día y hora para la celebración de una audiencia de conciliación, la cual deberá realizarse dentro de los diez días siguientes en que la Comisión haya recibido la manifestación de la voluntad de conciliar de las partes, en la que se procurará avenir los intereses entre el recurrente y el responsable.

En la etapa de conciliación, el conciliador podrá, en todo momento, requerir a las partes que presenten en un plazo máximo de cinco días, los elementos de convicción que estime necesarios para la conciliación.

Cuando lo estime pertinente o a instancia de ambas partes, el conciliador podrá suspender la audiencia de conciliación hasta en dos ocasiones. En caso de que se suspenda la audiencia, el conciliador señalará día y hora para su reanudación.

De toda audiencia de conciliación se levantará el acta respectiva, en la que conste el resultado de la misma. En caso de que el responsable o el recurrente o sus respectivos representantes no firmen el acta, ello no afectará su validez, debiéndose hacer constar dicha negativa;

III. Si alguna de las partes no acude a la audiencia de conciliación y justifica su ausencia en un plazo de tres días, será convocado a una segunda audiencia de conciliación; en caso de que no acuda a esta última, se continuará con el procedimiento del Recurso de Revisión. Cuando alguna de las partes no acuda a la audiencia de conciliación sin justificación alguna, se continuará con el procedimiento;

IV. De no existir acuerdo en la audiencia de conciliación, se continuará con el procedimiento del Recurso de Revisión;

V. En caso de que en la audiencia se logre la conciliación, el acuerdo deberá constar por escrito y tendrá efectos vinculantes y señalará, en su caso, el plazo de su cumplimiento; y

VI. El cumplimiento del acuerdo dará por concluido el procedimiento de Recurso de Revisión, en caso contrario, la Comisión reanudará el procedimiento.

La Comisión podrá buscar la conciliación en cualquier momento del procedimiento del Recurso de Revisión.

Audiencia

Artículo 37.
La Comisión determinará, en su caso, el lugar o medio, fecha y hora para la celebración de la audiencia de desahogo de pruebas, la cual podrá por única vez posponerse sólo por causa justificada. En dicha audiencia se desahogarán las pruebas que por su naturaleza así lo requieran y se levantará el acta correspondiente.

Presentación de alegatos

Artículo 38.
Dictado el acuerdo que tenga por desahogadas todas las pruebas, se pondrán las actuaciones a disposición de las partes, para que éstos, en caso de quererlo, formulen alegatos en un plazo de tres días hábiles siguientes a la conclusión del periodo probatorio.

Tercero interesado

Artículo 39.
En caso de que no se haya señalado tercero interesado, éste podrá apersonarse en el procedimiento mediante escrito en el que acredite interés jurídico para intervenir en el asunto, hasta antes del cierre de instrucción. Deberá adjuntar a su escrito el documento en el que se acredite su personalidad cuando no actúe en nombre propio y las pruebas documentales que ofrezca.

Falta de respuesta

Artículo 40.
En caso de que el procedimiento se inicie por falta de respuesta del responsable a una solicitud de acceso, rectificación, cancelación, u oposición de datos personales, la Comisión correrá traslado al responsable para que, en su caso, acredite haber dado respuesta a la misma, o bien, a falta de ésta, emita la respuesta correspondiente y la notifique al recurrente con copia a la Comisión, en un plazo de cinco días contados a partir de la notificación.

En caso de que el responsable acredite haber dado respuesta a la solicitud de acceso, rectificación, cancelación, u oposición de datos personales en tiempo y forma, y haberla notificado al recurrente o su representante, el procedimiento de Recurso de Revisión será sobreseído por quedar sin materia, de conformidad con lo previsto en el artículo 82 de la Ley.

Cuando el responsable acredite haber dado respuesta a la solicitud de acceso, rectificación, cancelación, u oposición de datos personales en tiempo y forma, y el Recurso de Revisión no haya sido presentado por el recurrente en el plazo que establece la Ley, el Recurso de Revisión se sobreseerá por extemporáneo, de conformidad con lo previsto en el artículo 82 de la Ley.

En caso de que la respuesta sea emitida por el responsable durante el procedimiento de Recurso de Revisión o hubiere sido emitida fuera del plazo establecido por el artículo 62 de la Ley, el responsable notificará dicha respuesta a la Comisión y al recurrente, para que este último, en un plazo de cinco días contados a partir de la notificación, manifieste lo que a su derecho convenga, a efecto de continuar el curso del procedimiento. Si el recurrente manifiesta su conformidad con la respuesta, el procedimiento será sobreseído por quedar sin materia.

Cuando el responsable no atienda el requerimiento al que refiere el primer párrafo del presente artículo, la Comisión resolverá conforme a los elementos que consten en el expediente.

Resoluciones

Artículo 41.
Las resoluciones de la Comisión deberán dictarse en el plazo de diez días hábiles, una vez agotada la etapa de alegatos, y podrán instruir el inicio de otros procedimientos previstos en la Ley.

Artículo 42.
Las resoluciones deberán contener lo siguiente:

I. Lugar y fecha en que se pronuncia, nombre del sujeto obligado y extracto breve de los hechos recurridos y el nombre del recurrente, salvo la existencia de oposición para publicar sus datos personales;

II. Los preceptos legales que la fundamenten y las consideraciones que la sustenten;

III. Los puntos resolutivos, que podrán confirmar, modificar o revocar la resolución o acto emitido del sujeto obligado;

IV. Los alcances, efectos de la resolución y los términos para ejecutarla fijando con precisión, los órganos obligados a cumplirla; y

V. La determinación de la existencia de responsabilidad del sujeto obligado y en su caso la solicitud de inicio de investigación en materia de responsabilidad de servidores públicos al Órgano de Control Interno que corresponda.

Artículo 43.
Si durante el procedimiento del recurso, apareciere alguna circunstancia procesal por la cual se deba archivar a manera de reserva el expediente, se emitirá el acuerdo respectivo fundando y motivando la reserva, así como el tiempo en que deberá permanecer en ese estado el expediente.

Procedimiento de investigación

Artículo 44.
El procedimiento de investigación se iniciará de oficio o a petición de parte, por instrucción del Consejo de la Comisión.

Cualquier persona podrá denunciar ante la Comisión las presuntas violaciones a las disposiciones previstas en la Ley y demás ordenamientos aplicables. En este caso, el Consejo determinará, de manera fundada y motivada, la procedencia de iniciar la Investigación correspondiente.

Fe pública

Artículo 45.
En el ejercicio de las funciones de investigación, el Secretario Técnico y de Asuntos Jurídicos estará dotado de fe pública para constatar la veracidad de los hechos en relación con los trámites a su cargo.

Requisitos de la denuncia

Artículo 46.
La denuncia deberá indicar lo siguiente:

I. Nombre del denunciante y el domicilio o el medio para recibir notificaciones, en su caso;

II. Relación de los hechos en los que basa su denuncia y los elementos con los que cuente para probar su dicho; y

III. Nombre y domicilio del denunciado o, en su caso, datos para su ubicación.

La denuncia podrá presentarse en los mismos medios establecidos para el procedimiento de Recurso de Revisión.

Cuando la denuncia se presente por medios electrónicos a través del sistema que establezca la Comisión, se entenderá que se acepta que las notificaciones sean efectuadas por dicho sistema o a través de otros medios electrónicos generados por éste, salvo que se señale un medio distinto para efectos de las mismas.

Cuando las actuaciones se lleven a cabo como consecuencia de una denuncia, la Comisión acusará recibo de la misma, pudiendo solicitar la documentación que estime oportuna para el desarrollo del procedimiento.

Desarrollo de la investigación

Artículo 47.
El procedimiento de investigación tendrá una duración máxima de noventa días, este plazo comenzará a contar a partir de la fecha en que el Consejo hubiera dictado el acuerdo de inicio y concluirá con la determinación del mismo, el cual no excederá el plazo establecido. El Consejo de la Comisión podrá ampliar el plazo por una vez y hasta por un periodo igual.

La Comisión podrá realizar diversas visitas de investigación para allegarse de los elementos de convicción necesarios, las cuales se desarrollarán en un plazo máximo de diez días cada una. Este plazo deberá ser notificado al responsable o encargado y, en su caso, al denunciante.

Visitas de investigación

Artículo 48.
El personal de la Comisión que lleve a cabo las visitas de investigación deberá estar provisto de orden escrita fundada y motivada con firma autógrafa de la autoridad competente de la Comisión, en la que deberá precisarse el lugar en donde se encuentra el establecimiento del responsable, o bien en donde se encuentren las bases de datos objeto de la investigación, el objeto de la visita, el alcance que deba tener la misma y las disposiciones legales que lo fundamenten.

Identificación del personal investigador

Artículo 49.
Al iniciar la visita, el personal investigador deberá exhibir credencial vigente con fotografía, expedida por la Comisión que lo acredite para desempeñar dicha función, así como la orden escrita fundada y motivada a la que se refiere el artículo anterior, de la que deberá dejar copia con quien se entendió la visita.

Acta de investigación

Artículo 50.
Las visitas de investigación concluirán con el levantamiento del acta correspondiente, en la que quedará constancia de las actuaciones practicadas durante la visita o visitas de investigación. Dicha acta se levantará en presencia de dos testigos propuestos por la persona con quien se hubiera entendido la diligencia o por quien la practique si aquélla se hubiera negado a proponerlos.

El acta que se emita por duplicado será firmada por el personal investigador actuante y por el responsable, encargado o con quien se haya entendido la actuación, quien podrá manifestar lo que a su derecho convenga.

En caso de que el responsable se niegue a firmar el acta, se hará constar expresamente esta circunstancia en la misma. Dicha negativa no afectará la validez de las actuaciones o de la propia acta. La firma del responsable no supondrá su conformidad, sino tan sólo la recepción de la misma.

Se entregará al responsable uno de los originales del acta de investigación, incorporándose el otro a las actuaciones.

Contenido de las actas de investigación

Artículo 51.
En las actas de investigación se hará constar:

I. Nombre, denominación o razón social del responsable del sujeto obligado;

II. Hora, día, mes y año en que se inicie y concluya la investigación;

III. Los datos que identifiquen plenamente el domicilio, tales como calle, número, población o colonia, municipio o delegación, código postal y entidad federativa en que se encuentre ubicado el lugar en que se practique la investigación, así como número telefónico u otra forma de comunicación disponible con el responsable;

IV. Número y fecha del oficio de comisión que la motivó;

V. Nombre y cargo de la persona con quien se entendió la investigación;

VI. Nombre y domicilio de las personas que fungieron como testigos;

VII. Datos relativos a la actuación;

VIII. Declaración del responsable, si quisiera hacerla, y

IX. Nombre y firma de quienes intervinieron en la investigación, incluyendo los de quienes la hubieran llevado a cabo. Si se negara a firmar el responsable, su representante legal o la persona con quien se entendió la investigación, ello no afectará la validez del acta, debiendo el personal investigador asentar la razón relativa.

Los responsables a quienes se haya levantado acta de investigación, podrán formular observaciones en el acto de la investigación y manifestar lo que a su derecho convenga en relación a los hechos contenidos en ella, o bien, por escrito dentro del término de los cinco días siguientes a la fecha en que se hubiere levantado.

Artículo 52.
El procedimiento de investigación concluirá con la resolución que emita el Consejo de la Comisión, en la cual, en su caso, se establecerán las medidas que deberá adoptar el responsable del sujeto obligado en el plazo que la misma establezca.

La resolución del Consejo podrá instruir el inicio del procedimiento de imposición de sanciones o establecer un plazo para su inicio, el cual se llevará a cabo conforme a lo dispuesto por la Ley.

La determinación del Consejo será notificada al responsable y al denunciante.

Artículo 53.
Para efectos de los artículos 88 y 89 de la Ley, la Comisión denunciará ante las autoridades competentes, cuando de los procedimientos de Recurso de Revisión o de Investigación, se determinen presuntas infracciones a la Ley susceptibles de ser sancionadas.

El procedimiento iniciará con la notificación que se haga al presunto infractor, en el domicilio que la Comisión tenga registrado, derivado de los procedimientos de Recursos de Revisión o de investigación.

De las Notificaciones

Artículo 54.
Las notificaciones podrán realizarse:

I. Personalmente o a través de un representante acreditado conforme a lo previsto en la Ley. Si el domicilio del recurrente se encuentra dentro de la demarcación del Estado, para el caso de que el recurrente no se encuentre en la primera búsqueda, se le dejará citatorio para hora fija dentro de las veinticuatro horas siguientes; si no espera el recurrente citado, se le hará la notificación por instructivo con la persona que se encuentre en el domicilio;

II. Por correo certificado o por mensajería con acuse de recibo, siempre que el particular, al presentar el recurso, haya cubierto el pago de servicio respectivo;

III. Por medios electrónicos, a través del sistema que establezca la Comisión, en cuyo caso el particular deberá indicar que acepta los mismos como medio para recibir notificaciones; y

IV. Por estrados, en caso de que el particular no señale domicilio u otro medio para recibir notificaciones o no cubra el pago del servicio que se menciona en la fracción II de este artículo.

Artículo 55.
De recibirse dos o más recursos de revisión por los mismos actos u omisiones que se atribuyan a la misma autoridad o servidor público, se acordará su acumulación en un solo expediente. El acuerdo respectivo será notificado a las partes.

La acumulación se iniciará de oficio o a petición de la parte.

El Comisionado Ponente será asistido en las diligencias que realice, por el Secretario de Estudio.

El Secretario de Estudio, será el responsable de vigilar que se cumplan los términos y plazos señalados para la tramitación de este recurso.

Impedimentos

Artículo 56.
Cada Comisionado estará impedido de conocer cualquier asunto o caso en el que tenga interés directo o indirecto. Se considera que existe un interés directo o indirecto, cuando:

I. Tenga parentesco en línea recta, sin limitación de grado, en la colateral por consanguinidad, hasta el cuarto grado, y en la colateral por afinidad, hasta el segundo con alguno de los servidores públicos obligados;

II. Tenga interés personal en el asunto, o lo tenga su cónyuge;

III. Haya sido perito, testigo, apoderado patrono o defensor en el asunto de que se trata, o haya gestionado o recomendado anteriormente el asunto, en favor o en contra de alguno de los servidores públicos, y

IV. Esté en una situación que pueda afectar su imparcialidad en forma análoga a las anteriores.

Los comisionados tienen la obligación de excusarse del conocimiento de los negocios en que se presente alguno de los impedimentos señalados en este Artículo, expresando concretamente la causa del impedimento, en cuyo caso el Pleno calificará la excusa.

TRANSITORIOS

PRIMERO.
El presente Reglamento entrará en vigor al día siguiente de su publicación en el Periódico Oficial del Estado de Tlaxcala.

SEGUNDO.
Los responsables deberán inscribir los sistemas de datos personales bajo su custodia dentro de los ciento veinte días hábiles siguientes a la entrada en vigor de este Reglamento en el Registro Estatal de Sistemas de Datos Personales.

TERCERO.
Los sujetos obligados contarán con ciento veinte días hábiles para realizar las adecuaciones necesarias que permitan atender los requerimientos sobre las medidas de seguridad referidas en este Reglamento.

Así lo aprobaron y firman a los 13 días del mes de julio del año dos mil doce, en la ciudad capital de Tlaxcala, Tlaxcala, los integrantes del Consejo General de la Comisión de Acceso a la Información Pública y Protección de Datos Personales del Estado de Tlaxcala.

EL CONSEJO GENERAL

MTRA. MAYRA ROMERO GAYTÁN PRESIDENTE

LIC. CLAUDIO CIRIO ROMERO COMISIONADO

MTRO. MIGUEL ÁNGEL CARRO AGUIRRE COMISIONADO