El Art. 1 prevé: “Objeto y finalidad. – El objeto y finalidad de la presente ley es garantizar el ejercicio del derecho a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección. Para dicho efecto regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela.”
El Art. 4 define: “Términos y definiciones. – Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones:
(…) Base de datos o fichero: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.
Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.
Dato biométrico: Dato personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros.
Dato genético: Dato personal único relacionado a características genéticas heredadas o adquiridas de una persona natural que proporcionan información única sobre la fisiología o salud de un individuo.
Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
Datos relativos a: Etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos, datos relativos a las personas apátridas y refugiados que requieren protección internacional, y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.
Datos relativos a la salud: Datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.
Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales (…)
Destinatario: Persona natural o jurídica que ha sido comunicada con datos personales.
Elaboración de perfiles: Todo tratamiento de datos personales que permite evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a: rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, ubicación, movimiento físico de una persona, entre otros (…)
Fuente accesible al público: Bases de datos que pueden ser consultadas por cualquier persona, cuyo acceso es público, incondicional y generalizado (…)
Titular: Persona natural cuyos datos son objeto de tratamiento.
Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.
Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.
Vulneración de la seguridad de los datos personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales.”
El Art. 5 del mismo cuerpo normativo define: “Integrantes del sistema de protección de datos personales. – Son parte de la protección de datos personales, los siguientes: 1) Titular 2) Responsable del tratamiento 3) Encargado del tratamiento 4) Destinatario 5) Autoridad de Protección de Datos Personales 6) Delegado de protección de datos personales.”
El Art. 7, menciona: “Tratamiento legítimo de datos personas. – El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:
1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades especificas;
2) Que sea realizado por el Responsable del tratamiento en cumplimiento de una obligación legal;
3) Que sea realizado por el Responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente ley;
4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al Responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta ley y a los criterios de legalidad, proporcionalidad y necesidad;
5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el Responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado;
6) Para proteger intereses vitales, del interesado o de otra persona natural, como su vida, salud o integridad;
7) Para tratamiento de datos personales que consten en bases de datos de acceso público.
8) Para satisfacer un interés legítimo del Responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma.”
El Art. 12, en su numeral 14 especifica: “La existencia y forma en que pueden hacerse efectivos sus derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas.”
El Art. 13 del precitado cuerpo normativo determina: “Derecho de acceso. El titular tiene derecho a conocer y a obtener, gratuitamente, del responsable de tratamiento acceso a todos sus datos personales y a la información detallada en el artículo precedente, sin necesidad de presentar justificación alguna. El responsable del tratamiento de datos personales deberá establecer métodos razonables que permitan el ejercicio de este derecho.
El derecho de acceso no podrá ejercerse de forma tal que constituya abuso del derecho.”
El Art. 14 refiere: “Derecho de rectificación y actualización. El titular tiene el derecho a obtener del responsable del tratamiento la rectificación y actualización de sus datos personales inexactos o incompletos.
Para tal efecto, el titular deberá presentar los justificativos del caso, cuando sea pertinente”
El Art. 15 prevé: “Derecho de eliminación. El titular tiene derecho a que el responsable del tratamiento suprima sus datos personales, cuando:
1. El tratamiento no cumpla con los principios establecidos en la presente ley;
2. El tratamiento no sea necesario o pertinente para el cumplimiento de la finalidad;
3. Los datos personales hayan cumplido con la finalidad para la cual fueron recogidos o tratados;
4. Haya vencido el plazo de conservación de los datos personales;
5. El tratamiento afecte derechos fundamentales o libertades individuales;
6. Revoque el consentimiento prestado o señale no haberlo otorgado para uno o varios fines específicos, sin necesidad de que medie justificación alguna; o,
7. Exista obligación legal.
El responsable del tratamiento de datos personales implementará métodos y técnicas orientadas a eliminar, hacer ilegible, o dejar irreconocibles de forma definitiva y segura los datos personales. Esta obligación la deberá cumplir en el plazo de quince (15) días de recibida la solicitud por parte del titular y será gratuito.”
El Art. 16 menciona: “Derecho de oposición. El titular tiene el derecho a oponerse o negarse al tratamiento de sus datos personales, en los siguientes casos:
1. No se afecten derechos y libertades fundamentales de terceros, la ley se lo permita y no se trate de información pública, de interés público o cuyo tratamiento está ordenado por la ley.
2. El tratamiento de datos personales tenga por objeto la mercadotecnia directa; el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles; en cuyo caso los datos personales dejarán de ser tratados para dichos fines.
3. Cuando no sea necesario su consentimiento para el tratamiento como consecuencia de la concurrencia de un interés legítimo, previsto en el artículo 7, y se justifique en una situación concreta personal del titular, siempre que una ley no disponga lo contrario. El responsable de tratamiento dejará de tratar los datos personales en estos casos, salvo que acredite motivos legítimos e imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del titular, o para la formulación, el ejercicio o la defensa de reclamaciones.”
