LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS
CÁMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIÓN
Nueva Ley DOF 26-01-2017
Secretaría General
Secretaría de Servicios Parlamentarios
I.
El inventario de datos personales y de los sistemas de tratamiento;
II.
Las funciones y obligaciones de las personas que traten datos personales;
III.
El análisis de riesgos;
IV.
El análisis de brecha;
V.
El plan de trabajo;
VI.
Los mecanismos de monitoreo y revisión de las medidas de seguridad, y
VII.
El programa general de capacitación.
Artículo 36. El responsable deberá actualizar el documento de seguridad cuando ocurran los
siguientes eventos:
I.
Se produzcan modificaciones sustanciales al tratamiento de datos personales que deriven en
un cambio en el nivel de riesgo;
II.
Como resultado de un proceso de mejora continua, derivado del monitoreo y revisión del
sistema de gestión;
III.
Como resultado de un proceso de mejora para mitigar el impacto de una vulneración a la
seguridad ocurrida, y
IV.
Implementación de acciones correctivas y preventivas ante una vulneración de seguridad.
Artículo 37. En caso de que ocurra una vulneración a la seguridad, el responsable deberá analizar las
causas por las cuales se presentó e implementar en su plan de trabajo las acciones preventivas y
correctivas para adecuar las medidas de seguridad y el tratamiento de los datos personales si fuese el
caso a efecto de evitar que la vulneración se repita.
Artículo 38. Además de las que señalen las leyes respectivas y la normatividad aplicable, se
considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento de datos, al menos, las
siguientes:
I.
La pérdida o destrucción no autorizada;
II.
El robo, extravío o copia no autorizada;
III.
El uso, acceso o tratamiento no autorizado, o
IV.
El daño, la alteración o modificación no autorizada.
Artículo 39. El responsable deberá llevar una bitácora de las vulneraciones a la seguridad en la que
se describa ésta, la fecha en la que ocurrió, el motivo de ésta y las acciones correctivas implementadas
de forma inmediata y definitiva.
Artículo 40. El responsable deberá informar sin dilación alguna al titular, y según corresponda, al
Instituto y a los Organismos garantes de las Entidades Federativas, las vulneraciones que afecten de
forma significativa los derechos patrimoniales o morales, en cuanto se confirme que ocurrió la vulneración
y que el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de
15 de 52