LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS
CÁMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIÓN
Nueva Ley DOF 26-01-2017
Secretaría General
Secretaría de Servicios Parlamentarios
Artículo 73. Todo esquema de mejores prácticas que busque la validación o reconocimiento por parte
del Instituto o, en su caso, de los Organismos garantes deberá:
I.
Cumplir con los parámetros que para tal efecto emitan, según corresponda, el Instituto y los
Organismos garantes conforme a los criterios que fije el primero, y
II.
Ser notificado ante el Instituto o, en su caso, los Organismos garantes de conformidad con el
procedimiento establecido en los parámetros señalados en la fracción anterior, a fin de que
sean evaluados y, en su caso, validados o reconocidos e inscritos en el registro al que refiere
el último párrafo de este artículo.
El Instituto y los Organismos garantes, según corresponda, deberán emitir las reglas de operación de
los registros en los que se inscribirán aquellos esquemas de mejores prácticas validados o reconocidos.
Los Organismos garantes, podrán inscribir los esquemas de mejores prácticas que hayan reconocido o
validado en el registro administrado por el Instituto, de acuerdo con las reglas que fije este último.
Artículo 74. Cuando el responsable pretenda poner en operación o modificar políticas públicas,
sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que a su juicio
y de conformidad con esta Ley impliquen el tratamiento intensivo o relevante de datos personales, deberá
realizar una Evaluación de impacto en la protección de datos personales, y presentarla ante el Instituto o
los Organismos garantes, según corresponda, los cuales podrán emitir recomendaciones no vinculantes
especializadas en la materia de protección de datos personales.
El contenido de la evaluación de impacto a la protección de datos personales deberá determinarse por
el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos
Personales.
Artículo 75. Para efectos de esta Ley se considerará que se está en presencia de un tratamiento
intensivo o relevante de datos personales cuando:
I.
Existan riesgos inherentes a los datos personales a tratar;
II.
Se traten datos personales sensibles, y
III.
Se efectúen o pretendan efectuar transferencias de datos personales.
Artículo 76. El Sistema Nacional podrá emitir criterios adicionales con sustento en parámetros
objetivos que determinen que se está en presencia de un tratamiento intensivo o relevante de datos
personales, de conformidad con lo dispuesto en el artículo anterior, en función de:
I.
El número de titulares;
II.
El público objetivo;
III.
El desarrollo de la tecnología utilizada, y
IV.
La relevancia del tratamiento de datos personales en atención al impacto social o, económico
del mismo, o bien, del interés público que se persigue.
Artículo 77. Los sujetos obligados que realicen una Evaluación de impacto en la protección de datos
personales, deberán presentarla ante el Instituto o los Organismos garantes, según corresponda, treinta
días anteriores a la fecha en que se pretenda poner en operación o modificar políticas públicas, sistemas
o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología, ante el Instituto o los
25 de 52