LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS
CÁMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIÓN
Nueva Ley DOF 26-01-2017
Secretaría General
Secretaría de Servicios Parlamentarios
XV.
Encargado: La persona física o jurídica, pública o privada, ajena a la organización del
responsable, que sola o conjuntamente con otras trate datos personales a nombre y por
cuenta del responsable;
XVI.
Evaluación de impacto en la protección de datos personales: Documento mediante el
cual los sujetos obligados que pretendan poner en operación o modificar políticas públicas,
programas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra
tecnología que implique el tratamiento intensivo o relevante de datos personales, valoran los
impactos reales respecto de determinado tratamiento de datos personales, a efecto de
identificar y mitigar posibles riesgos relacionados con los principios, deberes y derechos de los
titulares, así como los deberes de los responsables y encargados, previstos en la normativa
aplicable;
XVII.
Fuentes de acceso público: Aquellas bases de datos, sistemas o archivos que por
disposición de ley puedan ser consultadas públicamente cuando no exista impedimento por
una norma limitativa y sin más exigencia que, en su caso, el pago de una contraprestación,
tarifa o contribución. No se considerará fuente de acceso público cuando la información
contenida en la misma sea obtenida o tenga una procedencia ilícita, conforme a las
disposiciones establecidas por la presente Ley y demás normativa aplicable;
XVIII.
Instituto: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos
Personales, el cual es el organismo garante de la Federación en materia de protección de
datos personales en posesión de los sujetos obligados;
XIX.
Medidas compensatorias: Mecanismos alternos para dar a conocer a los titulares el aviso de
privacidad, a través de su difusión por medios masivos de comunicación u otros de amplio
alcance;
XX.
Medidas de seguridad: Conjunto de acciones, actividades, controles o mecanismos
administrativos, técnicos y físicos que permitan proteger los datos personales;
XXI.
Medidas de seguridad administrativas: Políticas y procedimientos para la gestión, soporte y
revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación
y borrado seguro de la información, así como la sensibilización y capacitación del personal, en
materia de protección de datos personales;
XXII.
Medidas de seguridad físicas: Conjunto de acciones y mecanismos para proteger el entorno
físico de los datos personales y de los recursos involucrados en su tratamiento. De manera
enunciativa más no limitativa, se deben considerar las siguientes actividades:
a)
Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas,
áreas críticas, recursos e información;
b)
Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización,
recursos e información;
c)
Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda
salir de la organización, y
d)
Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento
eficaz, que asegure su disponibilidad e integridad;
4 de 52