ACUERDO POR EL QUE SE ESTABLECEN LOS LINEAMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LA UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO

Dr. Enrique Luis Graue Wiechers, Rector de la Universidad Nacional Autónoma de México, con fundamento en los artículos 1° y 9° de la Ley Orgánica y 34, fracciones IX y X del Estatuto General, y

CONSIDERANDO

Que el 12 de septiembre de 2011 se publicó en Gaceta UNAM el Reglamento de Transparencia, Acceso a la Información Pública y Protección de Datos Personales para la Universidad Nacional Autónoma de México, con el objeto de establecer los órganos, criterios y procedimientos institucionales para garantizar a toda persona la transparencia, la protección de datos personales y el acceso a la información en posesión de esta casa de estudios.

Que el 25 de agosto de 2016 se publicó en Gaceta UNAM el Reglamento de Transparencia y Acceso a la Información Pública de la Universidad Nacional Autónoma de México, dejando vigente a su similar publicado en Gaceta UNAM el 12 de septiembre de 2011 respecto a la materia de protección de datos personales.

Que la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, se publicó en el Diario Oficial de la Federación el 26 de enero de 2017, y establece que los sujetos obligados, deberán tramitar, expedir o modificar su normatividad interna acorde con la citada Ley General.

Que la Universidad como garante del derecho a la protección de datos personales y al acceso, rectificación, cancelación y oposición de éstos, tiene la obligación de armonizar su normativa, con el objeto de dar cumplimiento a lo mandatado por el orden jurídico nacional.

En razón de lo anterior, he tenido a bien expedir los siguientes:


LINEAMIENTOS PARA LA PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LA UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO  


CAPÍTULO I  
DISPOSICIONES GENERALES
 

1.   Los presentes Lineamientos son de observancia obligatoria para las Áreas Universitarias. Tienen por objeto regular los procedimientos e instancias universitarias para garantizar el derecho fundamental de las personas a la protección de sus datos personales contenidos en los archivos, registros y en las bases de datos en posesión de la Universidad, en concordancia con la Ley.

2.   Además de las definiciones establecidas en la Ley y el Reglamento de Transparencia, para los efectos de los presentes Lineamientos, se entenderá por:

I. Áreas Universitarias: Las Autoridades Universitarias, Cuerpos Colegiados, Dependencias Administrativas, Entidades Académicas, Tribunal Universitario y Defensoría de los Derechos Universitarios:

a) Autoridades Universitarias: La Junta de Gobierno, el Consejo Universitario, la persona titular de la Rectoría, el Patronato Universitario, las personas titulares de las direcciones de Facultades, Escuelas e Institutos, y los Consejos Técnicos de Facultades, Escuelas, de Investigación Científica y Humanidades;

b) Cuerpos Colegiados: Todo aquel órgano colegiado distinto al de las autoridades universitarias y que se encuentre contemplado en la Legislación Universitaria o en cualquier otra disposición jurídica universitaria como instancia de consulta, dictaminación, de propuesta o de evaluación académica o administrativa;

c) Dependencias Administrativas: Todas aquellas que realizan actividades que sirven de apoyo a la administración de la Universidad;

d) Entidades Académicas: Todas aquellas que realizan actividades de docencia, investigación, difusión y extensión universitaria como son las facultades y escuelas, los institutos, centros y los centros de extensión universitaria;

e) Tribunal Universitario: Instancia a la que se refiere el artículo 99 del Estatuto General de la Universidad Nacional Autónoma de México, y

f) Defensoría de los Derechos Universitarios: Órgano al que se refiere el artículo 1° del Estatuto de la Defensoría de los Derechos Universitarios y el artículo 1° de su Reglamento.

II. Datos personales: Cualquier información concerniente a una persona física identificada o identificable. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información. La información académica que obre en los archivos universitarios constituye un dato personal.

III. Datos personales sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información genética, creencias religiosas, filosóficas y morales, así como opiniones políticas y preferencia sexual.

IV. Derechos ARCO: Derechos de Acceso, Rectificación, Cancelación y Oposición al tratamiento de datos personales.

V. Días: Días hábiles laborables en la Universidad.

VI. DGTIC: Dirección General de Cómputo y de Tecnologías de Información y Comunicación.

VII. Encargado: La persona física o jurídica distinta a las áreas, entidades o dependencias universitarias, que realizan el tratamiento de los datos personales a nombre de la Universidad, suscribiendo para tal efecto los instrumentos consensuales correspondientes acordes con la Legislación Universitaria aplicable.

VIII. Instituto: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.

IX. Lineamientos: Lineamientos para la Protección de Datos Personales en Posesión de la Universidad Nacional Autónoma de México.

X. Ley: Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.

XI. Reglamento de Transparencia: Reglamento de Transparencia y Acceso a la Información Pública de la Universidad Nacional Autónoma de México.

XII. Responsable: Las Áreas Universitarias que manejan, resguardan y/o deciden sobre el tratamiento de datos personales.

XIII. Titular: Persona física a quien corresponden los datos personales.

XIV. Universidad: Universidad Nacional Autónoma de México.

XV. Usuario: El funcionario, personal académico o empleado universitario que tiene una sesión en un equipo de cómputo específico.

3.   No podrán tratarse datos personales sensibles, salvo que se cuente con el consentimiento expreso de su titular o, en su defecto, se refiera a los casos establecidos en la Ley. En el tratamiento de datos personales de menores de edad se deberá privilegiar el interés superior de la niña, el niño o el o la adolescente y en el de las víctimas y testigos, se deberá garantizar la mayor protección de los datos personales, en términos de la normativa aplicable.

4.   Las limitaciones al derecho a la protección de datos personales se sujetarán a las leyes en materia de transparencia, acceso a la información pública y protección de datos personales y demás disposiciones legales aplicables.


CAPÍTULO II  
DE LOS PRINCIPIOS
 

5.   Las Áreas Universitarias deberán observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento de datos personales.

6.   El principio de licitud consiste en que la posesión y el tratamiento de los datos personales en poder de las Áreas Universitarias, se sujetará a las atribuciones que les confiere la Legislación Universitaria y deberán obtenerse a través de los medios previstos por las mismas disposiciones, con estricto apego y cumplimiento de lo dispuesto por la legislación nacional e internacional que resulte aplicable.

7.   El principio de finalidad se refiere a que todo tratamiento de datos personales en posesión de las Áreas Universitarias deberá estar justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones que la normatividad aplicable les confiera.

Las Áreas Universitarias podrán tratar datos personales para finalidades distintas a aquéllas establecidas en el aviso de privacidad, siempre y cuando cuenten con atribuciones conferidas por la Ley y los presentes Lineamientos.

8.   Conforme al principio de lealtad, las Áreas Universitarias no deberán obtener y tratar datos personales, a través de medios engañosos o fraudulentos, privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad.

9.   Bajo el principio de consentimiento, cuando no se actualicen algunas de las causales de excepción previstas en el Lineamiento 11, las Áreas Universitarias deberán contar con el consentimiento previo del titular para el tratamiento de los datos personales, el cual deberá otorgarse de forma:

I. Libre: Sin que medie error, mala intención, violencia o dolo que puedan afectar la manifestación de voluntad del titular;

II. Específica: Referida a finalidades concretas, lícitas, explícitas y legítimas que justifiquen el tratamiento, y

III. Informada: Que el titular tenga conocimiento del aviso de privacidad previo al tratamiento a que serán sometidos sus datos personales.

En la obtención del consentimiento de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad declarada conforme a la ley, se estará a lo dispuesto en las reglas de representación previstas en la legislación civil que resulte aplicable.

10.   El consentimiento del titular podrá manifestarse de forma expresa o tácita. Se deberá entender que el consentimiento es expreso cuando la voluntad del titular se manifieste por escrito, por medios electrónicos, ópticos, signos inequívocos o por cualquier otra tecnología. El consentimiento será tácito al estar a disposición del titular el aviso de privacidad y éste no manifieste su voluntad en sentido contrario. Será válido el consentimiento tácito, salvo que la ley o las disposiciones aplicables exijan que la voluntad del titular se manifieste expresamente.

Tratándose de datos personales sensibles el Área Universitaria deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica o cualquier mecanismo de autenticación que al efecto se establezca, salvo en los casos previstos en el Lineamiento siguiente.

11.   El Área Universitaria no estará obligada a recabar el consentimiento del titular para el tratamiento de sus datos personales en los casos siguientes:

I. Cuando una ley así lo disponga, debiendo dichos supuestos ser acordes con las bases, principios y disposiciones establecidos en la Ley y los presentes Lineamientos;

II. Cuando las transferencias que se realicen entre las Áreas Universitarias, sean sobre datos personales que se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales;

III. Cuando exista una orden judicial, resolución o mandato fundado y motivado de autoridad competente;

IV. Para el reconocimiento o defensa de derechos del titular ante autoridad competente;

V. Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre el titular y el Área Universitaria;

VI. Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes;

VII. Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico y / o la prestación de asistencia sanitaria;

VIII. Cuando los datos personales figuren en fuentes de acceso público;

IX. Cuando los datos personales se sometan a un procedimiento previo de disociación, o

X. Cuando el titular de los datos personales sea una persona reportada como desaparecida en los términos de la ley en la materia.

12.   El principio de calidad consiste en que las Áreas Universitarias deberán adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos.

Se cumple con la calidad en los datos personales cuando éstos son proporcionados directamente por el titular y hasta que éste no manifieste y acredite lo contrario.

Cuando los datos personales dejen de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento conforme a las disposiciones que resulten aplicables, deberán ser suprimidos, previo bloqueo en su caso, y una vez que concluya el plazo de conservación de los mismos.

Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean necesarios para el cumplimiento de las finalidades que justificaron su tratamiento, y deberán atender a las disposiciones aplicables en la materia de que se trate y considerar los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales.

13.   El Área Universitaria deberá establecer y documentar los procedimientos para la conservación y, en su caso, bloqueo y supresión de los datos personales que lleve a cabo, en los cuales se incluyan los periodos de conservación de los mismos, de conformidad con lo dispuesto en el Lineamiento anterior.

En ese procedimiento, las Áreas Universitarias deberán incluir mecanismos que le permitan cumplir con los plazos fijados para la supresión de los datos personales, así como para realizar una revisión periódica sobre la necesidad de conservarlos.

14.   Para dar cumplimiento al principio de proporcionalidad, las Áreas Universitarias sólo deberán tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.

15.   El principio de información establece que las Áreas Universitarias deberán informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

El aviso de privacidad deberá ser difundido por los medios electrónicos y físicos con que cuente el Área Universitaria. Para que el aviso de privacidad cumpla de manera eficiente con su función de informar, deberá estar redactado y estructurado de manera clara y sencilla.

16.   Cuando resulte imposible dar a conocer al titular el aviso de privacidad de manera directa o ello exija esfuerzos desproporcionados, el Área Universitaria podrá instrumentar medidas compensatorias de comunicación masiva de acuerdo con los criterios que para tal efecto emita el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de Datos Personales.

17.   El aviso de privacidad se pondrá a disposición del titular en dos modalidades: simplificado e integral. El aviso simplificado deberá contener la siguiente información:

I. La denominación del Área Universitaria;

II. Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieran el consentimiento del titular;

III. Cuando se realicen transferencias de datos personales que requieran consentimiento, el aviso además deberá indicar:

a) Las autoridades, poderes, entidades, órganos y organismos gubernamentales de los tres órdenes de gobierno y las personas físicas o morales a las que se transfieren los datos personales, y

b) Las finalidades de estas transferencias.

IV. Los mecanismos y medios disponibles para que el titular, en su caso, pueda manifestar su negativa para el tratamiento de sus datos personales, y

V. El sitio donde se podrá consultar el aviso de privacidad integral.

18.   El aviso de privacidad en su versión integral, además de la información del Lineamiento 17, contendrá:

I. El domicilio del Área Universitaria;

II. Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son sensibles;

III. El fundamento legal que faculta al responsable para llevar a cabo el tratamiento;

IV. Las finalidades del tratamiento para las cuales se obtienen los datos personales, distinguiendo aquéllas que requieren el consentimiento del titular;

V. Los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO;

VI. El domicilio de la Unidad de Transparencia, y

VII. Los medios a través de los cuales el responsable comunicará a los titulares los cambios al aviso de privacidad.

19.   El principio de responsabilidad consiste en la obligación de las Áreas Universitarias para garantizar el adecuado tratamiento de los datos personales que se encuentren bajo su custodia en términos de los presentes Lineamientos y de la Ley, incluyendo las actividades que se encomienden para dicho tratamiento a una tercera persona denominada encargado.


CAPÍTULO III  
DE LOS DEBERES
 

20.   Con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe de los mismos, cada Área Universitaria deberá establecer, mantener y revisar las medidas de seguridad y controles de carácter administrativo, físico y técnico para la protección de los datos personales que los protejan contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, y garanticen su confidencialidad, integridad y disponibilidad, conforme a las Normas Complementarias que emita el Comité de Transparencia. Será responsabilidad de la DGTIC proponer al Comité de Transparencia, el proyecto de Normas Complementarias de carácter técnico en materia de seguridad, que resulte viable para la protección de los datos personales que se encuentren en posesión de la Universidad a través de sus Áreas Universitarias.

21.   Las medidas de seguridad adoptadas por las Áreas Universitarias deberán considerar:

I. El riesgo inherente y sensibilidad de los datos personales tratados;

II. El desarrollo tecnológico y las posibles consecuencias de una vulneración para los titulares;

III. Las transferencias de datos personales que se realicen;

IV. El número de titulares de datos personales;

V. Las vulneraciones a datos personales ocurridas en los sistemas de tratamiento, y

VI. El riesgo por el valor potencial cualitativo o cuantitativo que pudieran tener los datos personales tratados por una tercera persona no autorizada para su posesión.

22.   Para establecer y mantener las medidas de seguridad para la protección de los datos personales, cada Área Universitaria deberá realizar, con base en las Normas Complementarias que para tal efecto expida el Comité de Transparencia, al menos, las siguientes actividades interrelacionadas:

I. Implementar políticas internas, programas, servicios, sistemas o plataformas informáticas para la gestión y tratamiento de los datos personales, que tomen en cuenta el contexto en el que ocurren los tratamientos y el ciclo de vida de los datos personales, es decir, su obtención, uso y posterior supresión, tomando en cuenta lo contenido en la Ley y las Normas Complementarias que emita el Comité de Transparencia;

II. Definir las funciones y obligaciones del personal involucrado en el tratamiento de datos personales;

III. Elaborar un inventario de datos personales y de los sistemas de tratamiento;

IV. Realizar un análisis de riesgo de los datos personales, considerando las amenazas y vulnerabilidades existentes para los datos personales y los recursos involucrados en su tratamiento, como pueden ser, de manera enunciativa más no limitativa, hardware, software, personal del Área Universitaria, entre otros;

V. Realizar un análisis de brecha, comparando las medidas de seguridad existentes contra las faltantes en el Área Universitaria;

VI. Elaborar un plan de trabajo para la implementación de las medidas de seguridad faltantes, así como las medidas para el cumplimiento cotidiano de las políticas de gestión y tratamiento de los datos personales;

VII. Monitorear y revisar de manera periódica las medidas de seguridad implementadas, así como las amenazas y vulneraciones a las que están sujetos los datos personales, y

VIII. Las Áreas Universitarias diseñarán y aplicarán diferentes niveles de capacitación del personal bajo su mando, atendiendo los programas generales de capacitación que emita el Comité de Transparencia en términos de lo dispuesto en el Lineamiento 52, fracción VII, dependiendo de sus roles y responsabilidades respecto del tratamiento de los datos personales.

23.   Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar contenidas en un sistema de gestión a cargo del responsable de seguridad de datos personales designado en cada Área Universitaria.

24.   El Área Universitaria elaborará un documento de seguridad de datos personales que contenga lo siguiente:

I. El inventario de datos personales y de los sistemas de tratamiento;

II. Las funciones y obligaciones de las personas que traten datos personales;

III. El análisis de riesgos;

IV. El análisis de brecha;

V. El plan de trabajo;

VI. Los mecanismos de monitoreo y revisión de las medidas de seguridad, y

VII. El programa específico de capacitación.

26.   Cuando ocurra una vulneración a la seguridad, el Área Universitaria analizará y anotará sus causas en una bitácora e implementará acciones preventivas y correctivas para mejorar las medidas de seguridad y el tratamiento de los datos personales mediante un plan de trabajo para evitar se repita.

27.   Además de las vulneraciones de seguridad que señale la normatividad aplicable, se considerarán como tales, al menos, las siguientes:

I. La pérdida o destrucción no autorizada;

II. El robo, extravío o copia no autorizada;

III. El uso, acceso o tratamiento no autorizados, o

IV. El daño, la alteración o modificación no autorizada.

28.   En cada acceso a un sistema de datos personales, el responsable de seguridad del Área Universitaria deberá registrar y guardar como mínimo en una bitácora:

I. Datos completos del responsable, del usuario o del encargado;

II. Modo de autenticación del responsable, del usuario o del encargado;

III. Fecha y hora en que se realizó el acceso, o se intentó el mismo;

IV. Sistema de datos personales accedido;

V. Operaciones o acciones llevadas a cabo dentro del Sistema de datos personales, y

VI. Fecha y hora en que se realizó la salida del Sistema de datos personales.

29.   Las medidas de seguridad implementadas para la protección de las bases de datos personales se someterán a una auditoría de la DGTIC, para el monitoreo, revisión y evaluación, interna o externa y anual, para verificar el cumplimiento de la Ley.

El informe de la auditoría identificará las deficiencias de las medidas de seguridad y propondrá las medidas preventivas, correctivas y/o complementarias necesarias.

30.   Si se detectan vulneraciones significativas a derechos patrimoniales o morales, el área universitaria deberá informar sin dilación alguna al titular de los datos personales y a la Unidad de Transparencia, la cual a su vez notificará al Instituto. La persona afectada definirá las medidas para la defensa de sus derechos.

31.   El Área Universitaria deberá establecer controles o mecanismos que tengan por objeto que todas las personas que intervengan en cualquier fase del tratamiento de los datos personales guarden confidencialidad respecto de éstos, obligación que subsistirá aún después de finalizar sus relaciones con el mismo. Lo anterior, sin menoscabo de lo establecido en las disposiciones de acceso a la información pública.


CAPÍTULO IV  
DE LOS DERECHOS ARCO Y DE SU EJERCICIO
 

32.   Para ejercer los derechos ARCO en posesión de las Áreas Universitarias, el titular de los datos, deberá acreditar su identidad. En caso del representante legal, además deberá acreditar la personalidad con la que actúe.

El ejercicio de los derechos ARCO por persona distinta a su titular y al representante, será posible, excepcionalmente, en aquellos supuestos previstos por disposición legal, o en su caso, por mandato judicial.

33.   Para el caso de los derechos ARCO de menores de edad o de personas que se encuentren en estado de interdicción o incapaces por Ley, se atenderá conforme a las normas de representación prevista en las disposiciones legales civiles aplicables.

Cuando se trate de datos personales de fallecidos, la persona que acredite su interés jurídico y cumpla con los demás requisitos que establezca la Ley, podrá solicitar a la Universidad a través de las Áreas Universitarias, el ejercicio de los derechos ARCO.

34.   El titular tiene los siguientes derechos:

I. Acceder a sus datos personales que obren en posesión de las Áreas Universitarias y conocer la información relacionada con las condiciones y generalidades de su tratamiento;

II. Solicitar al Área Universitaria respectiva, la rectificación o corrección de sus datos personales, cuando considere que éstos sean inexactos, incompletos o no se encuentren actualizados;

III. Solicitar la cancelación de sus datos personales en los archivos, registros, expedientes y sistemas de la Universidad a través de las Áreas Universitarias, a fin de que ya no estén en su posesión y dejen de ser tratados por éstas, siempre y cuando las disposiciones aplicables lo permitan, y

IV. Oponerse al tratamiento de sus datos personales o exigir que cese en el mismo cuando:

a) Exista una causa legítima y su situación específica así lo requiera, lo cual implica que aun siendo lícito el tratamiento de datos personales, el mismo debe cesar para evitar que su persistencia cause un daño o perjuicio al titular;

b) Un tratamiento automatizado de sus datos personales produzca o pueda llegar a producir efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades del titular; o cuando el tratamiento esté destinado a evaluar, sin intervención humana, determinados aspectos personales del titular o esté destinado a analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, orientación sexual, fiabilidad o comportamiento, o

c) No autorice que se lleve a cabo el tratamiento de sus datos personales para fines específicos.

35.   La solicitud de cancelación de datos personales traerá como consecuencia la aplicación de procedimientos técnico-operativos de depuración conforme a las Normas Complementarias contempladas en el Lineamiento 20.

36.   Los trámites que realicen las Áreas Universitarias respecto a la solicitud, el acceso, la rectificación, la cancelación o la oposición de los datos personales, serán gratuitos. El titular deberá cubrir los gastos de reproducción y envío, de conformidad con las tarifas establecidas en la Universidad.

La entrega de información no tendrá costo cuando el titular proporcione el medio magnético, electrónico o el mecanismo necesario para reproducir los datos personales.

37.   Las solicitudes para el ejercicio de los derechos ARCO deben presentarse mediante la Plataforma Nacional de Transparencia, o directamente ante la Unidad de Transparencia de la Universidad, en escrito libre, formato, vía correo electrónico o cualquier otro medio aprobado por el Instituto.

Al presentarse una solicitud de ejercicio de derechos ARCO ante la Unidad de Transparencia, ésta la registrará y capturará en la Plataforma Nacional de Transparencia, a más tardar al día siguiente de su recepción y enviará el acuse de recibo al solicitante, por el medio que éste haya señalado para recibir notificaciones. En el acuse se indicará la fecha de recepción, el folio que le corresponda y los plazos de respuesta aplicables.

Cuando la solicitud se presente por medios electrónicos a través de la Plataforma Nacional de Transparencia, las notificaciones se realizarán automáticamente por el propio sistema. En el caso de que la solicitud se presente por otros medios, en los que el solicitante omita señalar el domicilio o medio para recibir notificaciones y la información sobre los datos personales; o no haya sido posible practicar la notificación, se notificará por estrados en la oficina de la Unidad de Transparencia.

38.   La solicitud para el ejercicio de los derechos ARCO deberá contar al menos con los siguientes requisitos:

I. El nombre del titular y, en su caso, de su representante, así como su domicilio o cualquier otro medio para recibir notificaciones;

II. Los documentos que acrediten la identidad del titular y, en su caso, la personalidad e identidad de su representante;

III. De ser posible, la denominación del Área Universitaria que trata los datos personales y en relación con la que se presenta la solicitud;

IV. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO, salvo que se trate del derecho de acceso;

V. La descripción del derecho ARCO que se pretende ejercer o bien lo que solicita el titular;

VI. Cualquier otro elemento o documento que, en su caso, facilite la localización y tratamiento de los datos personales;

VII. Tratándose de solicitudes de acceso a datos personales, la modalidad en que prefiere que éstos se reproduzcan;

VIII. En el caso de solicitudes de cancelación, las causas que motivan la solicitud de supresión de sus datos personales en los documentos de la Universidad o Área Universitaria, y

IX. En el supuesto de solicitud de oposición, la manifestación de las causas legítimas o la situación específica por la que se solicita el cese del tratamiento, así como el daño o perjuicio que le causaría la persistencia del tratamiento o, en su caso, las finalidades específicas por las que requiere ejercer el derecho de oposición.

En caso de que la solicitud de ejercicio de derechos ARCO no satisfaga alguno de los requisitos a que se refiere este Lineamiento y la Unidad de Transparencia no cuente con elementos para subsanarla, se prevendrá al titular de los datos dentro de los cinco días siguientes a la presentación de la solicitud de ejercicio de los derechos ARCO, por una sola ocasión, para que subsane las omisiones dentro de un plazo de diez días contados a partir del día siguiente al de la notificación.

Transcurrido el plazo sin desahogar la prevención se tendrá por no presentada la solicitud de ejercicio de los derechos ARCO.

39.   El ejercicio de los derechos ARCO no procederá en los casos que señala la Ley.

40.   Los términos empezarán a correr al día siguiente en que se practiquen las notificaciones.

41.   El procedimiento de solicitud para el ejercicio de los derechos ARCO se sujetará a lo siguiente:

I. Se dará respuesta a la solicitud dentro del plazo máximo de veinte días siguientes a su presentación y sólo se podrá ampliar por diez días más cuando las circunstancias lo justifiquen, atendiendo el procedimiento establecido en la fracción VI de este Lineamiento, debiendo notificar al solicitante dentro del plazo inicial de respuesta. En caso de resultar procedente el ejercicio de los derechos ARCO, el responsable deberá hacerlo efectivo en un plazo que no podrá exceder de quince días contados a partir del día siguiente en que se haya notificado la respuesta al titular.

II. La Unidad de Transparencia revisará el contenido de la solicitud para el ejercicio de los derechos ARCO, a efecto de verificar si la Universidad es competente para atender dicha solicitud. En caso de notoria incompetencia notificará al solicitante dentro de los tres días siguientes a la presentación de la solicitud y, en su caso, lo orientará hacia el responsable competente.

III. En caso de ser competente, la Unidad de Transparencia verificará si el contenido de la solicitud satisface los requisitos señalados en el Lineamiento 38 y, en su caso, si los detalles proporcionados para localizar los datos personales resultan suficientes y completos, la turnará a más tardar al día siguiente a las Áreas Universitarias que pudieran poseer los datos personales, quienes deberán atender la solicitud e informar a la Unidad de Transparencia dentro de los cinco días siguientes a que le fue turnada la solicitud, o bien indicar la modalidad en que se encuentra disponible.

IV. Si el Área Universitaria a la que haya sido turnada la solicitud considera que los datos personales proporcionados resultan inexactos, incompletos o incorrectos informará a la Unidad de Transparencia, dentro de los tres días siguientes al turno, para que ésta prevenga al solicitante, a efecto de que aclare su planteamiento.

V. En el caso de que el Área Universitaria cuente con un trámite o un procedimiento específico para ejercer el derecho ARCO, deberá informarlo a la Unidad de Transparencia, dentro de los tres días siguientes al que fue turnada la solicitud. La Unidad de Transparencia, informará al solicitante la existencia del trámite en un plazo no mayor a cinco días posteriores a la presentación de la solicitud, a efecto de que este último decida si ejerce su derecho a través del trámite específico o mediante el procedimiento previsto en los presentes Lineamientos.

VI. Cuando el Área Universitaria determine que se requiere una ampliación del plazo para dar respuesta a la solicitud para el ejercicio de los derechos ARCO, deberá solicitarlo al Comité de Transparencia, dentro de los tres días siguientes al que le fue turnada, indicando las razones fundadas y motivadas de la misma. El Comité de Transparencia resolverá sobre la procedencia de la ampliación del plazo dentro de los cinco días siguientes a la recepción de la solicitud de ampliación. De no concederla, el Comité de Transparencia lo comunicará a la brevedad al Área Universitaria para que cumpla el plazo original.

VII. El Área Universitaria determinará si los documentos con los cuales se dará respuesta a la solicitud contienen información que pertenezca a terceros diversos al titular, a efecto de que se solicite la clasificación de la información y la aprobación de la versión pública. En este supuesto, comunicará al Comité de Transparencia, dentro de los tres días siguientes a su recepción, de forma fundada y motivada la clasificación de la información; asimismo, remitirá la solicitud, el expediente correspondiente y la propuesta de la versión pública.

VIII. El Comité de Transparencia resolverá si confirma, modifica o revoca la clasificación de la información, dentro de los siete días siguientes a que le haya sido remitida la solicitud por el Área Universitaria, pero si no cuenta con los elementos suficientes para resolver podrá ampliar el plazo de respuesta de la solicitud.

IX. Cuando el Comité de Transparencia revoque o modifique la clasificación, ordenará al Área Universitaria la entrega de la información a la Unidad de Transparencia. Si el Comité confirma la clasificación, la Unidad de Transparencia notificará la determinación al solicitante.

X. Si los datos personales objeto de la solicitud no se encontraran en los documentos del Área Universitaria, en el caso que debieran obrar en sus archivos, ésta dentro de los tres días siguientes a que le fue turnada la solicitud, someterá la inexistencia al Comité de Transparencia y expondrá de manera fundada y motivada.

XI. El Comité de Transparencia, dentro de los diez días siguientes a la recepción de la comunicación del Área Universitaria, analizará el caso y, de ser procedente, dictará las medidas para localizar la información de la solicitud de datos personales e instruirá al Área Universitaria a fin de que localice la información, y para ello podrá ampliar el plazo inicial de respuesta sin exceder los términos señalados en la fracción I de este Lineamiento.

XII. Una vez realizado lo anterior, el Comité de Transparencia, de ser el caso, expedirá una resolución que confirme la inexistencia de los datos personales, misma que contendrá la relación de los actos realizados para localizar la información, a efecto de dar certeza al solicitante de que se utilizó un criterio de búsqueda exhaustivo, además de señalar las circunstancias de tiempo, modo y lugar que generaron la inexistencia en cuestión y señalará al funcionario, autoridad o empleado universitario responsable de contar con la misma.

XIII. La Unidad de Transparencia notificará al solicitante la respuesta del Área Universitaria, así como las resoluciones que emita el Comité de Transparencia.

42.   En caso de que el Comité de Transparencia o la Unidad de Transparencia detecten que se hubiere dado un tratamiento inadecuado a los datos personales, o bien cuando no se cumpla con el procedimiento establecido en los presentes Lineamientos para el ejercicio de los derechos ARCO, podrán dar vista a la Contraloría de la Universidad la cual, en su caso, deberá iniciar el procedimiento de responsabilidad.

43.   Cuando la Unidad de Transparencia advierta que la solicitud para el ejercicio de los derechos ARCO corresponde a un derecho diferente a los previstos en la Ley, reconducirá la vía haciéndolo del conocimiento del titular en el menor tiempo posible y siempre respetando el plazo de respuesta.

44.   Contra la negativa de dar trámite a toda solicitud para el ejercicio de los derechos ARCO o por falta de respuesta del Área Universitaria, el solicitante o su representante, podrá interponer el recurso respectivo en términos de la Ley.


CAPÍTULO V  
RESPONSABLE Y ENCARGADO
 

45.   Las Áreas Universitarias fungen como responsables de los datos personales y podrán encomendar el tratamiento de datos personales a una tercera persona que se denominará encargado. El encargado no decidirá el alcance y contenido de ese tratamiento, limitando su actuación a las instrucciones de la Universidad, en términos de los instrumentos consensuales que suscriban con las Áreas Universitarias.

46.   Son obligaciones de los encargados del tratamiento de datos personales, además de las asentadas en los instrumentos consensuales que al efecto se suscriban:

I. Realizar actividades del tratamiento de los datos personales sin ostentar poder alguno de decisión sobre el alcance y contenido del tratamiento;

II. Tratar únicamente los datos personales conforme a las instrucciones de las Áreas Universitarias;

III. Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por las Áreas Universitarias;

IV. Implementar las medidas de seguridad conforme a los presentes Lineamientos y las demás disposiciones legales aplicables;

V. Guardar confidencialidad respecto de los datos personales tratados;

VI. Suprimir o devolver los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el Área Universitaria o por instrucciones de ésta, siempre y cuando no exista una previsión legal que exija la conservación de los datos personales;

VII. Abstenerse de transferir los datos personales relativos a su encargo, y

VIII. No podrá subcontratar servicios que impliquen el tratamiento de datos personales por cuenta de la Universidad.

Los instrumentos consensuales entre las Áreas Universitarias y el encargado relacionados con el tratamiento de datos personales, contendrán las obligaciones previstas en este Lineamiento y deberán regirse por el aviso de privacidad correspondiente, los presentes Lineamientos y demás disposiciones legales aplicables. Por ninguna circunstancia el encargado debe decidir por sí mismo sobre el tratamiento de los datos personales.


CAPÍTULO VI  
COMUNICACIÓN DE DATOS PERSONALES
 

47.   La transferencia de los datos personales que lleven a cabo las Áreas Universitarias se sujetará al consentimiento de su titular, salvo en los supuestos previstos en el Lineamiento 11.

48.   Para la transferencia de datos personales se deberá observar lo siguiente:

I. Tener el consentimiento del titular de los datos personales para ese propósito;

II. Formalizar, mediante la suscripción de instrumentos consensuales con los encargados, el alcance del tratamiento de los datos personales, obligaciones y responsabilidades de las partes, las cuales deberán ser acordes a la Ley, los presentes Lineamientos y demás disposiciones legales aplicables, y

III. Comunicar el aviso de privacidad al receptor de esos datos, quien deberá atender lo establecido en el mismo.

49.   Las remisiones de datos personales entre las Áreas Universitarias y el encargado no requerirán ser comunicadas al titular ni contar con su consentimiento.


CAPÍTULO VII  
ACCIONES PREVENTIVAS EN LA PROTECCIÓN DE DATOS PERSONALES
 

50.   Las Áreas Universitarias adoptarán y desarrollarán esquemas de mejores prácticas en materia de acciones preventivas conforme a las Normas Complementarias sobre medidas de seguridad técnicas, administrativas y físicas de la Universidad que expida el Comité de Transparencia.

51.   Para el tratamiento de datos personales, las Áreas Universitarias se limitarán a los supuestos y categorías de datos que resulten necesarios y proporcionales a las funciones establecidas en los presentes Lineamientos y a la naturaleza y funciones de las propias Áreas Universitarias. Los datos personales obtenidos deberán ser almacenados en bases de datos creadas para ese propósito y ser objeto de medidas de seguridad de nivel alto para garantizar la integridad, disponibilidad y confidencialidad de la información.


CAPÍTULO VIII  
DEL COMITÉ DE TRANSPARENCIA Y UNIDAD DE TRANSPARENCIA
 

52.   El Comité de Transparencia como órgano técnico especializado en materia de protección de datos personales y máxima autoridad en materia de protección de datos personales en la Universidad, tiene las funciones siguientes:

I. Coordinar, supervisar y realizar las acciones necesarias para garantizar el derecho a la protección de datos personales en posesión de la Universidad;

II. Promover, fomentar y difundir el ejercicio de los derechos ARCO;

III. Promover la cultura de protección de datos personales;

IV. Emitir las Normas Complementarias y criterios necesarios a fin de cumplir con las obligaciones de datos personales y el ejercicio de los derechos ARCO en la Universidad;

V. Supervisar las acciones de seguridad en el tratamiento de datos personales a través de los informes que rindan los responsables de las Áreas Universitarias o de otros mecanismos que establezca para la supervisión;

VI. Confirmar, modificar o revocar las determinaciones en las que las Áreas Universitarias declaren la inexistencia de los datos personales o en las que por cualquier causa se niegue el ejercicio de alguno de los derechos ARCO;

VII. Aprobar, previa propuesta que realice la Unidad de Transparencia, la DGTIC y el Área Coordinadora de Archivos, según corresponda, los programas generales de capacitación y actualización para las autoridades y trabajadores universitarios en materia de protección de datos personales;

VIII. Dar seguimiento y cumplimiento a las resoluciones emitidas por el Instituto, según corresponda;

IX. Instituir procedimientos internos para asegurar la eficiencia en la gestión de solicitudes para ejercer los derechos ARCO;

X. Dar vista a la Oficina del Contralor en aquellos casos en que tenga conocimiento, en el ejercicio de sus atribuciones, de una presunta irregularidad respecto del tratamiento de datos personales; particularmente en casos relacionados con la declaración de inexistencia que realicen las Áreas Universitarias;

XI. Presentar al Consejo Universitario un informe anual de gestión sobre sus funciones en materia de protección de datos personales, y

XII. Las demás establecidas en estos Lineamientos y la Normativa Universitaria.

53.   La Unidad de Transparencia tiene las facultades siguientes:

I. Auxiliar y orientar a los titulares que lo requieran, sobre el ejercicio de los derechos ARCO;

II. Gestionar las solicitudes para el ejercicio de los derechos ARCO;

III. Instruir a las Áreas Universitarias para que en el ámbito de su competencia den trámite a las solicitudes de datos personales en su posesión;

IV. Establecer los mecanismos para que los datos personales que sean solicitados sólo se entreguen a su titular o su representante legal debidamente acreditados;

V. Hacer del conocimiento del titular o de su representante legal los costos a cubrir por la reproducción y envío de los datos personales que hayan solicitado, con base en lo establecido en la Normativa Universitaria;

VI. Proponer al Comité de Transparencia el proyecto de Normas Complementarias de carácter administrativo y físico en materia de seguridad, que resulten viables para la protección de los datos personales que se encuentren en posesión de la Universidad a través de sus Áreas Universitarias;

VII. Proponer al Comité de Transparencia los programas generales de capacitación y actualización para las autoridades y trabajadores universitarios en materia de protección de datos personales;

VIII. Proponer al Comité de Transparencia procedimientos para que el trámite de las solicitudes en ejercicio de los derechos ARCO, se realice de manera eficiente;

IX. Aplicar instrumentos de evaluación de calidad sobre el procedimiento de atención a las solicitudes para el ejercicio de los derechos ARCO;

X. Asesorar a las Áreas Universitarias en materia de protección de datos personales;

XI. Designar a un oficial de datos personales especializado en la materia, quien realizará las atribuciones mencionadas en este lineamiento, así como en las demás disposiciones aplicables y formará parte de la Unidad de Transparencia;

XII. Proponer al Comité de Transparencia, medidas para garantizar las condiciones dignas de accesibilidad y desplazamiento para que personas en situación de vulnerabilidad puedan ejercer sus derechos ARCO en igualdad de condiciones;

XIII. Promover mecanismos de colaboración para la recepción, trámite y entrega de respuestas a solicitudes para el ejercicio de derechos ARCO, en lengua indígena o braille;

XIV. Recabar entre las Áreas Universitarias y enviar al Instituto, de conformidad con las Normas Complementarias que éste expida, los datos necesarios para la elaboración de informes, y

XV. Las demás establecidas en estos Lineamientos y la Normativa Universitaria.


CAPÍTULO IX  
DE LAS INFRACCIONES Y SANCIONES
 

54.   Los funcionarios y empleados de la Universidad serán responsables por el incumplimiento de las obligaciones de protección de datos personales, de conformidad con la Ley y la Normativa Universitaria aplicable.

Cuando el Comité de Transparencia, a través de la Unidad de Transparencia, las Áreas Universitarias o derivado de los asuntos que se sometan a su consideración, conozcan que un funcionario o empleado de la Universidad incumplió con alguna de las obligaciones establecidas en los presentes Lineamientos, lo informará a la Contraloría, para que, de existir una posible responsabilidad administrativa, se inicie el procedimiento que corresponda. Dicho incumplimiento será sancionado en los términos de la Normativa Universitaria. En caso de que la conducta de algún miembro de la comunidad universitaria infrinja las obligaciones que se deriven de los presentes Lineamientos, la instancia universitaria competente iniciará las acciones correspondientes.

55.   Las Áreas Universitarias facilitarán el acceso a las bases de datos al Instituto para los procesos de supervisión, vigilancia y verificación que se inicien de oficio o por denuncia del titular.


CAPÍTULO X  
DISPOSICIONES FINALES
 

56.   La interpretación de los presentes Lineamientos quedará a cargo de la persona titular de la Oficina de la Abogacía General.

57.   La Universidad, a través de la instancia universitaria competente, destinará los recursos económicos, materiales y humanos necesarios para el cumplimiento de las acciones que deriven de estos Lineamientos.


TRANSITORIOS

PRIMERO. Los presentes Lineamientos entrarán en vigor al día siguiente de su publicación en Gaceta UNAM.

SEGUNDO. Se deja sin efecto el Reglamento de Transparencia, Acceso a la Información Pública y Protección de Datos Personales para la Universidad Nacional Autónoma de México, publicado en Gaceta UNAM el 12 de septiembre de 2011.

TERCERO. Las Normas Complementarias que refieren los numerales 20 y 53, fracción VI, se expedirán en un plazo máximo de ciento veinte días hábiles a partir de la entrada en vigor de los presentes Lineamientos.

CUARTO. Las Áreas Universitarias contarán con un periodo de noventa días hábiles a partir de la entrada en vigor de los presentes Lineamientos para emitir sus avisos de privacidad.

QUINTO. Las Áreas Universitarias contarán con un periodo de treinta días hábiles a partir de la entrada en vigor de los presentes Lineamientos para informar a la Unidad de Transparencia el nombre del o de los responsables de seguridad de datos personales designados.

SEXTO. Las Áreas Universitarias contarán con un periodo de treinta días hábiles, a partir de la entrada en vigor de las Normas Complementarias, que expida el Comité de Transparencia en términos de lo dispuesto por el artículo tercero transitorio, para implementar al interior de su organización, las medidas de seguridad correspondientes.


"POR MI RAZA HABLARÁ EL ESPÍRITU"
Ciudad Universitaria, Cd. Mx., a 25 de febrero de 2019

DR. ENRIQUE LUIS GRAUE WIECHERS
EL RECTOR

Publicado en Gaceta UNAM el 25 de febrero de 2019