Instituto Nacional de Transparencia, Acceso a la …inicio.ifai.org.mx/LeyesEstados/LPD_SLP.pdfSAN LUIS POTOSI, S.L.P. Actual $ 18.26 Atrasado $ 36.52 Otros con base a su costo a criterio

AÑO C, TOMO ISAN LUIS POTOSÍ, S. L. P.

MIÉRCOLES 19 DE JULIO DE 2017EDICIÓN EXTRAORDINARIA

150 EJEMPLARES34 PÁGINAS

Las leyes y demás disposiciones son de observancia obligatoria por el sólo hecho de publicarse en este Periódico.

2017, “Un Siglo de las Constituciones”

ÍNDICE

Poder Legislativo del Estado

Decreto 0675.- Ley de Protección de Datos Personales del Estado de San Luis Potosí.

Responsable:SECRETARÍA GENERAL DE GOBIERNO

Director:OSCAR IVÁN LEÓN CALVO

PERFECTO AMEZQUITA No. 101 2° PISOFRACC. TANGAMANGA CP 78280SAN LUIS POTOSI, S.L.P.Actual $ 18.26Atrasado $ 36.52Otros con base a su costo a criterio de laSecretaria de Finanzas

MIÉRCOLES 19 DE JULIO DE 20172

Poder Legislativo del Estado

DirectorioJuan Manuel Carreras López

Gobernador Constitucional del Estadode San Luis Potosí

Alejandro Leal TovíasSecretario General de Gobierno

Oscar Iván León CalvoDirector

STAFF

Miguel Romero Ruiz EsparzaSubdirector

Miguel Ángel Martínez CamachoJefe de Diseño y Edición

DistribuciónJosé Rivera Estrada

Para cualquier publicación oficial es necesario presentar of icio desolicitud para su autorización dirigido a la Secretaría General de Gobierno,original del documento, disco compacto (formato Word o Excel parawindows , NO imagen, NI PDF).

Para publicaciones de Avisos Judiciales, Convocatorias, Balances, etc.,realizar el pago de Derechos en las Cajas Recaudadoras de la Secretaría deFinanzas y acompañar en original y copia fotostática, recibo de pago ydocumento a publicar y en caso de balances acompañar con disco compacto(formato Word o Excel para windows,NO imagen,NI PDF).

Avisos Judiciales, Convocatorias, Balances, etc. son consideradosEdiciones Ordinarias.

Los días Martes y Jueves, publicación de licitaciones, presentandodocumentación con dos días hábiles de anticipación.

La recepción de los documentos a publicar será en esta Dirección deLunes a Viernes de 9:00 a 14:00 horas.

NOTA: Los documentos a publicar deberán presentarse con la debidaanticipación.

* El número de edicto y las fechas que aparecen al piedel mismo, son únicamente para control interno deesta Dirección del Periódico Oficial del Gobierno delEstado “Plan de San Luis”, debiéndose por lo tanto tomar comofecha oficial la publicada tanto en la portada del Periódico como en losencabezados de cada página.

Este medio informativo aparece ordinariamente los días Lunes, Miércoles,Viernes y extraordinariamente cuando así se requiera.

REGISTRO POSTALIMPRESOS DEPOSITADOS POR SUSEDITORES O AGENTESCR-SLP-002-99

Juan Manuel Carreras López, Gobernador Constitucional delEstado Libre y Soberano de San Luis Potosí, a sus habitantessabed: Que el Congreso del Estado ha Decretado lo siguiente:

DECRETO 0677

La Sexagésima Primera Legislatura Constitucional delEstado Libre y Soberano de San Luis Potosí

EXPOSICIÓN DE MOTIVOS

El 26 de enero del presente año fue publicada en el DiarioOficial de la Federación la nueva Ley General de Protecciónde Datos Personales en Posesión de Sujetos Obligados, lacual establece en su artículo transitorio segundo que las leyesvigentes de las Entidades Federativas en la materia, deberánajustarse a las disposiciones previstas en la nueva norma enun plazo de seis meses siguientes contado a partir de suentrada en vigor. Asimismo establece que en caso de que lasLegislaturas de las Entidades Federativas omitan total oparcialmente realizar las adecuaciones legislativas a que hayalugar, en el plazo establecido, resultará aplicable de maneradirecta la nueva Ley General, con la posibilidad de seguiraplicando de manera supletoria las leyes preexistentes entodo aquello que no se oponga a la misma, hasta en tanto nose cumpla la condición impuesta en el citado artículotransitorio.

Como se señala en el documento denominado “Bases deconfiguración normativa de las entidades federativas enmateria de transparencia y acceso a la información, así comoprotección de datos personales en posesión de sujetosobligados.” A partir del 8 de febrero de 2014, iniciaron suvigencia las modificaciones constitucionales en materiaprotección de datos personales.

De aquí las materias relacionadas con el derecho de accesoa la información, como lo es la de protección de datospersonales, se fijan como concurrentes, es decir, que en talesmaterias inciden simultáneamente los órdenes federal, delas entidades federativas y de los municipios.

De lo anterior, se establece un nuevo parámetro deconfiguración normativa tanto para la federación como paralos Estados, pues las materias de TransparenciaGubernamental; Acceso a la Información; Protección de DatosPersonales y Archivos dejan de ser materias coincidentes

MIÉRCOLES 19 DE JULIO DE 2017 3

clásicas por lo que su estructuración queda constreñida altexto constitucional y al de la ley general expedida.

En este sentido los principios, bases, mecanismos,procedimientos y garantías en materia de protección de datospersonales regulados en el texto constitucional y en la leygeneral respectiva, caracterizan la libertad de configuraciónnormativa federal y estatal, como limitada o relativa.

Así que la configuración normativa de la Ley de Protección deDatos Personales para nuestro Estado se llevó a cabosiguiendo las pautas de observancia obligatoria para losestados, es decir, que hay normatividad establecida en la leygeneral en la cual, las legislaturas locales no tienen libertadde configuración normativa. Se establecieron los dispositivosque operan como base mínima regulativa en diversos temas,respecto de los cuales las legislaturas locales pueden ampliaresa base mínima sin contradecirla. Con la presente Ley, labase mínima no sufrió cambio alguno, en reconocimiento dela importancia que esta juega en la armonización legislativa.

ÚNICO. Se expide la Ley de Protección de Datos Personalesdel Estado de San Luis Potosí; para quedar como sigue:

Ley de Protección de Datos Personalesdel Estado de San Luis Potosí

TÍTULO PRIMERODisposiciones Generales

Capítulo ÚnicoDe los ámbitos de validez

subjetivo, objetivo y territorial de la Ley

ObjetoARTÍCULO 1º. La presente Ley es de orden público yobservancia obligatoria en el Estado de San Luis Potosí ytiene por objeto garantizar el objeto que tiene toda persona ala protección de sus datos personales.

Objetivos específicosARTÍCULO 2º. Son objetivos específicos de la presente Ley:

I. Garantizar que toda persona pueda ejercer el derecho a laprotección de datos personales en el Estado de San LuisPotosí;

II. Proteger los datos personales en posesión de cualquierautoridad, entidad, órgano y organismo de los PoderesEjecutivo, Legislativo y Judicial, órganos autónomos, partidospolíticos, fideicomisos y fondos públicos del Estado de SanLuis Potosí, con la finalidad de regular su debido tratamiento;

III. Garantizar la observancia de los principios de protecciónde datos personales previstos en la presente Ley y demásdisposiciones que resulten aplicables en la materia;

IV. Establecer obligaciones, procedimientos y condicioneshomogéneas que regirán el tratamiento de los datospersonales y el ejercicio de los derechos de acceso,rectif icación, cancelación y oposición, medianteprocedimientos sencillos y expeditos;

V. Fijar los estándares y parámetros que permitan laimplementación, mantenimiento y actualización de medidasde seguridad de carácter administrativo, técnico y físico quepermitan la protección de los datos personales, y

VI. Establecer un catálogo de sanciones para aquellasconductas que contravengan las disposiciones previstas enla presente Ley.

DefinicionesARTÍCULO 3º. Para los efectos de la presente Ley se entenderápor:

I. Aviso de privacidad: documento físico, electrónico o encualquier otro formato generado por el responsable, que espuesto a disposición del titular con el objeto de informarle lascaracterísticas principales del tratamiento al que seránsometidos sus datos personales;

II. Bases de datos: conjunto ordenado de datos personalesreferentes a una persona física identificada o identificable,condicionados a criterios determinados, con independenciade la forma o modalidad de su creación, tipo de soporte,procesamiento, almacenamiento y organización;

III. Bloqueo: La identificación y conservación de datospersonales una vez cumplida la finalidad para la cual fueronrecabados, con el único propósito de determinar posiblesresponsabilidades en relación con su tratamiento, hasta elplazo de prescripción legal o contractual de éstas. Durantedicho periodo, los datos personales no podrán ser objeto detratamiento y transcurrido éste, se procederá a su cancelaciónen la base de datos que corresponda;

IV. CEGAIP: Comisión Estatal de Garantía de Acceso a laInformación Pública del Estado de San Luis Potosí;

V. Comité de Transparencia: instancia a la que hace referenciael artículo 52 de la Ley de Transparencia y Acceso a laInformación Pública del Estado de San Luis Potosí;

VI. Cómputo en la nube: Modelo de provisión externa deservicios de cómputo bajo demanda, que implica el suministrode infraestructura, plataforma o programa informático,distribuido de modo flexible, mediante procedimientosvirtuales, en recursos compartidos dinámicamente;

VII. Consentimiento: manifestación de la voluntad libre,específica e informada del titular, mediante la cual autoriza eltratamiento de sus datos personales;

VIII. Datos personales: cualquier información concerniente auna persona física identificada o identificable expresada enforma numérica, alfabética, alfanumérica, gráfica, fotográfica,acústica o en cualquier otro formato. Se considera que unapersona es identif icable cuando su identidad puededeterminarse directa o indirectamente a través de cualquierinformación, siempre y cuando esto no requiera plazos,medios o actividades desproporcionadas;

IX. Datos personales sensibles: aquellos que se refieran a laesfera más íntima de su titular, o cuya utilización indebida


pueda dar origen a discriminación o conlleve un riesgo gravepara éste. Se consideran sensibles, de manera enunciativamás no limitativa, los datos personales que puedan revelaraspectos como origen racial o étnico, estado de salud pasado,presente o futuro, creencias religiosas, filosóficas y morales,opiniones políticas, datos genéticos o datos biométricos;

X. Derechos ARCO: los derechos de acceso, rectificación ycancelación de datos personales, así como la oposición altratamiento de los mismos;

XI. Días: días hábiles;

XII. Disociación: el procedimiento mediante el cual los datospersonales no pueden asociarse al titular ni permitir, por suestructura, contenido o grado de desagregación, laidentificación del mismo;

XIII. Documento de seguridad: instrumento que describe y dacuenta de manera general sobre las medidas de seguridadtécnicas, físicas y administrativas adoptadas por elresponsable para garantizar la confidencialidad, integridad ydisponibilidad de los datos personales que posee;

XIV. Encargado: prestador de servicios, que con el carácter depersona física o jurídica, pública o privada, ajena a laorganización del responsable, trata datos personales anombre y por cuenta de éste;

XV. Evaluación de impacto en la protección de datospersonales: documento mediante el cual se valoran ydeterminan los impactos reales respecto de determinadotratamiento de datos personales, a efecto de identificar, preveniry mitigar posibles riesgos que puedan comprometer elcumplimiento de los principios, deberes, derechos y demásobligaciones previstas en la presente Ley y demás normativaaplicable en la materia;

XVI. Fuentes de acceso público: aquellas bases de datos,sistemas o archivos que puedan ser consultadaspúblicamente cuando no exista impedimento por una normalimitativa y sin más exigencia que, en su caso, el pago de unacontraprestación, tarifa o contribución. No se consideraráfuente de acceso público cuando los datos personalescontenidos en la misma sean obtenidos o tengan unaprocedencia ilícita, conforme a las disposiciones establecidaspor la presente Ley y demás normativa aplicable;

XVII. INAI: Instituto Nacional de Transparencia, Acceso a laInformación y Protección de Datos Personales;

XVIII. Ley: Ley de Protección de Datos Personales del Estadode San Luis Potosí;XIX. Ley de Transparencia: Ley de Transparencia y Acceso ala Información Pública del Estado de San Luis Potosí;

XX. Ley General: Ley General de Protección de DatosPersonales en Posesión de los Sujetos Obligados;

XXI. Ley General de Transparencia: Ley General deTransparencia y Acceso a la Información Pública;

XXII. Medidas compensatorias: mecanismos alternos paradar a conocer a los titulares el aviso de privacidad, a través desu difusión por medios masivos de comunicación u otros deamplio alcance;

XXIII. Medidas de seguridad: Conjunto de acciones,actividades, controles o mecanismos administrativos, técnicosy físicos que permitan garantizar la confidencialidad,disponibilidad e integridad de los datos personales;

XXIV. Medidas de seguridad administrativas: políticas yprocedimientos para la gestión, soporte y revisión de laseguridad de la información a nivel organizacional, laidentificación, clasificación y borrado seguro de los datospersonales, así como la sensibilización y capacitación delpersonal, en materia de protección de datos personales;

XXV. Medidas de seguridad físicas: conjunto de acciones ymecanismos para proteger el entorno físico de los datospersonales y de los recursos involucrados en su tratamiento.De manera enunciativa más no limitativa, se deberánconsiderar las siguientes actividades:

a) Prevenir el acceso no autorizado al perímetro de laorganización del responsable, sus instalaciones físicas,áreas críticas, recursos y datos personales.b) Prevenir el daño o interferencia a las instalaciones físicas,áreas críticas de la organización del responsable, recursos ydatos personales.c) Proteger los recursos móviles, portátiles y cualquier soportefísico o electrónico que pudiera salir de la organización delresponsable.d) Proveer a los equipos que contienen o almacenan datospersonales de un mantenimiento eficaz, que asegure sudisponibilidad e integridad;

XXVI. Medidas de seguridad técnicas: conjunto de accionesy mecanismos que se valen de la tecnología relacionada conhardware y software para proteger el entorno digital de losdatos personales y los recursos involucrados en sutratamiento. De manera enunciativa más no limitativa, sedeberán considerar las siguientes actividades:

a) Prevenir que el acceso a los datos personales, así como alos recursos, sea por usuarios identificados y autorizados.b) Generar un esquema de privilegios para que el usuariolleve a cabo las actividades que requiere con motivo de susfunciones.c) Revisar la configuración de seguridad en la adquisición,operación, desarrollo y mantenimiento del software y hardware.d) Gestionar las comunicaciones, operaciones y medios dealmacenamiento de los recursos informáticos en eltratamiento de datos personales;

XXVII. Plataforma Nacional: Plataforma Nacional deTransparencia a que se refiere el artículo 49 de la Ley Generalde Transparencia;

XXVIII. Remisión: toda comunicación de datos personalesrealizada exclusivamente entre el responsable y encargado,con independencia de que se realice dentro o fuera del territoriomexicano;


XXIX. Responsable: cualquier autoridad, dependencia,entidad, órgano y organismo de los poderes Legislativo,Ejecutivo y Judicial, ayuntamientos, órganos, organismosconstitucionales autónomos, tribunales administrativos,fideicomisos y fondos públicos y partidos políticos del Estadode San Luis Potosí que decide y determina los fines, mediosy demás cuestiones relacionadas con determinadotratamiento de datos personales;

XXX. Sistema Nacional: Sistema Nacional de Transparencia,Acceso a la Información y Protección de Datos Personales;

XXXI. Supresión: la baja archivística de los datos personalesconforme a la normativa archivística aplicable, que resulte enla eliminación, borrado o destrucción de los datos personalesbajo las medidas de seguridad previamente establecidas porel responsable;

XXXII. Titular: la persona física a quien corresponden los datospersonales;

XXXIII. Transferencia: toda comunicación de datos personalesdentro o fuera del territorio mexicano, realizada a personadistinta del titular, del responsable o del encargado;

XXXIV. Tratamiento: cualquier operación o conjunto deoperaciones efectuadas mediante procedimientos físicos oautomatizados aplicados a los datos personales,relacionadas, de manera enunciativa más no limitativa, con laobtención, uso, registro, organización, conservación,elaboración, uti lización, estructuración, adaptación,modificación, extracción, consulta, comunicación, difusión,almacenamiento, posesión, acceso, manejo,aprovechamiento, transferencia y en general cualquier uso odisposición de datos personales, y

XXXV. Unidad de Transparencia: instancia a que se refiere elartículo 52 de la Ley de Transparencia.

Ámbito de validez subjetivoARTÍCULO 4º. Son sujetos obligados a cumplir con lasdisposiciones de la presente Ley, cualquier autoridad,dependencia, entidad, órgano y organismo de los PoderesEjecutivo, Legislativo y Judicial, ayuntamientos, órganos,organismos autónomos, tribunales administrativos,fideicomisos y fondos públicos y partidos políticos del ordenestatal y municipal del Estado de San Luis Potosí que lleven acabo tratamientos de datos personales.

Los fideicomisos y fondos públicos de carácter estatal ymunicipal considerados como entidades paraestatales, deconformidad con la Ley Orgánica de la Administración Públicadel Estado de San Luis Potosí, deberán dar cumplimiento porsí mismos a las obligaciones previstas en la presente Ley ydemás normatividad aplicable en la materia, a través de suspropias áreas.

Los fideicomisos y fondos públicos de carácter estatal ymunicipal que no tengan la naturaleza jurídica de entidadesparaestatales, de conformidad con Ley Orgánica de laAdministración Pública del Estado de San Luis Potosí, o bien,

no cuenten con una estructura orgánica propia que les permitacumplir, por sí mismos, con las disposiciones previstas en lapresente Ley, deberán observar lo dispuesto en esteordenamiento y demás normatividad aplicable en la materia,a través del ente público facultado para coordinar su operación.

Ámbito de validez objetivoARTÍCULO 5º. La presente Ley será aplicable a cualquiertratamiento de datos personales que obren en soportes físicoso electrónicos, con independencia de la forma o modalidadde su creación, t ipo de soporte, procesamiento,almacenamiento y organización.

Ámbito de validez territorialARTÍCULO 6º. La presente Leyserá aplicable a todo tratamiento de datos personales que seefectúe en el territorio del Estado de San Luis Potosí por losresponsables a que se refiere el artículo 4º de la presente Ley.

Excepciones generales del derecho a la protección de datospersonalesARTÍCULO 7º. Los principios, deberes y derechos previstosen la presente Ley y demás normatividad aplicable tendráncomo límite en cuanto a su observancia y ejercicio la protecciónde disposiciones de orden público, la seguridad pública, lasalud pública o la protección de los derechos de terceros. Laslimitaciones y restricciones deberán reconocerse de maneraexpresa en una norma con rango de ley y deberán sernecesarias y proporcionales en una sociedad democrática,respetando, en todo momento, los derechos y las libertadesfundamentales de los titulares.

Cualquier ley que tenga como propósito limitar el derecho a laprotección de datos personales deberá contener como mínimodisposiciones relativas a:

I. Las finalidades del tratamiento;

II. Las categorías de datos personales o los datos personalesespecíficos que son objeto de tratamiento;

III. El alcance de las limitaciones o restricciones establecidas;

IV. La determinación del responsable o los responsables, y

V. El derecho de los titulares a ser informados sobre lalimitación, salvo que resulte perjudicial o incompatible a losfines de ésta.

Tratamiento de datos personales de carácter sensibleARTÍCULO 8º. Por regla general no podrán tratarse datospersonales sensibles, salvo que:

I. Los mismos sean estrictamente necesarios para el ejercicioy cumplimiento de las atribuciones y obligacionesexpresamente previstas en las normas que regulan laactuación del responsable;

II. Se dé cumplimiento a un mandato legal;

III. Se cuente con el consentimiento expreso y por escrito deltitular, o


IV. Sean necesarios por razones de seguridad pública, ordenpúblico, salud pública o salvaguarda de derechos de terceros.

Tratamiento de datos personales de menores yadolescentesARTÍCULO 9º. En el tratamiento de datospersonales de menores de edad, el responsable deberáprivi legiar el interés superior de las niñas, niños yadolescentes, en términos de las disposiciones previstas enla Ley de los Derechos de Niñas, Niños y Adolescentes delEstado de San Luis Potosí y demás ordenamientos queresulten aplicables.

Fuentes de acceso públicoARTÍCULO 10. Se considerarán como fuentes de accesopúblico:

I. Las páginas de Internet o medios remotos o locales decomunicación electrónica, óptica y de otra tecnología, siempreque el sitio donde se encuentren los datos personales estéconcebido para facilitar información al público y esté abierto ala consulta general;

II. Los directorios telefónicos en términos de la normativaespecífica;

III. Los diarios, gacetas o boletines oficiales, de acuerdo consu normativa;

IV. Los medios de comunicación social, y

V. Los registros públicos conforme a las disposiciones queles resulten aplicables.

Para que los supuestos enumerados en el presente artículosean considerados fuentes de acceso público será necesarioque su consulta pueda ser realizada por cualquier personano impedida por una norma limitativa, o sin más exigenciaque, en su caso, el pago de una contra prestación, derecho otarifa. No se considerará una fuente de acceso público cuandola información contenida en la misma sea o tenga unaprocedencia ilícita.

Reglas de interpretaciónARTÍCULO 11. La aplicación e interpretación de la presenteLey se realizará conforme a lo dispuesto en la ConstituciónPolítica de los Estados Unidos Mexicanos, los tratadosinternacionales de los que el Estado mexicano sea parte, laConstitución Política del Estado de San Luis Potosí, la LeyGeneral, así como las resoluciones, sentencias,determinaciones, decisiones, criterios y opiniones vinculantes,entre otras, que emitan los órganos nacionales einternacionales especializados.

SupletoriedadARTÍCULO 12. A falta de disposición expresa en la presenteLey, se aplicarán de manera supletoria las disposiciones delCódigo de Procedimientos Civiles del Estado de San LuisPotosí y la Ley de Procedimientos Administrativos del Estadoy Municipios de San Luis Potosí.

TÍTULO SEGUNDOPrincipios y deberes

Capítulo IDe los principios

Principios generales de protección de datospersonalesARTÍCULO 13. En todo tratamiento de datospersonales que efectúe el responsable deberá observar losprincipios de licitud, finalidad, lealtad, consentimiento, calidad,proporcionalidad, información y responsabilidad.

Principio de licitudARTÍCULO 14. El responsable deberá tratar los datospersonales en su posesión con estricto apego y cumplimientode lo dispuesto por la presente Ley, la legislación mexicanaque resulte aplicable y, en su caso, el derecho internacional,respetando los derechos y libertades del titular.

En adición a la obligación anterior, el responsable deberásujetarse a las facultades o atribuciones que la normatividadaplicable le confiera.

Principio de finalidadARTÍCULO 15. Todo tratamiento de datos personales queefectúe el responsable deberá estar justificado por finalidadesconcretas, explícitas, lícitas y legítimas, relacionadas con lasatribuciones expresas que la normatividad aplicable leconfiera.

Para efectos de la presente Ley, se entenderá que lasfinalidades son:

I. Concretas: cuando el tratamiento de los datos personalesatiende a la consecución de fines específicos o determinados,sin que sea posible la existencia de finalidades genéricasque puedan generar confusión en el titular;

II. Explícitas: cuando las finalidades se expresan y dan aconocer de manera clara en el aviso de privacidad, y

III. Lícitas y legítimas: cuando las finalidades que justifican eltratamiento de los datos personales son acordes con lasatribuciones expresas del responsable, conforme a lo previstoen la legislación mexicana y el derecho internacional que leresulte aplicable.

Finalidades distintasARTÍCULO 16. El responsable podrá tratar los datospersonales en su posesión para finalidades distintas aaquéllas que motivaron el tratamiento original de los mismos,siempre y cuando cuente con atribuciones expresasconferidas en ley y medie el consentimiento del titular, en lostérminos previstos en la presente Ley y demás normatividadque resulte aplicable.

Principio de lealtadARTÍCULO 17. El responsable deberáabstenerse de tratar los datos personales a través de mediosengañosos o fraudulentos, privilegiando, en todo momento,la protección de los intereses del titular y su expectativarazonable de privacidad.


Tratamientos deslealesARTÍCULO 18. Para los efectos del artículo anterior, seentenderá que el responsable actúa de forma engañosa ofraudulenta cuando:

I. Medie dolo, mala fe o negligencia en el tratamiento de datospersonales que lleve a cabo;

II. Realice un tratamiento de datos personales que dé lugar auna discriminación injusta o arbitraria contra el titular, o

III. Vulnere la expectativa razonable de protección de datospersonales.

Principio de consentimientoARTÍCULO 19. El responsable deberá obtener elconsentimiento del titular para el tratamiento de sus datospersonales, salvo que se actualice algunas de las siguientescausales de excepción:

I. Cuando una norma con rango de ley señale expresamenteque no será necesario el consentimiento del titular para eltratamiento de sus datos personales, por razones deseguridad pública, salud pública, disposiciones de ordenpúblico o protección de derechos de terceros;

II. Cuando exista una orden judicial, resolución o mandatofundado y motivado de autoridad competente;

III. Para el reconocimiento o defensa de derechos del titularante autoridad competente;

IV. Cuando los datos personales se requieran para ejercer underecho o cumplir obligaciones derivadas de una relaciónjurídica entre el titular y el responsable;

V. Cuando exista una situación de emergencia quepotencialmente pueda dañar a un individuo en su persona oen sus bienes;

VI. Cuando los datos personales sean necesarios para laprevención, el diagnóstico médico, la prestación de serviciosde asistencia sanitaria, el tratamiento médico, o la gestión deservicios sanitarios;

VII. Cuando los datos personales figuren en fuentes de accesopúblico;

VIII. Cuando los datos personales se sometan a unprocedimiento previo de disociación, o

IX. Cuando el titular sea una persona reportada comodesaparecida en los términos de la ley en la materia.

Tratándose de la fracción VII del presente artículo, estesupuesto exclusivamente resultará aplicable en caso de quelos datos personales que obren en fuentes de acceso público,tengan una procedencia conforme a las disposicionesestablecidas en la presente Ley y demás normativa aplicable.La actualización de alguna de las fracciones previstas en esteartículo no exime al responsable del cumplimiento de las

demás obligaciones previstas en la presente Ley y demásdisposiciones que resulten aplicables.

Características del consentimientoARTÍCULO 20. Elconsentimiento del titular deberá otorgarse de manera:

I. Libre: sin que medie error, mala fe, violencia o dolo quepuedan afectar la manifestación de voluntad del titular;

II. Específica: referida a finalidades concretas, lícitas, explícitasy legítimas que justifiquen el tratamiento, y

III. Informada: que el titular tenga conocimiento del aviso deprivacidad previo al tratamiento a que serán sometidos susdatos personales.

Modalidades del consentimientoARTÍCULO 21. El consentimiento podrá manifestarse de formaexpresa o tácita. Por regla general será válido el consentimientotácito, salvo que una ley exija que la voluntad del titular semanifieste de manera expresa.

Tratándose del consentimiento expreso, además de lo previstoen el artículo anterior de la presente Ley, el responsabledeberá ser capaz de demostrar de manera indubitable que eltitular otorgó su consentimiento, ya sea a través de unadeclaración o una acción afirmativa clara.

Consentimiento tácitoARTÍCULO 22. El consentimiento será tácito cuandohabiéndose puesto a disposición del titular el aviso deprivacidad, éste no manifieste su voluntad en sentido contrario.

Consentimiento expresoARTÍCULO 23. El consentimiento será expreso cuando lavoluntad del titular se manifieste de forma verbal, por escrito,por medios electrónicos, ópticos, signos inequívocos o porcualquier otra tecnología. En el entorno digital, podrá utilizarsela firma electrónica o cualquier mecanismo o procedimientoequivalente que permita identificar fehacientemente al titular,y a su vez, recabar su consentimiento de tal manera que seacredite la obtención del mismo.

Para la obtención del consentimiento expreso, el responsabledeberá facilitar al titular un medio sencillo y gratuito a travésdel cual pueda manifestar su voluntad.

Obtención del consentimiento cuando los datos personalesse recaban directamente del titularARTÍCULO 24. El responsable deberá obtener elconsentimiento del titular para el tratamiento de sus datospersonales, de manera previa, cuando los recabedirectamente de éste y, en su caso, se requiera conforme alartículo 19 de la presente Ley.

Para efectos de la presente Ley, se entenderá que elresponsable obtiene los datos personales directamente deltitular cuando éste los proporciona personalmente o por algúnmedio que permita su entrega directa al responsable comoson, de manera enunciativa más no limitativa, medioselectrónicos, ópticos, sonoros, visuales, vía telefónica, Interneto cualquier otra tecnología o medio.


Obtención del consentimiento cuando los datos personalesse recaben indirectamente del titularARTÍCULO 25. Cuando el responsable recabe datospersonales indirectamente del titular y se requiera de suconsentimiento conforme al artículo 19 de la presente Ley,éste no podrá tratar los datos personales hasta que cuentecon la manifestación de la voluntad libre, específica einformada del titular, mediante la cual autoriza el tratamientode los mismos, ya sea tácita o expresa según corresponda.

Consentimiento de menores de edad, estado de interdiccióno incapacidad declarada por leyARTÍCULO 26. En la obtención del consentimiento de menoresde edad o de personas que se encuentren en estado deinterdicción o incapacidad declarada por ley, se estará a lodispuesto en las reglas de representación previstas en lalegislación civil que resulte aplicable del Estado de San LuisPotosí.

Consentimiento para el tratamiento de datos personalessensiblesARTÍCULO 27. El responsable deberá obtener elconsentimiento expreso y por escrito del titular para eltratamiento de datos personales sensibles, salvo que seactualice alguna de las causales de excepción previstas en elartículo 19 de la presente Ley.

Se considerará que el consentimiento expreso se otorgó porescrito cuando el titular lo externe mediante un documentocon su firma autógrafa, huella dactilar o cualquier otromecanismo autorizado por la normativa aplicable. En el entornodigital, podrán utilizarse medios como la firma electrónica ocualquier mecanismo o procedimiento equivalente quepermita identificar fehacientemente al titular, y a su vez, recabarsu consentimiento de tal manera que se acredite la obtencióndel mismo.

Principio de calidadARTÍCULO 28. El responsable deberá adoptar las medidasnecesarias para mantener exactos, completos, correctos yactualizados los datos personales en su posesión, a fin deque no se altere la veracidad de éstos y según se requierapara el cumplimiento de las finalidades concretas, explícitaslícitas y legítimas que motivaron su tratamiento.Se presume que se cumple con la calidad en los datospersonales cuando éstos son proporcionados directamentepor el titular y hasta que éste no manifieste y acredite locontrario.

Cuando los datos personales fueron obtenidos indirectamentedel titular, el responsable deberá adoptar medidas razonablespara que éstos respondan al principio de calidad, de acuerdocon la categoría de datos personales y las condiciones ymedios del tratamiento.

Supresión de los datos personalesARTÍCULO 29. El responsable deberá suprimir los datospersonales en su posesión cuando hayan dejado de sernecesarios para el cumplimiento de las finalidades concretas,explícitas lícitas y legítimas que motivaron su tratamiento, previobloqueo en su caso, y una vez que concluya el plazo deconservación de los mismos.

En la supresión de los datos personales, el responsabledeberá implementar métodos y técnicas orientadas a laeliminación definitiva de éstos.

Plazos de conservaciónARTÍCULO 30. Los plazos de conservación de los datospersonales no deberán exceder aquéllos que sean necesariospara el cumplimiento de las finalidades concretas, explícitaslícitas y legítimas que justificaron su tratamiento.

En el establecimiento de los plazos de conservación de losdatos personales, el responsable deberá considerar losvalores administrativos, contables, fiscales, jurídicos ehistóricos de los datos personales, así como atender lasdisposiciones aplicables en la materia de que se trate.

Documentación de los procedimientos de conservación,bloqueo y supresión de los datos personalesARTÍCULO 31. El responsable deberá establecer y documentarlos procedimientos para la conservación, en su caso bloqueoy supresión de los datos personales en su posesión, en loscuales se incluyan los periodos de conservación de losmismos, de conformidad con lo dispuesto en el artículoanterior de la presente Ley.

En los procedimientos a que se refiere el párrafo anterior, elresponsable deberá incluir mecanismos que le permitancumplir con los plazos fijados para la supresión de los datospersonales, así como para realizar una revisión periódicasobre la necesidad de conservar los datos personales.

Principio de proporcionalidadARTÍCULO 32. El responsable sólo deberá tratar los datospersonales que resulten adecuados, relevantes yestrictamente necesarios para las finalidades concretas,explícitas lícitas y legítimas que justifiquen su tratamiento.Criterio de minimizaciónARTÍCULO 33. El responsable procurará realizar esfuerzosrazonables para tratar los datos personales al mínimonecesario, con relación a las finalidades que motivan sutratamiento.

Principio de informaciónARTÍCULO 34. El responsable deberá informar al titular, através del aviso de privacidad, la existencia y característicasprincipales del tratamiento al que serán sometidos sus datospersonales.

Objeto del aviso de privacidadARTÍCULO 35. El aviso de privacidad tendrá por objeto informaral titular sobre los alcances y condiciones generales deltratamiento, a fin de que esté en posibilidad de tomardecisiones informadas sobre el uso de sus datos personalesy, en consecuencia, mantener el control y disposición sobreellos.

Características del aviso de privacidadARTÍCULO 36. El aviso de privacidad deberá caracterizarsepor ser sencillo, con información necesaria, expresado enlenguaje claro y comprensible, y con una estructura y diseñoque facilite su entendimiento. En el aviso de privacidad quedaprohibido:


I. Usar frases inexactas, ambiguas o vagas;

II. Incluir textos o formatos que induzcan al titular a elegir unaopción en específico;

III. Marcar previamente casillas, en caso de que éstas seincluyan para que el titular otorgue su consentimiento, y

IV. Remitir a textos o documentos que no estén disponiblespara el titular.

Modalidades del aviso de privacidadARTÍCULO 37. El aviso de privacidad a que se refieren losartículos 3 fracción I y 34 de la presente Ley se pondrá adisposición del titular en dos modalidades, simplificado eintegral.

Aviso de privacidad simplificadoARTÍCULO 38. El aviso simplificado deberá contener lasiguiente información:

I. La denominación del responsable;

II. Las finalidades del tratamiento para las cuales se obtienenlos datos personales, distinguiendo aquéllas que requieranel consentimiento del titular;

III. Cuando se realicen transferencias de datos personalesque requieran consentimiento, se deberá informar:

a) Las autoridades, poderes, entidades, órganos y organismosgubernamentales de los tres órdenes de gobierno y laspersonas físicas o morales de carácter privado a las que setransfieren los datos personales.b) Las finalidades de estas transferencias;

IV. Los mecanismos y medios disponibles para que el titular,en su caso, pueda manifestar su negativa para el tratamientode sus datos personales para finalidades y transferencias dedatos personales que requieren el consentimiento del titular, y

V. El sitio donde se podrá consultar el aviso de privacidadintegral.

Los mecanismos y medios a los que se refiere la fracción IVdel presente artículo, deberán estar disponibles al titular previoa que ocurra dicho tratamiento.

La puesta a disposición del aviso de privacidad simplificadono exime al responsable de su obligación de proveer losmecanismos para que el titular pueda conocer el contenidodel aviso de privacidad integral en un momento posterior.

Aviso de privacidad integralARTÍCULO 39. Además de lo dispuesto en el artículo anteriorde la presente, el aviso de privacidad integral deberá contener,al menos, la siguiente información:

I. El domicilio del responsable;

II. Los datos personales que serán sometidos a tratamiento,identificando aquéllos que sean sensibles;

III. El fundamento legal que faculta expresamente alresponsable para llevar a cabo:

a) El tratamiento de datos personales.b) Las transferencias de datos personales que, en su caso,efectúe con autoridades, poderes, entidades, órganos yorganismos gubernamentales de los tres órdenes de gobiernoy las personas físicas o morales de carácter privado;

IV. Los mecanismos, medios y procedimientos disponiblespara ejercer los derechos ARCO;

V. El domicilio de la Unidad de Transparencia, y

VI. Los medios a través de los cuales el responsablecomunicará a los titulares los cambios al aviso de privacidad.

Momentos para la puesta a disposición del aviso deprivacidadARTÍCULO 40. El responsable deberá poner a disposición deltitular el aviso de privacidad simplificado en los siguientesmomentos:

I. Cuando los datos personales se obtienen de manera directadel titular previo a la obtención de los mismos, y

II. Cuando los datos personales se obtienen de maneraindirecta del titular previo al uso o aprovechamiento de éstos.

Las reglas anteriores, no eximen al responsable deproporcionar al titular el aviso de privacidad integral en unmomento posterior, conforme a las disposiciones aplicablesde la presente Ley.

Nuevo aviso de privacidadARTÍCULO 41. Cuando el responsable pretenda tratar los datospersonales para una finalidad distinta, deberá poner a sudisposición un nuevo aviso de privacidad con lascaracterísticas del nuevo tratamiento previo al aprovechamientode los datos personales para la finalidad respectiva.

Medios de difusión o reproducción del aviso de privacidadARTÍCULO 42. Para la difusión del aviso de privacidad, elresponsable podrá valerse de formatos físicos, electrónicos,medios verbales o cualquier otra tecnología, siempre y cuandogarantice y cumpla con el principio de información a que serefiere la presente Ley.

Instrumentación de medidas compensatoriasARTÍCULO 43. Cuando resulte imposible dar a conocer al titularel aviso de privacidad de manera directa o ello exija esfuerzosdesproporcionados, el responsable podrá instrumentarmedidas compensatorias de comunicación masiva, deacuerdo con los criterios que para tal efecto emita el SistemaNacional.

Principio de responsabilidadARTÍCULO 44. El responsable deberá implementar losmecanismos necesarios para acreditar el cumplimiento delos principios, deberes y obligaciones establecidas en lapresente Ley, así como para rendir cuentas al titular y a la


CEGAIP sobre los tratamientos de datos personales queefectúe, para lo cual podrá valerse de estándares, mejoresprácticas nacionales o internacionales o de cualquier otromecanismo que determine adecuado para tales fines.

Lo anterior, aplicará aun cuando los datos personales seantratados por parte de un encargado, así como al momento derealizar transferencias de datos personales.

Mecanismos para cumplir con el principio de responsabilidadARTÍCULO 45. Entre los mecanismos que deberá adoptar elresponsable para cumplir con el principio de responsabilidadestablecido en la presente Ley están, al menos, los siguientes:

I. Destinar recursos para la instrumentación de programas ypolíticas de protección de datos personales;

II. Elaborar políticas y programas de protección de datospersonales obligatorios y exigibles al interior de la organizacióndel responsable;

III. Poner en práctica un programa de capacitación y actualizacióndel personal sobre las obligaciones y demás deberes enmateria de protección de datos personales;

IV. Revisar periódicamente las políticas y programas deseguridad de datos personales para determinar lasmodificaciones que se requieran;

V. Establecer un sistema de supervisión y vigilancia interna y/oexterna, incluyendo auditorías, para comprobar el cumplimientode las políticas de protección de datos personales;

VI. Establecer procedimientos para recibir y responder dudas yquejas de los titulares;

VII. Diseñar, desarrollar e implementar sus políticas públicas,programas, servicios, sistemas o plataformas informáticas,aplicaciones electrónicas o cualquier otra tecnología queimplique el tratamiento de datos personales, de conformidadcon las disposiciones previstas en la presente Ley y las demásque resulten aplicables en la materia, y

VIII. Garantizar que sus políticas públicas, programas, servicios,sistemas o plataformas informáticas, aplicaciones electrónicaso cualquier otra tecnología que implique el tratamiento de datospersonales, cumplan por defecto con las obligaciones previstasen la presente Ley y las demás que resulten aplicables en lamateria.

El responsable deberá revisar las políticas, los programas deseguridad y las políticas de procedimientos de control a que serefieren las fracciones IV y V del presente artículo,respectivamente, al menos cada dos años, así comoactualizarlas cuando al tratamiento de datos personales se lerealicen modificaciones sustanciales.

Capítulo IIDe los deberes

Deber de seguridadARTÍCULO 46. Con independencia del tipo de sistema en elque se encuentren los datos personales o el tipo de tratamiento

que se efectúe, el responsable deberá establecer y mantenerlas medidas de seguridad de carácter administrativo, físico ytécnico para la protección de los datos personales, que permitanprotegerlos contra daño, pérdida, alteración, destrucción o suuso, acceso o tratamiento no autorizado, así como garantizarsu confidencialidad, integridad y disponibilidad.

Lo anterior, sin perjuicio de lo establecido por lasdisposiciones vigentes en materia de seguridad emitidas porlas autoridades competentes al sector que corresponda,cuando éstas contemplen una protección mayor para el titularo complementen lo dispuesto en la presente Ley y demásnormativa aplicable.

Factores para determinar la implementación de medidas deseguridadARTÍCULO 47. Las medidas de seguridad adoptadas por elresponsable deberán considerar:

I. El riesgo inherente a los datos personales tratados;

II. La sensibilidad de los datos personales tratados;

III. El desarrollo tecnológico;

IV. Las posibles consecuencias de una vulneración para lostitulares;

V. Las transferencias de datos personales que se realicen;

VI. El número de titulares, y

VII. Las vulneraciones previas ocurridas en los sistemas detratamiento.

Acciones para el establecimiento y mantenimiento demedidas de seguridadARTÍCULO 48. Para establecer y mantener las medidas deseguridad para la protección de los datos personales, elresponsable deberá realizar, al menos, las siguientesactividades interrelacionadas:

I. Crear políticas internas para la gestión y tratamiento de losdatos personales, que tomen en cuenta el contexto en el queocurren los tratamientos y el ciclo de vida de los datospersonales, es decir, su obtención, uso y posterior supresión;

II. Definir las funciones y obligaciones del personal involucradoen el tratamiento de datos personales;

III. Elaborar un inventario de los datos personales y de lasbases y/o sistemas de tratamiento;

IV. Realizar un análisis de riesgo de los datos personales,considerando las amenazas y vulnerabilidades existentes paralos datos personales y los recursos involucrados en sutratamiento, como pueden ser, de manera enunciativa más nolimitativa, hardware, software, personal del responsable, entreotros;

V. Realizar un análisis de brecha, comparando las medidasde seguridad existentes contra las faltantes en la organizacióndel responsable;


VI. Elaborar un plan de trabajo para la implementación de lasmedidas de seguridad faltantes, así como las medidas parael cumplimiento cotidiano de las políticas de gestión ytratamiento de los datos personales;

VII. Monitorear y revisar de manera periódica las medidas deseguridad implementadas, así como las amenazas yvulneraciones a las que están sujetos los datos personales,y

VIII. Diseñar y aplicar diferentes niveles de capacitación de supersonal, dependiendo de sus roles y responsabilidadesrespecto del tratamiento de los datos personales.

Contenido de las políticas internas de gestión y tratamientode los datosARTÍCULO 49. Con relación a la fracción I del artículo anteriorde la presente Ley, el responsable deberá incluir en el diseñoe implementación de las políticas internas para la gestión ytratamiento de los datos personales, al menos, lo siguiente:

I. Los controles para garantizar que se valida la confidencialidad,integridad y disponibilidad de los datos personales;

II. Las acciones para restaurar la disponibilidad y el acceso alos datos personales de manera oportuna en caso de unincidente físico o técnico;

III. Las medidas correctivas en caso de identificar unavulneración o incidente en los tratamientos de datospersonales;

IV. El proceso para evaluar periódicamente las políticas,procedimientos y planes de seguridad establecidos, a efectode mantener su eficacia;

V. Los controles para garantizar que únicamente el personalautorizado podrá tener acceso a los datos personales paralos finalidades concretas, lícitas, explícitas y legítimas queoriginaron su tratamiento, y

VI. Las medidas preventivas para proteger los datospersonales contra su destrucción accidental o ilícita, su pérdidao alteración y el almacenamiento, tratamiento, acceso otransferencias no autorizadas o acciones que contravenganlas disposiciones de la presente Ley y demás que resultenaplicables.

Sistema de gestión y documento de seguridadARTÍCULO 50. Las acciones relacionadas con las medidasde seguridad para el tratamiento de los datos personalesdeberán estar documentadas y contenidas en un sistema degestión. Se entenderá por sistema de gestión al conjunto deelementos y actividades interrelacionadas para establecer,implementar, operar, monitorear, revisar, mantener y mejorarel tratamiento y seguridad de los datos personales, deconformidad con lo previsto en la presente Ley y las demásdisposiciones que le resulten aplicables en la materia.

Documento de seguridadARTÍCULO 51. El responsable deberá elaborar y aprobar undocumento que contenga las medidas de seguridad de carácter

físico, técnico y administrativo conforme a lo dispuesto en lapresente Ley y demás disposiciones que resulten aplicablesen la materia. El documento de seguridad será de observanciaobligatoria para los encargados y demás personas que realizanalgún tipo de tratamiento de datos personales.

Contenido del documento de seguridadARTÍCULO 52. El documento de seguridad deberá contener,al menos, lo siguiente:

I. El nombre de los sistemas de tratamiento o base de datospersonales;

II. El nombre, cargo y adscripción del administrador de cadasistema de tratamiento y/o base de datos personales;

III. Las funciones y obligaciones del responsable, encargadosy todas las personas que traten datos personales;

IV. El inventario de los datos personales tratados en cadasistema de tratamiento y/o base de datos personales;

V. La estructura y descripción de los sistemas de tratamientoy/o bases de datos personales, señalando el tipo de soportey las características del lugar donde se resguardan;

VI. Los controles y mecanismos de seguridad para lastransferencias que, en su caso, se efectúen;

VII. El resguardo de los soportes físicos y/o electrónicos delos datos personales;

VIII. Las bitácoras de acceso, operación cotidiana yvulneraciones a la seguridad de los datos personales;

IX. El análisis de riesgos;

X. El análisis de brecha;

XI. La gestión de vulneraciones;

XII. Las medidas de seguridad físicas aplicadas a lasinstalaciones;

XIII. Los controles de identificación y autenticación de usuarios;

XIV. Los procedimientos de respaldo y recuperación de datospersonales;

XV. El plan de contingencia;

XVI. Las técnicas utilizadas para la supresión y borrado segurode los datos personales;

XVII. El plan de trabajo;

XVIII. Los mecanismos de monitoreo y revisión de las medidasde seguridad, y

XIX. El programa general de capacitación.

Actualización del documento de seguridadARTÍCULO 53. El responsable deberá revisar el documentode seguridad de manera periódica, así como actualizar sucontenido cuando ocurran los siguientes eventos:


I. Se produzcan modificaciones sustanciales al tratamientode datos personales que deriven en un cambio en el nivel deriesgo;

II. Como resultado de un proceso de mejora continua, derivadodel monitoreo y revisión del sistema de gestión;

III. Como resultado de un proceso de mejora para mitigar elimpacto de una vulneración a la seguridad ocurrida, y

IV. Se implementen acciones correctivas y preventivas anteuna vulneración de seguridad ocurrida.

Vulneraciones de seguridadARTÍCULO 54. Además de las que señalen las leyesrespectivas y la normatividad aplicable, se considerarán comovulneraciones de seguridad, en cualquier fase del tratamientode datos personales, al menos, las siguientes:

I. La pérdida o destrucción no autorizada;

II. El robo, extravío o copia no autorizada;

III. El uso, acceso o tratamiento no autorizado, o

IV. El daño, la alteración o modificación no autorizada.

Bitácora de vulneraciones de seguridad ocurridasARTÍCULO 55. El responsable deberá llevar una bitácora delas vulneraciones a la seguridad ocurridas en la que sedescriba:

I. La fecha en la que ocurrió;

II. El motivo de la vulneración de seguridad, y

III. Las acciones correctivas implementadas de forma inmediatay definitiva.

Notificación de las vulneraciones de seguridad ocurridasARTÍCULO 56. El responsable deberá informar sin dilaciónalguna al titular y a la CEGAIP las vulneraciones de seguridadocurridas, que de forma significativa afecten los derechospatrimoniales o morales del titular, en un plazo máximo desetenta y dos horas en cuanto se confirmen, y haya empezadoa tomar las acciones encaminadas a detonar un proceso derevisión exhaustiva de la magnitud de la afectación, a fin deque los titulares afectados puedan tomar las medidascorrespondientes para la defensa de sus derechos.

Contenido de la notificación de la vulneraciónARTÍCULO 57. El responsable deberá informar al titular y a laCEGAIP, al menos, lo siguiente:

I. La naturaleza del incidente;

II. Los datos personales comprometidos;

III. Las recomendaciones y medidas que el titular puede adoptarpara proteger sus intereses;

IV. Las acciones correctivas realizadas de forma inmediata, y

V. Los medios donde puede obtener mayor información alrespecto.

Implementación de acciones correctivas y preventivas anteuna vulneración de seguridadARTÍCULO 58. En caso de que ocurra una vulneración a laseguridad de los datos personales, el responsable deberáanalizar las causas por las cuales se presentó e implementaren su plan de trabajo las acciones preventivas y correctivaspara adecuar las medidas de seguridad y el tratamiento delos datos personales si fuese el caso, a efecto de evitar que lavulneración se repita.

Acciones de la CEGAIP derivadas de notificaciones devulneraciones de seguridadARTÍCULO 59. Una vez recibida una notificación de vulneraciónpor parte del responsable, la CEGAIP deberá realizar lasinvestigaciones previas a que haya lugar con la finalidad deallegarse de elementos que le permitan, en su caso, iniciarun procedimiento de verificación en términos de lo dispuestoen la presente Ley.

Deber de confidencialidadARTÍCULO 60. El responsable deberá establecer controles omecanismos que tengan por objeto que todas aquellaspersonas que intervengan en cualquier fase del tratamientode los datos personales, guarden confidencialidad respectode éstos, obligación que subsistirá aún después de finalizarsus relaciones con el mismo.

Lo anterior, sin menoscabo de lo establecido en la Ley deTransparencia y demás disposiciones que resulten aplicablesen la materia.

Emisión de recomendacionesARTÍCULO 61. La CEGAIP podrá publicar directrices,recomendaciones y mejores prácticas en materia deseguridad de los datos personales, de acuerdo con losestándares nacionales e internacionales actuales en lamateria.

TÍTULO TERCERODerechos de los titulares y su ejercicio

Capítulo IDe los derechos de acceso,

rectificación, cancelación y oposición

Derechos ARCOARTÍCULO 62. En todo momento el titular o su representantepodrán solicitar al responsable el acceso, rectificación,cancelación u oposición al tratamiento de los datospersonales que le concierne, de conformidad con loestablecido en el presente Título.

El ejercicio de cualquiera de los derechos ARCO no esrequisito previo, ni impide el ejercicio de otro.

Derecho de accesoARTÍCULO 63. El titular tendrá derecho de acceder a sus datospersonales que obren en posesión del responsable, así como


a conocer la información relacionada con las condiciones,generalidades y particularidades de su tratamiento.

Derecho de rectificaciónARTÍCULO 64. El t itular tendrá derecho a solicitar alresponsable la rectificación o corrección de sus datospersonales, cuando éstos resulten ser inexactos, incompletoso no se encuentren actualizados.

Derecho de cancelaciónARTÍCULO 65. El titular tendrá derecho a solicitar la cancelaciónde sus datos personales de los archivos, registros,expedientes y sistemas del responsable, a fin de que losmismos ya no estén en su posesión.

Rectificación o supresión de datos personales por parte detercerosARTÍCULO 66. Cuando sea procedente el ejercicio de losderechos de rectificación y cancelación, el responsable deberáadoptar todas aquellas medidas razonables para que los datospersonales sean corregidos o suprimidos, segúncorresponda, también por los terceros a quienes se los hubieretransferido.

Derecho de oposiciónARTÍCULO 67. El titular podrá oponerse al tratamiento de susdatos personales o exigir que se cese en el mismo, cuando:

I. Exista una causa legítima y su situación específica así lorequiera, lo cual implica que aun siendo lícito el tratamiento,el mismo debe cesar para evitar que su persistencia causeun daño o perjuicio al titular, o

II. Sus datos personales sean objeto de un tratamientoautomatizado, el cual le produzca efectos jurídicos nodeseados o afecte de manera significativa sus intereses,derechos o libertades, y estén destinados a evaluar, sinintervención humana, determinados aspectos personales delmismo o analizar o predecir, en particular, su rendimientoprofesional, situación económica, estado de salud,preferencias sexuales, fiabilidad o comportamiento.

En aquellos tratamientos de datos personales a que se refierela fracción II del presente artículo, el responsable deberáinformar al titular sobre la existencia del mismo e incluir unaevaluación o valoración humana que, entre otras cuestiones,contemple la explicación de la decisión adoptada por laintervención humana.

En caso de resultar procedente el derecho de oposición, elresponsable deberá cesar el tratamiento de los datospersonales respecto de aquellas finalidades que resultenaplicables.

Tratamiento automatizado de datos personales sensiblesARTÍCULO 68. El responsable no podrá llevar a cabotratamientos automatizados de datos personales que tengancomo efecto la discriminación de las personas por su origenétnico o racial, su estado de salud presente, pasado o futuro,su información genética, sus opiniones políticas, su religióno creencias filosóficas o morales y su preferencia sexual.

Capítulo IIDel ejercicio de los derechos de acceso, rectificación,

cancelación y oposición

Personas facultadas para el ejercicio de los derechos ARCOARTÍCULO 69. En cualquier momento, el ti tular o surepresentante podrán solicitar al responsable el acceso,rectificación, cancelación u oposición respecto del tratamientode los datos personales que le conciernen.

El ejercicio de los derechos ARCO por persona distinta a sutitular o a su representante, será posible, excepcionalmente,en aquellos supuestos previstos por disposición legal, o ensu caso, por mandato judicial.

Ejercicio de derechos ARCO de menores de edadARTÍCULO 70. En el ejercicio de los derechos ARCO demenores de edad o de personas que se encuentren en estadode interdicción o incapacidad declarada por las leyes civilesdel Estado de San Luis Potosí, se estará a las reglas derepresentación dispuestas en la misma legislación.

Ejercicio de derechos ARCO de personas fallecidasARTÍCULO 71. Tratándose de datos personales concernientesa personas fallecidas, la persona que acredite tener un interésjurídico, de conformidad con las leyes aplicables, podrá ejercerlos derechos que le confiere el presente Capítulo, siempreque el t i tular de los derechos hubiere expresadofehacientemente su voluntad en tal sentido o que exista unmandato judicial para dicho efecto.

Acreditación de la identidad del titularARTÍCULO 72. Para el ejercicio de los derechos ARCO, seránecesario que el titular acredite ante el responsable suidentidad al momento de presentar su solicitud y, en su caso,la identidad y personalidad con la que actúe su representante.

ARTÍCULO 73. Para el ejercicio de los derechos ARCO, seránecesario que el titular acredite ante el responsable suidentidad al momento de hacer efectivo el derecho siempre ycuando resulte procedente y, en su caso, la identidad ypersonalidad con la que actúe su representante.

Reglas generales para la acreditación de la identidad deltitularARTÍCULO 74. En la acreditación del titular o su representante,el responsable deberá seguir las siguientes reglas:

I. El titular podrá acreditar su identidad a través de lossiguientes medios:

a) Identificación oficial.b) Instrumentos electrónicos o mecanismos de autenticaciónpermitidos por otras disposiciones legales o reglamentariasque permitan su identificación fehacientemente.c) Aquellos mecanismos establecidos por el responsable demanera previa, siempre y cuando permitan de formainequívoca la acreditación de la identidad del titular, y

II. Cuando el titular ejerza sus derechos ARCO a través de surepresentante, éste deberá acreditar su identidad ypersonalidad presentando ante el responsable:


a) Copia simple de la identificación oficial del titular.b) Identificación oficial del representante.c) Instrumento público, o carta poder simple firmada ante dostestigos, o declaración en comparecencia personal del titular.

Presentación de la solicitud de ejercicio de derechos ARCOARTÍCULO 75. El titular, por sí mismo o por medio de surepresentante, podrá presentar una solicitud para el ejerciciode los derechos ARCO ante la Unidad de Transparencia delresponsable, a través de escrito libre, formatos, medioselectrónicos o cualquier otro medio que establezca la CEGAIP,o bien, vía Plataforma Nacional.

Si la solicitud para el ejercicio de los derechos ARCO espresentada ante un área distinta a la Unidad de Transparencia,aquélla tendrá la obligación de indicar al titular la ubicaciónfísica de la Unidad de Transparencia.

El responsable deberá dar trámite a toda solicitud para elejercicio de los derechos ARCO y entregar el acuse de reciboque corresponda.

Los medios y procedimientos habilitados por el responsablepara atender las solicitudes para el ejercicio de los derechosARCO, deberán ser de fácil acceso y con la mayor coberturaposible considerando el perfil de los titulares y la forma enque mantienen contacto cotidiano o común con el responsable.La CEGAIP podrá establecer mecanismos adicionales, talescomo formularios, sistemas y otros medios simplificados parafacilitar a los titulares el ejercicio de los derechos ARCO.

Asistencia de la Unidad de TransparenciaARTÍCULO 76. La Unidad de Transparencia del responsabledeberá auxiliar y orientar al titular en la elaboración de lassolicitudes para el ejercicio de los derechos ARCO, enparticular en aquellos casos en que el titular no sepa leer niescribir.

Incompetencia del responsableARTÍCULO 77. Cuando el responsable no sea competentepara atender la solicitud para el ejercicio de los derechosARCO, deberá hacer del conocimiento del titular dichasituación dentro de los tres días siguientes a la presentaciónde la solicitud, y en caso de poderlo determinar, orientarlohacia el responsable competente.

Si el responsable es competente para atender parcialmentela solicitud para el ejercicio de los derechos ARCO, deberádar respuesta conforme a su competencia.

Reconducción de la solicitud para el ejercicio de losderechos ARCOARTÍCULO 78. En caso de que la Unidad de Transparenciadel responsable advierta que la solicitud para el ejercicio delos derechos ARCO corresponde a un derecho diferente delos previstos en la presente Ley, deberá reconducir la víahaciéndolo del conocimiento al titular dentro de los tres díassiguientes a la presentación de la solicitud.

Requisitos de la solicitud de ejercicio de derechos ARCOARTÍCULO 79. La solicitud para el ejercicio de los derechosARCO deberá señalar la siguiente información:

I. El nombre completo del titular y, en su caso, de surepresentante, así como su domicilio o cualquier otro mediopara oír y recibir notificaciones;

II. La descripción clara y precisa de los datos personalesrespecto de los que se busca ejercer alguno de los derechosARCO, salvo que se trate del derecho de acceso;

III. La descripción del derecho ARCO que se pretende ejercer,o bien, lo que solicita el titular;

IV. Los documentos que acrediten la identidad del titular, y ensu caso, la personalidad e identidad de su representante, y

V. Cualquier otro elemento o documento que facilite lalocalización de los datos personales, en su caso.

Además de lo señalado en las fracciones anteriores delpresente artículo, tratándose de una solicitud de acceso adatos personales el titular deberá señalar la modalidad en laque prefiere que éstos se reproduzcan. El responsable deberáatender la solicitud en la modalidad requerida por el titular,salvo que exista una imposibilidad física o jurídica que lo limitea reproducir los datos personales en dicha modalidad, eneste caso deberá ofrecer otras modalidades de entrega delos datos personales fundando y motivando dicha actuación.

En el caso de solicitudes de rectificación de datos personales,el titular, además de indicar lo señalado en las fraccionesanteriores del presente artículo, podrá aportar ladocumentación que sustente su petición.

Con relación a una solicitud de cancelación, el titular deberáseñalar las causas que lo motiven a solicitar la supresión desus datos personales en los archivos, registros o bases dedatos del responsable.

En el caso de la solicitud de oposición, el titular deberámanifestar las causas legítimas o la situación específica quelo llevan a solicitar el cese en el tratamiento, así como el dañoo perjuicio que le causaría la persistencia del tratamiento, oen su caso, las finalidades específicas respecto de las cualesrequiere ejercer el derecho de oposición.

El titular podrá aportar las pruebas que estime pertinentespara acreditar la procedencia de su solicitud, las cualesdeberán acompañarse a la misma desde el momento de supresentación.

PrevenciónARTÍCULO 80. En caso de que la solicitud para el ejercicio delos derechos ARCO no satisfaga alguno de los requisitos aque se refiere el artículo anterior de la presente Ley y elresponsable no cuente con elementos para subsanarla,deberá prevenir al titular, dentro de los cinco días siguientes ala presentación de la solicitud para el ejercicio de los derechosARCO, para que, por una sola ocasión, subsane las omisionesdentro de un plazo de diez días contados a partir del díasiguiente al de la notificación.

La prevención tendrá el efecto de interrumpir el plazo que tieneel responsable para resolver la solicitud para el ejercicio de


los derechos ARCO, por lo que comenzará a computarse aldía siguiente del desahogo por parte del titular.

Transcurrido el plazo sin desahogar la prevención por partedel titular, se tendrá por no presentada la solicitud para elejercicio de los derechos ARCO.

Plazos de respuestaARTÍCULO 81. El responsable deberá establecerprocedimientos sencillos que permitan el ejercicio de losderechos ARCO, cuyo plazo de respuesta no deberá excederde veinte días contados a partir del día siguiente a la recepciónde la solicitud.

El plazo referido en el párrafo anterior, podrá ser ampliado poruna sola vez hasta por diez días cuando así lo justifiquen lascircunstancias y siempre y cuando se le notifique al titulardentro del plazo de respuesta.

En caso de resultar procedente el ejercicio de los derechosARCO, el responsable deberá hacerlo efectivo en un plazoque no podrá exceder de quince días contados a partir del díasiguiente en que se haya notificado la respuesta al titular.

Causales de improcedencia del ejercicio de los derechosARCOARTÍCULO 82. El ejercicio de los derechos ARCO no seráprocedente cuando:

I. El titular o su representante no estén debidamenteacreditados para ello;

II. Los datos personales no se encuentren en posesión delresponsable;

III. Exista un impedimento legal;

IV. Se lesionen los derechos de un tercero;

V. Se obstaculicen actuaciones judiciales o administrativas;

VI. Exista una resolución de autoridad competente que restrinjael acceso a los datos personales o no permita la rectificación,cancelación u oposición de los mismos;

VII. La cancelación u oposición haya sido previamenterealizada, respecto al mismo titular, responsable y datospersonales;

VIII. El responsable no sea competente;

IX. Sean necesarios para proteger intereses jurídicamentetutelados del titular, o

X. Sean necesarios para dar cumplimiento a obligacioneslegalmente adquiridas por el titular.

En todos los casos anteriores, deberá constar una resoluciónque confirme la causal de improcedencia invocada por elresponsable, la cual será informada al titular por el medioseñalado para recibir notificaciones y dentro de los veinte días

a los que se refiere el artículo 81 primer párrafo de la presenteLey, acompañando en su caso, las pruebas que resultenpertinentes.

Inexistencia de los datos personalesARTÍCULO 83. En caso de que el responsable estuviereobligado a contar con los datos personales sobre los cualesse ejercen los derechos ARCO por razones de competencia ydeclare su inexistencia en sus archivos, bases, registros,sistemas o expedientes, dicha declaración deberá constar enuna resolución del Comité de Transparencia que confirme talsituación.

Gratuidad del ejercicio de los derechos ARCOARTÍCULO 84. El ejercicio de los derechos ARCO deberá sergratuito. Sólo podrán realizarse cobros para recuperar loscostos de reproducción, certificación o envío, conforme a laLey de Ingresos del Estado de San Luis Potosí y demásdisposiciones jurídicas aplicables. En su determinación sedeberá considerar que los montos permitan o faciliten elejercicio de este derecho.

En ningún caso, el pago de derechos deberá exceder el costode reproducción, certificación o envío a que se refiere el párrafoanterior.

Cuando el titular proporcione el medio magnético, electrónicoo el mecanismo necesario para reproducir los datospersonales, los mismos deberán ser entregados sin costo aéste.

Los datos personales deberán ser entregados sin costocuando implique la entrega de no más de veinte hojassimples. La Unidad de Transparencia del responsable podráexceptuar el pago de reproducción y envío atendiendo a lascircunstancias socioeconómicas del titular.

El responsable no podrá establecer para la presentación delas solicitudes para el ejercicio de los derechos ARCO algúnservicio o medio que implique un costo al titular.

Trámites específicosARTÍCULO 85. Cuando las disposiciones aplicables adeterminados tratamientos de datos personales establezcanun trámite o procedimiento específico para solicitar el ejerciciode los derechos ARCO, el responsable deberá informar altitular sobre la existencia del mismo, en un plazo no mayor acinco días siguientes a la presentación de la solicitud para elejercicio de los derechos ARCO, a efecto de que este últimodecida si ejerce sus derechos a través del trámite específico,o bien, por medio del procedimiento que el responsable hayainstitucionalizado para la atención de solicitudes para elejercicio de los derechos ARCO, conforme a las disposicionesestablecidas en este Capítulo.

Negativa al ejercicio de los derechos ARCOARTÍCULO 86. Contra la negativa del responsable de dartrámite a una solicitud para el ejercicio de los derechos ARCO,o bien, la inconformidad del titular por la respuesta recibida ola falta del responsable, procederá la interposición del recursode revisión a que se refiere el artículo 127 de la presente Ley.


Capítulo IIIDe la portabilidad de los datos personales

ARTÍCULO 87. Cuando se traten datos personales por víaelectrónica en un formato estructurado y comúnmente utilizado,el titular tendrá derecho a obtener del responsable una copiade los datos personales objeto de tratamiento en un formatoelectrónico estructurado y comúnmente utilizado, el cual lepermita seguir utilizándolos, conforme a los plazos, términosy requerimientos a que se refiere el Capítulo anterior delpresente Título.

Cuando el titular haya facilitado los datos personales y eltratamiento se base en el consentimiento o en un contrato orelación jurídica, tendrá derecho a transferir dichos datospersonales y cualquier otra información que haya facilitado yque se conserve en un sistema de tratamiento automatizadoa otro sistema en un formato electrónico comúnmente utilizado,sin impedimentos por parte del responsable de quien seretiren los datos personales.

Para el ejercicio de este derecho, el responsable deberáconsiderar los lineamientos del Sistema Nacional relativos alos supuestos en los que se está en presencia de un formatoestructurado y comúnmente utilizado, así como las normastécnicas, modalidades y procedimientos para la transferenciade datos personales.

TÍTULO CUARTORelación del responsable y encargado

Capítulo ÚnicoEncargado

Obligación general del encargadoARTÍCULO 88. El encargado deberá realizar las actividadesde tratamiento de los datos personales sin ostentar poderalguno de decisión sobre el alcance y contenido del mismo,así como limitar sus actuaciones a los términos fijados por elresponsable.

Formalización de la relación jurídica entre responsable yencargadoARTÍCULO 89. La relación entre el responsable y el encargadodeberá estar formalizada mediante contrato o cualquier otroinstrumento jurídico que decida el responsable, deconformidad con la normativa que le resulte aplicable, y quepermita acreditar su existencia, alcance y contenido.

El responsable podrá libremente determinar las obligacionesque le correspondan y aquéllas que llevará a cabo elencargado, de conformidad con las disposiciones previstasen la presente Ley y demás normativa que resulte aplicable.

Cláusulas generales del contrato o instrumento jurídicoARTÍCULO 90. En el contrato o instrumento jurídico que decidael responsable se deberá prever, al menos, las siguientescláusulas generales relacionadas con los servicios que presteel encargado:

I. Realizar el tratamiento de los datos personales conforme alas instrucciones del responsable;

II. Abstenerse de tratar los datos personales para finalidadesdistintas a las instruidas por el responsable;

III. Implementar las medidas de seguridad conforme a losinstrumentos jurídicos aplicables;

IV. Informar al responsable cuando ocurra una vulneración alos datos personales que trata a nombre y por susinstrucciones;

V. Guardar confidencialidad respecto de los datos personalestratados;

VI. Devolver o suprimir los datos personales objeto detratamiento una vez cumplida la relación jurídica con elresponsable, siempre y cuando no exista una previsión legalque exija la conservación de los datos personales;

VII. Abstenerse de transferir los datos personales salvo en elcaso de que el responsable así lo determine, o la comunicaciónderive de una subcontratación, o por mandato expreso de laautoridad competente;

VIII. Permitir al responsable o la CEGAIP realizar inspeccionesy verificaciones en el lugar o establecimiento donde se lleva acabo el tratamiento de los datos personales, y

IX. Generar, actualizar y conservar la documentación necesariaque le permita acreditar el cumplimiento de sus obligaciones.

Los acuerdos entre el responsable y el encargadorelacionados con el tratamiento de datos personales nodeberán contravenir la presente Ley y demás disposicionesaplicables, así como lo establecido en el aviso de privacidadcorrespondiente.

Consecuencia del incumplimiento de las obligaciones delencargadoARTÍCULO 91. Cuando el encargado incumpla lasinstrucciones del responsable y decida por sí mismo sobre lanaturaleza, alcance, finalidades, medios u otras accionesrelacionadas con el tratamiento de los datos personales,asumirá el carácter de responsable conforme a la legislaciónque le resulte aplicable en esta materia.

Subcontratación de serviciosARTÍCULO 92. El encargado podrá, a su vez, subcontratarservicios que impliquen el tratamiento de datos personalespor cuenta del responsable, siempre y cuando medie laautorización expresa de este último. El subcontratado asumiráel carácter de encargado en los términos de la presente Ley ydemás disposiciones que resulten aplicables en esta materia.

Cuando el contrato o el instrumento jurídico mediante el cualse haya formalizado la relación entre el responsable y elencargado, prevea que este último pueda llevar a cabo a suvez las subcontrataciones de servicios, la autorización a laque refiere el párrafo anterior se entenderá como otorgada através de lo estipulado en éstos.


Formalización de la relación jurídica entre encargado ysubcontratadoARTÍCULO 93. Una vez obtenida la autorización expresa delresponsable, el encargado deberá formalizar la relaciónadquirida con el subcontratado a través de un contrato ocualquier otro instrumento jurídico que decida, de conformidadcon la normatividad que le resulte aplicable, y permita acreditarla existencia, alcance y contenido de la prestación del servicio,en términos de lo previsto en el presente Capítulo.

Contratación de servicios de cómputo en la nube y otrasmateriasARTÍCULO 94. El responsable podrá contratar o adherirse aservicios, aplicaciones e infraestructura en el cómputo en lanube y otras materias que impliquen el tratamiento de datospersonales, siempre y cuando el proveedor externo garanticepolíticas de protección de datos personales equivalentes alos principios y deberes establecidos en la presente Ley ydemás disposiciones que resulten aplicables en la materia.

En su caso, el responsable deberá delimitar el tratamiento delos datos personales por parte del proveedor externo a travésde cláusulas contractuales u otros instrumentos jurídicos.

Reglas generales de contratación de servicios de cómputoen la nube y otras materiasARTÍCULO 95. Para el tratamiento de datos personales enservicios, aplicaciones e infraestructura de cómputo en la nubey otras materias, en los que el responsable se adhiera a losmismos mediante condiciones o cláusulas generales decontratación, sólo podrá utilizar aquellos servicios en los queel proveedor:

I. Cumpla, al menos, con lo siguiente:

a) Tener y aplicar políticas de protección de datos personalesafines a los principios y deberes aplicables que establece lapresente Ley y demás normativa aplicable.b) Transparentar las subcontrataciones que involucren lainformación sobre la que se presta el servicio.c) Abstenerse de incluir condiciones en la prestación delservicio que le autoricen o permitan asumir la titularidad opropiedad de la información sobre la que presta el servicio.d) Guardar confidencialidad respecto de los datos personalessobre los que se preste el servicio, y

II. Cuente con mecanismos, al menos, para:

a) Dar a conocer cambios en sus políticas de privacidad ocondiciones del servicio que presta.b) Permitir al responsable limitar el tipo de tratamiento de losdatos personales sobre los que se presta el servicio.c) Establecer y mantener medidas de seguridad para laprotección de los datos personales sobre los que se preste elservicio.d) Garantizar la supresión de los datos personales una vezque haya concluido el servicio prestado al responsable y queeste último haya podido recuperarlos.e) Impedir el acceso a los datos personales a personas queno cuenten con privilegios de acceso, o bien, en caso de quesea a solicitud fundada y motivada de autoridad competente,informar de ese hecho al responsable.

En cualquier caso, el responsable no podrá adherirse aservicios que no garanticen la debida protección de los datospersonales, conforme a la presente Ley y demásdisposiciones que resulten aplicables en la materia.

Remisiones de datos personalesARTÍCULO 96. Las remisiones nacionales e internacionalesde datos personales que se realicen entre responsable yencargado no requerirán ser informadas al titular, ni contarcon su consentimiento.

TÍTULO QUINTOComunicaciones de datos personales

Capítulo ÚnicoDe las transferencias de datos personales

Reglas generales para la realización de transferenciasARTÍCULO 97. Toda transferencia de datos personales, seaésta nacional o internacional, se encuentra sujeta alconsentimiento expreso de su titular, salvo las excepcionesprevistas en el artículo siguiente de la presente Ley, y deberáser informada al titular en el aviso de privacidad, así comolimitarse a las finalidades que las justifiquen.

Excepciones para obtener el consentimiento del titular enmateria de transferencias de datos personalesARTÍCULO 98. El responsable podrá realizar transferenciasde datos personales sin necesidad de requerir elconsentimiento del titular en los siguientes supuestos:

I. Cuando la transferencia esté prevista en ley o tratadosinternacionales suscritos y ratificados por México;

II. Cuando la transferencia se realice entre responsables,siempre y cuando los datos personales se utilicen para elejercicio de facultades propias, compatibles o análogas conla finalidad que motivó el tratamiento de los datos personales;

III. Cuando la transferencia sea legalmente exigida para lainvestigación y persecución de los delitos, así como laprocuración o administración de justicia;

IV. Cuando la transferencia sea precisa para el reconocimiento,ejercicio o defensa de un derecho ante autoridad competente,siempre y cuando medie el requerimiento de esta última;

V. Cuando la transferencia sea necesaria para la prevencióno el diagnóstico médico, la prestación de asistencia sanitaria,el tratamiento médico o la gestión de servicios sanitarios,siempre y cuando dichos fines sean acreditados;

VI. Cuando la transferencia sea precisa para el mantenimientoo cumplimiento de una relación jurídica entre el responsabley el titular, o

VII. Cuando la transferencia sea necesaria por virtud de uncontrato celebrado o por celebrar en interés del titular, por elresponsable y un tercero.

La actualización de alguna de las excepciones previstas en elpresente artículo, no exime al responsable de cumplir con las


obligaciones previstas en el presente Capítulo que resultenaplicables.

Formalización de transferencias de datos personales ysus excepcionesARTÍCULO 99. Toda transferencia deberá formalizarsemediante la suscripción de cláusulas contractuales,convenios de colaboración o cualquier otro instrumentojurídico, de conformidad con la normatividad que le resulteaplicable al responsable, que permita demostrar el alcancedel tratamiento de los datos personales, así como lasobligaciones y responsabilidades asumidas por las partes.Lo dispuesto en el párrafo anterior no será aplicable en lossiguientes casos:

I. Cuando la transferencia sea nacional y se realice entreresponsables en virtud del cumplimiento de una disposiciónlegal o en el ejercicio de atribuciones expresamenteconferidas a éstos, o

II. Cuando la transferencia sea internacional y se encuentreprevista en una ley o tratado suscrito y ratificado por México,o bien, se realice a petición de una autoridad extranjera uorganismo internacional competente en su carácter dereceptor, s iempre y cuando las facul tades entre elresponsable transferente y receptor sean homólogas, o bien,las finalidades que motivan la transferencia sean análogaso compatibles respecto de aquéllas que dieron origen altratamiento de los datos personales que lleva a cabo elresponsable transferente.

Transferencias nacionales de datos personalesARTÍCULO 100. Cuando la transferencia sea nacional, elreceptor de los datos personales asumirá el carácter deresponsable conforme a la legislación que en esta materiale resulte aplicable y deberá tratar los datos personalesatendiendo a dicha legislación y a lo convenido en el avisode privacidad que le será comunicado por el responsabletransferente.

Transferencias internacionales de datos personalesARTÍCULO 101. El responsable sólo podrá transferir datospersonales fuera del territorio nacional cuando el terceroreceptor se obligue a proteger los datos personalesconforme a los principios, deberes y demás obligacionesque establece la presente Ley y las disposiciones queresulten aplicables en la materia, así como a los términosprevistos en el aviso de privacidad que le será comunicadopor el responsable transferente.

Solicitud de opinión sobre transferencias internacionalesde datos personalesARTÍCULO 102. El responsable, en caso de considerarlonecesario, podrá solicitar la opinión de la CEGAIP respectoal cumplimiento de lo dispuesto por la presente Ley enaquel las t ransferencias internac ionales de datospersonales que efectúe.

TÍTULO SEXTOAcciones preventivas en materia de protección de datos

personales

Capítulo IDe los esquemas de mejores prácticas

Objeto de los esquemas de mejores prácticasARTÍCULO 103. Para el cumplimiento de las obligacionesprevistas en la presente Ley, el responsable podrá desarrollaro adoptar, en lo individual o en acuerdo con otros responsables,encargados u organizaciones, esquemas de mejores prácticasque tengan por objeto:

I. Elevar el nivel de protección de los datos personales;

II. Armonizar el tratamiento de datos personales en materiasespecíficas;

III. Facilitar el ejercicio de los derechos ARCO a los titulares;

IV. Facilitar las transferencias de datos personales;

V. Complementar las disposiciones previstas en la presenteLey y demás normatividad que resulte aplicable en la materia,y

VI. Demostrar ante la CEGAIP el cumplimiento de la presenteLey y demás normatividad que resulte aplicable en la materia.

Validación o reconocimiento de los esquemas de mejoresprácticasARTÍCULO 104. Todo esquema de mejores prácticas quebusque la validación o reconocimiento por parte de la CEGAIPdeberá:

I. Cumplir con los parámetros que para tal efecto emita laCEGAIP conforme a los criterios que fije el INAI, y

II. Ser notificado ante la CEGAIP de conformidad con elprocedimiento establecido en los parámetros señalados enla fracción anterior, a fin de que sean evaluados y, en su caso,validados o reconocidos e inscritos en el registro al que refiereel siguiente párrafo del presente artículo.

La CEGAIP podrá inscribir los esquemas de mejores prácticasque haya reconocido o validado en el registro administradopor el INAI, de acuerdo con las reglas que fije este último.

Capítulo IIDe las evaluaciones de impacto a la protección de datos

personales

Presentación de evaluaciones de impacto a la protecciónde datos personalesARTÍCULO 105. Cuando el responsable pretenda poner enoperación o modificar políticas públicas, programas, servicios,sistemas o plataformas informáticas, aplicacioneselectrónicas o cualquier otra tecnología que implique eltratamiento intensivo o relevante de datos personales, deberápresentar ante la CEGAIP una evaluación de impacto a la


protección de datos personales cuyo contenido estarádeterminado por las disposiciones que para tal efecto emitael Sistema Nacional.

Tratamiento intensivo o relevanteARTÍCULO 106. Para efectos de la presente Ley, se consideraráque se está en presencia de un tratamiento intensivo orelevante de datos personales, el cual amerita una evaluaciónde impacto a la protección de datos personales, en función delos siguientes factores:

I. El número de titulares;

II. El público objetivo;

III. Los riesgos inherentes a los datos personales a tratar;

IV. La sensibilidad de los datos personales;

V. Las transferencias de datos personales que se pretendenefectuar y su periodicidad, en su caso;

VI. El desarrollo de la tecnología utilizada, en su caso;

VII. La relevancia del tratamiento de datos personales enatención al impacto social o, económicodel mismo, o bien, del interés público que se persigue, y

VIII. Los demás factores que la CEGAIP determine.

Plazo para la presentación de la evaluación de impacto a laprotección de datos personalesARTÍCULO 107. El responsable deberá presentar la evaluaciónde impacto a la protección de datos personales a que se refiereel presente Capítulo ante la CEGAIP, treinta días anteriores ala fecha en que se pretenda implementar o modificar la políticapública, el programa, servicio, sistema de información otecnología, a efecto de que la CEGAIP emita el dictamencorrespondiente.

Plazo para la emisión del dictamen no vinculanteARTÍCULO 108. La CEGAIP deberá emitir un dictamen sobrela evaluación de impacto a la protección de datos personalesdel programa, servicio, sistema de información o tecnologíapresentado por el responsable en un plazo de treinta díascontados a partir del día siguiente a la presentación de laevaluación, el cual deberá sugerir recomendaciones novinculantes que permitan mitigar y reducir la generación delos impactos y riesgos que se detecten en materia deprotección de datos personales.

Evaluaciones de impacto a la protección de datos personalesen situaciones de emergenciaARTÍCULO 109. Cuando a juicio del responsable se puedancomprometer los efectos que se pretenden lograr con laposible puesta en operación o modificación de políticaspúblicas, sistemas o plataformas informáticas, aplicacioneselectrónicas o cualquier otra tecnología que implique eltratamiento intensivo o relevante de datos personales o setrate de situaciones de emergencia o urgencia, no seránecesario realizar la evaluación de impacto en la protecciónde datos personales.

Evaluaciones de impacto a la protección de datos personalesde oficioARTÍCULO 110. La CEGAIP podrá llevar a cabo evaluacionesde impacto a la privacidad de oficio respecto de aquellosprogramas, polít icas públicas, servicios, sistemas oplataformas informáticas, aplicaciones electrónicas ocualquier otra tecnología que impliquen el tratamientointensivo o relevante de datos personales, conforme a loslineamientos que para tal efecto emita.

Capítulo IIIDel oficial de protección de datos personales

DesignaciónARTÍCULO 111. Para aquellos responsables que en el ejerciciode sus funciones sustantivas lleven a cabo tratamientos dedatos personales relevantes o intensivos, podrán designar aun oficial de protección de datos personales, el cual formaráparte de la Unidad de Transparencia.

La persona designada como oficial de protección de datosdeberá contar con la jerarquía o posición dentro de laorganización del responsable, así como con recursossuficientes que le permita implementar políticas transversalesen esta materia.

El oficial de protección de datos personales será designadoatendiendo a sus conocimientos, cualidades profesionales,experiencia mínima de cinco años en la materia, y, en su caso,a la o las certificaciones con que cuente en materia deprotección de datos personales.

Funciones del oficial de protección de datos personalesARTÍCULO 112. El oficial de protección de datos personalestendrá las siguientes atribuciones:

I. Asesorar al Comité de Transparencia respecto a los temasque sean sometidos a su consideración en materia deprotección de datos personales;

II. Proponer al Comité de Transparencia políticas, programas,acciones y demás actividades que correspondan para elcumplimiento de la presente Ley y demás disposiciones queresulten aplicables en la materia;

III. Implementar políticas, programas, acciones y demásactividades que correspondan para el cumplimiento de lapresente Ley y demás disposiciones que resulten aplicablesen la materia, previa autorización del Comité de Transparencia;

IV. Asesorar permanentemente a las áreas adscritas alresponsable en materia de protección de datos personales, y

V. Las demás que determine la normatividad aplicable.

Designación optativa del oficial de protección de datospersonalesARTÍCULO 113. Los responsables que en el ejercicio de susfunciones sustantivas no efectúen tratamientos de datospersonales relevantes o intensivos, podrán designar a unoficial de protección de datos personales, de conformidad conlo previsto en el presente Capítulo.


TÍTULO SÉPTIMOInstancias de seguridad,

procuración y administración de justicia

Capítulo ÚnicoDe los tratamientos de datos personales

por instancias de seguridad, procuración y administraciónde justicia del Estado de San Luis Potosí

Tratamiento de datos personales por instancias deseguridad, procuración y administración de justicia delEstado de San Luis PotosíARTÍCULO 114. Los tratamientos de datos personalesefectuados por responsables con atribuciones expresas enmateria de seguridad, procuración y administración de justicia,además de cumplir con las obligaciones previstas en lapresente Ley, deberán acotarse a aquellos supuestos ycategorías de datos personales que resulten estrictamentenecesarios y relevantes para el ejercicio de sus funciones endichas materias, así como establecer medidas de seguridadsuficientes y necesarias para garantizar la integridad,disponibilidad y confidencialidad de los datos personales.

TÍTULO OCTAVOComité de Transparencia y Unidad de Transparencia

Capítulo IDel Comité de Transparencia

Integración del Comité de TransparenciaARTÍCULO 115. Cada responsable contará con un Comité deTransparencia, el cual se integrará y funcionará conforme a lodispuesto en la Ley de Transparencia y demás normatividadque resulte aplicable.

El Comité de Transparencia será la autoridad máxima enmateria de protección de datos personales, en la organizacióndel responsable.

Atribuciones del Comité de TransparenciaARTÍCULO 116. Para los efectos de la presente Ley y sinperjuicio de otras atribuciones que le sean conferidas en laLey de Transparencia y demás normatividad que resulteaplicable, el Comité de Transparencia tendrá las siguientesfunciones:

I. Aprobar, supervisar y evaluar las políticas, programas,acciones y demás actividades que correspondan para elcumplimiento de la presente Ley y demás disposiciones queresulten aplicables en la materia;

II. Coordinar, realizar y supervisar las acciones necesariaspara garantizar el derecho a la protección de los datospersonales en la organización del responsable, deconformidad con las disposiciones previstas en la presenteLey y en aquellas disposiciones que resulten aplicables en lamateria, en coordinación con el oficial de protección de datospersonales, en su caso;

III. Instituir, en su caso, procedimientos internos para asegurarla mayor eficiencia en la gestión de las solicitudes para elejercicio de los derechos ARCO;

IV. Confirmar, modificar o revocar las determinaciones en lasque se declare la inexistencia de los datos personales, o sedeclare improcedente, por cualquier causa, el ejercicio dealguno de los derechos ARCO;

V. Establecer y supervisar la aplicación de criterios específicosque resulten necesarios para una mejor observancia de lapresente Ley y demás ordenamientos que resulten aplicablesen la materia;

VI. Supervisar, en coordinación con las áreas o unidadesadministrativas competentes, el cumplimiento de las medidas,controles y acciones previstas en el documento de seguridad;

VII. Coordinar el seguimiento y cumplimiento de lasresoluciones emitidas por la CEGAIP;

VIII. Establecer programas de capacitación y actualización paralos servidores públicos en materia de protección de datospersonales, y

IX. Dar vista al órgano interno de control o instancia equivalenteen aquellos casos en que tenga conocimiento, en el ejerciciode sus atribuciones, de una presunta irregularidad respectode determinado tratamiento de datos personales.

Capítulo IIDe la Unidad de Transparencia

Unidad de TransparenciaARTÍCULO 117. Cada responsable contará con una Unidadde Transparencia encargada de atender las solicitudes parael ejercicio de los derechos ARCO, la cual se integrará yfuncionará conforme a lo dispuesto en la Ley de Transparenciay demás normatividad que resulte aplicable.

Designación del titular de la Unidad de TransparenciaARTÍCULO 118. En la designación del titular de la Unidad deTransparencia, el responsable estará a lo dispuesto en Leyde Transparencia y demás normativa aplicable.

Sin perjuicio de lo anterior, en la designación del titular de laUnidad de Transparencia el responsable deberá considerarla experiencia y especialización comprobable en materia deprotección de datos personales.

Atribuciones de la Unidad de TransparenciaARTÍCULO 119. Para los efectos de la presente Ley y sinperjuicio de otras atribuciones que le sean conferidas en laLey de Transparencia y demás normatividad que resulteaplicable, la Unidad de Transparencia tendrá las siguientesfunciones:

I. Auxiliar y orientar al titular que lo requiera con relación alejercicio del derecho a la protección de datos personales;

II. Gestionar las solicitudes para el ejercicio de los derechosARCO;

III. Establecer mecanismos para asegurar que los datospersonales sólo se entreguen a su titular o su representantedebidamente acreditados;


IV. Informar al titular o su representante el monto de los costosa cubrir por la reproducción y envío de los datos personales,con base en lo establecido en las disposiciones normativasaplicables;

V. Proponer al Comité de Transparencia los procedimientosinternos que aseguren y fortalezcan mayor eficiencia en lagestión de las solicitudes para el ejercicio de los derechosARCO;

VI. Aplicar instrumentos de evaluación de calidad sobre lagestión de las solicitudes para el ejercicio de los derechosARCO;

VII. Asesorar a las áreas adscritas al responsable en materiade protección de datos personales, y

VIII. Dar atención y seguimiento a los acuerdos emitidos porel Comité de Transparencia.

Negativa de colaboración con la Unidad de TransparenciaARTÍCULO 120. Cuando alguna unidad administrativa delresponsable se negara a colaborar con la Unidad deTransparencia en la atención de las solicitudes para elejercicio de los derechos ARCO, ésta dará aviso al Comité deTransparencia para que le ordene realizar sin demora lasacciones conducentes.

Cuando persista la negativa de colaboración, la Unidad deTransparencia lo hará del conocimiento de la autoridadcompetente para que ésta inicie, en su caso, el procedimientode responsabilidad respectivo.

Medidas especiales para grupos vulnerablesARTÍCULO 121. El responsable procurará que las personascon algún tipo de discapacidad o grupos vulnerables, puedanejercer, en igualdad de circunstancias, su derecho a laprotección de datos personales, para lo cual deberá promoveracuerdos con instituciones públicas especializadas quepudieran auxiliarle en la recepción, trámite y entrega de lasrespuestas a solicitudes para el ejercicio de los derechosARCO en lengua indígena, braille o cualquier formato accesiblecorrespondiente, en forma más eficiente.

TÍTULO NOVENODe la CEGAIP

Capítulo IDe las atribuciones de la CEGAIP

Integración de la CEGAIPARTÍCULO 122. En la integración, procedimiento dedesignación de comisionados y funcionamiento de la CEGAIPse estará a lo dispuesto en la Ley de Transparencia.

Atribuciones de la CEGAIPARTÍCULO 123. Para los efectos de la presente Ley y sinperjuicio de otras atribuciones que les sean conferidas en laLey de Transparencia y demás disposiciones que resultenaplicables, la CEGAIP tendrá las siguientes atribuciones:

I. Garantizar el ejercicio del derecho a la protección de datospersonales en posesión de los responsables a que se refierela presente Ley;

II. Interpretar la presente Ley y demás disposiciones quederiven de ésta, en el ámbito administrativo;

III. Emitir disposiciones administrativas de carácter generalpara la debida aplicación y cumplimiento de las obligacionesprevistas en la presente Ley;

IV. Conocer, sustanciar y resolver, en el ámbito de su respectivacompetencia, de los recursos de revisión interpuestos por lostitulares, en términos de lo dispuesto en la presente Ley ydemás disposiciones que resulten aplicables en la materia;

V. Conocer, sustanciar y resolver los procedimientos deverificación;

VI. Presentar petición fundada al INAI, para que conozca delos recursos de revisión que por su interés y trascendenciaasí lo ameriten, en términos de lo previsto en la Ley General ydemás disposiciones que resulten aplicables en la materia;

VII. Imponer las medidas de apremio para asegurar elcumplimiento de sus determinaciones y resoluciones;

VIII. Promover y difundir el ejercicio del derecho a la protecciónde datos personales;

IX. Orientar y asesorar a los titulares en materia de protecciónde datos personales;

X. Diseñar y aprobar los formatos de solicitudes para elejercicio de los derechos ARCO;

XI. Coordinarse con las autoridades competentes para quelas solicitudes para el ejercicio de los derechos ARCO y losrecursos de revisión que se presenten en lenguas indígenas,sean atendidos en la misma lengua;

XII. Garantizar, en el ámbito de su respectiva competencia,condiciones de accesibilidad para que los titulares quepertenecen a grupos vulnerables puedan ejercer, en igualdadde circunstancias, su derecho a la protección de datospersonales;

XIII. Proporcionar apoyo técnico a los responsables para elcumplimiento de las obligaciones establecidas en la presenteLey;

XIV. Elaborar y publicar estudios e investigaciones para difundiry ampliar el conocimiento sobre la materia de la presente Ley;

XV. Elaborar herramientas y mecanismos que faciliten elcumplimiento de las disposiciones de esta Ley;

XVI. Capacitar a los responsables en materia de protecciónde datos personales, en el ámbito material y territorial decompetencia que le corresponde;

XVII. Hacer del conocimiento de las autoridades competentes,la probable responsabilidad derivada del incumplimiento de


las obligaciones previstas en la presente Ley y en las demásdisposiciones que resulten aplicables;

XVIII. Proporcionar al INAI los elementos que requiera pararesolver los recursos de inconformidad que le seanpresentados, en términos de lo previsto en el Título Noveno,Capítulo III de la Ley General y demás disposiciones queresulten aplicables en la materia;

XIX. Suscribir convenios de colaboración con el INAI para elcumplimiento de los objetivos previstos en la Ley General ydemás disposiciones aplicables;

XX. Vigilar y verificar el cumplimiento de la presente Ley ydemás disposiciones que resulten aplicables en la materia;

XXI. Llevar a cabo acciones y actividades que promuevan elconocimiento del derecho a la protección de datos personales,así como de sus prerrogativas;

XXII. Aplicar indicadores y criterios para evaluar el desempeñode los responsables respecto del cumplimiento de la presenteLey y demás disposiciones que resulten aplicables;

XXIII. Promover la capacitación y actualización en materia deprotección de datos personales entre los responsables;

XXIV. Solicitar la cooperación del INAI en los términos delartículo 89, fracción XXX de la Ley General;

XXV. Administrar, en el ámbito de su respectiva competencia,la Plataforma Nacional en lo relacionado al derecho a laprotección de datos personales;

XXVI. Interponer acciones de inconstitucionalidad en contrade leyes expedidas por el Congreso del Estado de San LuisPotosí que vulneren el derecho a la protección de datospersonales,

XXVII. Divulgar y emitir recomendaciones, estándares ymejores prácticas en las materias reguladas por la presenteLey, y

XXVIII. Emitir el dictamen con recomendaciones no vinculantesa las evaluaciones de impacto a la protección de datospersonales que le sean presentadas.

Emisión de normatividad secundariaARTÍCULO 124. La presente Ley constituirá el marco normativoque los responsables, en el ámbito de sus respectivascompetencias, deberán observar para la emisión de laregulación sectorial que, en su caso, corresponda con lacoadyuvancia de la CEGAIP, y en la que se involucre eltratamiento de datos personales.

Capítulo IIDe la coordinación y promoción del derecho a la

protección de datos personales

Colaboración entre la CEGAIP y los responsablesARTÍCULO 125. Los responsables deberán colaborar con laCEGAIP para capacitar y actualizar de forma permanente a

todos sus servidores públicos en materia de protección dedatos personales, a través de la impartición de cursos yseminarios, organización de foros, talleres, coloquios ycualquier otra forma de enseñanza y capacitación que seconsidere pertinente.

Promoción del derecho a la protección de datos personalescon instituciones educativas y organizaciones de la sociedadcivilARTÍCULO 126. La CEGAIP, en el ámbito de su respectivacompetencia, deberá:

I. Promover que en los programas y planes de estudio, librosy materiales que se utilicen en las instituciones educativas detodos los niveles y modalidades del Estado de San Luis Potosí,se incluyan contenidos sobre el derecho a la protección dedatos personales, así como una cultura sobre el ejercicio yrespeto de éste;

II. Impulsar en conjunto con instituciones de educaciónsuperior, la integración de centros de investigación, difusión ydocencia sobre el derecho a la protección de datos personalesque promuevan el conocimiento sobre este tema y coadyuvencon la CEGAIP en sus tareas sustantivas, y

III. Fomentar la creación de espacios de participación social yciudadana que estimulen el intercambio de ideas entre lasociedad, los órganos de representación ciudadana y losresponsables.

TÍTULO DÉCIMOMedios de impugnación

en materia de protección de datos personales

Capítulo IDel recurso de revisión

Recurso de revisión y plazo para su interposiciónARTÍCULO 127. El titular, por sí mismo o a través de surepresentante, podrá interponer un recurso de revisión ante laCEGAIP o la Unidad de Transparencia del responsable quehaya conocido de la solicitud para el ejercicio de los derechosARCO o de portabilidad de los datos personales, dentro de unplazo que no podrá exceder de quince días contados a partirdel día siguiente a la fecha de notificación de la respuesta.

Transcurrido el plazo previsto para dar respuesta a unasolicitud para el ejercicio de los derechos ARCO sin que sehaya emitido ésta, el titular o, en su caso, su representantepodrá interponer el recurso de revisión dentro de los quincedías siguientes al que haya vencido el plazo para dar respuesta.

En el caso de que el recurso de revisión se interponga ante laUnidad de Transparencia del responsable que haya conocidode la solicitud para el ejercicio de los derechos ARCO, éstadeberá remitir dicho recurso a la CEGAIP a más tardar al díasiguiente de haberlo recibido.

Recurso de revisión de personas vinculadas a fallecidosARTÍCULO 128. La interposición de un recurso de revisión dedatos personales concernientes a personas fallecidas, podrá


realizarla la persona que acredite tener un interés legítimo ojurídico conforme a la normativa aplicable.

Causales de procedencia del recurso de revisiónARTÍCULO 129. El recurso de revisión procederá en lossiguientes supuestos:

I. Se clasifiquen los datos personales sin que se cumplan lasformalidades señaladas en la Ley de Transparencia y demásnormatividad que resulte aplicable;

II. Se declare la inexistencia de los datos personales;

III. Se declare la incompetencia del responsable;

IV. Se entreguen datos personales incompletos;

V. Se entreguen datos personales que no correspondan conlo solicitado;

VI. Se niegue el acceso, rectificación, cancelación u oposiciónde datos personales, o bien, la portabilidad de los datospersonales;

VII. No se dé respuesta a una solicitud para el ejercicio de losderechos ARCO o de portabilidad de los datos personales,dentro de los plazos establecidos en la presente Ley y demásdisposiciones que resulten aplicables en la materia;

VIII. Se entregue o ponga a disposición datos personales enuna modalidad o formato distinto al solicitado, o en un formatoincomprensible;

IX. El titular se inconforme con los costos de reproducción,envío o certificación, o bien, tiempos de entrega de los datospersonales;

X. Se obstaculice el ejercicio de los derechos ARCO o deportabilidad de los datos personales, a pesar de que fuenotificada la procedencia de los mismos;

XI. No se dé trámite a una solicitud para el ejercicio de losderechos ARCO o de portabilidad de los datos personales;

XII. Ante la falta de respuesta del responsable, o

XIII. En los demás casos que dispongan las leyes.

Acreditación de la identidad del titular y su representanteARTÍCULO 130. El titular o su representante podrán acreditarsu identidad a través de cualquiera de los siguientes medios:

I. Identificación oficial;

II. Firma electrónica avanzada o del instrumento electrónicoque lo sustituya, o

III. Mecanismos de autenticación autorizados por la CEGAIP,publicados mediante acuerdo general en el Periódico Oficialde Gobierno del Estado “Plan de San Luis”.

La utilización de la firma electrónica avanzada o del instrumentoelectrónico que lo sustituya eximirá de la presentación de lacopia del documento de identificación.

ARTÍCULO 131. La CEGAIP deberá acreditar la identidad deltitular al momento de interponer el recurso de revisión.

ARTÍCULO 132. La acreditación de la identidad del titular sellevará a cabo por parte del responsable, una vez que se lehaya notificado la resolución, previo a hacer efectivo el derechoconforme a lo ordenado por LA CEGAIP.

Lo anterior, no resultará aplicable cuando el titular acredite suidentidad a través de la firma electrónica avanzada o elinstrumento electrónico que lo sustituya o los mecanismosde autenticación autorizados por la CEGAIP y publicadosmediante acuerdo general en el Periódico Oficial del Gobiernodel Estado “Plan de San Luis”

Acreditación de la personalidad del representanteARTÍCULO 133. Cuando el t itular actúe mediante unrepresentante, éste deberá acreditar su personalidad en lossiguientes términos:

I. Si se trata de una persona física, a través de carta podersimple suscrita ante dos testigos anexando copia de lasidentificaciones de los suscriptores, o instrumento público, odeclaración en comparecencia personal del titular y delrepresentante ante la CEGAIP, o resolución judicial, o

II. Si se trata de una persona moral, mediante instrumentopúblico.

Medios de presentación del recurso de revisiónARTÍCULO 134. El titular o su representante podrán interponerel recurso de revisión a través de los siguientes medios:

I. Por escrito libre en el domicilio de la CEGAIP o en las oficinashabilitadas que al efecto establezca;

II. Por correo certificado con acuse de recibo;

III. Por formatos que para tal efecto emita la CEGAIP;

IV. Por los medios electrónicos que para tal fin se autoricen, o

V. Cualquier otro medio que al efecto establezca la CEGAIP.

Se presumirá que el titular acepta que las notificaciones lesean efectuadas por el mismo conducto que presentó suescrito, salvo que acredite haber señalado uno distinto pararecibir notificaciones.

Requisitos de la solicitud del recurso de revisiónARTÍCULO 135. El recurso de revisión contendrá lo siguiente:

I. La denominación del responsable ante quien se presentó lasolicitud para el ejercicio de los derechos ARCO o deportabilidad de los datos personales;

II. El nombre completo del titular que recurre o de surepresentante y, en su caso, del tercero interesado, así comoel domicilio o medio que señale para oír y recibir notificaciones;


III. La fecha en que fue notificada la respuesta al titular, o bien,en caso de falta de respuesta la fecha de la presentación dela solicitud para el ejercicio de los derechos ARCO o deportabilidad de los datos personales, y

IV. El acto que se recurre y los puntos petitorios, así como lasrazones o motivos de inconformidad.

En ningún caso será necesario que el titular ratifique el recursode revisión interpuesto.

Documentos que deberán acompañarse al recurso derevisiónARTÍCULO 136. El titular deberá acompañar a su escrito lossiguientes documentos:

I. Los documentos que acrediten su identidad y la de surepresentante, en su caso;

II. El documento que acredite la personalidad de surepresentante, en su caso;

III. La copia de la solicitud a través de la cual ejerció susderechos ARCO o de portabilidad de los datos personales yque fue presentada ante el responsable y los documentosanexos a la misma, con su correspondiente acuse derecepción;

IV. La copia de la respuesta del responsable que se impugnay de la notificación correspondiente, en su caso, y

V. Las pruebas y demás elementos que considere el titularsometer a juicio de la CEGAIP.

Suplencia de la queja del titularARTÍCULO 137. Durante el procedimiento a que se refiere elpresente Capítulo, la CEGAIP deberá aplicar la suplencia dela queja a favor del titular, siempre y cuando no altere elcontenido original del recurso de revisión ni modifique loshechos o peticiones expuestas en el mismo, así comogarantizar que las partes puedan presentar los argumentos yconstancias que funden y motiven sus pretensiones.

Requerimiento de información adicional al titularARTÍCULO 138. Si en el escrito del recurso de revisión el titularno cumple con alguno de los requisitos previstos en el artículo135 de la presente Ley y la CEGAIP no cuenta con elementospara subsanarlos, éste deberá requerir al titular, por una solaocasión, la información que subsane las omisiones en unplazo que no podrá exceder de cinco días, contados a partirdel día siguiente de la presentación del escrito.

El titular contará con un plazo que no podrá exceder de cincodías, contados a partir del día siguiente al de la notificacióndel requerimiento de información, para subsanar lasomisiones, con el apercibimiento de que en caso de no cumplircon éste, se desechará el recurso de revisión.

El requerimiento tendrá el efecto de interrumpir el plazo quetienen la CEGAIP para resolver el recurso, por lo quecomenzará a computarse a partir del día siguiente a sudesahogo.

Admisión del recurso de revisiónARTÍCULO 139. Una vez recibido el recurso de revisión, laCEGAIP deberá acordar la admisión o desechamiento delmismo, en un plazo que no excederá de cinco días siguientesa la fecha en que se haya recibido.

ConciliaciónARTÍCULO 140. Admitido el recurso de revisión, la CEGAIPdeberá promover la conciliación, en la cual se procurará queel titular y el responsable voluntariamente lleguen a un acuerdopara dirimir sus diferencias, de conformidad con el siguienteprocedimiento:

I. La CEGAIP deberá requerir a las partes que manifiesten,por cualquier medio, su voluntad de conciliar, en un plazo nomayor a siete días contados a partir de la notificación de dichoacuerdo, mismo que contendrá un resumen del recurso derevisión y de la respuesta del responsable si la hubiere,señalando los elementos comunes y los puntos decontroversia.

La conciliación podrá celebrarse presencialmente, por mediosremotos o locales de comunicación electrónica o por cualquierotro medio que determine la CEGAIP. En cualquier caso, laconciliación habrá de hacerse constar por el medio que permitaacreditar su existencia;

II. Aceptada la posibilidad de conciliar por ambas partes, laCEGAIP deberá señalar el lugar o medio, día y hora para lacelebración de una audiencia de conciliación, la cual deberárealizarse dentro de los diez días siguientes en que la CEGAIPhaya recibido la manifestación de la voluntad de conciliar deambas partes, en la que se procurará avenir los interesesentre el titular y el responsable.

El conciliador podrá, en todo momento en la etapa deconciliación, requerir a las partes que presenten en un plazomáximo de cinco días, los elementos de convicción que estimenecesarios para la conciliación.

El conciliador podrá suspender cuando lo estime pertinente oa instancia de ambas partes la audiencia por una ocasión. Encaso de que se suspenda la audiencia, el conciliador deberáseñalar día y hora para su reanudación dentro de los cincodías siguientes.

De toda audiencia de conciliación se deberá levantar el actarespectiva, en la que conste el resultado de la misma. Encaso de que el responsable o el titular o sus respectivosrepresentantes no firmen el acta, ello no afectará su validez,debiéndose hacer constar dicha negativa;

III. Si alguna de las partes no acude a la audiencia deconciliación y justifica su ausencia en un plazo de tres días,será convocado a una segunda audiencia de conciliación enel plazo de cinco días. En caso de que no acuda a esta última,se continuará con el recurso de revisión. Cuando alguna delas partes no acuda a la audiencia de conciliación sinjustificación alguna, se continuará con el procedimiento;

IV. De no existir acuerdo en la audiencia de conciliación, sedeberá continuar con el recurso de revisión;


V. De llegar a un acuerdo, éste se hará constar por escrito ytendrá efectos vinculantes. La CEGAIP deberá supervisar elcumplimiento del acuerdo respectivo, y

VI. El cumplimiento del acuerdo dará por concluido lasustanciación del recurso de revisión, y éste quedará sinmateria. En caso contrario, la CEGAIP reanudará elprocedimiento.

El procedimiento de conciliación a que se refiere el presenteartículo, no resultará aplicable cuando el titular sea menor deedad y se haya vulnerado alguno de los derechoscontemplados en la Ley de los Derechos de Niñas, Niños yAdolescentes del Estado de San Luis Potosí, vinculados conla presente Ley, salvo que cuente con representación legaldebidamente acreditada.

Sustanciación del recurso de revisiónARTÍCULO 141. La CEGAIP resolverá el recurso de revisiónconforme a lo siguiente:

I. Interpuesto el recurso de revisión, el Presidente del Pleno loturnará en un plazo no mayor de tres días al Comisionadoponente que corresponda, quien deberá proceder a su análisispara que decrete su admisión o su desechamiento, dentro deun plazo de cinco días contados a partir del día siguiente a supresentación;

II. Admitido el recurso de revisión, el Comisionado ponentedeberá integrar un expediente y ponerlo a disposición de laspartes, para que, en un plazo máximo de siete días,manifiesten lo que a su derecho convenga y ofrezcan laspruebas que consideren pertinentes en términos de lodispuesto en la presente Ley;

III. Notificado el acuerdo de admisión a las partes, éstas podránmanifestar su voluntad de conciliar de acuerdo con lo previstoen el artículo 140 de la presente Ley;

IV. En caso de existir tercero interesado, se deberá proceder anotificarlo para que en el plazo mencionado en la fracción IIacredite su carácter, alegue lo que a su derecho convenga yaporte las pruebas que estime pertinentes;

V. El Comisionado ponente podrá determinar la celebraciónde audiencias con las partes durante la sustanciación delrecurso de revisión, a efecto de allegarse de mayoreselementos de convicción que le permitan valorar los puntoscontrovertidos objeto del recurso de revisión;VI. Desahogadas las pruebas y sin más actuaciones ydocumentos que valorar, el Comisionado ponente deberáponer a disposición de las partes las actuaciones realizadascon el objeto de que formulen sus últimas manifestaciones,dentro de los tres días siguientes contados a partir del díasiguiente de la audiencia de desahogo de pruebas que, en sucaso, se efectúe atendiendo a la propia naturaleza de laspruebas que requieran ser desahogas en audiencia;

VII. Concluido el plazo señalado en la fracción anterior delpresente artículo, el Comisionado ponente deberá proceder adecretar el cierre de instrucción;

VIII. La CEGAIP no estará obligado a atender la informaciónremitida por el responsable una vez decretado el cierre deinstrucción, y

IX. Decretado el cierre de instrucción, el expediente deberápasar a resolución en un plazo que no podrá exceder de veintedías.

NotificacionesARTÍCULO 142. En la sustanciación del recurso de revisión,las notificaciones que emita la CEGAIP surtirán efectos elmismo día en que se practiquen. Las notificaciones podránefectuarse:

I. Personalmente en los siguientes casos:

a) Se trate de la primera notificación.b) Se trate del requerimiento de un acto a la parte que debacumplirlo.c) Se trate de la solicitud de informes o documentos.d) Se trate de la resolución que ponga fin al procedimiento deque se trate.e) En los demás casos que disponga la ley;

II. Por correo certificado con acuse de recibo o medios digitaleso sistemas autorizados por la CEGAIP y publicados medianteacuerdo general en el Periódico Oficial de Gobierno del Estado“Plan de San Luis”, cuando se trate de requerimientos,emplazamientos, solicitudes de informes o documentos yresoluciones que puedan ser impugnadas;

III. Por correo postal ordinario o por correo electrónico ordinariocuando se trate de actos distintos de los señalados en lasfracciones anteriores, o

IV. Por estrados, cuando la persona a quien deba notificarseno sea localizable en su domicilio, se ignore éste o el de surepresentante.

Cómputo de plazosARTÍCULO 143. El cómputo de los plazos señalados en elpresente Capítulo, comenzará a correr a partir del día siguientea aquél en que haya surtido efectos la notif icacióncorrespondiente.

Concluidos los plazos fijados a las partes, se tendrá porperdido el derecho que dentro de ellos debió ejercitarse, sinnecesidad de acuse de rebeldía por parte de la CEGAIP.

Atención de requerimientos de la CEGAIPARTÍCULO 144. El titular, el responsable o cualquier autoridaddeberán atender los requerimientos de información en losplazos y términos que la CEGAIP establezca.

Consecuencias de la falta de atención de los requerimientosde la CEGAIPARTÍCULO 145. Cuando el titular, el responsable, o cualquierautoridad se nieguen a atender o cumplimentar losrequerimientos, solicitudes de información y documentación,emplazamientos, citaciones o diligencias notificadas por laCEGAIP, o facilitar la práctica de las diligencias que hayan


sido ordenadas, o entorpezca las actuaciones de la CEGAIP,tendrán por perdido su derecho para hacerlo valer en algúnotro momento dentro del procedimiento y la CEGAIP tendrápor ciertos los hechos materia del procedimiento y resolverácon los elementos que disponga.

PruebasARTÍCULO 146. En la sustanciación del recurso de revisión,las partes podrán ofrecer las siguientes pruebas:

I. La documental pública;

II. La documental privada;

III. La inspección;

IV. La pericial;

V. La testimonial;

VI. La confesional, excepto tratándose de autoridades;

VII. Las imágenes fotográficas, páginas electrónicas, escritosy demás elementos aportados por laciencia y tecnología, y

VIII. La presuncional legal y humana.

La CEGAIP podrá allegarse de los medios de prueba queconsidere necesarios, sin más limitación que las establecidasen ley.

Se podrán recibir pruebas supervinientes por las partes,siempre y cuando no se haya decretado el cierre de instrucción.

Plazo para la resolución del recurso de revisiónARTÍCULO 147. La CEGAIP deberá resolver el recurso derevisión en un plazo que no podrá exceder de cuarenta días,contados a partir del día siguiente de la presentación delrecurso de revisión, el cual podrá ampliarse por una sola vezhasta por veinte días.

En caso de que la CEGAIP amplíe el plazo para emitir laresolución correspondiente, deberá emitir un acuerdo dondefunde y motive las circunstancias de la ampliación.

El plazo a que se refiere el presente artículo sólo podrá sersuspendido cuando se prevenga al titular conforme a lodispuesto en la presente Ley, o bien, durante el periodo decumplimiento del acuerdo de conciliación, cuando resulteaplicable.

Resolución del recurso de revisiónARTÍCULO 148. Las resoluciones de la CEGAIP podrán:

I . Sobreseer o desechar el recurso de revisión porimprocedente;

II. Confirmar la respuesta del responsable;

III. Revocar o modificar la respuesta del responsable, o

IV. Ordenar la entrega de los datos personales, en caso deomisión del responsable.

Las resoluciones establecerán, en su caso, los plazos ytérminos para su cumplimiento y los procedimientos paraasegurar su ejecución.

Causales de sobreseimiento del recurso de revisiónARTÍCULO 149. El recurso de revisión sólo podrá sersobreseído cuando:

I. El recurrente se desista expresamente;

II. El recurrente fallezca;

III. Admitido el recurso de revisión, se actualice alguna causalde improcedencia en los términos de la presente Ley;

IV. El responsable modifique o revoque su respuesta de talmanera que el recurso de revisión quede sin materia, o

V. Quede sin materia el recurso de revisión.

Causales de desechamiento del recurso de revisiónARTÍCULO 150. El recurso de revisión podrá ser desechadopor improcedente cuando:

I. Sea extemporáneo por haber transcurrido el plazoestablecido en el artículo 127 de la presente Ley;

II. El titular o su representante no acrediten debidamente suidentidad y personalidad de este último;

III. La CEGAIP haya resuelto anteriormente en definitiva sobrela materia del mismo;

IV. No se actualice alguna de las causales del recurso derevisión previstas en el artículo 129 de la presente Ley;

V. No se haya desahogado la prevención en los términosestablecidos en el artículo 138 de la presente Ley;

VI. Se esté tramitando ante los tribunales competentes algúnrecurso o medio de defensa interpuesto por el titular recurrente,o en su caso, por el tercero interesado, en contra del actorecurrido ante la CEGAIP;

VII. El recurrente modifique o amplíe su petición en el recursode revisión, únicamente respecto de los nuevos contenidos, o

VIII. El recurrente no acredite interés jurídico.

El desechamiento no implica la preclusión del derecho deltitular para interponer ante la CEGAIP un nuevo recurso derevisión.

Notificación de la resoluciónARTÍCULO 151. La CEGAIP deberá notificar a las partes ypublicar las resoluciones, a más tardar, el tercer día siguientede su aprobación.


Medios de impugnación de las resolucionesARTÍCULO 152. Las resoluciones de la CEGAIP sonvinculatorias, definitivas e inatacables para los responsables.

Los titulares podrán impugnar dichas resoluciones ante elINAI interponiendo el recurso de inconformidad en los plazosy términos previstos en la Ley General o ante el Poder Judicialde la Federación mediante el juicio de amparo, de conformidadcon la normatividad aplicable en la materia.

En los casos en que a través del recurso de inconformidad semodifique o revoque la resolución de la CEGAIP, éste deberáemitir una nueva resolución dentro del plazo de quince días,contados a partir del día siguiente de la notificación o quetenga conocimiento de la resolución del INAI, atendiendo lostérminos señalados en la misma.

Facultad de atracción del INAIARTÍCULO 153. El Pleno del INAI, cuando así lo apruebe lamayoría de sus Comisionados, de oficio o a petición de laCEGAIP, podrá ejercer la facultad de atracción para conocer,sustanciar y resolver aquellos recursos de revisión que porsu interés y trascendencia así lo ameriten, en los plazos ytérminos previstos en la Ley General y demás normatividadaplicable.

En este caso, cesará la substanciación del recurso de revisióna cargo de la CEGAIP.

Probable responsabilidad administrativaARTÍCULO 154. Cuando la CEGAIP determine durante lasustanciación del recurso de revisión que se pudo haberincurrido en una probable responsabilidad por elincumplimiento a las obligaciones previstas en la presenteLey y demás disposiciones que resulten aplicables en lamateria, deberá hacerlo del conocimiento del órgano internode control o instancia competente para que ésta inicie, en sucaso, el procedimiento de responsabilidad respectivo.

Falta de respuesta del recurso de revisiónARTÍCULO 155. Ante la falta de resolución por parte de laCEGAIP se entenderá confirmada la respuesta delresponsable.

Capítulo IIDe los criterios de interpretación

Emisión de criterios interpretativosARTÍCULO 156. Una vez que hayan causado ejecutoria lasresoluciones dictadas en los recursos que se sometan a sucompetencia, la CEGAIP podrá emitir los criterios deinterpretación que estime pertinentes y que deriven de loresuelto en dichos asuntos.

TÍTULO DÉCIMO PRIMEROVerificación de tratamientos de datos personales

Capítulo ÚnicoDel procedimiento de verificación

Vigilancia y verificación de tratamientos de datos personalesARTÍCULO 157. La CEGAIP tendrá la atribución de vigilar yverificar el cumplimiento de las disposiciones contenidas en lapresente Ley y demás ordenamientos que se deriven de ésta.

En el ejercicio de las funciones de vigilancia y verificación, laCEGAIP deberá guardar confidencialidad sobre la informacióna la que tenga acceso en virtud de la verif icacióncorrespondiente.

Causales de procedencia del procedimiento de verificaciónARTÍCULO 158. La verificación podrá iniciarse:

I. De oficio cuando la CEGAIP cuente con indicios que le haganpresumir de manera fundada y motivada la existencia deviolaciones a la presente Ley y demás normatividad que resulteaplicable;

II. Por denuncia del titular cuando considere que ha sidoafectado por actos del responsable que puedan ser contrariosa lo dispuesto por la presente Ley y demás normativa aplicable,o

III. Por denuncia de cualquier persona cuando tengaconocimiento de presuntos incumplimientos a lasobligaciones previstas en la presente Ley y demásdisposiciones que resulten aplicables en la materia.

El derecho a presentar una denuncia precluye en el términode un año contado a partir del día siguiente en que se realicenlos hechos u omisiones materia de la misma. Cuando loshechos u omisiones sean de tracto sucesivo, el términoempezará a contar a partir del día hábil siguiente al últimohecho realizado.

La verificación no procederá en los supuestos de procedenciadel recurso de revisión previsto en la presente Ley.

Requisitos y medios de presentación de la denunciaARTÍCULO 159. Para la presentación de una denuncia, eldenunciante deberá señalar lo siguiente:

I. El nombre de la persona que denuncia, o en su caso, de surepresentante;II. El domicilio o medio para oír y recibir notificaciones;

III. La relación de hechos en que se basa la denuncia y loselementos con los que cuente para probar su dicho;

IV. El responsable denunciado y su domicilio, o en su caso,los datos para su identificación y/o ubicación, y

V. La firma del denunciante, o en su caso, de su representante.En caso de no saber firmar, bastará la huella digital.

La denuncia podrá presentarse por escrito libre, o a través delos formatos, medios electrónicos o cualquier otro medio otecnología que la CEGAIP establezca para tal efecto.

Una vez recibida la denuncia, la CEGAIP deberá acusar recibode la misma.

Investigaciones previasARTÍCULO 160. Previo a la verificación respectiva, la CEGAIPpodrá desarrollar investigaciones previas, con el fin de contarcon elementos para fundar y motivar el acuerdo de iniciorespectivo.


Para ello, la CEGAIP podrá requerir, mediante mandamientoescrito debidamente fundado y motivado, al denunciante,responsable o cualquier autoridad la exhibición de lainformación o documentación que estime necesaria.

El denunciante, responsable o cualquier autoridad deberánatender los requerimientos de información en los plazos ytérminos que la CEGAIP establezca.

Acuerdo de improcedencia del procedimiento de verificaciónARTÍCULO 161. Si como resultado de las investigacionesprevias, la CEGAIP no cuenta con elementos suficientes paradar inicio al procedimiento de verificación, emitirá el acuerdoque corresponda, sin que esto impida que la CEGAIP puedainiciar dicho procedimiento en otro momento.

Acuerdo de inicio del procedimiento de verificaciónARTÍCULO 162. En el comienzo de todo procedimiento deverificación, la CEGAIP deberá emitir un acuerdo de inicio enel que funde y motive la procedencia de su actuación.

El acuerdo de inicio del procedimiento de verificación deberáseñalar lo siguiente:

I. El nombre del denunciante y su domicilio;

II. El objeto y alcance del procedimiento, precisandocircunstancias de tiempo, lugar, visitas de verificación a lasoficinas o instalaciones del responsable o del lugar en dondese encuentren ubicadas las bases de datos personales y/orequerimientos de información. En los casos en que se actúepor denuncia, la CEGAIP podrá ampliar el objeto y alcancesdel procedimiento respecto del contenido de aquélla,debidamente fundada y motivado;

III. La denominación del responsable y su domicilio;

IV. El lugar y fecha de la emisión del acuerdo de inicio, y

V. La firma autógrafa de la autoridad que lo expida, salvo enaquellos casos en que la ley autorice otra forma de expedición.

Notificación del acuerdo de inicio de verificaciónARTÍCULO 163. La CEGAIP deberá notificar el acuerdo de iniciodel procedimiento de verificación al responsable denunciado.

Requerimientos de información y visitas de inspecciónARTÍCULO 164. Para el desahogo del procedimiento deverificación, la CEGAIP podrá, de manera conjunta, indistinta ysucesivamente:

I. Requerir al responsable denunciado la documentación einformación necesaria vinculada con la presunta violación, y/o

II. Realizar visitas de verificación a las oficinas o instalacionesdel responsable denunciado, o en su caso, en el lugar dondese lleven a cabo los tratamientos de datos personales.

Lo anterior, a fin de allegarse de los elementos relacionadoscon el objeto y alcance de éste.

Atención de requerimientos de la CEGAIPARTÍCULO 165. El denunciante y el responsable estaránobligados a atender y cumplimentar los requerimientos,

solicitudes de información y documentación, emplazamientos,citaciones o diligencias notificadas por la CEGAIP, o bien, afacilitar la práctica de las diligencias que hayan sido ordenadas.

En caso de negativa o entorpecimiento de las actuaciones dela CEGAIP, el denunciante y responsable tendrán por perdidosu derecho para hacerlo valer en algún otro momento dentrodel procedimiento y la CEGAIP tendrá por ciertos los hechosmateria del procedimiento y resolverá con los elementos quedisponga.

Acceso a documentación relacionada con el tratamiento dedatos personalesARTÍCULO 166. En los requerimientos de información y/ovisitas de inspección que realice la CEGAIP con motivo de unprocedimiento de verificación, el responsable no podrá negarel acceso a la documentación solicitada con motivo de unaverificación, o a sus bases de datos personales, ni podráinvocar la reserva o la confidencialidad de la información entérminos de lo dispuesto en la Ley de Transparencia y demásnormatividad que resulte aplicable.

Visitas de verificaciónARTÍCULO 167. Las visitas de verificación que lleve a cabo laCEGAIP podrán ser una o varias en el curso de un mismoprocedimiento, las cuales se deberán desarrollar conforme alas siguientes reglas y requisitos:

I. Cada visita de verificación tendrá un objeto y alcance distintoy su duración no podrá exceder de cinco días;

II. La orden de visita de verificación contendrá:

a) El objeto, alcance y duración que, en su conjunto, limitaránla diligencia.b) La denominación del responsable verificado.c) La ubicación del domicilio o domicilios a visitar.d) El nombre completo de la persona o personas autorizadasa realizar la visita de verificación, las cuales podrán sersustituidas, aumentadas o reducidas en su número encualquier tiempo por la CEGAIP, situación que se notificará alresponsable sujeto a procedimiento, y

III. Las visitas de verificación se practicarán en días y horashábiles y se llevarán a cabo en el domicilio institucional delresponsable verificado, incluyendo el lugar en que, a juicio dela CEGAIP, se encuentren o se presuma la existencia de basesde datos o tratamientos de los mismos.

La CEGAIP podrá autorizar que servidores públicos de otrasautoridades federales, estatales y municipales, en el ámbitode sus respectivas competencias, auxilien en cuestionestécnicas o específicas para el desahogo de la misma.

Realización de visitas de verificaciónARTÍCULO 168. En la realización de las visitas de verificación,los verificadores autorizados y los responsables verificadosdeberán estar a lo siguiente:

I. Los verificadores autorizados se identificarán ante la personacon quien se entienda la diligencia, al iniciar la visita;

II. Los verificadores autorizados requerirán a la persona conquien se entienda la diligencia designe a dos testigos;


III. El responsable verificado estará obligado a:

a) Permitir el acceso a los verificadores autorizados al lugarseñalado en la orden para la práctica de la visita.b) Proporcionar y mantener a disposición de los verificadoresautorizados la información, documentación o datosrelacionados con la visita.c) Permitir a los verificadores autorizados el acceso aarchiveros, registros, archivos, sistemas, equipos de cómputo,discos o cualquier otro medio de tratamiento de datospersonales.d) Poner a disposición de los verificadores autorizados, losoperadores de los equipos de cómputo o de otros medios dealmacenamiento, para que los auxilien en el desarrollo de lavisita;

IV. Los verificadores autorizados podrán obtener copias delos documentos o reproducir, por cualquier medio,documentos, archivos e información generada por medioselectrónicos, ópticos o de cualquier otra tecnología, que tenganrelación con el procedimiento, y

V. La persona con quien se hubiese entendido la visita deverificación, tendrá derecho de hacer observaciones a losverificadores autorizados durante la práctica de las diligencias,mismas que se harán constar en el acta correspondiente.

Concluida la visita de verificación, los verificadores autorizadosdeberán levantar un acta final en la que se deberá hacerconstar en forma circunstanciada los hechos u omisionesque hubieren conocido, la cual, en su caso, podrá engrosarsecon actas periciales.

Los hechos u omisiones consignados por los verificadoresautorizados en las actas de verificación harán prueba plenade la existencia de tales hechos o de las omisionesencontradas.

Actas de visitas de verificaciónARTÍCULO 169. En las actas de visitas de verificación, laCEGAIP deberá hacer constar lo siguiente:

I. La denominación del responsable verificado;

II. La hora, día, mes y año en que se inició y concluyó ladiligencia;

III. Los datos que identifiquen plenamente el lugar en dondese practicó la visita de verificación, tales como calle, número,población o colonia, municipio o delegación, código postal yentidad federativa, así como número telefónico u otra formade comunicación disponible con el responsable verificado;

IV. El número y fecha del oficio que ordenó la visita deverificación;

V. El nombre completo y datos de identificación de losverificadores autorizados;

VI. El nombre completo de la persona con quien se entendióla diligencia;

VII. El nombre completo y domicilio de las personas quefungieron como testigos;

VIII. La narración circunstanciada de los hechos relativos a ladiligencia;

IX. La mención de la oportunidad que se da para ejercer elderecho de hacer observaciones durante la práctica de lasdiligencias, y

X. El nombre completo y firma de todas las personas queintervinieron en la visita de verificación, incluyendo losverificadores autorizados.

Si se negara a firmar el responsable verif icado, surepresentante o la persona con quien se entendió la visita deverificación, ello no afectará la validez del acta debiéndoseasentar la razón relativa.

El responsable verificado podrá formular observaciones en lavisita de verificación, así como manifestar lo que a su derechoconvenga con relación a los hechos contenidos en el actarespectiva, o bien, podrá hacerlo por escrito dentro de loscinco días siguientes a la fecha en que se hubiere realizado lavisita de verificación.

Medidas cautelaresARTÍCULO 170. La CEGAIP podrá ordenar medidas cautelaressi del desahogo de la verificación advierte un daño inminenteo irreparable en materia de protección de datos personales,siempre y cuando no impidan el cumplimiento de las funcionesni el aseguramiento de las bases de datos, las cuales podránquedar sin efecto una vez que el responsable verificado hayaadoptado las medidas señaladas por la CEGAIP para mitigarlos daños identificados, con el fin de restablecer el tratamientode los datos personales.

Efecto de las medidas cautelaresARTÍCULO 171. La aplicación de medidas cautelares no tendrápor efecto:

I. Dejar sin materia el procedimiento de verificación, o

II. Eximir al responsable del cumplimiento de las obligacionesprevistas en la presente Ley.

Reconsideración de la aplicación de medidas cautelaresARTÍCULO 172. Si durante el procedimiento de verificación, laCEGAIP advierte nuevos elementos que pudieran modificar lamedida cautelar previamente impuesta, éste deberá notificaral responsable, al menos, con 24 horas de anticipación lamodificación a que haya lugar, fundando y motivando suactuación.

Solicitud de medidas cautelares por parte del titularARTÍCULO 173. El titular o, en su caso, su representante podrásolicitar a la CEGAIP la aplicación de medidas cautelarescuando considere que el presunto incumplimiento delresponsable a las disposiciones previstas en la presente Ley,le causa un daño inminente o irreparable a su derecho a laprotección de datos personales.

Para tal efecto, la CEGAIP deberá considerar los elementosofrecidos por el titular, en su caso, así como aquéllos quetenga conocimiento durante la sustanciación delprocedimiento de verificación, para determinar la procedenciade la solicitud del titular.


Duración máxima del procedimiento de verificación yemisión de resoluciónARTÍCULO 174. El procedimiento de verificación deberá teneruna duración máxima de cincuenta días, dentro del cual laCEGAIP deberá emitir una resolución debidamente fundada ymotivada, y notif icarla al responsable verif icado y aldenunciante.

En la resolución la CEGAIP podrá ordenar medidas correctivaspara que el responsable las acate en la forma, términos yplazos fijados para tal efecto, así como señalar las medidasde apremio para asegurar el cumplimiento de ésta.

Las resoluciones que emita la CEGAIP con motivo delprocedimiento de verif icación, podrán hacerse delconocimiento de la autoridad competente en materia deresponsabilidades administrativas.

Instancias de seguridad públicaARTÍCULO 175. Para la verificación en instancias de seguridadpública, se requerirá en la resolución, la aprobación del Plenode la CEGAIP, por mayoría calificada de sus Comisionados,así como de una fundamentación y motivación reforzada de lacausa del procedimiento, debiéndose asegurar la informaciónsólo para uso exclusivo de la autoridad.Verificaciones preventivas

ARTÍCULO 176. La CEGAIP podrá llevar a cabo, de oficio,verificaciones preventivas, a efecto de vigilar y verificar elcumplimiento de las disposiciones contenidas en la presenteLey y demás ordenamientos que se deriven de ésta, deconformidad con las disposiciones previstas en este Capítulo.

Auditorías voluntariasARTÍCULO 177. Los responsables podrán voluntariamentesometerse a la realización de auditorías por parte de la CEGAIPque tengan por objeto verificar la adaptación, adecuación yeficacia de los controles, medidas y mecanismosimplementados para el cumplimiento de las disposicionesprevistas en la presente Ley y demás normativa que resulteaplicable.

El informe de auditoría deberá dictaminar sobre la adecuaciónde las medidas y controles implementados por el responsable,identificar sus deficiencias, así como proponer accionescorrectivas complementarias, o bien, recomendaciones queen su caso correspondan.

Procedencia de las auditorías voluntariasARTÍCULO 178. Las auditorías voluntarias a que se refiere elartículo anterior, sólo procederán respecto aquellostratamientos de datos personales que el responsable estéllevando a cabo al momento de presentar su solicitud laCEGAIP.

En ningún caso, las auditorías voluntarias podrán equipararsea las evaluaciones de impacto a la protección de datospersonales a que se refiere la presente Ley.

Improcedencia de las auditorías voluntariasARTÍCULO 179. Las auditorías voluntarias a que se refiere elartículo 177 de la presente Ley no procederán cuando:

I. La CEGAIP tenga conocimiento de una denuncia, o bien,esté sustanciando un procedimiento de verificación relacionadocon el mismo tratamiento de datos personales que se pretendesometer a este tipo de auditorías, o

II. El responsable sea seleccionado de oficio para serverificado por parte de la CEGAIP.

TÍTULO DÉCIMO SEGUNDOCumplimiento de las resoluciones de la CEGAIP

Capítulo ÚnicoDel Cumplimiento de las resoluciones

Plazo de cumplimiento y prórrogaARTÍCULO 180. El responsable, a través de la Unidad deTransparencia, dará estricto cumplimiento a las resolucionesde la CEGAIP.

Excepcionalmente, considerando las circunstanciasespeciales del caso, el responsable podrá solicitar a laCEGAIP, de manera fundada y motivada, una ampliación delplazo para el cumplimiento de la resolución.

Dicha solicitud deberá presentarse, a más tardar, dentro delos primeros tres días del plazo otorgado para el cumplimiento,a efecto de que la CEGAIP valore y resuelva sobre laprocedencia de la misma dentro de los cinco días siguientes,de acuerdo con las circunstancias del caso.

Rendición de informe de cumplimientoARTÍCULO 181. El responsable deberá informar a la CEGAIPsobre el cumplimiento de sus resoluciones, en un plazo queno podrá exceder de tres días contados a partir del díasiguiente en que venció el plazo de cumplimiento previsto enla resolución, o bien, de la prórroga autorizada por la CEGAIP.

La CEGAIP deberá verificar de oficio el cumplimiento y, a mástardar al día siguiente de recibir el informe, dará vista al titularpara que, dentro de los cinco días siguientes manifieste loque a su derecho convenga.

Si dentro del plazo señalado el titular manifiesta que elcumplimiento no corresponde a lo ordenado por la CEGAIP,deberá expresar las causas específicas por las cuales así loconsidera.

Procedimiento de verificación del cumplimientoARTÍCULO 182. La CEGAIP deberá pronunciarse, en un plazono mayor a cinco días contados a partir del día siguiente de larecepción de las manifestaciones del titular, sobre todas lascausas que éste manifieste así como del resultado de laverificación que hubiere realizado.

Si la CEGAIP considera que se dio cumplimiento a laresolución, deberá emitir un acuerdo de cumplimiento y seordenará el archivo del expediente. En caso contrario, laCEGAIP:

I. Emitirá un acuerdo de incumplimiento;

II. Notificará al superior jerárquico del servidor públicoencargado de dar cumplimiento, para que en un plazo nomayor a cinco días contados a partir del día siguiente que


surta efectos la notificación, se dé cumplimiento a laresolución, bajo el apercibimiento que de no demostrar quedio la orden, se le impondrá una medida de apremio en lostérminos señalados en la presente Ley, además de queincurrirá en las mismas responsabilidades administrativasdel servidor público inferior, y

III. Determinará las medidas de apremio que deberánimponerse o las acciones procedentes que deberán aplicarse,de conformidad con lo señalado en el siguiente Título.

TÍTULO DÉCIMO TERCEROMedidas de apremio

Capítulo ÚnicoDe las medidas de apremio

Tipos de medidas de apremioARTÍCULO 183. La CEGAIP podrá imponer las siguientesmedidas de apremio para asegurar el cumplimiento de susdeterminaciones:

I. La amonestación pública, o

II. La multa, equivalente a la cantidad de ciento cincuenta hastamil quinientas veces el valor diario de la unidad de medida yactualización.

El incumplimiento de los responsables será difundido en elPortal de Obligaciones de Transparencia de la CEGAIP yconsiderado en las evaluaciones que realicen éstos.

Criterios para la determinación de medidas de apremioARTÍCULO 184. Para calificar las medidas de apremioestablecidas en el presente Capítulo, la CEGAIP deberáconsiderar:

I. La gravedad de la falta del responsable, determinada porelementos tales como el daño causado; los indicios deintencionalidad; la duración del incumplimiento de lasdeterminaciones de la CEGAIP y la afectación al ejercicio desus atribuciones;

II. La condición económica del infractor, y

III. La reincidencia.La CEGAIP deberá establecer mediante lineamientos decarácter general, las atribuciones de las áreas encargadasde calificar la gravedad de la falta de observancia a susdeterminaciones y de la notificación y ejecución de lasmedidas de apremio que se apliquen e implementen,conforme a los elementos desarrollados en este Capítulo.

Requerimiento de información al infractorARTÍCULO 185. La CEGAIP podrá requerir al infractor lainformación necesaria para determinar su condicióneconómica, apercibido de que en caso de no proporcionar lamisma, las multas se cuantificarán con base a los elementosque se tengan a disposición, entendidos como los que seencuentren en los registros públicos; los que contenganmedios de información o sus propias páginas de Internet y,en general, cualquiera que evidencie su condición, quedando

facultado la CEGAIP para requerir aquella documentación quese considere indispensable para tal efecto a las autoridadescompetentes.

ReincidenciaARTÍCULO 186. En caso de reincidencia, la CEGAIP podráimponer una multa equivalente hasta el doble de la que sehubiera determinado.

Para efectos de la presente Ley, se considerará reincidente alque habiendo incurrido en una infracción que haya sidosancionada, cometa otra del mismo tipo o naturaleza.

Aplicación de las medidas de apremioARTÍCULO 187. Las medidas de apremio a que se refiere elpresente Capítulo, deberán ser aplicadas por la CEGAIP porsí mismo o con el apoyo de la autoridad competente, deconformidad con los procedimientos que establezcan las leyesrespectivas.

Autoridad competente para hacer efectivas las multasARTÍCULO 188. Las multas que fije la CEGAIP se haránefectivas ante la Secretaría de Finanzas del Gobierno delEstado de San Luis Potosí, a través de los procedimientosque las leyes establezcan y el mecanismo implementado paraello.

Las medidas de apremio de carácter económico no podránser cubiertas con recursos públicos.

Plazo para aplicar las medidas de apremioARTÍCULO 189. Las medidas de apremio deberán aplicarse eimplementarse en un plazo máximo de quince días, contadosa partir de que sea notificada la medida de apremio al infractor.

Imposición de amonestaciones públicasARTÍCULO 190. La amonestación pública será impuesta porla CEGAIP y será ejecutada por el superior jerárquicoinmediato del infractor con el que se relacione.

Incumplimiento de la resoluciónARTÍCULO 191. Si a pesar de la ejecución de las medidas deapremio previstas en el presente Capítulo no se cumplierecon la resolución, se requerirá el cumplimiento al superiorjerárquico para que en el plazo de cinco días lo obligue acumplir sin demora. De persistir el incumplimiento, seaplicarán sobre aquél las medidas de apremio a que se refiereel artículo 183 de la presente Ley.

Transcurrido el plazo, sin que se haya dado cumplimiento, sedará vista a la autoridad competente en materia deresponsabilidades.

Medios de impugnaciónARTÍCULO 192. En contra de la imposición de medidas deapremio, procede el juicio de amparo correspondiente ante elPoder Judicial del Estado de San Luis Potosí.

Aviso a autoridades penalesARTÍCULO 193. En caso que del contenido de las actuacionesy constancias de los procedimientos ventilados ante laCEGAIP, se advierta la presunta comisión de delitos y éstosse persigan de oficio, se deberá dar el aviso correspondiente


al ministerio público, remitiéndole copia de las constanciasconducentes.

Denuncias penalesARTÍCULO 194. En caso de que el incumplimiento de lasdeterminaciones de la CEGAIP implique la presunta comisiónde un delito, ésta deberá denunciar los hechos ante laautoridad competente.

TÍTULO DÉCIMO CUARTOResponsabilidades administrativas

Capítulo ÚnicoDe las responsabilidades administrativas y sus sanciones

Causales de responsabilidad administrativaARTÍCULO 195. Serán causas de responsabilidadadministrativa por incumplimiento de las obligacionesestablecidas en la presente Ley, las siguientes:

I. Actuar con negligencia, dolo o mala fe durante lasustanciación de las solicitudes para el ejercicio de losderechos ARCO o de la portabilidad de los datos personales;

II. Incumplir los plazos de atención previstos en la presenteLey para responder las solicitudes para el ejercicio de losderechos ARCO o para hacer efectivo el derecho de que setrate;

III. Ampliar con dolo los plazos previstos en la presente Leypara responder las solicitudes para el ejercicio de los derechosARCO o la portabilidad de los datos personales;

IV. Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir oinutilizar, total o parcialmente y de manera indebida datospersonales, que se encuentren bajo su custodia o a los cualestengan acceso o conocimiento con motivo de su empleo, cargoo comisión;

V. Dar tratamiento, de manera intencional, a los datospersonales en contravención a los principios y deberesestablecidos en la presente Ley;VI. Mantener los datos personales inexactos cuando resulteimputable al responsable;

VII. No efectuar la rectificación, cancelación u oposición altratamiento de los datos personales que legalmente proceda,cuando resulten afectados los derechos de los titulares;

VIII. No contar con el aviso de privacidad, o bien, omitir en elmismo alguno de los elementos a que refieren los artículos38 y 39 de la presente Ley, según sea el caso, y demásdisposiciones que resulten aplicables en la materia;

IX. Clasificar, con dolo o negligencia, datos personales sinque se cumplan las características señaladas en Ley deTransparencia. La sanción sólo procederá cuando exista unaresolución previa, que haya quedado firme, respecto del criteriode clasificación de los datos personales;

X. Incumplir el deber de confidencialidad establecido en elartículo 60 de la presente Ley;

XI. No establecer las medidas de seguridad en los términosque establecen los artículos 47, 48 y 50 de la presente Ley;

XII. Presentar vulneraciones a los datos personales por lafalta de implementación de medidas de seguridad según losartículos 47, 48 y 50 de la presente Ley;

XIII. Llevar a cabo la transferencia de datos personales, encontravención a lo previsto en la presente Ley;

XIV. Obstruir los actos de verificación de la autoridad;

XV. Crear bases de datos personales en contravención a lodispuesto por el artículo 8 de la presente Ley;

XVI. No acatar las resoluciones emitidas por la CEGAIP;

XVII. Aplicar medidas compensatorias en contravención delos criterios que tales fines establezca el Sistema Nacional;

XVIII. Declarar dolosamente la inexistencia de datospersonales cuando éstos existan total o parcialmente en losarchivos del responsable;

XIX. No atender las medidas cautelares establecidas por laCEGAIP;

XX. Tratar los datos personales de manera que afecte o impidael ejercicio de los derechos fundamentales previstos en laConstitución Política de los Estados Unidos Mexicanos;

XXI. No cumplir con las disposiciones previstas en los artículos89 y 95 de la presente Ley;

XXII. No presentar ante la CEGAIP la evaluación de impacto ala protección de datos personales en aquellos casos en queresulte obligatoria, de conformidad con lo previsto en lapresente Ley y demás normativa aplicable;

XXIII. Realizar actos para intimidar o inhibir a los titulares enel ejercicio de los derechos ARCO, y

XXIV. Omitir la entrega del informe anual a que se refiere elartículo 44, fracción VII de la Ley General de Transparencia yAcceso a la Información Pública, o bien, entregar el mismodía de manera extemporánea.

Las causas de responsabilidad previstas en las fracciones I,II, IV, VI, X, XII, XV, XVI, XVIII, XIX y XX, así como la reincidencia enlas conductas previstas en el resto de las fracciones de esteartículo, serán consideradas como graves para efectos de susanción administrativa.

Las sanciones de carácter económico no podrán ser cubiertascon recursos públicos.Infracciones de partidos políticos

Incumplimiento por parte de partidos políticosARTÍCULO 196. Ante incumplimientos por parte de los partidospolíticos, la CEGAIP dará vista, según corresponda, al InstitutoNacional Electoral o al Consejo Estatal Electoral y deParticipación Ciudadana de San Luis Potosí o, para queinvestigue, resuelva y, en su caso, sancione lo conducente,


sin perjuicio de las sanciones establecidas para los partidospolíticos en las leyes aplicables.

Infracciones de fideicomisos o fondos públicosARTÍCULO 197. En el caso de probables infraccionesrelacionadas con fideicomisos o fondos públicos, la CEGAIPdeberá dar vista al órgano interno de control o instanciaequivalente del responsable relacionado con éstos, cuandosean servidores públicos, con el fin de que instrumenten losprocedimientos administrativos a que haya lugar.

Infracciones de servidores públicosARTÍCULO 198. En aquellos casos en que el presunto infractortenga la calidad de servidor público, la CEGAIP deberá:

I. Elaborar una denuncia dirigida al órgano interno de control oinstancia equivalente, con la descripción precisa de los actosu omisiones que, a su consideración, repercuten en laadecuada aplicación de la presente Ley y que pudieranconstituir una posible responsabilidad, y

II. Remitir un expediente que contenga todos los elementosde prueba que considere pertinentes para sustentar lapresunta responsabilidad administrativa. Para tal efecto,deberá acreditar el nexo causal existente entre los hechoscontrovertidos y las pruebas presentadas.

La denuncia y el expediente respectivo deberán remitirse alórgano interno de control o instancia equivalente dentro delos quince días siguientes, a partir de que la CEGAIP tengaconocimiento de los hechos.

La autoridad que conozca del asunto, deberá informar de laconclusión del procedimiento y en su caso, de la ejecución dela sanción a la CEGAIP.

Procedencia de responsabilidades del orden civil o penalARTÍCULO 199. Las responsabilidades que resulten de losprocedimientos administrativos correspondientes, derivadosde la violación a lo dispuesto por el artículo 195 de la presenteLey, son independientes de las del orden civil, penal o decualquier otro tipo que se puedan derivar de los mismoshechos.

Dichas responsabil idades se determinarán, en formaautónoma, a través de los procedimientos previstos en lasleyes aplicables y las sanciones que, en su caso, se imponganpor las autoridades competentes, también se ejecutarán demanera independiente.

Para tales efectos, la CEGAIP podrá denunciar ante lasautoridades competentes cualquier acto u omisión violatoriade la presente Ley y aportar las pruebas que considerenpertinentes, en los términos de las leyes aplicables.

TRANSITORIOS

PRIMERO. La presente Ley entrará en vigor al día siguiente desu publicación en el Periódico Oficial del Gobierno del Estado“Plan de San Luis”.

SEGUNDO. Se derogan todas aquellas disposiciones enmateria de protección de datos personales, de carácter estatal

y municipal, que contravengan lo dispuesto por la presenteLey.

TERCERO. Los responsables expedirán sus avisos deprivacidad en los términos previstos en la presente Ley y demásdisposiciones aplicables, a más tardar tres meses despuésde la entrada en vigor de ésta Ley.

CUARTO. Los responsables deberán observar lo dispuestoen el Título Segundo, Capítulo II de la presente Ley, a mástardar un año después de la entrada en vigor de ésta.

QUINTO. La CEGAIP deberá expedir los lineamientos,parámetros, criterios y demás disposiciones de las diversasmaterias a que se refiere la presente Ley, dentro de un añosiguiente a la entrada en vigor de ésta.

SEXTO. Los procedimientos iniciados durante la vigencia dela Ley de Transparencia y Acceso a la Información Pública delEstado de San Luis Potosí, se sustanciarán hasta suconclusión, conforme al ordenamiento señalado.

SÉPTIMO. El Congreso del Estado de San Luis Potosí deberáhacer las previsiones presupuestales necesarias para laoperación de la presente Ley y establecer las partidaspresupuestales específicas en el Presupuesto de Egresosdel Estado de San Luis Potosí para el siguiente ejercicio fiscala su entrada en vigor.

Lo tendrá entendido el Ejecutivo del Estado, lo hará publicar,circular y obedecer.

D A D O en el salón de sesiones “Ponciano Arriaga Leija” delHonorable Congreso del Estado, el siete de julio de dos mildiecisiete.

Por la Directiva. Primer Vicepresidente Legislador HéctorMendizábal Pérez; Primera Secretaria Legisladora DulcelinaSánchez De Lira; Segundo Secretario Legislador GerardoLimón Montelongo (Rúbricas)

Por tanto mando se cumpla y ejecute el presente Decreto yque todas las autoridades lo hagan cumplir y guardar y alefecto se imprima, publique y circule a quienes corresponda.

D A D O en el Palacio de Gobierno, sede del Poder Ejecutivodel Estado Libre y Soberano de San Luis Potosí, el día trecedel mes de julio del año dos mil diecisiete.

El Gobernador Constitucional del EstadoJuan Manuel Carreras López

(Rúbrica)

El Secretario General de GobiernoAlejandro Leal Tovías

(Rúbrica)

Documents

Instituto Nacional de Transparencia, Acceso a la …inicio.ifai.org.mx/LeyesEstados/LPD_SLP.pdfSAN LUIS POTOSI, S.L.P. Actual $ 18.26 Atrasado $ 36.52 Otros con base a su costo a criterio