REGLAMENTO DE PROTECCIÓN DE DATOS PERSONALES

REGLAMENTO DE PROTECCIÓN DE DATOS PERSONALES
ENERO 2024

CAPÍTULO I DE LAS GENERALIDADES 

Artículo 1. El Reglamento de Protección de Byte IT, tiene por objeto establecer las bases, principios y procedimientos organizacionales que garanticen el derecho de todo usuario, cliente y/o proveedor a la protección de sus datos personales en posesión de Byte IT, conforme a los principios establecidos en la Constitución Política de los Estados Unidos Mexicanos y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, así como la demás normatividad aplicable. 

Artículo 2. Las disposiciones contenidas en el presente reglamento son de observancia general y obligatoria para todos los colaboradores de Byte IT. 

Artículo 3. Byte IT, en cumplimiento a la normatividad federal y local, es una entidad obligada a garantizar la protección de los datos personales que genera, posee o administra, limitándose por razones de seguridad pública, a las disposiciones de orden público, seguridad y/o protección de los derechos de terceros. 

Artículo 4. Para efectos de aplicación e interpretación del presente reglamento se entenderá por: 

1. Administradora o administrador, a la colaboradora o colaborador habilitado, nombrado por la responsable o el responsable de llevar a cabo el tratamiento de datos personales y que tiene a su cargo los sistemas y bases de datos que contengan datos personales en Byte IT; 
2. Anonimización, al tratamiento que permite evitar la identificación de la persona titular a través de sus datos personales; 

III. Archivo, al conjunto de documentos en cualquier soporte, producidos o recibidos por Byte IT en ejercicio de sus atribuciones o desarrollo de sus actividades; 

1. Aviso de privacidad, al documento físico, electrónico o en cualquier formato, generado por Byte IT y puesto a disposición de las personas titulares de datos personales, con el objeto de informarles las finalidades del tratamiento al que serán sometidos sus datos personales; 
2. Base (s) de datos, al conjunto ordenado de datos personales referentes a una persona física identificada o identificable, condicionados a criterios determinados, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización; 
3. Bloqueo, a la identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas; transcurrido dicho plazo se procederá a su cancelación y/o destrucción en los sistemas y bases de datos que corresponda; 

VII. Cómputo en la nube, al modelo de provisión externa de servicios de cómputo bajo demanda, que implica el suministro de infraestructura, plataforma o programa informático, distribuido de modo flexible, mediante procedimientos virtuales, en recursos compartidos dinámicamente; 

VIII. Consentimiento, a la manifestación libre, específica, informada e inequívoca de la persona titular de los datos personales, para aceptar el tratamiento de sus datos personales; 

1. Datos abiertos, a los datos digitales de carácter público que son accesibles en línea y que pueden ser usados, reutilizados y redistribuidos por alguna persona interesada; 
2. Derechos ARCO, a los derechos de Acceso, Rectificación, Cancelación y Oposición al tratamiento de datos personales; 
3. Datos personales, a la información concerniente a una persona, identificada o identificable, que además la describe, le da identidad, la caracteriza y la diferencia de otras, como su nombre, edad, domicilio, teléfono, correo electrónico, Clave Única de Registro de Población (CURP), Registro Federal de Contribuyentes (RFC), entre otros; 

XII. Datos personales sensibles, a los datos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas y preferencia sexual, que afectan la esfera más íntima de la persona, y cuyo mal uso pueda ser causa de discriminación o provocarle un riesgo grave; 

XIII. Destinataria o destinatario, a la persona física o jurídico-colectiva pública o privada a quien Byte IT transfiere sus datos personales; 

XIV. Disociación, al procedimiento mediante el cual los datos personales no pueden asociarse a la persona titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación individual de la misma; 

1. Documentos, a los expedientes, reportes, estudios, actas, resoluciones, oficios, correspondencia, acuerdos, circulares, convenios, contratos, instructivos, notas, estadísticas, o cualquier otro registro que documente el ejercicio de las facultades o la actividad de Byte IT, sin importar su fuente o fecha de elaboración; estos podrán estar en formato escrito, digital, electrónico e informático; 

XVI. Fuentes de acceso público, al sistema de base de datos cuya consulta puede ser realizada por cualquier persona, 

XVII. Incidencia, a cualquier anomalía que afecte o pudiere afectar la seguridad de los datos personales; 

XVIII. Ley Estatal, a la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados de la CDMX; 

XIX. Ley General, a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados; 

1. Limitación del tratamiento, al margen de datos de carácter personal conservados con el fin de limitar su uso futuro; 

XXI. Medidas compensatorias, a los mecanismos opcionales para dar a conocer el aviso de privacidad de Byte IT; 

XXII. Medidas de seguridad, a las acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger los datos personales; 

XXIII. Medidas de seguridad administrativas, a las políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización, y capacitación del personal, en materia de protección de datos personales; 

XXIV. Medidas de seguridad físicas, a las acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se considerarán las actividades siguientes: a) Prevenir el acceso no autorizado al perímetro de Byte IT, sus instalaciones físicas, áreas críticas, recursos e información; b) Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas, recursos e información de Byte IT; 5 c) Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de Byte IT, y d) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz que asegure su disponibilidad e integridad. 

XXV. Medidas de seguridad técnicas, a las acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se considerarán las actividades siguientes: a) Prevenir que el acceso a los sistemas y bases de datos o a la información, así como a los recursos, sea por usuarias o usuarios identificados y autorizados; b) Generar un esquema de privilegios para que la usuaria o el usuario lleve a cabo las actividades que requiere con motivo de sus funciones; c) Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware, y d) Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales. 

XXVI. Reglamento, al Reglamento de Protección de Datos Personales de Byte IT; 

XXVII. Remisión, a la comunicación de datos personales realizada exclusivamente entre Byte IT y la encargada o el encargado. 

XXVIII. Responsable, al sujeto obligado que decide sobre el tratamiento de los datos personales; 

XXIX. SARCOEM, Sistema de Acceso, Rectificación, Cancelación y Oposición de Datos Personales de la CDMX; 

XXX. Sistema de base de datos personales, a los datos personales contenidos en los archivos de Byte IT, que puede comprender el tratamiento de una o diversas bases de datos; 

XXXI. Supresión, a la baja archivística de los datos personales, que resulte de la eliminación, borrado o destrucción de los datos personales bajo las medidas de seguridad previamente establecidas por Byte IT; 

XXXII. Persona titular, a la persona física o jurídico-colectiva a la que corresponden los datos personales que sean objeto de tratamiento; 

XXXIII. Tercero, a la persona física o jurídico-colectiva, autoridad pública, servicio u organismo distinto al de la titular o el titular, Byte IT, encargada o encargado, usuaria o usuario, destinataria o destinatario y las personas autorizadas para tratar los datos personales; 

XXXIV. Transferencia, a toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta de la titular o el titular, Byte IT, encargada o encargado; 

XXXV. Tratamiento, al conjunto de operaciones efectuadas mediante procedimientos manuales o automatizados aplicados a los datos personales; relacionadas con la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación, difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación, transferencia o disposición de datos personales; 

XXXVI. Usuarias o usuarios, a los colaboradores o personas físicas autorizadas para tratar los datos personales, distintos a la responsable o el responsable, a la encargada o el encargado y a la administradora o el administrador de los datos; 

XXXVII. Violación de la seguridad de los datos personales, al acto o hecho que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transferidos, conservados o tratados de forma distinta, o a la comunicación o acceso no autorizados a dichos datos, o cualquier otra que afecte la confidencialidad, integridad y disponibilidad de los datos personales, y 

Artículo 5. En la aplicación e interpretación de este reglamento se observarán los principios de gratuidad, máxima publicidad, no discriminación, pro persona, prontitud del procedimiento, simplicidad y universalidad, de conformidad con la Constitución Política de los Estados Unidos Mexicanos, los tratados internacionales, la Ley General y la Ley Estatal. A falta de disposición expresa se aplicarán de manera supletoria las disposiciones establecidas en la Ley General, la Ley Estatal y demás ordenamientos aplicables. 

 Artículo 6. Los datos personales son irrenunciables, intransferibles e indelegables, salvo disposición legal o cuando medie el consentimiento de su titular. 

Artículo 7. Byte IT garantizará el derecho humano a la protección de los datos personales, y el ejercicio y tratamiento de los derechos ARCO, de conformidad con lo señalado en el Artículo 6 de este reglamento, así como por lo dispuesto en la normatividad federal y estatal en la materia. Byte ITT deberá garantizar que la protección de datos personales sea accesible, actualizada, completa, lícita, leal y transparente, por lo que atenderá las condiciones propias de los derechos señalados en el párrafo anterior. 

Artículo 8. Los datos personales sensibles por regla general no podrán tratarse, salvo que se cuente con el consentimiento expreso, inequívoco y explícito o, en su defecto, se trate de los casos establecidos en el Artículo 15 del presente reglamento. Los datos personales sensibles y de naturaleza análoga, en términos de las disposiciones legales aplicables, estarán especialmente protegidos con medidas de seguridad de alto nivel. 

Artículo 9. En el tratamiento de datos personales de adolescentes se privilegiará el interés superior de estos, en términos de la Ley General de los Derechos de Niñas, Niños y Adolescentes, la Ley de Niñas, Niños y Adolescentes de la Ciudad de México y las demás disposiciones legales aplicables, y se adoptarán las medidas idóneas para su protección. El consentimiento se hará por conducto de la titular o el titular de la patria potestad o tutela, y la responsable o el responsable del tratamiento obtendrá su autorización por escrito; así mismo verificará que el consentimiento fue dado o autorizado por la titular o el titular de la patria potestad o tutela sobre la adolescente o el adolescente. Tratándose de obligaciones de transparencia o análogas, se publicará el nombre de la representante o el representante, acompañado del seudónimo de la menor o el menor. La responsable o el responsable podrá limitar el acceso de la representante o el representante a los datos personales sensibles de adolescentes, en aquellos casos que se puedan afectar sus derechos humanos, siempre y cuando no contravenga el interés superior. 

Artículo 10. Para efectos de este reglamento, se consideran fuentes de acceso público: I. Los portales informativos o medios remotos y locales de comunicación electrónica, óptica y de otra tecnología, siempre que el sitio donde se encuentren los datos personales esté concebido para facilitar información al público y abierto a la consulta general; II. Los directorios telefónicos, en términos de la normativa específica; III. Los diarios, gacetas o boletines oficiales, de acuerdo con su normativa; IV. Los medios de comunicación social; y V. Los registros públicos, conforme a las disposiciones que les resulten aplicables. La consulta la podrá hacer cualquier persona no impedida por una norma limitativa, o por el pago de una contraprestación, derecho o tarifa. No se considerará una fuente de acceso público cuando la información contenida en la misma sea o tenga una procedencia ilícita. 

CAPÍTULO II DE LOS PRINCIPIOS Y DEBERES 

Artículo 11. En el tratamiento de datos personales que se efectúen se deberán observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad, entendiéndose estos como: 

1. Licitud: consiste en que la posesión y tratamiento de los datos personales, por parte de las áreas, se sujetará a las facultades y atribuciones que les hayan sido conferidas, actuando con estricto apego y cumplimiento al presente reglamento, así como a la normatividad nacional e internacional aplicable. 
2. Finalidad: referido a que todo tratamiento de datos personales que sea efectúado deberá estar justificado por las finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones conferidas. 

III. Lealtad: los áreas no podrán recolectar, tratar o transferir datos personales a través de métodos engañosos, fraudulentos, desleales o ilícitos, debiendo privilegiar la protección de los intereses de la persona titular y su privacidad. 

1. Consentimiento: referido al tratamiento de los datos personales, el cual deberá contar con el consentimiento previo al tratamiento, por parte de la persona titular, dejando a salvo los supuestos de excepción previstos en el presente reglamento. 
2. Calidad: se adoptarán las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales bajo su posesión, asegurando no alterar su veracidad. 
3. Proporcionalidad: sólo deberán tratar los datos personales adecuados, relevantes y estrictamente necesarios para las finalidades que justifiquen su tratamiento. 

VII. Información: se tiene la obligación de informar a la persona titular de los datos, a través del aviso de privacidad, de modo expreso, preciso e inequívoco, la información que se recaba de ella y para qué fines. 

VIII. Responsabilidad: se cumplirán con los principios de protección de datos personales establecidos en el presente reglamento, debiendo adoptar las medidas necesarias para su aplicación, incluyendo las actividades que se encomienden a terceras personas. 

Artículo 12. La obtención del consentimiento de la persona titular de los datos para el tratamiento de los mismos, señalado en el Artículo 11 fracción IV del presente reglamento, deberá otorgarse de la siguiente forma: a) Libre: que no exista error, mala fe, violencia o dolo que pueda afectar la manifestación de la voluntad de la persona titular; b) Específica: referida a finalidades concretas, lícitas, explícitas y legítimas que justifiquen el tratamiento; c) Informada: que la persona titular tenga conocimiento del aviso de privacidad, previo al tratamiento a que serán sometidos sus datos personales, e d) Inequívoca: que no admite duda o equivocación. 

Artículo 13. Para la obtención del consentimiento de menores de edad o de personas que se encuentren en estado de interdicción, declarada conforme a la ley, se estará a lo dispuesto en las reglas de representación previstas en el Código Civil de la Ciudad de México.

 Artículo 14. El consentimiento podrá manifestarse de forma expresa o tácita, cuando así se señale, conforme a lo siguiente: a) Expreso, cuando la voluntad de la persona titular se manifieste verbalmente, por escrito, medios electrónicos, ópticos, signos inequívocos o por cualquier otra tecnología. 10 b) Tácito, cuando habiéndose puesto a disposición de la persona titular el aviso de privacidad, esta no manifieste su voluntad en sentido contrario. Será válido el consentimiento tácito, salvo que la ley o las disposiciones aplicables exijan que la voluntad de la persona titular se manifieste expresamente. 

Artículo 15. Las áreas no estarán obligados a recabar el consentimiento de la persona titular para el tratamiento de sus datos personales, en los siguientes casos: a) Cuando una ley así lo disponga, debiendo dicho supuesto ser acorde con las bases, principios y disposiciones establecidas en este reglamento; b) Cuando exista una orden judicial, resolución o mandato fundado y motivado por la autoridad competente que lo suscriba; c) Para el reconocimiento o defensa de los derechos de la persona titular ante la autoridad competente; d) Cuando las transferencias que se realicen entre las áreas sean sobre datos personales que se utilicen para el ejercicio de facultades propias, compatibles o análogas con la finalidad que motivó el tratamiento de los datos personales; e) Cuando los datos personales se requieran para ejercer un derecho o cumplir obligaciones derivadas de una relación jurídica entre la persona titular y el área encargada; f) Cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; g) Cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico y/o la prestación de asistencia sanitaria; h) Cuando los datos personales figuren en fuentes de acceso público, o i) Cuando los datos personales se sometan a un procedimiento previo de disociación. 

Artículo 16. La calidad en los datos personales, señalada en el Artículo 11 fracción V del presente reglamento, se garantizará cuando estos sean proporcionados directamente por la persona titular, y hasta en tanto no manifieste y acredite lo contrario. 

Artículo 17. Cuando los datos personales dejen de ser necesarios para el cumplimiento de las finalidades previstas en el aviso de privacidad y que motivaron su tratamiento, conforme a las disposiciones que resulten aplicables, deberán ser suprimidos previo bloqueo, en su caso, y una vez que concluya el plazo de conservación de los mismos. Los plazos de conservación de los datos personales no deberán exceder aquellos que se consideran necesarios para el cumplimiento de las finalidades que motivaron su tratamiento, tomando en cuenta además los aspectos administrativos, contables, fiscales, jurídicos e históricos de los datos personales. 

Artículo 18. La unidad responsable de la información deberá establecer y documentar los procedimientos para la conservación y, en su caso, bloqueo y supresión de los datos personales, en los cuales se deberán incluir los períodos para su conservación, así como los mecanismos que permitan cumplir con los plazos fijados para la supresión de los datos personales. 

Artículo 19. El aviso de privacidad deberá estar redactado y estructurado de manera clara y sencilla; y ser difundido por los medios electrónicos y físicos necesarios. El aviso de privacidad se pondrá a disposición de la persona titular, en las modalidades integral y simplificada, de conformidad con lo dispuesto en los artículos 31 y 32 de la Ley Estatal. Artículo 20. Las unidades responsables deberán establecer, mantener y revisar controles administrativos, técnicos y físicos para la protección de datos personales, además de las medidas de seguridad que se estimen pertinentes, con la finalidad de prevenir daño, pérdida, alteración, destrucción o acceso, uso o tratamiento no autorizado; procurando con ello, garantizar la confidencialidad, integridad y disponibilidad de los datos, conforme a la normatividad aplicable. Lo anterior se hará con independencia del tipo de sistema o tratamiento en el que se encuentren los datos personales. 

CAPÍTULO III DE LOS DEBERES Y LAS MEDIDAS DE SEGURIDAD 

Artículo 21. En el tratamiento de los datos personales se aplicarán medidas técnicas y administrativas apropiadas, así como, se observarán deberes para garantizar un nivel de seguridad adecuado al riesgo, tales como: 

1. Observar los deberes de confidencialidad, integridad y disponibilidad de los datos personales. Así mismo, la preservación de otros deberes como la autenticidad, no repudio y la confiabilidad que pueden resultar exigibles de acuerdo con la finalidad del tratamiento; 
2. La disociación, anonimización y el cifrado de datos personales; 

III. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico, y 

1. Un proceso de verificación, evaluación y valoración, de forma regular, en la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 

Artículo 22. La confidencialidad a la propiedad o característica consistirá en que la información no se pondrá a disposición ni se revelará a individuos, entidades o procesos no autorizados; por consiguiente, la responsable o el responsable, la administradora o el administrador, la encargada o el encargado o, en su caso, las usuarias y los usuarios autorizados son los únicos que pueden llevar a cabo el tratamiento de los datos personales, mediante los procedimientos que para tal efecto se establezcan. La responsable o el responsable, la encargada o el encargado, las usuarias o los usuarios o cualquier persona que tenga acceso a los datos personales están obligadas a guardar el secreto y sigilo correspondiente, conservando la confidencialidad aún después de cumplida su finalidad de tratamiento. La administradora o el administrador, la encargada o el encargado o en su caso las usuarias y los usuarios autorizados, son los únicos que pueden llevar a cabo el tratamiento de los datos personales, mediante los procedimientos que para tal efecto se establezcan. La responsable o el responsable establecerá controles o mecanismos que tengan por objeto que las personas que intervengan en cualquier fase del tratamiento de los datos personales guarden confidencialidad respecto de estos, obligación que subsistirá aun después de finalizar sus relaciones con Byte IT, en los mismos términos que operen las prescripciones en materia de responsabilidad, salvo disposición legal en contrario. En caso de contravención al deber de confidencialidad se estará a lo dispuesto por los ordenamientos administrativos correspondientes, independientemente de las acciones penales o civiles que en su caso procedan. 

Artículo 23. El deber de integridad consiste en que los datos personales no serán alterados de manera no autorizada. La disponibilidad es la propiedad de los datos personales de ser accesibles y utilizables cuando sean requeridos por personas, entidades o procesos autorizados. Las medidas de seguridad establecidas en el presente reglamento para preservar la integridad y disponibilidad de los datos personales se integrarán conforme a las establecidas en materia de archivo y gestión documental. 

Artículo 24. La autenticidad es la propiedad inherente a la veracidad del dato personal, es decir, que el dato personal es lo que se afirma que es. El no repudio consiste en la capacidad de acreditar la ocurrencia o existencia de un evento o acción relacionada con el dato personal y la persona, entidad o proceso de origen. La confiabilidad es la propiedad relativa a que los datos personales produzcan el funcionamiento y resultados esperados. 

Artículo 25. Las medidas de seguridad para el tratamiento de datos personales son el conjunto de acciones o mecanismos que se implementarán con el objeto de proteger y resguardar los datos personales que se encuentren en posesión de Byte IT. Las medidas de seguridad se regularán por lo dispuesto en la Ley General, la Ley Estatal, el presente reglamento y demás normatividad aplicable. 

Artículo 26. Los tipos de medidas de seguridad serán, al menos, las siguientes: 

1. Administrativas, aquellas políticas, procedimientos y disposiciones de carácter interno que establecen lo relativo a la gestión, el manejo y la conservación de información que contenga datos personales, el borrado seguro de dicha información, la autenticación del personal autorizado para el uso y tratamiento de dichos datos y demás acciones que permitan sensibilizar y capacitar al personal encargado de esta función; 
2. Físicas, acciones enfocadas en proteger las instalaciones, los dispositivos o cualquier otro medio o sistema que contenga datos personales, y 

III. Técnicas, medidas que hacen uso de la tecnología relacionada con hardware y software para la protección de la información que contenga datos personales. 

Artículo 27. Las medidas de seguridad se implementarán en los siguientes niveles: 

1. Básico, deberá establecerse de manera obligatoria para todos los sistemas y bases de datos personales; 
2. Medio, se aplicará en bases de datos o sistemas que contengan información relacionada con la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales y cualquier otro que contenga datos que permitan evaluar la personalidad de la persona titular de dicha información, y 

III. Alto, se utilizará en aquellos sistemas o bases de datos que contemplen información relacionada con ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométrica, genética o vida sexual, así como aquellos relacionados a la seguridad pública, prevención, investigación y persecución de delitos, y demás relativos a fines policiales. 

Artículo 28. Los tipos y niveles de medidas de seguridad se implementarán tomando en cuenta la naturaleza de los datos personales, el número de personas titulares, el riesgo o grado de vulnerabilidad de la información, el desarrollo tecnológico, el registro de vulneraciones previas y demás que pudieran considerarse indispensables para la protección de los datos personales. 

Artículo 29. Las unidades responsables, en conjunto con las unidades administrativas, y a fin de implementar las medidas de seguridad, tendrán las siguientes funciones: 

1. Realizar un inventario de datos personales, así como de los sistemas de tratamiento;
   II. Detectar las posibles vulnerabilidades y amenazas de los datos personales, a través de un análisis de riesgo;
   III. Elaborar un análisis de brecha que considere tanto las medidas de seguridad vigentes como aquellas pendientes de ejecución;
   IV. Generar un plan de trabajo a partir del análisis de brecha;
   V. Establecer las funciones y obligaciones de la persona encargada del tratamiento de los datos personales;
   VI. Capacitar a los colaboradores en el tratamiento de los datos personales con base en el perfil y grado de responsabilidad;
   VII. Dar seguimiento a las medidas de seguridad implementadas, y
   VIII. Establecer políticas internas para la adecuada gestión y tratamiento de los datos personales, que contemple su obtención, uso y cancelación. 

Artículo 30. La unidad responsable elaborará un documento de seguridad, el cual deberá contener los tipos y niveles de seguridad previstos para proteger la información contenida en los sistemas y bases de datos personales. El documento de seguridad se revisará y actualizará de manera periódica a fin de evitar cualquier riesgo y, en caso de que exista alguna vulneración a los datos personales, se establecerán acciones que permitan mitigar el impacto. 

Artículo 31. Para los efectos del presente reglamento, se considerarán vulneraciones a la seguridad de los datos personales, de manera enunciativa más no limitativa, las siguientes:
I. La pérdida o destrucción no autorizada;
II. El robo, extravío o copia no autorizada;
III. El uso, acceso o tratamiento no autorizado, o
IV. El daño, la alteración o modificación no autorizada. 

Artículo 32. Cuando en cualquier fase del tratamiento de los datos personales se presente una vulneración a la seguridad, la unidad responsable registrará en una bitácora de vulneraciones, la cual deberá contener la fecha en que ocurrió, el motivo, así como las acciones correctivas y preventivas que se establecieron para fortalecer las medidas de seguridad. Artículo 33. Las vulneraciones a los datos personales que puedan afectar los derechos patrimoniales o morales, se deberán informar de manera inmediata a las personas titulares de dichos datos, a fin de que puedan tomar las acciones que consideren pertinentes para salvaguardar y defender sus derechos. Artículo 34. La unidad responsable registrará y documentará en un sistema de gestión, todas las acciones que se realicen para establecer las medidas de seguridad para el tratamiento de los datos personales. 

Artículo 35. Cualquier persona que en el ejercicio de sus funciones dentro de Byte IT tenga encomendada la protección y tratamiento de los datos personales o tenga acceso a los mismos, deberá guardar la confidencialidad de la información. 

TÍTULO SEGUNDO DERECHOS DEL TITULAR Y SU EJERCICIO 

CAPÍTULO I DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN (ARCO) 

Artículo 36. La persona titular por sí o por medio de su representante, debidamente identificados, podrá ejercer los derechos de Acceso, Rectificación, Cancelación y Oposición a sus datos personales en posesión de Byte IT. Estos derechos son independientes, de tal forma que no puede entenderse que el ejercicio de alguno de ellos sea requisito previo o impida el ejercicio de otro. 

Artículo 37. El ejercicio de los derechos ARCO, por persona distinta a su titular o a su representante, será posible en los supuestos que disponga la ley, o por mandato judicial. 

Artículo 38. La persona titular de los datos personales tendrá derecho a acceder a sus datos personales que obren en posesión de la unidad responsable, así como a conocer la información relacionada a su tratamiento. 

Artículo 39. La persona titular de los datos personales tendrá derecho a solicitar a la unidad responsable la rectificación o corrección de sus datos, cuando estos resulten inexactos, incompletos o cuando no se encuentren autorizados. 

Artículo 40. La persona titular tendrá derecho a solicitar a la unidad responsable la cancelación de sus datos personales de los archivos, registros y sistemas, a fin de que los mismos ya no estén en posesión de Byte IT y dejen de ser tratados por la empresa. 

Artículo 41. La persona titular podrá oponerse al tratamiento de sus datos personales o exigir que cese el mismo, cuando:
I. Pueda causarle un daño o perjuicio, aun siendo lícito el tratamiento, o
II. Sus datos personales sean objeto de un tratamiento automatizado y estén destinados a evaluar, analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento, entre otros, siempre y cuando se le cause un daño o perjuicio. 

Artículo 42. En el ejercicio de los derechos ARCO en menores de edad o de personas que se encuentren en estado de interdicción, de conformidad con las leyes civiles, se estará a las reglas de representación dispuestas en dicha legislación. Artículo 43. Tratándose de datos personales concernientes a personas fallecidas, la persona que acredite el interés jurídico, y de conformidad con las leyes aplicables, podrá ejercer los derechos que le confiere el presente capítulo, siempre que la persona titular de los derechos hubiere expresado fehacientemente su voluntad en tal sentido o que existiera un mandato judicial para tal efecto. 

CAPÍTULO II DEL EJERCICIO DE LOS DERECHOS DE ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN (ARCO) 

Artículo 44. La recepción y trámite de las solicitudes para el ejercicio de los derechos ARCO o limitación del tratamiento, se sujetará al procedimiento establecido en el presente capítulo y demás disposiciones que resulten aplicables en la materia. Las personas titulares o sus representantes legales podrán solicitar a través de la unidad responsable, en términos de lo que establezca el presente reglamento, que se les otorgue acceso, rectifique, cancele, o que se haga efectivo su derecho de oposición, respecto de los datos personales que le conciernan y que obren en un sistema de datos personales y base de datos en posesión de Byte IT. Para el ejercicio de los derechos ARCO solicitados será necesario acreditar la identidad de la persona titular y, en su caso, la identidad y personalidad con la que actúe la representante o el representante. Tratándose de datos personales concernientes a personas fallecidas o de quienes haya sido declarada judicialmente su presunción de muerte, la persona que acredite tener un interés jurídico de conformidad con las leyes aplicables, podrá ejercer los derechos que le confiere el presente capítulo, siempre que la persona titular de los derechos hubiere expresado fehacientemente su voluntad en tal sentido, o que exista un mandato judicial para dicho efecto. La persona titular podrá autorizar dentro de una cláusula del testamento a las personas que podrán ejercer sus derechos ARCO al momento del fallecimiento. El ejercicio de los derechos ARCO por persona distinta a su titular o a su representante, será posible, excepcionalmente, en aquellos supuestos previstos por disposición legal, o en su caso, por mandato judicial. En el ejercicio de los derechos ARCO de menores de edad o de personas que se encuentren en estado de interdicción o incapacidad de conformidad con las leyes civiles, se estará a las reglas de representación dispuestas en la misma legislación. 

Artículo 45. La persona titular de los datos personales tiene como derechos los siguientes:
I. Acceder a sus datos personales en posesión de la unidad responsable y conocer la información relacionada con las condiciones y generalidades de su tratamiento;
II. Solicitar a la unidad responsable la rectificación o corrección de datos personales, cuando considere que estos sean inexactos, incompletos o no estén actualizados; III. Solicitar la cancelación de sus datos personales en los archivos, registros, expedientes y sistemas de Byte IT, a través de la unidad responsable, a fin de que ya no estén bajo su posesión y resguardo, dejando de ser tratados, siempre y cuando las disposiciones aplicables lo permitan, y
IV. Oponerse al tratamiento de sus datos personales o exigir que cese el mismo, cuando:
a) Exista causa legítima y su situación específica así lo requiera, lo cual implica que aun siendo lícito el tratamiento de datos personales, el mismo debe cesar para evitar que su persistencia cause daño o perjuicio a la persona titular;
b) Un tratamiento automatizado de sus datos personales produzca o pueda llegar a producir efectos jurídicos no deseados o afecte de manera significativa los intereses, derechos o libertades de la persona titular; o cuando el tratamiento esté destinado a evaluar, sin intervención humana, determinados aspectos personales de la persona titular o esté destinado a analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, orientación sexual, fiabilidad o comportamiento, o
c) No autorice que se lleve a cabo el tratamiento de sus datos personales para fines específicos. 

Artículo 46. La recepción y trámite de las solicitudes para el ejercicio de los derechos ARCO que se formulen en Byte IT, se sujetará a lo establecido en el presente título. 

Artículo 47. El ejercicio de los derechos ARCO deberá ser gratuito. Solo podrán realizarse cobros para recuperar los costos de reproducción, cotejo y, en su caso, envío. Byte IT pondrá a disposición de la persona titular de los derechos ARCO una cuenta bancaria para realizar el pago de los costos referidos. 

Artículo 48. La información deberá ser entregada sin costo cuando implique la entrega de menos de veinte hojas simples. Asimismo, será gratuito cuando la persona titular proporcione el medio magnético, electrónico o el mecanismo necesario para reproducir los datos personales. 

Artículo 49. En el ejercicio de los derechos ARCO se observarán las siguientes etapas:
I. Presentación de la solicitud, acompañada de una identificación oficial para acreditar la identidad o los documentos oficiales que acrediten la personalidad de la representante o el representante.
II. Aclaración y/o prevención, en su caso.
III. Suplencia de la solicitud.
IV. Requerimientos a las unidades administrativas.
V. Notificaciones.
VI. Cómputo de días.
VII. Consulta directa. 

Artículo 50. La unidad responsable pondrá a disposición de la persona titular de los datos personales los formatos de solicitud para el ejercicio de derechos ARCO y, en su caso, deberá asistir a la persona solicitante en su elaboración. 

Artículo 51. La solicitud para el ejercicio de los derechos ARCO podrá ser presentada por la persona titular de los datos personales o su representante legal, en este sentido, será necesario acreditar la identidad de titularidad y, en su caso, la identidad o personalidad del que actúa como representante. 

Artículo 52. La presentación de la solicitud de acceso a datos se realizará ante la unidad responsable, a través de la Plataforma Nacional, el SARCOEM, verbalmente o por cualquier otro medio de comunicación efectivo que dé constancia indubitable de recibido. 

Artículo 53. Cuando la solicitud para el ejercicio de los derechos ARCO se presente ante la unidad responsable, esta se registrará y capturará en la Plataforma Nacional y/o SARCOEM el mismo día de su recepción, y se enviará el acuse respectivo a la persona solicitante a través del medio que se haya señalado para recibir notificaciones. En el acuse se indicará la fecha de recepción, el folio de identificación y los plazos para la atención a la solicitud. 

Artículo 54. A las solicitudes que ingresen mediante la Plataforma Nacional y/o SARCOEM se les asignará un número de folio automáticamente, con el que se identificarán para dar seguimiento a su petición. 

Artículo 55. Las solicitudes para el ejercicio de los derechos ARCO deberán contener los siguientes requisitos:
I. Nombre de la persona titular y su domicilio, o cualquier otro medio para oír y recibir notificaciones;
II. El o los documentos que acrediten la identidad de la persona titular y, en su caso, la personalidad e identidad de la representante o el representante;
III. Mencionar la plataforma o herramienta que trata los datos personales y ante el cual se presenta la solicitud, de ser posible;
IV. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO, salvo que se trate del derecho de acceso;
V. La descripción del derecho ARCO que se pretende ejercer, o bien lo que solicita la persona titular;
VI. Cualquier otro elemento o documento que facilite la localización de los datos personales en su caso, o nombre de la base de datos en la que estos se ubican;
VII. Tratándose de solicitudes de acceso a datos personales, la modalidad en que prefiere que estos se reproduzcan;
VIII. En el caso de solicitudes de cancelación, las causas que motivan la solicitud de supresión de sus datos personales en los documentos de la unidad responsable, y IX. En el supuesto de solicitud de oposición, la manifestación de las causas legítimas o la situación específica por la que solicita el cese del tratamiento, así como el daño o perjuicio que le causaría la persistencia del tratamiento o, en su caso, las finalidades específicas por las que requiere ejercer el derecho de oposición. 

Artículo 56. Tratándose del requisito establecido en el Artículo 55 fracción I de este reglamento, si es el caso, y si el domicilio del solicitante se localiza fuera de la Ciudad de México, se notificará por estrados en la oficina de la unidad responsable. 

Artículo 57. Tratándose de una solicitud de acceso a datos personales se señalará la modalidad en la que la persona titular prefiere se otorgue la respuesta, la cual podrá ser por consulta directa, copias simples, cotejadas, digitalizadas u otro tipo de medio electrónico, así como, en su caso, se deberá hacer el pago correspondiente. 

Artículo 58. Los plazos empezarán a correr al día siguiente en que se practiquen las notificaciones. Cuando los plazos fijados se establezcan en días, estos se entenderán como días hábiles. 

Artículo 59. Cuando Byte IT no sea competente para atender la solicitud de ejercicio de derechos ARCO, deberá hacerlo del conocimiento de la persona titular, dentro de los dos días siguientes a la presentación de la solicitud y, en su caso, la orientará hacia el sujeto obligado competente. 

SECCIÓN A ACCESO A DATOS PERSONALES 

Artículo 60. Para el ejercicio del derecho de acceso a datos personales se seguirá el siguiente procedimiento:
I. Las personas titulares de los datos personales o sus representantes legales podrán solicitar que se les otorgue acceso, rectifique, cancele o se haga efectivo su derecho de oposición, respecto de los datos personales que le conciernan y que obren en un sistema de datos personales y/o base de datos en posesión de Byte IT. Para el ejercicio de los derechos ARCO solicitados, será necesario acreditar la identidad de la persona titular y, en su caso, la identidad y personalidad con la que actúe la representante o el representante.
II. En caso de que la solicitud no satisfaga alguno de los requisitos establecidos en la Ley Estatal, y Byte IT no cuente con elementos necesarios para sustanciarla, se prevendrá a la persona titular de los datos personales o a su representante, para que, dentro de los tres días siguientes a la presentación de la solicitud de ejercicio de sus derechos ARCO, y por una sola ocasión, subsane la o las omisiones, dentro de un plazo de diez días contados a partir del día siguiente de la notificación. Transcurrido el plazo sin desahogar la prevención, se tendrá por no presentada la solicitud de ejercicio a su derecho de acceso a datos personales.
III. En caso de dar cumplimiento a la prevención se dará trámite a la solicitud de derechos ARCO y se turnará a las áreas encargadas para dar atención.
IV. Las áreas encargadas deberán realizar una búsqueda razonable y exhaustiva en las bases de datos que pueden contener los datos personales objeto de la solicitud, una vez identificados deberán remitir una respuesta a la unidad responsable en un término no mayor a cinco días hábiles, siguientes a la notificación de la solicitud.
V. En caso de resultar procedente el ejercicio de los derechos ARCO, la unidad responsable deberá hacerlo efectivo en un plazo que no podrá exceder de quince días, contados a partir del día siguiente en que se haya notificado la respuesta a la persona titular.
VI. Cuando en las bases de datos de Byte IT se cuente con los datos personales a los que desea acceder la persona titular o su representante, la unidad responsable pondrá a disposición de la persona titular, previa acreditación de su identidad, y en su caso, la identidad y personalidad de su representante, a través de consulta directa, en el sitio donde se encuentren, o mediante la expedición de copias simples, copias certificadas, medios magnéticos, ópticos, sonoros, visuales u holográficos, o cualquier otra tecnología que determine la persona titular, dentro del plazo de quince días, de conformidad con el Artículo 118 de la Ley Estatal.
VII. La solicitud se entenderá como atendida si el solicitante no acude dentro de los sesenta días posteriores a la notificación. 

SECCIÓN B RECTIFICACIÓN DE DATOS PERSONALES 

Artículo 61. La persona titular tendrá derecho a solicitar la rectificación de sus datos personales cuando sean inexactos, incompletos, desactualizados, inadecuados o excesivos. La unidad responsable será la responsable del tratamiento. La rectificación podrá hacerse de oficio, cuando Byte IT tenga en su posesión los documentos que acrediten la inexactitud de los datos. Cuando los datos personales hubiesen sido transferidos o remitidos con anterioridad a la fecha de rectificación, dichas rectificaciones deberán hacerse del conocimiento de las destinatarias, o los destinatarios, o las encargadas, o los encargados, quienes deberán realizar también la rectificación correspondiente. En la constancia a que se refiere el párrafo anterior, Byte IT deberá señalar, al menos, el nombre completo de la persona titular, los datos personales corregidos, así como la fecha a partir de la cual fueron rectificados los datos personales en sus registros de base de datos. 

SECCIÓN C CANCELACIÓN DE DATOS PERSONALES 

Artículo 62. La persona titular de los datos personales tendrá derecho a solicitar la cancelación de sus datos personales de los archivos, registros, expedientes y sistemas de Byte IT, a fin de que los mismos ya no estén en su posesión y dejen de ser tratados por esta última. Sin perjuicio de lo que disponga la normatividad aplicable al caso concreto, la unidad responsable procederá a la cancelación de datos, previo bloqueo de los mismos, cuando hayan transcurrido los plazos establecidos por los instrumentos de control archivísticos aplicables. Cuando los datos personales hubiesen sido transferidos con anterioridad a la fecha de cancelación, la transferencia deberá hacerse del conocimiento de las destinatarias o los destinatarios, quienes deberán realizar también la cancelación correspondiente. 

Artículo 63. Una vez revisada la información y, en caso de ser favorable, se procederá a dar contestación a la persona solicitante en un término no mayor a quince días, con la obligación de cancelar los datos personales, y se dará por cumplida cuando Byte IT notifique a la persona titular, previa acreditación de su identidad y, en su caso, de la identidad y personalidad de su representante, mediante una constancia que señale:
I. Los documentos, bases de datos personales, archivos, registros, expedientes y/o sistemas de tratamiento donde se encuentren los datos personales objeto de cancelación;
II. El periodo de bloqueo de los datos personales, en su caso;
III. Las medidas de seguridad de carácter administrativo, físico y técnico implementadas durante el periodo de bloqueo, en su caso, y
IV. Las políticas, métodos y técnicas utilizadas para la supresión definitiva de los datos personales, de tal manera que la probabilidad de recuperarlos o reutilizarlos sea mínima. 

Artículo 64. La cancelación dará lugar al bloqueo de los datos, y Byte IT precautoriamente los datos personales para efectos de responsabilidades, hasta el plazo de prescripción legal o contractual respectivo. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento, y transcurrido éste, se procederá a su cancelación en la base y sistemas de datos que corresponda. Byte IT deberá notificar si procede o no la cancelación de los datos personales solicitados, dentro de un término de quince días hábiles. En caso de ser procedente la cancelación de los datos personales, Byte IT deberá notificar a la persona titular la constancia a que se refiere el Artículo 64 del presente reglamento, dentro de un término de trece días hábiles. 

SECCIÓN D DERECHO DE OPOSICIÓN 

Artículo 65. La persona titular tendrá derecho en todo momento y por razones legítimas a oponerse al tratamiento de sus datos personales, para una o varias finalidades o exigir que cese el mismo, en los supuestos siguientes:
I. Cuando los datos se hubiesen recabado sin su consentimiento y este resultara exigible en términos de este reglamento y disposiciones aplicables;
II. Aun siendo lícito el tratamiento, el mismo debe cesar para evitar que su persistencia cause un daño o perjuicio a la persona titular;
III. Sus datos personales sean objeto de un tratamiento automatizado, el cual le produzca efectos jurídicos no deseados o afecte de manera significativa sus intereses, derechos o libertades y estén destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo, o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento;
IV. Cuando la persona titular identifique que se han asociado datos personales o se le ha identificado con un registro del que no sea titular o se le incluya dentro de un sistema de datos personales en el cual no tenga correspondencia, y
V. Cuando existan motivos fundados para ello y el presente reglamento no disponga lo contrario. Byte IT notificará a la persona titular, previa acreditación de su identidad o, en su caso, la identidad y personalidad de su representante, mediante una constancia que señale dicha situación, dentro del plazo de quince días hábiles. 

Artículo 66. El ejercicio de los derechos ARCO no será procedente únicamente por cualquiera de las siguientes causas:
I. La persona titular o su representante no estén debidamente acreditados para ello; II. Los datos personales no se encuentren en posesión de Byte IT;
III. Exista un impedimento legal;
IV. Se lesionen los derechos de un tercero;
V. Se obstaculicen actuaciones judiciales o administrativas;
VI. Exista una resolución de autoridad competente que restrinja