Para el cumplimiento de las obligaciones previstas en la presente Ley, el responsable podrá desarrollar o adoptar, en lo individual o en acuerdo con otros responsables, encargados u organizaciones, esquemas de mejores prácticas que tengan por objeto:
Todo esquema de mejores prácticas que busque la validación o reconocimiento por parte del Instituto deberá:
Cuando el responsable pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que a su juicio y de conformidad con esta Ley impliquen el tratamiento intensivo o relevante de datos personales, deberá realizar una Evaluación de Impacto en la protección de datos personales, y presentarla ante el Instituto, el cual podrán emitir recomendaciones no vinculantes especializadas en la materia de protección de datos personales.
Para efectos de esta Ley se considerará que se está en presencia de un tratamiento intensivo o relevante de datos personales cuando:
Los responsables que realicen una Evaluación de Impacto en la protección de datos personales, deberán presentarla ante el Instituto, treinta días anteriores a la fecha en que se pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología, ante el Instituto a efecto de que emitan las recomendaciones no vinculantes correspondientes.
El Instituto deberá emitir, de ser el caso, recomendaciones no vinculantes sobre la Evaluación de Impacto en la protección de datos personales presentado por el responsable. El plazo para la emisión de las recomendaciones a que se refiere el párrafo anterior será dentro de los treinta días siguientes contados a partir del día siguiente a la presentación de la evaluación.
Cuando a juicio del Sujeto Obligado se puedan comprometer los efectos que se pretenden lograr con la posible puesta en operación o modificación de políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales o se trate de situaciones de emergencia o urgencia, no será necesario realizar la Evaluación de Impacto en la protección de datos personales.
Los responsables deberán designar a un oficial de protección de datos personales, quien será la persona encargada de tratar los datos personales en términos de la Ley General, la presente Ley y demás disposiciones aplicables, el cual podrá acudir a las sesiones del Comité de Transparencia de cada responsable, a petición del presidente, cuando el tema que se trate lo vincule.
El oficial de protección de datos personales será designado atendiendo a su experiencia y cualidades profesionales, en particular, a sus conocimientos en la materia y deberá contar con recursos suficientes para llevar a cabo su cometido.
El oficial de protección de datos personales tendrá las siguientes atribuciones:
La obtención y tratamiento de datos personales, en términos de lo que dispone esta Ley, por parte de los responsables competentes en instancias de seguridad, procuración y administración de justicia, está limitada a aquellos supuestos y categorías de datos que resulten necesarios y proporcionales para el ejercicio de las funciones en materia de seguridad pública, o para la prevención o persecución de los delitos. Deberán ser almacenados en las bases de datos establecidas para tal efecto.
En el tratamiento de datos personales, así como en el uso de las bases de datos para almacenamiento, que realicen los responsables competentes de las instancias de seguridad, procuración y administración de justicia deberá cumplir con los propósitos establecidos en el Título Segundo de la presente Ley.
Los responsables de las bases de datos a que se refiere este Capítulo, deberán establecer medidas de seguridad de nivel alto, para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.