Ley publicada en el Suplemento 5 al Número 56 del Periódico Oficial del Estado de Zacatecas, el sábado 15 de julio de 2017.
La presente Ley es de orden público y regula la materia de protección de datos personales en posesión de sujetos obligados en el Estado de Zacatecas, de conformidad con lo establecido en los artículos 6° y 16°, segundo párrafo, de la Constitución Política de los Estados Unidos Mexicanos, y en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
Son objetivos de la presente Ley:
Para los efectos de la presente Ley se entenderá por:
La presente Ley será aplicable a cualquier tratamiento de datos personales que obren en soportes físicos o electrónicos, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.
Para los efectos de la presente Ley, se considerarán como fuentes de acceso público:
El Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente.
Por regla general no podrán tratarse datos personales, salvo que se cuente con el consentimiento expreso de su titular o, en su defecto, se trate de los casos establecidos en el artículo 16 de esta Ley.
La aplicación e interpretación de la presente Ley se realizará conforme a lo dispuesto en la Constitución Política de los Estados Unidos Mexicanos, los tratados internacionales de los que el Estado mexicano sea parte, la Constitución Política del Estado Libre y Soberano de Zacatecas, la Ley General, así como las resoluciones, sentencias, determinaciones, decisiones, criterios y opiniones vinculantes, entre otras, que emitan los órganos nacionales e internacionales especializados.
En lo no previsto por esta Ley se estará a lo establecido en la Constitución Política de los Estados Unidos Mexicanos en materia de protección de datos personales en posesión de sujetos obligados y, en su caso, en materia de transparencia y derecho de acceso a la información, a lo establecido en la Ley General y, en su caso, a la Ley General de Transparencia y Acceso a la Información Pública; así como a lo establecido en la Constitución Política del Estado Libre y Soberano del Estado de Zacatecas en las materias referidas; la Ley de Transparencia y Acceso a la Información Pública del Estado y la Ley de Procedimiento Administrativo del Estado y Municipios de Zacatecas.
El responsable deberá observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad en el tratamiento de datos personales.
El tratamiento de datos personales por parte del responsable deberá sujetarse a las facultades o atribuciones que le confiera la Ley General, la presente Ley y demás normatividad aplicable.
Todo tratamiento de datos personales que efectúe el responsable deberá estar justificado por finalidades concretas, lícitas, explícitas y legítimas, relacionadas con las atribuciones que la normatividad aplicable les confiera.
El responsable no deberá obtener y tratar datos personales, a través de medios engañosos o fraudulentos, privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad.
Cuando no se actualice alguna de las causales de excepción previstas en el artículo 16 de esta Ley, el responsable deberá contar con el consentimiento previo del titular para el tratamiento de los datos personales, el cual deberá otorgarse de forma:
El consentimiento podrá manifestarse de forma expresa o tácita. Se deberá entender que el consentimiento es expreso cuando la voluntad del titular se manifieste verbalmente, por escrito, por medios electrónicos, ópticos, signos inequívocos o por cualquier otra tecnología.
El responsable no estará obligado a recabar el consentimiento del titular para el tratamiento de sus datos personales en los siguientes casos:
El responsable deberá adoptar las medidas necesarias para mantener exactos, completos, correctos y actualizados los datos personales en su posesión, a fin de que no se altere la veracidad de éstos.
El responsable deberá establecer y documentar los procedimientos para la conservación y, en su caso, bloqueo y supresión de los datos personales que lleve a cabo, en los cuales se incluyan los periodos de conservación de los mismos, de conformidad con lo dispuesto en el artículo 17 de esta Ley.
El responsable sólo deberá tratar los datos personales que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifica su tratamiento.
El responsable deberá informar al titular, a través del aviso de privacidad, la existencia y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.
El aviso de privacidad a que se refiere el artículo 3, fracción II de esta Ley, se pondrá a disposición del titular en dos modalidades: simplificado e integral. El aviso simplificado deberá contener la siguiente información:
El aviso de privacidad integral, deberá contener, al menos, la siguiente información:
El responsable deberá implementar los mecanismos previstos en el artículo 24 de esta Ley para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en el presente ordenamiento y rendir cuentas sobre el tratamiento de datos personales en su posesión al titular del Instituto, debiendo observar la legislación aplicable, para lo cual podrá valerse de estándares o mejores prácticas nacionales o internacionales para tales fines.
Entre los mecanismos que deberá adoptar el responsable para cumplir con el principio de responsabilidad establecido en la presente Ley están, al menos, los siguientes:
Con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe, el responsable deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad.
Las medidas de seguridad adoptadas por el responsable deberán considerar:
Para establecer y mantener las medidas de seguridad para la protección de los datos personales, el responsable deberá realizar, al menos, las siguientes actividades interrelacionadas:
Las acciones relacionadas con las medidas de seguridad para el tratamiento de los datos personales deberán estar documentadas y contenidas en un sistema de gestión.
De manera particular, el responsable deberá elaborar un documento de seguridad que contenga, al menos, lo siguiente:
El responsable deberá actualizar el documento de seguridad cuando ocurran los siguientes eventos:
En caso de que ocurra una vulneración a la seguridad, el responsable deberá analizar las causas por las cuales se presentó e implementar en su plan de trabajo las acciones preventivas y correctivas para adecuar las medidas de seguridad y el tratamiento de los datos personales si fuese el caso a efecto de evitar que la vulneración se repita.
Además de las que señalen las leyes respectivas y la normatividad aplicable, se considerarán como vulneraciones de seguridad, en cualquier fase del tratamiento de datos, al menos, las siguientes:
El responsable deberá llevar una bitácora de las vulneraciones a la seguridad en la que se describa ésta, la fecha en la que ocurrió, el motivo y las acciones correctivas implementadas de forma inmediata y definitiva.
El responsable deberá informar sin dilación alguna al titular, y según corresponda, al Instituto, las vulneraciones que afecten de forma significativa los derechos patrimoniales o morales, en cuanto se confirme que ocurrió la vulneración y que el responsable haya empezado a tomar las acciones encaminadas a detonar un proceso de revisión exhaustiva de la magnitud de la afectación, a fin de que los titulares afectados puedan tomar las medidas correspondientes para la defensa de sus derechos.
El responsable deberá informar al titular al menos lo siguiente:
El responsable deberá establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales, guarden confidencialidad respecto de éstos, obligación que subsistirá aún después de finalizar sus relaciones con el mismo.
El Sujeto Obligado responsable de la tutela y tratamiento del sistema de datos personales, adoptará las medidas de seguridad, conforme a lo siguiente:
Las medidas de seguridad a las que se refiere el artículo anterior constituyen mínimos exigibles, por lo que los responsables adoptarán las medidas adicionales que estimen necesarias para brindar mayores garantías en la protección y resguardo de los sistemas de datos personales
En todo momento, el titular o su representante podrán solicitar al responsable, el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le conciernen, de conformidad con lo establecido en el presente Título. El ejercicio de cualquiera de los derechos ARCO no es requisito previo, ni impide el ejercicio de otro.
El titular tendrá derecho de acceder a sus datos personales que obren en posesión del responsable, así como conocer la información relacionada con las condiciones y generalidades de su tratamiento.
El titular tendrá derecho a solicitar al responsable la rectificación o corrección de sus datos personales, cuando estos resulten ser inexactos, incompletos o no se encuentren actualizados.
El titular tendrá derecho a solicitar la cancelación de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en su posesión y dejen de ser tratados por este último.
El titular podrá oponerse al tratamiento de sus datos personales o exigir que se cese en el mismo, cuando:
La recepción y trámite de las solicitudes para el ejercicio de los derechos ARCO que se formulen a los responsables, se sujetará al procedimiento establecido en el presente Título y demás disposiciones que resulten aplicables en la materia.
Para el ejercicio de los derechos ARCO será necesario acreditar la identidad del titular y, en su caso, la identidad y personalidad con la que actúe el representante.
El ejercicio de los derechos ARCO deberá ser gratuito. Sólo podrán realizarse cobros para recuperar los costos de reproducción, certificación o envío, conforme a la normatividad que resulte aplicable.
El responsable deberá establecer procedimientos sencillos que permitan el ejercicio de los derechos ARCO, cuyo plazo de respuesta no deberá exceder de veinte días contados a partir del día siguiente a la recepción de la solicitud.
En la solicitud para el ejercicio de los derechos ARCO no podrán imponerse mayores requisitos que los siguientes:
Tratándose de una solicitud de acceso a datos personales, el titular deberá señalar la modalidad en la que prefiere que éstos se reproduzcan. El responsable deberá atender la solicitud en la modalidad requerida por el titular, salvo que exista una imposibilidad física o jurídica que lo limite a reproducir los datos personales en dicha modalidad, en este caso deberá ofrecer otras modalidades de entrega de los datos personales fundando y motivando dicha actuación.
Cuando se trate de una solicitud de cancelación, el titular deberá señalar las causas que lo motiven a solicitar la supresión de sus datos personales en los archivos, registros o bases de datos del responsable.
Las solicitudes para el ejercicio de los derechos ARCO deberán presentarse ante la Unidad de Transparencia del responsable, que el titular considere competente, a través de escrito libre, formatos, medios electrónicos o cualquier otro medio que al efecto establezca el Instituto.
El Instituto podrá establecer formularios, sistemas y otros métodos simplificados para facilitar a los titulares el ejercicio de los derechos ARCO.
Cuando el responsable no sea competente para atender la solicitud para el ejercicio de los derechos ARCO, deberá hacer del conocimiento del titular dicha situación dentro de los tres días siguientes a la presentación de la solicitud y, en caso de poderlo determinar, orientarlo hacia el responsable competente.
Cuando las disposiciones aplicables a determinados tratamientos de datos personales establezcan un trámite o procedimiento específico para solicitar el ejercicio de los derechos ARCO, el responsable deberá informar al titular sobre la existencia del mismo, en un plazo no mayor a cinco días siguientes a la presentación de la solicitud para el ejercicio de los derechos ARCO, a efecto de que este último decida si ejerce tales derechos a través del trámite específico, o bien, por medio del procedimiento que el responsable haya institucionalizado para la atención de solicitudes para el ejercicio de los derechos ARCO, conforme a las disposiciones establecidas en este Capítulo.
Las únicas causas por las que el ejercicio de los derechos ARCO no será procedente son:
Contra la negativa de dar trámite a toda solicitud para el ejercicio de los derechos ARCO o por falta de respuesta del responsable, procederá la interposición del recurso de revisión a que se refiere el artículo 94 de la presente Ley.
Cuando se traten datos personales por vía electrónica en un formato estructurado y comúnmente utilizado, el titular tendrá derecho a obtener del responsable una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.
El encargado deberá realizar las actividades de tratamiento de los datos personales sin ostentar poder alguno de decisión sobre el alcance y contenido del mismo, así como limitar sus actuaciones a los términos fijados por el responsable.
La relación entre el responsable y el encargado deberá estar formalizada mediante contrato o cualquier otro instrumento jurídico que decida el responsable, de conformidad con la normativa que le resulte aplicable, y que permita acreditar su existencia, alcance y contenido.
Cuando el encargado incumpla las instrucciones del responsable y decida por sí mismo sobre el tratamiento de los datos personales, asumirá el carácter de responsable conforme a la legislación en la materia que le resulte aplicable.
El encargado podrá, a su vez, subcontratar servicios que impliquen el tratamiento de datos personales por cuenta del responsable, siempre y cuando medie la autorización expresa de este último. El subcontratado asumirá el carácter de encargado en los términos de la presente Ley y demás disposiciones que resulten aplicables en la materia.
Una vez obtenida la autorización expresa del responsable, el encargado deberá formalizar la relación adquirida con el subcontratado a través de un contrato o cualquier otro instrumento jurídico que decida, de conformidad con la normatividad que le resulte aplicable, y permita acreditar la existencia, alcance y contenido de la prestación del servicio, en términos de lo previsto en el presente Capítulo.
El responsable podrá contratar o adherirse a servicios, aplicaciones e infraestructura en el cómputo en la nube, y otras materias que impliquen el tratamiento de datos personales, siempre y cuando el proveedor externo garantice políticas de protección de datos personales equivalentes a los principios y deberes establecidos en la presente Ley y demás disposiciones que resulten aplicables en la materia.
Para el tratamiento de datos personales en servicios, aplicaciones e infraestructura de cómputo en la nube y otras materias, en los que el responsable se adhiera a los mismos mediante condiciones o cláusulas generales de contratación, sólo podrá utilizar aquellos servicios en los que el proveedor:
Toda transferencia de datos personales, sea ésta nacional o internacional, se encuentra sujeta al consentimiento de su titular, salvo las excepciones previstas en los artículos 16, 66 y 67 de la presente Ley.
Toda transferencia deberá formalizarse mediante la suscripción de cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico, de conformidad con la normatividad que le resulte aplicable al responsable, que permita demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y responsabilidades asumidas por las partes.
Cuando la transferencia sea nacional, el receptor de los datos personales deberá tratar los datos personales, comprometiéndose a garantizar la confidencialidad y únicamente utilizará para los fines que fueron transferidos atendiendo a lo convenido en el aviso de privacidad que le será comunicado por el responsable transferente.
El responsable sólo podrá transferir o hacer remisión de datos personales fuera del territorio nacional cuando el tercero receptor o el encargado se obliguen a proteger los datos personales conforme a los principios y deberes que establece la presente Ley y las disposiciones que resulten aplicables en la materia.
En toda transferencia de datos personales, el responsable deberá comunicar al receptor de los datos personales el aviso de privacidad conforme al cual se tratan los datos personales frente al titular.
El responsable podrá realizar transferencias de datos personales sin necesidad de requerir el consentimiento del titular, en los siguientes supuestos:
Las remisiones nacionales e internacionales de datos personales que se realicen entre responsable y encargado no requerirán ser informadas al titular, ni contar con su consentimiento.
Para el cumplimiento de las obligaciones previstas en la presente Ley, el responsable podrá desarrollar o adoptar, en lo individual o en acuerdo con otros responsables, encargados u organizaciones, esquemas de mejores prácticas que tengan por objeto:
Todo esquema de mejores prácticas que busque la validación o reconocimiento por parte del Instituto deberá:
Cuando el responsable pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que a su juicio y de conformidad con esta Ley impliquen el tratamiento intensivo o relevante de datos personales, deberá realizar una Evaluación de Impacto en la protección de datos personales, y presentarla ante el Instituto, el cual podrán emitir recomendaciones no vinculantes especializadas en la materia de protección de datos personales.
Para efectos de esta Ley se considerará que se está en presencia de un tratamiento intensivo o relevante de datos personales cuando:
Los responsables que realicen una Evaluación de Impacto en la protección de datos personales, deberán presentarla ante el Instituto, treinta días anteriores a la fecha en que se pretenda poner en operación o modificar políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología, ante el Instituto a efecto de que emitan las recomendaciones no vinculantes correspondientes.
El Instituto deberá emitir, de ser el caso, recomendaciones no vinculantes sobre la Evaluación de Impacto en la protección de datos personales presentado por el responsable. El plazo para la emisión de las recomendaciones a que se refiere el párrafo anterior será dentro de los treinta días siguientes contados a partir del día siguiente a la presentación de la evaluación.
Cuando a juicio del Sujeto Obligado se puedan comprometer los efectos que se pretenden lograr con la posible puesta en operación o modificación de políticas públicas, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento intensivo o relevante de datos personales o se trate de situaciones de emergencia o urgencia, no será necesario realizar la Evaluación de Impacto en la protección de datos personales.
Los responsables deberán designar a un oficial de protección de datos personales, quien será la persona encargada de tratar los datos personales en términos de la Ley General, la presente Ley y demás disposiciones aplicables, el cual podrá acudir a las sesiones del Comité de Transparencia de cada responsable, a petición del presidente, cuando el tema que se trate lo vincule.
El oficial de protección de datos personales será designado atendiendo a su experiencia y cualidades profesionales, en particular, a sus conocimientos en la materia y deberá contar con recursos suficientes para llevar a cabo su cometido.
El oficial de protección de datos personales tendrá las siguientes atribuciones:
La obtención y tratamiento de datos personales, en términos de lo que dispone esta Ley, por parte de los responsables competentes en instancias de seguridad, procuración y administración de justicia, está limitada a aquellos supuestos y categorías de datos que resulten necesarios y proporcionales para el ejercicio de las funciones en materia de seguridad pública, o para la prevención o persecución de los delitos. Deberán ser almacenados en las bases de datos establecidas para tal efecto.
En el tratamiento de datos personales, así como en el uso de las bases de datos para almacenamiento, que realicen los responsables competentes de las instancias de seguridad, procuración y administración de justicia deberá cumplir con los propósitos establecidos en el Título Segundo de la presente Ley.
Los responsables de las bases de datos a que se refiere este Capítulo, deberán establecer medidas de seguridad de nivel alto, para garantizar la integridad, disponibilidad y confidencialidad de la información, que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.
Cada responsable contará con un Comité de Transparencia, el cual se integrará y funcionará conforme a lo dispuesto en la Ley de Transparencia y Acceso a la Información Pública del Estado de Zacatecas y demás normativa aplicable.
Para los efectos de la presente Ley, y sin perjuicio de otras atribuciones que le sean conferidas en la normatividad que le resulte aplicable, el Comité de Transparencia tendrá las siguientes funciones:
Cada responsable contará con una Unidad de Transparencia, que se integrará y funcionará conforme a lo dispuesto en la Ley de Transparencia y Acceso a la Información Pública del Estado de Zacatecas, la presente Ley y demás normatividad aplicable.
El responsable procurará contar con la infraestructura y los medios tecnológicos necesarios para garantizar que las personas con algún tipo de discapacidad o grupos vulnerables, puedan ejercer, en igualdad de circunstancias, su derecho a la protección de datos personales.
En la designación del titular de la Unidad de Transparencia, el responsable estará a lo dispuesto en la Ley de Transparencia y Acceso a la Información Pública del Estado de Zacatecas y demás normativa aplicable.
El Instituto es un organismo público autónomo con personalidad jurídica y patrimonio propios, con autonomía en sus funciones e independencia en sus decisiones; tiene como atribuciones, promover la transparencia, garantizar el acceso a la información pública de libre acceso y proteger los datos personales en posesión de los responsables.
Para los efectos de la presente Ley y sin perjuicio de otras atribuciones que le sean conferidas en la normatividad que resulte aplicable, el Instituto tendrá las siguientes atribuciones:
Los responsables deberán colaborar con el Instituto, para capacitar y actualizar, de forma permanente, a todos sus servidores públicos en materia de protección de datos personales, a través de la impartición de cursos, seminarios, talleres y cualquier otra forma de enseñanza y entrenamiento que se considere pertinente.
El Instituto deberá, en coordinación con los responsables:
El titular, por sí mismo o a través de su representante, podrá interponer el recurso de revisión ante el Instituto o la Unidad de Transparencia del responsable que haya conocido de la solicitud para el ejercicio de los derechos ARCO, dentro de un plazo que no podrá exceder de quince días contados a partir del siguiente a la fecha de la notificación de la respuesta.
El recurso de revisión procederá en los siguientes supuestos:
Los únicos requisitos exigibles en el escrito de interposición del recurso de revisión serán los siguientes:
Una vez admitido el recurso de revisión, el Instituto podrá buscar una conciliación entre el titular y el responsable. De llegar a un acuerdo, éste se hará constar por escrito y tendrá efectos vinculantes. El recurso de revisión quedará sin materia y el Instituto, deberá verificar el cumplimiento del acuerdo respectivo.
Admitido el recurso de revisión y sin perjuicio de lo dispuesto por el artículo 65 de la presente Ley, el Instituto promoverá la conciliación entre las partes, de conformidad con el siguiente procedimiento:
El Instituto resolverá el recurso de revisión en un plazo que no podrá exceder de cuarenta días, el cual podrá ampliarse hasta por veinte días por una sola vez.
Durante el procedimiento a que se refiere el presente Capítulo, el Instituto deberá aplicar la suplencia de la queja a favor del titular, siempre y cuando no altere el contenido original del recurso de revisión, ni modifique los hechos o peticiones expuestas en el mismo, así como garantizar que las partes puedan presentar los argumentos y constancias que funden y motiven sus pretensiones.
Si en el escrito de interposición del recurso de revisión el titular no cumple con alguno de los requisitos previstos en el artículo 96 de la presente Ley y el Instituto no cuenta con elementos para subsanarlos, éste deberá requerir al titular, por una sola ocasión, la información que subsane las omisiones en un plazo que no podrá exceder de cinco días, contados a partir del día siguiente de la presentación del escrito. El titular contará con un plazo que no podrá exceder de cinco días, contados a partir del día siguiente al de la notificación de la prevención, para subsanar las omisiones, con el apercibimiento de que en caso de no cumplir con el requerimiento, se desechará el recurso de revisión.
Las resoluciones del Instituto podrán:
El recurso de revisión podrá ser desechado por improcedente cuando:
El recurso de revisión solo podrá ser sobreseído cuando:
El Instituto deberá notificar a las partes y publicar las resoluciones, en versión pública, a más tardar, al tercer día siguiente de su aprobación.
Las resoluciones del Instituto serán vinculantes, definitivas e inatacables para los responsables.
Tratándose de las resoluciones que emita el Instituto, los particulares podrán optar por acudir ante el Instituto Nacional interponiendo el recurso de inconformidad previsto en la Ley General o ante el Poder Judicial de la Federación mediante el juicio de amparo.
El recurso de inconformidad y la facultad de atracción que posee el Instituto Nacional, se sustanciarán conforme el procedimiento descrito en la Ley General y demás leyes reglamentarias.
Una vez que hayan causado ejecutoria las resoluciones dictadas en los recursos que se sometan a su competencia, el Instituto podrá emitir los criterios de interpretación que estime pertinentes y que deriven de los resuelto en dichos asuntos.
El Instituto tendrá la atribución de vigilar y verificar el cumplimiento de las disposiciones contenidas en la Ley General, la presente Ley y demás ordenamientos que se deriven de ésta.
La verificación podrá iniciarse:
Para la presentación de una denuncia no podrán solicitarse mayores requisitos que los que a continuación se describen:
La verificación iniciará mediante una orden escrita que funde y motive la procedencia de la actuación por parte del Instituto, la cual tiene por objeto requerir al responsable la documentación e información necesaria vinculada con la presunta violación o realizar visitas a las oficinas o instalaciones del responsable o, en su caso, en el lugar donde estén ubicadas las bases de datos personales respectivas.
El procedimiento de verificación concluirá con la resolución que emita el Instituto, en la cual se establecerán las medidas que deberá adoptar el responsable en el plazo que en ella se determine.
Los responsables podrán voluntariamente someterse a la realización de auditorías por parte del Instituto, que tengan por objeto verificar la adaptación, adecuación y eficacia de los controles, medidas y mecanismos implementados para el cumplimiento de las disposiciones previstas en la Ley General, la presente Ley y demás normativa que resulte aplicable.
El Instituto podrá imponer las siguientes medidas de apremio para asegurar el cumplimiento de sus determinaciones:
Si a pesar de la ejecución de las medidas de apremio previstas en el artículo anterior no se cumpliere con la resolución, se requerirá el cumplimiento al superior jerárquico para que en el plazo de cinco días lo obligue a cumplir sin demora.
Las medidas de apremio a que se refiere el presente Capítulo, deberán ser aplicadas por el Instituto o con el apoyo de la autoridad competente, de conformidad con los procedimientos que establezcan las leyes respectivas.
Las multas que fije el Instituto, se harán efectivas por la Secretaría de Finanzas del Estado, a través de los procedimientos que las leyes establezcan.
Para calificar las medidas de apremio establecidas en el presente Capítulo, el Instituto deberá considerar:
En caso de reincidencia, el Instituto podrá imponer una multa equivalente hasta el doble de la que se hubiera determinado por el Instituto.
Las medidas de apremio deberán aplicarse e implementarse en un plazo máximo de quince días, contados a partir de que sea notificada la medida de apremio al infractor.
La amonestación pública será impuesta por el Instituto y será ejecutada por el superior jerárquico inmediato del infractor con el que se relacione.
El Instituto podrá requerir al infractor la información necesaria para determinar su condición económica, apercibido de que en caso de no proporcionar la misma, las multas se cuantificarán con base en los elementos que se tengan a disposición, entendidos como los que se encuentren en los registros públicos, los que contengan medios de información o sus propias páginas de Internet y, en general, cualquiera que evidencie su condición, quedando facultado el Instituto para requerir aquella documentación que se considere indispensable para ese efecto a las autoridades competentes.
En contra de la imposición de medidas de apremio, procede el recurso correspondiente ante la autoridad jurisdiccional competente.
Serán causas de sanción por incumplimiento de las obligaciones establecidas en la materia de la presente Ley, las siguientes:
Para las conductas a que se refiere el artículo anterior se dará vista a la autoridad competente para que imponga o ejecute la sanción.
Las responsabilidades que resulten de los procedimientos administrativos correspondientes, derivados de la violación a lo dispuesto por el artículo 126 de esta Ley, son independientes de las del orden civil, penal o de cualquier otro tipo que se puedan derivar de los mismos hechos.
Ante incumplimientos por parte de los partidos políticos, el Instituto dará vista, al Instituto Electoral del Estado de Zacatecas, para que resuelvan lo conducente, sin perjuicio de las sanciones establecidas para los partidos políticos en las leyes aplicables.
En aquellos casos en que el presunto infractor tenga la calidad de servidor público, el Instituto deberá remitir a la autoridad competente, junto con la denuncia correspondiente, un expediente en que se contengan todos los elementos que sustenten la presunta responsabilidad administrativa.
En caso de que el incumplimiento de las determinaciones del Instituto impliquen la presunta comisión de un delito, el Instituto deberá denunciar los hechos ante la autoridad competente.
PRIMERO. La presente Ley entrará en vigor al día siguiente de su publicación en el Periódico Oficial, Órgano de Gobierno del Estado de Zacatecas.
N. de E. El Decreto 203 por el que Deroga el Artículo Tercero Transitorios de la Ley de Protección de Datos Personales en Posesión de los Sujetos Obligados del Estado de Zacatecas, no cuenta con artículos transitorios.