• Identificación
Datos como nombre, domicilio, teléfono particular y/o celular, cartilla militar, lugar y fecha de nacimiento, nacionalidad, edad, fotografía, clave del Registro Federal de Contribuyentes (RFC), Clave Única de Registro de Población (CURP), nombres de familiares.

•Electrónicos
Direcciones de correo electrónico, dirección IP (es aquella que identifica a un dispositivo en Internet o en una red local), dirección MAC (Identificador único que cada fabricante de dispositivos le asigna a la tarjeta de red, la cual va desde dispositivos móviles hasta ordenadores), usuarios, contraseñas, firma electrónica y cualquier otra forma de identificarse en internet.

•Laborales
Los contenidos en las solicitudes de empleo o cualquier documento de reclutamiento o selección, correo electrónico institucional, teléfono institucional, actividades extracurriculares, capacitaciones, nombramientos, incidencias y demás generadas de nuestra relación laboral.

•Patrimoniales
Bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas, servicios contratados y referencias personales.

•Sobre procedimientos administrativos o jurisdiccionales
Información de la persona, cuando se encuentra en algún juicio de procedimiento administrativo en cualquier rama de derecho.

•Datos académicos
Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados y reconocimientos.

• Movimientos migratorios
Información necesaria para el paso de personas dentro y fuera del país.

•Salud
Expedientes clínicos, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, uso de aparatos (Oftalmológicos, ortopédicos, auditivos, prótesis, etc.) y el estado físico y mental.

•Biométricos
Huellas dactilares, ADN, geometría de la mano, características de iris y retina.

•Sensibles
Datos referentes a la esfera más íntima de la persona cuya utilización indebida puede dar origen a discriminación o conlleve un riesgo grave para éste. Algunos ejemplos son: origen étnico o racial, ideología, opiniones políticas, convicciones religiosas y preferencia sexual

•De naturaleza pública
Aquellos que por ley pueden ser accesibles a todo público, como pueden ser datos de personas servidoras públicas correspondientes a su cargo.

Fundamento
Artículos 3 fracción X de la Ley de Datos y 67 de los Lineamientos de Datos. Para más información consulta la normatividad dando clic aquí.

El responsable, es cualquier autoridad, entidad, órgano, Partido Político, Fideicomisos y Fondos Públicos, que decida y determine finalidad, fines, medios, medidas de seguridad y demás cuestiones relacionadas con el tratamiento de datos personales, también entendido como sujeto obligado responsable. 

Fundamento
Artículos 3 fracción X de la Ley de Datos y 67 de los Lineamientos de Datos. Para más información consulta la normatividad dando clic aquí.

Responsable del sistema 
Es quien decide sobre la finalidad y el tratamiento de datos personales.

Usuarios  
Es el personal operativo del sujeto obligado que participa en el tratamiento de los datos personales. 

Encargados 
son instancias o instituciones que realizan acciones por instrucción del responsable. (remisiones) 

Fundamento
Artículos 3 fracción X de la Ley de Datos y 67 de los Lineamientos de Datos. Para más información consulta la normatividad dando clic aquí.

Remisión 
Es toda comunicación de datos personales realizada exclusivamente entre el responsable y el encargado, dentro o fuera del territorio mexicano.
-Ejemplo: Una institución bancaría que APOYA a alguna institución pública a realizar el pago de becas o apoyos económicos a los beneficiarios. 

Transferencia
Toda comunicación de datos personales dentro o fuera del territorio mexicano, realizada a persona distinta del titular, del responsable o del encargado. 
-Ejemplo: la institución pública responsable proporciona información a las autoridades del poder judicial para la investigación de algún posible delito, estas instituciones tienen por Ley la obligación de solicitar la información que sea necesaria para realizar su investigación y determinar si hubo o no una falta.

Fundamento
Artículos 3 fracción X de la Ley de Datos y 67 de los Lineamientos de Datos. Para más información consulta la normatividad dando clic aquí.

El responsable deberá comunicar a las personas titulares de los datos personales a quien o quienes se les puede hacer transferencia de datos personales, a través del aviso de privacidad, precisando aquellas en las que se requiere su consentimiento, considerando las excepciones que contempla la Ley de Datos.  

Fundamento
Artículos 3 fracción X de la Ley de Datos y 67 de los Lineamientos de Datos. Para más información consulta la normatividad dando clic aquí.

No en todos los casos, la Ley de Datos refiere aquellos supuestos en los que no es necesario obtener el consentimiento del titular, siendo estos:

I. Cuando una ley así lo disponga o cuando se recaben para el ejercicio de los Sujetos Obligados.

II. Cuando las transferencias entre sujetos obligados se encuentren de manera expresa en una ley o tenga por objeto fines históricos, estadísticos o científicos.

III. Existencia de una orden judicial. 

IV. Para el reconocimiento o defensa de los datos personales por parte del titular ante una autoridad competente. 

V. Exista un convenio, una relación contractual, laboral o administrativa y sean necesarios para el mantenimiento o cumplimiento de las obligaciones.

VI. Si los datos personales se requieren para ejercer un derecho o cumplir obligaciones entre el titular y el responsable. 

VII. Cuando exista una situación de emergencia que pueda dañar a un individuo en su persona o bienes.

VIII. En caso de que el titular no pueda otorgar su consentimiento por motivos de salud y el tratamiento de sus datos sea necesario para el diagnóstico médico.

IX. Sean necesarios para efectuar un tratamiento para la prevención, diagnóstico o la prestación de asistencia sanitaria. 

X.  En caso de que los datos personales no puedan asociarse a un titular. 

XI. Los datos se encuentren en registros públicos, siempre que no se vulneren los derechos y las libertades fundamentales de la persona. 

XII. Si el titular de los datos personales es una persona desaparecida según la ley

Fundamento
Artículos 3 fracción X de la Ley de Datos y 67 de los Lineamientos de Datos. Para más información consulta la normatividad dando clic aquí.

• Denominación

• Finalidad o finalidades

• Usos previstos a los datos

• Normativa aplicable

• Descripción de tipos de datos que se recaban

• Modo de tratamiento

• Figuras que intervienen

• Áreas y datos de contacto donde se podrán ejercerse los derechos de acceso, rectificación, cancelación y oposición (ARCO) y su procedimiento

• El nivel de seguridad y los mecanismos de protección exigibles.

Fundamento
Los artículos 37 fracción I de la Ley de Datos y 70 de los Lineamientos de Datos, refieren el contenido mínimo de un sistema de datos personales. Para más información consulta la normativa dando clic aquí.

Que es el nivel de seguridad 

• El nivel de seguridad se puede entender como la clasificación que establece el nivel de protección que requieren los sistemas de datos personales. 

• La identificación y establecimiento del nivel de seguridad se asocia de forma directa con la sensibilidad del dato personal que se trata. Mientras más sensibles sean los datos tratados, mayor rigor se debe aplicar en la protección de los mismos

• Es pertinente indicar que las medidas de seguridad asociadas a los niveles son acumulativas, por ejemplo, en el nivel medio se incluyen, además de las medidas de seguridad que corresponden a este nivel, las adoptadas en el nivel básico, y en consecuencia, en el nivel alto se contendrán las correspondientes al nivel básico y al nivel medio, en adición a las propias del mismo

NIVEL BÁSICO 

• Es el nivel que refiere a las medidas generales de seguridad cuya aplicación será obligatoria para el tratamiento y protección de todos los sistemas de datos personales en posesión de los sujetos obligados. 

• Los sistemas de datos personales que contemplan solo datos de identificación, laborales o de naturaleza pública deben implementar como mínimo estas medidas de seguridad. 

• Datos de identificación 

• Datos laborales 

• Datos de naturaleza pública

NIVEL MEDIO

• Se refiere a las medidas de seguridad requeridas para aquellos sistemas de datos relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales, así como los sistemas que contengan datos con los que se permita obtener evaluación de personalidad o perfiles de cualquier tipo en el presente pasado o futuro

• Datos patrimoniales

• Datos sobre procedimientos administrativos seguidos en forma de juicio y/o jurisdiccionales

• Datos académicos

• Datos de tránsito y movimientos migratorios 

• Datos electrónicos  

• Datos afectivos y/o familiares 

• Datos de relaciones de negocios

• Datos de relaciones familiares

• datos de relaciones profesionales

NIVEL ALTO

• Corresponde a las medidas de seguridad aplicables a sistemas de datos concernientes a ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual, así como los que contengan datos recabados para fines policiales, de seguridad, prevención, investigación y persecución de delito.

• Datos ideológicos

• Datos de salud 

• Datos biométricos

Fundamento
Los artículos 37 fracción I de la Ley de Datos y 70 de los Lineamientos de Datos, refieren el contenido mínimo de un sistema de datos personales. Para más información consulta la normativa dando clic aquí.

Mecanismos de protección

Los mecanismos de protección exigibles los entenderemos como las medidas de seguridad aplicables, las cuales se definen como el conjunto de acciones, actividades, controles o mecanismos administrativos, técnicos y físicos que permitan proteger los datos y sistemas de datos personales

Mecanismos de seguridad

• Medidas de seguridad físicas

Políticas y procedimientos para la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación, clasificación y borrado seguro de la información, así como la sensibilización y capacitación del personal, en materia de protección de datos personales.

De manera enunciativa más no limitativa, se consideran las siguientes actividades:

• Programa de capacitación del personal

• Políticas de borrado

• Medidas de seguridad administrativas

Conjunto de acciones y mecanismos para proteger el entorno físico de los datos personales y de los recursos involucrados en su tratamiento. De manera enunciativa más no limitativa, se consideran las siguientes actividades:

• Prevenir el acceso no autorizado al perímetro de la organización, sus instalaciones físicas, áreas críticas, recursos e información.

• Prevenir el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, recursos e información.

• Proteger los recursos móviles, portátiles y cualquier soporte físico o electrónico que pueda salir de la organización.

• Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento eficaz, que asegure su disponibilidad e integridad.

• Medidas de seguridad técnicas

Conjunto de acciones y mecanismos que se valen de la tecnología relacionada con hardware y software para proteger el entorno digital de los datos personales y los recursos involucrados en su tratamiento; de manera enunciativa más no limitativa, se consideran las siguientes actividades:

• Prevenir que el acceso a las bases de datos o a la información, así como a los recursos, sea por usuarios identificados y autorizados.

• Generar un esquema de privilegios para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones.

• Revisar la configuración de seguridad en la adquisición, operación, desarrollo y mantenimiento del software y hardware.

• Gestionar las comunicaciones, operaciones y medios de almacenamiento de los recursos informáticos en el tratamiento de datos personales.

Fundamento
Los artículos 37 fracción I de la Ley de Datos y 70 de los Lineamientos de Datos, refieren el contenido mínimo de un sistema de datos personales. Para más información consulta la normativa dando clic aquí.

El responsable del sistema de datos personales es el encargado de informar sobre las medidas de seguridad que las personas involucradas en el tratamiento deben cumplir, así como, supervisar que las mismas se lleven a cabo con el fin de evitar vulneraciones.

Fundamento
Los artículos 37 fracción I de la Ley de Datos y 70 de los Lineamientos de Datos, refieren el contenido mínimo de un sistema de datos personales. Para más información consulta la normativa dando clic aquí.