“En los Estados Unidos Mexicanos todas las personas gozarán de los derechos humanos reconocidos en esta Constitución y en los tratados internacionales de los que el Estado Mexicano sea parte, así como de las garantías para su protección, cuyo ejercicio no podrá restringirse ni suspenderse, salvo en los casos y bajo las condiciones que esta Constitución establece. Las normas relativas a los derechos humanos se interpretarán de conformidad con esta Constitución y con los tratados internacionales de la materia favoreciendo en todo tiempo a las personas la protección más amplia. Todas las autoridades, en el ámbito de sus competencias, tienen la obligación de promover, respetar, proteger y garantizar los derechos humanos de conformidad con los principios de universalidad, interdependencia, indivisibilidad y progresividad. En consecuencia, el Estado deberá prevenir, investigar, sancionar y reparar las violaciones a los derechos humanos, en los términos que establezca la ley.
(…)
Queda prohibida toda discriminación motivada por origen étnico o nacional, el género, la edad, las discapacidades, la condición social, las condiciones de salud, la religión, las opiniones, las preferencias sexuales, el estado civil o cualquier otra que atente contra la dignidad humana y tenga por objeto anular o menoscabar los derechos y libertades de las personas.”

“Toda persona tiene derecho a la protección de la salud. La Ley definirá las bases y modalidades para el acceso a los servicios de salud y establecerá la concurrencia de la Federación y las entidades federativas en materia de salubridad general, conforme a lo que dispone la fracción XVI del artículo 73 de esta Constitución.”

“Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.”

“Para los efectos de la presente Ley se entiende por:
(…)
Datos Personales: Cualquier información concerniente a una persona física identificada o identificable expresada en forma numérica, alfabética, alfanumérica, gráfica, fotográfica, acústica o en cualquier otro formato. Se considera que una persona es identificable cuando su identidad puede determinarse directa o indirectamente a través de cualquier información, siempre y cuando esto no requiera plazos, medios o actividades desproporcionadas;
IX. Datos Personales Sensibles: Aquéllos que se refieren a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. Se consideran sensibles, de manera enunciativa mas no limitativa, los Datos Personales que puedan revelar aspectos como origen racial o étnico, estado de salud pasado, presente o futuro, creencias religiosas, filosóficas y morales, opiniones políticas, datos genéticos o datos biométricos;”

“Los datos personales son irrenunciables, intransferibles e indelegables. El Estado garantizará la privacidad de los individuos y deberá velar porque terceras personas no incurran en conductas que puedan afectarla arbitrariamente.”

“Por regla general no podrán tratarse datos personales sensibles, salvo que: I. Los mismos sean estrictamente necesarios para el ejercicio y cumplimiento de las atribuciones y obligaciones expresamente previstas en las normas que regulan la actuación del Responsable;
II. Se dé cumplimiento a un mandato legal;
III. Se cuente con el consentimiento expreso y por escrito del titular, o
IV. Sean necesarios por razones de seguridad pública, orden público, salud pública o salvaguarda de derechos de terceros.”

“En todo Tratamiento de Datos Personales que efectúe el Responsable deberá observar los principios de licitud, finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad.”

“En todo tratamiento de datos personales el responsable deberá observar los siguientes principios rectores de la protección de datos personales:
I. Licitud: consiste en el deber, por parte del responsable, de llevar a cabo el tratamiento de datos personales conforme y en base a las facultades y atribuciones que la correspondiente normativa le confiera;
II. Finalidad: constriñe al responsable a efectuar el tratamiento de datos personales únicamente cuando dicho tratamiento se encuentre justificado por finalidades concretas, explícitas, lícitas y legítimas, en relación con las atribuciones que la normativa aplicable le confiera;
III. Lealtad: informa que el responsable no deberá obtener y tratar datos personales a través de medios engañosos o fraudulentos;
IV. Consentimiento: informa que, para el tratamiento de datos personales, el responsable deberá recabar la anuencia libre, específica e informada del titular. Lo anterior con la salvedad que la ley establece como excepciones;
V. Calidad: conlleva el deber a cargo del responsable de adoptar medidas necesarias para mantener exactos, correctos y actualizados los datos personales que se encuentren en su posesión;
VI. Proporcionalidad: exige que cualquier tratamiento de datos personales no vaya más allá de lo necesario para alcanzar sus objetivos. Este deber se traduce en que los datos personales que se pretendan recabar del titular sean adecuados, relevantes, pertinentes y estrictamente necesarios para la finalidad que justifica su tratamiento;
VII. Información: consiste en el deber de comunicar al titular, a través de sendos avisos de privacidad, simplificado e integral, información suficiente acerca de la existencia, alcances, condiciones y características principales del tratamiento al que serán sometidos sus datos personales, y
VIII. Responsabilidad: impone al responsable la obligación de implementar mecanismos necesarios para acreditar el cumplimiento de los principios, deberes y obligaciones establecidos en las Leyes General y Estatal y en los presentes Lineamientos Generales, así como el deber de rendir cuentas al titular con relación al tratamiento de los datos personales que estén en su posesión.”

“Con independencia del tipo de sistema en el que se encuentren los datos personales o el tipo de tratamiento que se efectúe, el responsable deberá establecer y mantener las medidas de seguridad de carácter administrativo, físico y técnico para la protección de los datos personales, que permitan protegerlos contra daño, pérdida, alteración, destrucción o su uso, acceso o tratamiento no autorizado, así como garantizar su confidencialidad, integridad y disponibilidad.
(…)”

“El responsable deberá establecer controles o mecanismos que tengan por objeto que todas aquellas personas que intervengan en cualquier fase del tratamiento de los datos personales, guarden confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el mismo.
(…)”

“En todo momento el titular o su representante podrán solicitar al responsable el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le conciernen, de conformidad con lo establecido en el presente título.”

“El titular, por sí mismo o a través de su representante, podrá interponer un recurso de revisión ante el instituto de transparencia o la unidad de transparencia del responsable que haya conocido de la solicitud para el ejercicio de los derechos arco, dentro de un plazo que no podrá exceder de quince días contados a partir del día siguiente a la fecha de notificación de la respuesta. Transcurrido el plazo previsto para dar respuesta a una solicitud para el ejercicio de los derechos ARCO sin que se haya emitido ésta, el titular o, en su caso, su representante podrá interponer el recurso de revisión dentro de los quince días siguientes al que haya vencido el plazo para dar respuesta.”

“El Instituto de Transparencia tendrá la atribución de vigilar y verificar el cumplimiento de las disposiciones contenidas en la presente Ley y demás ordenamientos que se deriven de ésta.
En el ejercicio de las funciones de vigilancia y verificación, el Instituto de Transparencia deberá guardar confidencialidad sobre la información a la que tengan acceso en virtud de la verificación correspondiente.”
“La verificación podrá iniciarse:
I. De oficio cuando el Instituto de Transparencia cuente con indicios que le hagan presumir de manera fundada y motivada, la existencia de violaciones a la Ley y normativa que resulte aplicable;
II. Por denuncia del titular cuando considere que ha sido afectado por actos del Responsable que puedan ser contrarios a lo dispuesto por la Ley y normativa aplicable, o
III. Por cualquier persona cuando tenga conocimiento de presuntos incumplimientos a las obligaciones previstas en la Ley y demás disposiciones que resulten aplicables en la materia.
(…)”.