Instituto de Acceso a la Información Pública y Protección de Datos

Personales del Estado de Tlaxcala

HACIA UN IAIP TLAXCALA MÁS CERCANO Y EFICIENTE

Programa Integral de Verificación y Evaluación del Cumplimiento de los Avisos de Privacidad

por parte de los Sujetos Obligados

El Instituto de Acceso a la Información Pública y Protección de Datos Personales emite el

Programa Integral de Verificación y Evaluación del Cumplimiento de los Avisos de Privacidad
por parte de los Sujetos Obligados como un mecanismo para coadyuvar en el cumplimiento
de las disposiciones legales y fortalecer los principios de protección de datos personales que
todo sujeto obligado debe observar en el tratamiento de datos personales, siendo licitud,
finalidad, lealtad, consentimiento, calidad, proporcionalidad, información y responsabilidad,
los cuáles se materializan al poner a disposición los avisos de privacidad acorde a cada
tratamiento que realizan las unidades administrativas de los sujetos obligados.

GLOSARIO:

Datos personales: Cualquier información concerniente a una persona física identificada o

identificable. Se considera que una persona es identificable cuando su identidad pueda
determinarse directa o indirectamente a través de cualquier información.

Datos personales sensibles: Aquellos que se refieran a la esfera más íntima de su titular, o cuya
utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De
manera enunciativa más no limitativa, se consideran sensibles los datos personales que puedan
revelar aspectos como origen racial o étnico, estado de salud presente o futuro, información
genética, creencias religiosas, filosóficas y morales, opiniones políticas y preferencia sexual.

Días: Días hábiles.

Deber de Seguridad: Implica que los titulares de los datos personales tengan el derecho a que
la información personal que proporcionen a los responsables se resguarde bajo medidas de
seguridad adecuadas, que eviten su pérdida, alteración, destrucción, daño o uso, acceso o
tratamiento no autorizado. En ese sentido, los responsables se encuentran obligados a
resguardar los datos personales en bases de datos protegidas con medidas de seguridad
administrativas, físicas o técnicas.
 Instituto de Acceso a la Información Pública y Protección de Datos
Personales del Estado de Tlaxcala

HACIA UN IAIP TLAXCALA MÁS CERCANO Y EFICIENTE

Deber de Confidencialidad: Consiste en la obligación del responsable de establecer controles
o mecanismos que tengan por objeto que todas aquellas personas que intervengan en
cualquier fase del tratamiento de los datos personales, guarden confidencialidad respecto de
éstos, obligación que subsistirá aún después de finalizar sus relaciones con el mismo.

Encargado: La persona física o jurídica, pública o privada, ajena a la organización del

responsable, que sola o conjuntamente con otras trate datos personales a nombre y por cuenta
del responsable.

Instituto: El Instituto de Acceso a la Información Pública y Protección de Datos Personales del

Estado de Tlaxcala.

Inspección ordinaria de oficio: Proceso de examinar, evaluar y verificar los avisos de privacidad
integral y simplificado para asegurarse de que cumplan con las normas respectivas; proceso
que se efectúa sin necesidad de que un particular lo solicite.

Inspección física ordinaria de oficio: Proceso que se efectúa en el domicilio oficial del sujeto
obligado para examinar, evaluar y verificar los avisos de privacidad integral y simplificado con
la finalidad de asegurarse que cumplan con las normas respectivas; proceso que se efectúa
sin necesidad de que un particular lo solicite.

Ley: la Ley de Protección de Datos Personales en posesión de sujetos obligados del Estado de
Tlaxcala.

Ley General: Ley General de Protección de Datos Personales en posesión de sujetos obligados.

Responsable: Son los titulares de los sujetos obligados, quienes en conjunto con los demás
servidores públicos dan tratamiento a los datos personales que se encuentran en su posesión.

Titular: La persona física a quien corresponden los datos personales.

Transferencia: Toda comunicación de datos personales dentro o fuera del territorio mexicano,
realizada a persona distinta del titular, del responsable o del encargado.
 Instituto de Acceso a la Información Pública y Protección de Datos
Personales del Estado de Tlaxcala

HACIA UN IAIP TLAXCALA MÁS CERCANO Y EFICIENTE

Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante
procedimientos manuales o automatizados aplicados a los datos personales, relacionadas con
la obtención, uso, registro, organización, conservación, elaboración, utilización, comunicación,
difusión, almacenamiento, posesión, acceso, manejo, aprovechamiento, divulgación,
transferencia o disposición de datos personales.

Principio de Licitud: Principio que dicta que el responsable, llevará a cabo el tratamiento de
datos personales conforme y en base a las facultades y atribuciones que la correspondiente
normativa le confiera.

Principio de Finalidad: Principio que dicta que todo tratamiento de datos personales que
efectué el responsable deberá estar justificado por finalidades concretas, lícitas, explícitas y
legítimas, en relación con las atribuciones expresas que la normatividad aplicable le confiera.

Principio de Lealtad: Principio que dicta que el responsable no deberá obtener y tratar datos
personales, a través de medios engañosos o fraudulentos, privilegiando la protección de los
intereses del titular y la expectativa razonable de privacidad.

Principio de consentimiento: Principio que dicta que el responsable debe solicitar autorización
o consentimiento por parte del titular a efecto de poder tratar sus datos personales, sobre todo
cuando se trata de datos sensibles. Este principio permite a los titulares de datos personales
decidir de manera informada, libre, inequívoca y específica si quieren compartir su información
con otras personas y qué información compartirán.

Principio de calidad: Principio que dicta que el responsable debe adoptar las medidas
necesarias para mantener exactos, completos, correctos y actualizados los datos personales
que está tratando y se encuentren bajo su resguardo y posesión, a fin de que no se altere la
veracidad de éstos y según se requiera para el cumplimiento de las finalidades concretas,
explícitas lícitas y legítimas que motivaron su tratamiento. Se presume que se cumple con él
principio de calidad en los datos personales, cuando éstos son proporcionados directamente
por el titular y hasta que éste no manifieste y acredite lo contrario.
 Instituto de Acceso a la Información Pública y Protección de Datos
Personales del Estado de Tlaxcala

HACIA UN IAIP TLAXCALA MÁS CERCANO Y EFICIENTE

Principio de Proporcionalidad: Principio que dicta la obligación del responsable de tratar única
y exclusivamente los datos personales que resulten adecuados, relevantes y estrictamente
necesarios para la finalidad concreta, explícita, lícita y legítima que justifica su tratamiento.

Principio de Información: Principio que determina que el responsable deberá informar al titular
a través del aviso de privacidad la existencia y características principales del tratamiento al
que serán sometidos sus datos personales, a fin de que pueda tomar decisión es informadas al
respecto.

Principio de responsabilidad: Principio que determina la obligación del responsable de adoptar

los siguientes mecanismos de protección y seguridad en materia de tratamiento de datos
personales: Destinar recursos autorizados para instrumentar programas y políticas de protección
de datos personales; poner en práctica un programa de capacitación y actualización del
personal sobre las obligaciones y demás deber es en la materia; revisar periódicamente las
políticas y programas de seguridad de datos personales; establecer un sistema de supervisión
y vigilancia interna y/o externa, de las políticas de protección de datos personales; establecer
procedimientos para recibir y responder dudas y quejas de los titulares; diseñar, desarrollare
implementar políticas públicas, programas, servicios, sistemas o plataformas informáticas,
aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento de datos
personales y garantizar que sus políticas públicas, programas, servicios, sistemas o plataformas
informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique el tratamiento
de datos personales, cumplan por defecto con las obligaciones previstas en la Ley y las demás
normativa que resulte aplicable en la materia.

OBJETIVO GENERAL:

Garantizar la observancia de los deberes y principios de protección de datos personales

establecidos en la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del
Estado de Tlaxcala y demás disposiciones aplicables. Esto se logrará fortaleciendo la cultura de
protección de datos en la sociedad tlaxcalteca, asegurando que los sujetos obligados
cumplan con la correcta puesta a disposición de los avisos de privacidad. Asimismo, el
 Instituto de Acceso a la Información Pública y Protección de Datos
Personales del Estado de Tlaxcala

HACIA UN IAIP TLAXCALA MÁS CERCANO Y EFICIENTE

programa busca promover la protección efectiva de los datos personales, fomentar la
responsabilidad institucional en la gestión de información confidencial y contribuir al
fortalecimiento de la confianza social y la transparencia en el tratamiento de datos personales.

OBJETIVOS ESPECÍFICOS:

1. Garantizar el ejercicio del derecho a la protección de datos personales en posesión de

sujetos obligados.
2. Promover y difundir entre los sujetos obligados la importancia del cumplimiento de este
derecho.
3. Coadyuvar en el cumplimiento de la obligación de los sujetos obligados de respetar y
aplicar los principios y deberes que rigen el tratamiento de datos personales.
4. Concientizar a los sujetos obligados sobre las responsabilidades y posibles sanciones
derivadas del incumplimiento en la puesta a disposición de los avisos de privacidad.
5. Aplicar criterios e indicadores para verificar y evaluar la correcta elaboración y difusión
de los avisos de privacidad de los sujetos obligados del estado de Tlaxcala.
6. Realizar visitas de inspección ordinarias de oficio para verificar la actuación de los
sujetos obligados en materia de avisos de privacidad, en cumplimiento con la
normatividad vigente, con base en la atribución del IAIP Tlaxcala como autoridad
responsable del control y vigilancia del correcto tratamiento de datos personales.

FUNDAMENTO JURIDICO

El derecho a la protección de datos personales está reconocido en la Constitución Política de

los Estados Unidos Mexicanos, específicamente en:

 Artículo 6, apartado A, fracción II, que establece que la información relativa a la vida
privada de las personas será protegida conforme a la ley.
 Artículo 16, que señala que toda persona tiene derecho a la protección de sus datos
personales.
 Instituto de Acceso a la Información Pública y Protección de Datos
Personales del Estado de Tlaxcala

HACIA UN IAIP TLAXCALA MÁS CERCANO Y EFICIENTE

En este marco, el 26 de enero de 2017, se publicó en el Diario Oficial de la Federación el Decreto
por el que se expidió la Ley General de Protección de Datos Personales en Posesión de Sujetos
Obligados. Esta ley establece las bases, principios y procedimientos para garantizar el derecho
de toda persona a la protección de sus datos personales en posesión de sujetos obligados.

Como parte del proceso de armonización legislativa, el 18 de julio de 2017, se publicó en

Tlaxcala la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado
de Tlaxcala. En esta normativa, los artículos 17, 18 y 19 establecen la obligación de los sujetos
obligados de informar a los titulares sobre las principales características del tratamiento de sus
datos personales mediante la puesta a disposición del Aviso de Privacidad, en sus dos
modalidades: simplificado e integral. Esto permite que los titulares tomen decisiones informadas
respecto al uso de sus datos.

El artículo 20 de esta ley establece que los sujetos obligados deben implementar mecanismos
para acreditar el cumplimiento de los principios, deberes y obligaciones en materia de
protección de datos personales, así como rendir cuentas sobre su tratamiento tanto a los
titulares como al IAIP Tlaxcala.

Por su parte, los artículos 78 y 79 fracciones I, V, IX, XII y XXI de la misma ley, facultan al IAIP
Tlaxcala para dirigir, vigilar y evaluar el cumplimiento de las normas en la materia, asegurando
así la correcta protección y tratamiento de los datos personales. Como parte de estas
facultades, el IAIP Tlaxcala tiene la responsabilidad de evaluar la actuación de los sujetos
obligados a través de visitas de inspección ordinarias de oficio, con el fin de verificar el
cumplimiento de los principios establecidos en la ley.

Finalmente, el artículo 119, fracción V, de la Ley de Protección de Datos Personales en Posesión

de Sujetos Obligados del Estado de Tlaxcala establece que no contar con un Aviso de
Privacidad o presentar omisiones en sus elementos esenciales es causa de sanción. Esto justifica
la implementación del Programa Integral de Verificación y Evaluación del Cumplimiento de los
Avisos de Privacidad, con el objetivo de garantizar el respeto y la aplicación de la normatividad
vigente.
 Instituto de Acceso a la Información Pública y Protección de Datos
Personales del Estado de Tlaxcala

HACIA UN IAIP TLAXCALA MÁS CERCANO Y EFICIENTE

APLICACIÓN Y OBSERVACIÓN

El presente programa aplica a todos los sujetos obligados registrados en el padrón del IAIP
Tlaxcala. Dichos sujetos deberán observar las disposiciones establecidas en este documento,
las cuales han sido homologadas a la Ley, para garantizar el cumplimiento de sus obligaciones
en protección de datos personales.

DESARROLLO DEL PROGRAMA

1.- Capacitación Virtual. El IAIP Tlaxcala enviará a todos los sujetos obligados, a través del
Sistema Integral de Información de los Sujetos Obligados del Estado de Tlaxcala (SIISOT), una
capacitación virtual titulada "Avisos de Privacidad". Su objetivo es proporcionar herramientas
que faciliten la elaboración, actualización y, en su caso, modificación de los avisos de
privacidad en sus dos modalidades: integral y simplificado. Asimismo, se notificará oficialmente
la puesta en marcha del presente programa.

2.- Acta Circunstanciada. Todas y cada una de las actuaciones desahogadas durante la
inspección ordinaria a los avisos de privacidad se hará constar en acta circunstanciada, de la
cual se entregará copia al Sujeto Obligado respectivo, a través del sistema web oficial
autorizado denominado SIISOT.

3.- Modalidades de verificación y evaluación. La verificación y evaluación de los avisos de

privacidad de los sujetos obligados se realizará en dos modalidades:

a) Inspección física ordinaria de oficio.

b) Inspección ordinaria de oficio.

En ambas modalidades, se verificará el cumplimiento de los requisitos establecidos en los

artículos 17, 18 y 19 de la Ley de Protección de Datos Personales en Posesión de Sujetos
Obligados del Estado de Tlaxcala.
 Instituto de Acceso a la Información Pública y Protección de Datos
Personales del Estado de Tlaxcala

HACIA UN IAIP TLAXCALA MÁS CERCANO Y EFICIENTE

“Artículo 17. El sujeto obligado deberá informar al titular, a través del aviso de privacidad, la existencia y
características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda
tomar decisiones informadas al respecto.

Por regla general, el aviso de privacidad deberá ser difundido por los medios electrónicos y
físicos con que cuente el responsable.

Para que el aviso de privacidad cumpla de manera eficiente con su función de informar,
deberá estar redactado y estructurado de manera clara y sencilla.

Cuando resulte imposible dar a conocer al titular el aviso de privacidad de manera directa, o
ello exija esfuerzos desproporcionados, el sujeto obligado podrá instrumentar medidas
compensatorias de comunicación masiva de acuerdo con los criterios que para tal efecto
emita el Sistema Nacional de Transparencia, Acceso a la Información Pública y Protección de
Datos Personales.

Artículo 18. El aviso de privacidad a que se refiere el artículo 3, fracción II, de la Ley General se pondrá a
disposición del titular en dos modalidades: simplificado e integral. El aviso simplificado deberá contener la
información siguiente: siguiente procedimiento:

I. La denominación del sujeto obligado;

II. Las finalidades del tratamiento para las cuales se obtienen los datos personales,
distinguiendo aquéllas que requieran el consentimiento del titular; III. Cuando se realicen
transferencias de datos personales que requieran consentimiento, se deberá informar:
a) Las autoridades, poderes, entidades, órganos y organismos gubernamentales de los
tres órdenes de gobierno y las personas físicas o morales a las que se transfieren los datos
personales, y
b) Las finalidades de estas transferencias;
IV. Los mecanismos y medios disponibles para que el titular, en su caso, pueda manifestar su
negativa para el tratamiento de sus datos personales para finalidades y transferencias de
datos personales que requieren el consentimiento del titular, y
V. El sitio donde se podrá consultar el aviso de privacidad integral. La puesta a disposición del
aviso de privacidad indicado en este artículo no exime al sujeto obligado de la obligación de
proveer mecanismos para que el titular pueda conocer el contenido del aviso de privacidad
que se refiere en el artículo siguiente.

Los mecanismos y medios referidos en la fracción IV de este artículo deberán estar disponibles
para que el titular pueda manifestar su negativa al tratamiento de sus datos personales en los
casos en que las finalidades o transferencias requieran el consentimiento del titular, previo a
que ocurra dicho tratamiento.

Artículo 19. Además de lo dispuesto en el artículo anterior, el aviso de privacidad integral deberá contener,
al menos, la información siguiente:

I. El domicilio del sujeto obligado;

II. Los datos personales que serán sometidos a tratamiento, identificando aquéllos que son
sensibles;
III. El fundamento legal que faculta al sujeto obligado para llevar a cabo el tratamiento
IV. Las finalidades del tratamiento para las cuales se obtienen los datos personales,
distinguiendo aquéllas que requieren el consentimiento del titular;
V. Los mecanismos, medios y procedimientos disponibles para ejercer los derechos ARCO;
VI. El domicilio del Oficial de Protección de Datos Personales, y
 Instituto de Acceso a la Información Pública y Protección de Datos
Personales del Estado de Tlaxcala

HACIA UN IAIP TLAXCALA MÁS CERCANO Y EFICIENTE

VII. Los medios a través de los cuales el sujeto obligado comunicará a los titulares los cambios
al aviso de privacidad”

a) Inspección física ordinaria de oficio. Para la ejecución del programa, el 20% de los sujetos
obligados podrán participar en esta modalidad, conforme a la convocatoria que para tal
efecto, se les notificará vía SIISOT.

Si el número de interesados en esta modalidad es menor o excede el 20% del total de sujetos
obligados, se aplicará la ruleta aprobada por el Consejo General del IAIP Tlaxcala para
seleccionar a los participantes, garantizando la inspección de al menos el 20% del total de
sujetos obligados.

Los sujetos obligados inscritos y seleccionados en esta modalidad, serán sometidos a inspección
presencial en su domicilio oficial. El procedimiento será el siguiente:

I. Identificación y presentación.
o El personal del IAIP Tlaxcala comparecerá en el domicilio oficial del sujeto
obligado, estableciendo comunicación con el Titular de la Unidad de
Transparencia y/o con el Oficial de Protección de Datos Personales.
o Se identificará con documento vigente que lo acredite para realizar la
inspección.
II. Recorrido y verificación.
o Se inspeccionarán las Unidades Administrativas o Áreas que traten datos
personales, evaluando la visibilidad, accesibilidad y adecuación de los avisos de
privacidad conforme a la normativa vigente.
o Durante la visita, el responsable del tratamiento, el Titular de la Unidad de
Transparencia o el Oficial de Protección de Datos Personales podrán manifestar
lo que a su derecho convenga.
III. Evaluación y observaciones.
o Se aplicará un Formato de Evaluación de Avisos de Privacidad del IAIP Tlaxcala
que contempla los 10 criterios elementales que deben contener dichos
documentos.
 Instituto de Acceso a la Información Pública y Protección de Datos
Personales del Estado de Tlaxcala

HACIA UN IAIP TLAXCALA MÁS CERCANO Y EFICIENTE

o Se comunicarán los resultados y las observaciones correspondientes.

o Al concluir la verificación del 20% de los sujetos obligados, previa aprobación del
Consejo General del IAIP Tlaxcala, se publicarán los resultados obtenidos por
cada sujeto obligado y se les recomendará atender las observaciones realizadas,
posteriormente tendrán la posibilidad de solicitar auditoría voluntaria en término
del artículo 151 de la Ley Local de la materia, sin que estas últimas modifiquen el
resultado obtenido en el programa.

b) Inspección ordinaria de oficio. Aquellos sujetos obligados que no participen en la

modalidad “a)”, serán sometidos a inspección ordinaria de oficio, lo que implica que,
dentro del periodo comprendido del 01 al 15 de abril de 2025, deberán:

 Remitir sus avisos de privacidad mediante notificación oficial a través del SIISOT.
 Remitir evidencia fotográfica que demuestre la puesta a disposición de los avisos,
conforme a todos los tratamientos de datos personales que realicen.
 Remitir hipervínculo oficial donde se concentran los avisos de privacidad, en sus dos
modalidades (integral y simplificado), en apego al Artículo 17 de la Ley de Protección
de Datos Personales en Posesión de Sujetos Obligados del Estado de Tlaxcala, que
establece:

“… el aviso de privacidad deberá ser difundido por los medios electrónicos y físicos con que
cuente el responsable.”

Lo anterior también se encuentra regulado en el acuerdo CG/ORD/21/28-10-2022, que

aprueba los Lineamientos del SIISOT publicados en el Periódico Oficial del Estado.

Para los sujetos obligados a quienes les sea aplicable esta modalidad:

o Se verificará y evaluará cada aviso de privacidad remitido.

 Instituto de Acceso a la Información Pública y Protección de Datos
Personales del Estado de Tlaxcala

HACIA UN IAIP TLAXCALA MÁS CERCANO Y EFICIENTE

o Se analizará la evidencia fotográfica que demuestre la puesta a disposición de los
avisos, conforme a todos los tratamientos de datos personales que realicen.
o Se revisará el hipervínculo oficial donde se concentran los avisos de privacidad,
en sus dos modalidades (integral y simplificado)
o Se aplicará un Formato de Evaluación de Avisos de Privacidad del IAIP Tlaxcala
que contempla los 10 criterios elementales que deben contener dichos
documentos.
o Al concluir la verificación del 80% de los sujetos obligados restantes, previa
aprobación del Consejo General del IAIP Tlaxcala, se publicarán los resultados
obtenidos por cada sujeto obligado y se les recomendará atender las
observaciones realizadas, posteriormente tendrán la posibilidad de solicitar
auditoría voluntaria en término del artículo 151 de la Ley Local de la materia, sin
que estas últimas modifiquen el resultado obtenido en el programa.

PARÁMETROS DE EVALUACION

El Formato de Evaluación tiene como único objetivo verificar que los avisos de privacidad
contengan los elementos informativos establecidos en los artículos 17, 18 y 19 de la Ley de
Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Tlaxcala.

A partir de esta evaluación, se determinará el nivel de cumplimiento de cada sujeto obligado

con base en los siguientes criterios:

1. Aplicación del Formato de Evaluación

 Se evaluarán tanto los avisos de privacidad integral como los simplificados de cada
Área o Unidad Administrativa que trate datos personales.

2. Criterios de Ponderación
 Instituto de Acceso a la Información Pública y Protección de Datos
Personales del Estado de Tlaxcala

HACIA UN IAIP TLAXCALA MÁS CERCANO Y EFICIENTE

 La evaluación consta de 10 elementos clave, cada uno equivalente al 10% del
cumplimiento total.
 Si un sujeto obligado cumple con los 10 elementos, obtendrá un 100% de
cumplimiento en esa Área o Unidad Administrativa.
 En caso de cumplir parcialmente, el porcentaje reflejará la cantidad de elementos
cumplidos.

3. Cálculo del Resultado Final

 El porcentaje final de cada sujeto obligado se obtendrá a partir del promedio de las
calificaciones obtenidas en cada Área o Unidad Administrativa evaluada.

4. Reconocimiento al Cumplimiento Total

 Para ser acreedor a un Reconocimiento por parte del IAIP Tlaxcala, el sujeto obligado
deberá alcanzar un 100% de cumplimiento en el porcentaje final.
 La entrega del reconocimiento será notificada previamente, indicando la fecha, hora
y lugar designado, para tal efecto.

RESULTADOS

Los resultados de la verificación serán publicados en los medios oficiales del IAIP Tlaxcala, así
como en aquellos que determine el Consejo General, garantizando la difusión transparente de
los hallazgos y avances en el cumplimiento de los sujetos obligados.

Este acuerdo fue aprobado por unanimidad en la Sesión Extraordinaria del Consejo General
del Instituto de Acceso a la Información Pública y Protección de Datos Personales del Estado de
Tlaxcala, celebrada el 7 de marzo de 2025. Firman al calce el Comisionado Presidente, Lic.
Arturo de Casa Vega, la Comisionada Lic. Maribel Rodríguez Piedras, el Comisionado Mtro.
Ángel Espinoza Ponce y el Secretario Técnico, Lic. Jorge Eduardo Galindo Ramos, para todos
los efectos legales correspondientes.