Cuando se presenta una vulneración de datos personales, el marco legal mexicano para el sector público y privado establece la obligación para los responsables de realizar una notificación al titular, de forma adicional para el sector público se debe realizar una notificación al Instituto y a los Órganos Garantes de las Entidades federativas.

Actualmente, los  Lineamentos Generales de Protección de Datos Personales para el Sector Público (disponible en la Biblioteca PDPestablecen en el Artículo 66 un plazo de máximo de 72 horas para realizar la notificación al titular y al Instituto, plazo que será considerado a partir de que se confirme la ocurrencia de la vulneración y el responsable haya empezado a tomar acciones para mitigar la afectación, el  Artículo 67  se listan los elementos que debe incluir la notificación al Instituto:

  • Hora y fecha de la identificación de la vulneración.
  • Hora y fecha del inicio de la investigación sobre la vulneración.
  • Naturaleza del incidente o vulneración ocurrida.
  • Descripción detallada de las circunstancias en torno a la vulneración.
  • Categorías y número aproximado de titulares afectados.
  • Sistemas de tratamiento y datos personales comprometidos.
  • Acciones correctivas realizadas de forma inmediata
  • Descripción de las posibles consecuencias de la vulneración de seguridad ocurrida.
  • Recomendaciones dirigidas al titular
  • Medios para obtener mayor información
  • Nombre completo de la o las personas designadas y sus datos de contacto, para proporcionar mayor información al Instituto en caso de requerirse.
  • Cualquier información y documentación que se considere conveniente hacer del conocimiento del instituto

Adicionalmente los Lineamientos definen, lo que se entenderá por derechos patrimoniales y morales del titular, términos que hasta este documento no estaban claramente definidos:

A continuación, a través de un diagrama se resumen los deberes en caso de una vulneración de datos personales, considerando lo establecido en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, su Reglamento y Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (disponibles en la Biblioteca PDP).