El Pleno de la Comisión, con las atribuciones que le confiere el artículo 36 fracción I de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Puebla y 74 fracción XXIII de la Ley de Transparencia y Acceso a la Información Pública del Estado, aprueba por unanimidad de votos de sus integrantes, el ACUERDO por el que se emiten, mediante Sesión Ordinaria S.O.CAIP/06/14 celebrada el día veintiséis de marzo de 2014. LAS POLÍTICAS Y LINEAMIENTOS DE OBSERVANCIA GENERAL PARA EL MANEJO, TRATAMIENTO, SEGURIDAD Y PROTECCIÓN DE LOS DATOS PERSONALES EN POSESIÓN DE LOS SUJETOS OBLIGADOS DEL ESTADO DE PUEBLA C O N S I D E R A N D O I. Que de conformidad con lo dispuesto en el artículo 12, fracción VII de la Constitución Política del Estado Libre y Soberano de Puebla, se deberá “Garantizar el acceso a la información pública gubernamental y la protección de los datos personales, el derecho a la vida privada, la intimidad y la propia imagen, en los términos y con las excepciones que establezca la Constitución Política de los Estados Unidos Mexicanos y la Ley aplicable a la materia.” 2. Que “Para efectos de lo establecido en el párrafo anterior, la Comisión para el Acceso a la Información Pública y Protección de Datos Personales del Estado, será el organismo público autónomo, independiente y de carácter permanente, con personalidad jurídica y patrimonio propios, responsable de promover, difundir y garantizar en el Estado y sus Municipios, el acceso a la información pública y la protección a los datos personales en los términos que establezca la legislación en la materia y demás disposiciones que de ella emanen.” 3. Que de acuerdo a lo previsto en el artículo 64, párrafo segundo, de la Ley de Transparencia y Acceso a la Información Pública del Estado, la Comisión será el único Órgano garante de la transparencia, el acceso a la información pública y la protección de los datos personales en el Estado, con competencia para vigilar el cumplimiento de la Ley por parte de todos los Sujetos Obligados. 4. Que la Ley de Protección de Datos Personales en Posesión de los Sujetos Obligados del Estado de Puebla, es de orden público y de observancia en el Estado de Puebla y sus Municipios y tiene por objeto garantizar la protección de los datos personales en posesión de los Sujetos Obligados, así como establecer los principios, derechos, obligaciones y procedimientos que regulan la protección y tratamiento de los mismos, de conformidad a lo establecido en el artículo 1 de la Ley en comento; 5. Que de conformidad con lo establecido en los artículos 2, 3, fracción VI, 7 fracción V, 35 y 36, fracción II de este ordenamiento legal, los datos personales, entendidos, como toda información numérica, alfabética, gráfica, acústica o de cualquier otro tipo concerniente a una persona física identificada e identificable, que se encuentran en posesión de los Sujetos Obligados en el ejercicio de sus funciones o actividades, deberán ser concentrados en Sistemas de Datos Personales, que no pueden tener propósitos contrarios a la leyes de la moral pública y en ningún caso pueden ser utilizados para fines diferentes a aquellos que motivaron su obtención. 6. Que la Comisión es el órgano encargado de vigilar el cumplimiento de la presente Ley, así como de las normas que de ella deriven; y, asimismo, de establecer, en el ámbito de su competencia, políticas y lineamientos de observancia general para el manejo, tratamiento, seguridad y protección de éstos datos personales en posesión de los Sujetos Obligados en el Estado de Puebla. 7. Que la Comisión, velará por que los principios de calidad, confidencialidad, consentimiento, disponibilidad, finalidad, información, licitud, pertinencia, responsabilidad, seguridad y temporalidad, sean observados por los Sujetos Obligados, en el ámbito de su competencia, en los Sistemas de Datos Personales institucionales; conforme a lo que establece el artículo 7 de la Ley de Protección de Datos Personales en comento. 8. Que todo dato personal, contenido en los Sistemas de Datos Personales de los Sujetos Obligados, conforme a lo establecido en el artículo 4 de la Ley, es irrenunciable, intransferible e indelegable; y por tanto, tiene carácter de confidencial, por lo que, será protegido atendiendo a lo dispuesto en el TÍTULO SEGUNDO de la Ley; motivo por el cual, cada Sujeto Obligado deberá establecer las medidas de seguridad necesarias para garantizar la integridad de estos Sistemas que están bajo su posesión o tratamiento y establecer los procedimientos necesarios y suficientes para que las personas accedan, rectifiquen, cancelen o se opongan al tratamiento de sus datos personales. 9. Que en atención a las atribuciones que la Ley de Protección de Datos Personales en Posesión de los Sujetos Obligados del Estado de Puebla le otorga a la Comisión para el Acceso a la Información y Protección de Datos Personales del Estado y a fin de fortalecer el marco normativo en la materia, la Comisión emitió las Políticas y Lineamientos de Observancia General para el Manejo, Tratamiento, y Protección de los Datos Personales en Posesión de los Sujetos Obligados del Estado de Puebla. CAPÍTULO I DISPOSICIONES GENERALES Objeto 1. Las presentes políticas y lineamientos son de observancia general para todos los Sujetos Obligados en el Estado de Puebla y tienen por objeto establecer las disposiciones para la aplicación e implementación de la Ley de Protección de Datos Personales en posesión de los Sujetos Obligados del Estado de Puebla. Interpretación 2. La interpretación del presente documento es facultad del Pleno de la Comisión. Glosario 3. Para los efectos de las Políticas y Lineamientos que aquí se establecen, además de las definiciones contenidas en la propia Ley, se entenderá por: I. Autentificación: Comprobación de la identidad de aquella persona autorizada para el tratamiento de datos personales; II. Acuerdo de creación, destrucción o eliminación de Sistemas: Documento resolutivo, fundado y motivado, signado por el Titular o el máximo órgano de decisión del Sujeto Obligado mediante el cual se crean o eliminan Sistemas de Datos Personales. III. Acuerdo de modificación de Sistemas: Documento resolutivo, fundado y motivado, signado por el responsable del mismo, mediante el cual se determinan y detallan los cambios realizados al Sistema en cualquiera de las fracciones a que hace referencia los artículos 17 fracción II y 27 de la Ley. IV. Aviso de protección de datos personales: Comunicado por medio del cual el Sujeto Obligado hace del conocimiento del titular de los datos de manera completa, precisa y previa y a su obtención, de lo establecido en la fracción VI del artículo 7 de la Ley. V. Cancelación de datos: Eliminación de información personal de un Sistema de Datos Personales en posesión de un Sujeto Obligado, mediante acuerdo del responsable del Sistema. VI. Categoría: Cada uno de los grupos en los que pueden incluirse o clasificarse los datos personales. VII. Criterio de máximo alcance: Es el medio y periodo de difusión que resulte más eficiente para dar a conocer el Aviso de protección de datos personales y abarcar al mayor número posible de titulares cuando se implemente una medida compensatoria. VIII. Disociación: Procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo. IX. Documento de seguridad: Documento elaborado por el Sujeto Obligado que contiene las medidas de seguridad administrativas, físicas y técnicas aplicables a sus Sistemas con el fin de asegurar la integridad, protección, confidencialidad y disponibilidad de la información personal que éstos contienen. X. Ficha técnica: Se refiere a la cédula de identificación de un Sistema de Datos Personales, que debe contener por lo menos lo establecido en el artículo 17 fracción II de la Ley. XI. Finalidad: Es el propósito legal para la obtención de la información personal y el uso previsto; se refiere al empleo o destino que se le da a los datos personales recolectados; XII. Incidencia: Cualquier anomalía que afecte o pudiera afectar la seguridad de los datos personales contenidos en un Sistema; XIII. Ley: La Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Puebla. XIV. Medida compensatoria: Prevención temporal, tomada por los Sujetos Obligados, que se traducen en mecanismos alternos de comunicación que permitan y faciliten al responsable difundir el aviso de protección de datos personales, de manera generalizada y masiva a los titulares de los datos obtenidos previo a la entrada en vigor de la Ley o aquellos obtenidos de forma indirecta a través de la transferencia de datos personales; XV. Nivel de seguridad: Las medidas exigibles por la Ley, para el tratamiento de la información personal que se encuentra en los Sistemas de Datos Personales en posesión de los Sujetos Obligados, atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información. XVI. Registro Electrónico de Sistemas de Datos Personales: Aplicación informática desarrollada por la Comisión para que, los Sujetos Obligados, notifiquen a la Comisión y actualicen la información referente a los Sistemas de Datos Personales en su posesión, conforme a lo establecido en el artículo 19 de la Ley; XVII. Responsable de seguridad informática: Servidor público nombrado por el Titular o el máximo órgano de decisión del Sujeto Obligado encargado de coordinar y controlar las medidas generales de seguridad informática que se implementarán para los diferentes Sistemas. XVIII. Sistema: Sistema de Datos Personales en posesión de un Sujeto Obligado de la Ley; XIX. Soporte electrónico: Son los medios de almacenamiento de datos, cuyo contenido solo es evidente mediante el uso de aparatos con circuitos electrónicos que procesen su contenido, para ser examinados, modificados, bloqueados o suprimidos; entre los cuales se encuentran de manera enunciativa más no limitativa, aquellos digitalizados como son: archivos escaneados o fotografiados, cintas magnéticas de audio, vídeo y datos, discos ópticos (CDs y DVDs), discos magneto-ópticos, discos magnéticos (flexibles y duros) y demás medios de almacenamiento masivo no volátil; así como la información contenida en archivos automatizados o bases de datos. XX. Soporte físico: Son los medios de almacenamiento de datos, evidentes a simple vista, que no requieren que su contenido sea procesado por ningún medio digital o automatizado para ser examinados y/o almacenados; entre los cuales se encuentran de manera enunciativa y no limitativa, documentos, oficios, formularios impresos llenados a mano, fotografías, carpetas, expedientes. XXI. Destrucción o eliminación: Supresión de un Sistema de Datos Personales mediante acuerdo. XXII. Transmisión interna: Obtención de datos resultante de la consulta de un archivo, registro, base o banco de datos, su interconexión con otros archivos, registros, base o banco de datos y la comunicación de datos realizada entre servidores públicos responsables o encargados de los datos personales contenidos en los Sistemas en posesión de un Sujeto Obligado. XXIII. Transferencia: Transmisión, fundada y motivada, parcial o total, de datos personales en posesión del Sujeto Obligado, realizada por el mismo a un usuario externo. CAPÍTULO II DE LOS SISTEMAS DE DATOS PERSONALES Tipos de Sistemas de Datos Personales 4. Los Sistemas de Datos Personales serán: I. Físico: Conjunto ordenado de datos de carácter personal que para su tratamiento están contenidos en registros manuales, impresos, sonoros, magnéticos, visuales u holográficos, estructurado conforme a criterios específicos; y II. Automatizado: Conjunto ordenado de datos de carácter personal que estén contenidos o que para su tratamiento se utilice una herramienta tecnológica. III. Mixto: Cuando los datos contenidos en los Sistemas se encuentran en soportes físicos y automatizados. Categorías de datos personales 5. Los datos personales contenidos en los Sistemas se clasificarán, de manera enunciativa, más no limitativa, de acuerdo a las siguientes categorías: I. Datos de identificación: El nombre, domicilio, teléfono particular, teléfono celular, firma, Registro Federal de Contribuyentes (RFC), Clave Única de Registro de Población (CURP), Cartilla Militar, número de pasaporte, lugar y fecha de nacimiento, nacionalidad, edad, fotografía, demás análogos; II. Datos electrónicos: Las direcciones electrónicas, tales como, el correo electrónico no oficial, dirección IP (Protocolo de Internet), dirección MAC (dirección Media Access Control o dirección de control de acceso al medio), así como el nombre del usuario, contraseñas, firma electrónica; o cualquier otra información empleada por la persona, para su identificación en Internet u otra red de comunicaciones electrónicas; III. Datos laborales: Documentos de reclutamiento y selección, nombramiento, incidencia, capacitación, actividades extracurriculares, referencias laborales, referencias personales, solicitud de empleo, hoja de servicio, demás análogos; IV. Datos patrimoniales: Los correspondientes a bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas, servicios contratados, referencias personales o crediticias, y demás análogos; V. Datos sobre procedimientos administrativos y/o jurisdiccionales: La información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio o jurisdiccional en materia laboral, civil, penal, fiscal, administrativa o de cualquier otra rama del Derecho; VI. Datos académicos: Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados y reconocimientos, demás análogos; VII. Datos de tránsito y movimientos migratorios: Información relativa al tránsito de las personas dentro y fuera del país, así como información migratoria; VIII. Datos sensibles: Los establecidos en la fracción VII artículo 3 de la Ley, complementando con lo siguiente: a) Datos sobre la salud.- El expediente clínico de cualquier atención médica, referencias o descripción de sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, así como el estado físico o mental de la persona y cualquier análogo; b) Datos de características físicas.- color de piel, color de iris, color de cabello, señas particulares, estatura, peso, complexión y análogos; c) Datos de características personales o biométricas.- huella digital, tipo de sangre, ADN, geometría de la mano, características de iris y retina así como los análogos. Obtención de datos 6. El procedimiento de recopilación de los datos personales deberá indicar la forma o mecanismo de obtención de los mismos la cual puede ser: a) Por medios físicos o electrónicos, en formatos, cuestionarios, escritos y similares. b) Los obtenidos a través de la trasmisión de datos en sus modalidades de transmisión interna o transferencia. Creación de Sistemas de Datos Personales 7. La creación de Sistemas de los Sujetos Obligados sólo podrá efectuarse mediante el acuerdo respectivo. Contenido del acuerdo de creación de un Sistema de Datos Personales 8. El acuerdo de creación de Sistemas de Datos Personales deberá contener lo establecido en el artículo 17 fracción II de la Ley y en cuya elaboración se deberá considerar lo siguiente: I. Los Sistemas deberán integrarse con los archivos, registros, bases o bancos de datos que son producto de las actividades sustanciales derivadas de la normatividad aplicable a cada Sujeto Obligado, asignándole la denominación que le corresponda; II. La estructura básica considerará la descripción de los datos contenidos en los archivos, registros, bases o bancos de datos que componen cada Sistema. III. Los datos tratados en cada Sistema se deberán identificar conforme a las categorías establecidas en el numeral cinco del presente documento. IV. El modo de tratamiento utilizado, en la organización de los datos personales contenidos en el Sistema, será físico, automatizado o mixto. V. El Sujeto Obligado podrá elaborar un acuerdo de creación por todos los Sistemas de Datos Personales que sean identificados al momento de la emisión del mismo. Modificación de Sistemas de Datos Personales 9. Deberá llevarse a cabo mediante acuerdo de modificación, detallando los cambios realizados al Sistema. Los rubros de la fracción II, del artículo ya citado, que no sufran cambios, deberán transcribirse en el acuerdo tal y como quedaron establecidos en el acuerdo de creación del Sistema. Dicha modificación deberá ser inscrita por el responsable del Sistema en el Registro Electrónico de Sistemas de Datos Personales, conforme a lo establecido en el artículo 19 último párrafo. Destrucción o eliminación de Sistemas de Datos Personales 10. En caso de que el Titular u órgano máximo de decisión del Sujeto Obligado determine la eliminación de un Sistema, éste se documentará mediante el acuerdo respectivo. En los acuerdos que se emitan para la eliminación de Sistemas, se establecerá el destino que vaya a darse a los datos contenidos en los mismos o, en su caso, las previsiones que se adopten para su destrucción, de conformidad con el Catálogo de Disposición Documental del Sujeto Obligado, establecido conforme a la Ley de Archivo del Estado y demás normativa que resulte aplicable. 11. La eliminación de un Sistema deberá ser notificada a la Comisión, dentro de los diez días hábiles siguientes a la emisión del acuerdo respectivo, a efecto de que ésta, proceda a la cancelación del folio de identificación que le haya sido asignado en el Registro Electrónico de Sistemas de Datos Personales. 12. No procederá la eliminación de los Sistemas cuando exista una previsión expresa en una Ley que exija su conservación. Registro de Sistemas de Datos Personales 13. Los responsables de los Sistemas en posesión de los Sujetos Obligados deberán inscribir dichos sistemas en el Registro Electrónico de Sistemas de Datos Personales habilitado por la Comisión para tal fin. 14. La Comisión otorgará un folio de identificación por cada Sistema inscrito en el Registro. Deber de información 15. A efecto de cumplir con el principio de información previsto en el artículo 7 de la Ley, en el momento en que se recaben datos personales, por cualquier medio, el Sujeto Obligado deberá hacer del conocimiento del interesado las advertencias a las que se refiere dicho artículo mediante el “Aviso de protección de datos personales”. CAPÍTULO III DEL AVISO DE PROTECCIÓN DE DATOS PERSONALES Modelo de aviso de protección de datos personales 16. Sin perjuicio de la modalidad mediante la cual los Sujetos Obligados recaben datos personales, éstos, podrán, si así lo desean, utilizar el siguiente modelo de Aviso, para informar al interesado de las advertencias a que se refiere el artículo 7 fracción VI de la Ley: “Los datos personales recabados serán protegidos, incorporados y tratados en el Sistema de Datos Personales (nombre del sistema de datos personales), el cual tiene su fundamento en (fundamento legal que faculta al Sujeto Obligado para recabar los datos personales), cuya finalidad es (describir la finalidad del sistema) los que podrán ser transmitidos a (tipo de transmisión –interna o trasferencia- destinatario y finalidad de la transmisión), además de las transmisiones previstas en el artículo 10 y el CAPÍTULO IV DEL TÍTULO SEGUNDO de la Ley de Protección de Datos Personales en posesión de los Sujetos Obligados del Estado de Puebla. Los datos marcados con un asterisco (*) son obligatorios (establecer las consecuencias del suministro de los datos), por lo que la negativa a otorgarlos o la inexactitud de los mismos provocará que (anotar las consecuencias) Asimismo, se le informa que sus datos no podrán ser difundidos sin su consentimiento expreso, salvo las excepciones previstas en la Ley. El responsable del Sistema de Datos Personales es (datos de identificación y dirección). El Titular de los datos o su representante legal podrá ejercer los derechos de acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales ante la Unidad de Acceso de (Nombre del Sujeto Obligado) ubicada en (indicar el domicilio) Excepciones al aviso de protección de datos personales 17. En el caso de datos personales que no hayan sido obtenidos directamente del Titular o su representante legal, sino a través de la transferencia de los mismos, y, resulte material o jurídicamente imposible o requiera de esfuerzos desproporcionados, en razón del número de titulares y/o la antigüedad de los datos, el dar a conocer dicho aviso, el responsable deberá instrumentar las medidas compensatorias correspondientes. No obstante, es responsabilidad del Sujeto Obligado publicar el aviso de protección de datos en medios electrónicos disponibles. En caso de que el Sujeto Obligado no cuente con las condiciones para publicar la información por medios electrónicos, deberá difundirla por otros medios. Medidas compensatorias 18. El objeto de la medida compensatoria es la protección de la persona, salvaguardando su derecho a mantener el poder de disposición y control sobre la información que le concierne y, a su vez, de decidir de manera libre e informada sobre el uso, destino y comunicación de sus datos personales a terceros; Criterio general para la adopción de una medida compensatoria 19. Será facultad del responsable de un Sistema, determinar el medio que considere más adecuado y eficiente para comunicar a los titulares de los datos, el Aviso de Protección de Datos Personales a través de la medida compensatoria; observando en todo momento el criterio de máximo alcance. 20. Las medidas compensatorias implementadas por el Sujeto Obligado deberán ser aprobadas mediante acuerdo signado por el Titular o el máximo órgano de decisión del Sujeto Obligado. La implementación y consecuencias de una medida compensatoria es responsabilidad exclusiva del Sujeto Obligado. 21. El acuerdo de aprobación, además de estar debidamente fundado y motivado, deberá considerar para justificar la implementación de la medida compensatoria, por lo menos lo siguiente: a) Número de titulares; b) Antigüedad de los datos; c) Ámbito territorial; d) Capacidad económica del Sujeto Obligado; e) Medida compensatoria a utilizar; y f) Que la medida compensatoria cumpla con el principio de información. 22. El Sujeto Obligado dará aviso a la Comisión dentro de un plazo mínimo de diez días hábiles, previos a la implementación de la medida compensatoria, el acuerdo de aprobación de la misma, para los efectos conducentes. Vigencia 23. Las medidas compensatorias implementadas por los Sujetos Obligados estarán vigentes mientras no se modifiquen las características del tratamiento o las circunstancias que dieron lugar a que el responsable de un Sistema aplicara este instrumento normativo. Medios para comunicar la medida compensatoria 24. Las medidas compensatorias se darán a conocer a través de avisos de protección de datos personales que se publicarán o difundirán en cualquiera de los medios siguientes: I. Diarios de circulación nacional; II. Diarios locales o revistas especializadas; III. Páginas o sitios de Internet; IV. Carteles informativos; V. Cápsulas informativas radiofónicas, y VI. Otros medios alternos de comunicación masiva determinados por el Sujeto Obligado. CAPÍTULO IV DE LAS MEDIDAS DE SEGURIDAD Documento de seguridad 25. Deberá elaborarse conforme a lo establecido en el artículo 26 de la Ley. 26. El documento de seguridad tiene como propósito identificar el universo de sistemas que posee cada Sujeto Obligado, el tipo de datos personales que contiene cada uno, los responsables, encargados, usuarios de cada sistema y las medidas de seguridad concretas implementadas. 27. El responsable del Sistema elaborará e implementará la normativa de seguridad que será de observancia obligatoria para todos los servidores públicos responsables y encargados de los Sistemas así como para toda aquella persona que debido a la prestación de un servicio tenga acceso a los sistemas y/o al sitio donde se ubican los mismos, tomando en cuenta lo dispuesto en la Ley. 28. El documento de seguridad deberá revisarse por lo menos una vez al año, dejando por escrito constancia de la revisión; o cuando se produzcan cambios relevantes en el tratamiento, que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas. 29. Además de lo establecido en la Ley, el documento de seguridad deberá contener como mínimo: I. El nombre, cargo y adscripción de del responsable, encargados y usuarios externos; II. Estructura y descripción de los Sistemas; III. Especificación detallada del tipo de datos personales contenidos en el Sistema; IV. Funciones y obligaciones de los servidores públicos autorizados para acceder al Sistema y para el tratamiento de datos personales; V. Medidas, normas, procedimientos y criterios enfocados a garantizar el nivel de seguridad exigido en la Ley, las cuales deberán incluir lo siguiente: a) Procedimientos para generar, asignar, distribuir, modificar, almacenar y dar de baja usuarios y, en su caso, claves de acceso para la operación del Sistema; b) Actualización de información contenida en el Sistema; c) Procedimientos de creación de copias de respaldo y de recuperación de los datos automatizados así como para el archivo físico; d) Bitácoras de acceso y acciones llevadas a cabo en el Sistema; e) Procedimiento de notificación, gestión y respuesta ante incidentes; y f) Procedimiento para la cancelación de un Sistema; g) Procedimientos para la realización de revisiones internas de las medidas de seguridad de cada Sistema; h) Los mecanismos de protección contra escritura y modificación de documentos. Funciones y obligaciones del responsable del Sistema 30. Las funciones y obligaciones de todos los que intervengan en el tratamiento de datos personales deben estar claramente definidas en el documento de seguridad. 31. El responsable adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las responsabilidades y consecuencias en que pudiera incurrir en caso de incumplimiento. 32. Las funciones del responsable serán: I. Poner a consideración del Titular o máximo órgano de decisión del Sujeto Obligado, la creación o destrucción de Sistemas a su cargo; II. Designar al o los responsables de vigilar el cumplimiento de las medidas definidas en el documento de seguridad de los Sistemas; Esta designación podrá ser única para todos los Sistemas de Datos en posesión del responsable, o diferenciada, dependiendo de los métodos de organización y tratamiento de los datos. En todo caso dicha circunstancia deberá especificarse en el documento de seguridad. En ningún caso la designación supone una delegación de las facultades y atribuciones que corresponden al responsable del Sistema o al responsable de seguridad informática de acuerdo con establecido en la Ley y las presentes políticas y lineamientos. III. Adoptar medidas para que los encargados y usuarios externos tengan acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. IV. Establecer un procedimiento de creación y modificación de contraseñas (longitud, formato, contenido). 33. Únicamente el responsable podrá conceder, alterar o anular la autorización para el acceso a los Sistemas de Datos Personales. 34. El responsable se encargará de verificar, al menos, cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. Obligaciones del usuario externo 35. El usuario externo tendrá las siguientes obligaciones respecto del tratamiento que realice por cuenta del responsable: I. Tratar únicamente los datos personales conforme a lo establecido en el CAPÍTULO IV DEL TÍTULO SEGUNDO de la Ley y en el documento jurídico mediante el cual el Sujeto Obligado otorgó el tratamiento del Sistema; II. Abstenerse de tratar los datos personales para finalidades distintas a lo establecido en la fracción anterior; III. Implementar las medidas de seguridad conforme a la Ley, las presentes políticas y lineamientos; así como las demás disposiciones aplicables; IV. Guardar confidencialidad respecto de los datos personales tratados; V. Suprimir los datos personales objeto de tratamiento una vez cumplida la relación jurídica con el Sujeto Obligado, siempre y cuando no exista una previsión legal que exija la conservación de los mismos, y VI. Abstenerse de transferir los datos personales, salvo en el caso de que el Sujeto Obligado así lo determine, la comunicación derive de una subcontratación, previamente autorizada por el Sujeto Obligado o establecida en el documento jurídico mediante el cual el Sujeto Obligado otorgó el tratamiento del Sistema o así lo requiera la autoridad competente. VII. Los acuerdos entre el Sujeto Obligado y el usuario externo relacionados con el tratamiento deberán estar acordes con el aviso de protección de datos personales correspondiente. VIII. La relación entre el Sujeto Obligado y el usuario externo deberá estar establecida por disposición legal o administrativa, mediante cláusulas contractuales u otro instrumento jurídico que decida el Sujeto Obligado, que permita acreditar su existencia, alcance y contenido. De la confidencialidad 36. Los responsables de los Sistemas y toda persona que intervenga en cualquier fase del tratamiento de los datos personales en posesión de los Sujetos Obligados están obligados a guardar absoluta confidencialidad respecto de los mismos, obligación que subsistirá aun después de finalizada la relación por la cual se dio el tratamiento. TRANSITORIOS PRIMERO. Las presentes Políticas y Lineamientos entrarán en vigor al día siguiente de su aprobación por el Pleno de la Comisión. SEGUNDO. En tanto la Comisión no cuente con los recursos tecnológicos para la implementación del Registro Electrónico de Sistemas de Datos Personales, los Sujetos Obligados notificarán, por escrito, los Sistemas de Datos Personales bajo su custodia, en términos del artículo 19 de la Ley, dentro de los treinta días hábiles siguientes a la entrada en vigor de las presentes Políticas y Lineamientos. TERCERO. Los Sujetos Obligados, dentro el plazo establecido en el artículo SEGUNDO TRANSITORIO de la Ley, llevarán a cabo las adecuaciones necesarias que permitan atender los requerimientos de Ley, tomando en cuenta para las mismas lo establecido en las presentes Políticas y Lineamientos. CUARTO. Se instruye al Coordinador General Jurídico para que, en el ámbito de su competencia, haga del conocimiento de los Sujetos Obligados el documento que contiene LAS POLÍTICAS Y LINEAMIENTOS DE OBSERVANCIA GENERAL PARA EL MANEJO, TRATAMIENTO, SEGURIDAD Y PROTECCIÓN DE LOS DATOS PERSONALES EN POSESIÓN DE LOS SUJETOS OBLIGADOS DEL ESTADO DE PUEBLA, en un plazo no mayor a cinco días hábiles siguientes a la aprobación del presente documento.