Artículo 132. Causas de sanción

Serán causas de sanción por incumplimiento de las obligaciones establecidas en la materia de la presente Ley, las siguientes: I. Actuar con negligencia, dolo o mala fe durante la sustanciación de las solicitudes para el ejercicio de los derechos ARCO; II. Incumplir los plazos de atención previstos en la presente Ley para responder las solicitudes para el ejercicio de los derechos ARCO o para hacer efectivo el derecho de que se trate; III. Usar, sustraer, divulgar, ocultar, alterar, mutilar, destruir o inutilizar, total o parcialmente y de manera indebida, datos personales que se encuentren bajo su custodia o a los cuales tenga acceso o conocimiento con motivo de su empleo, cargo o comisión; IV. Dar tratamiento, de manera intencional, a los datos personales en contravención a los principios y deberes establecidos en la presente Ley; V. No contar con el aviso de privacidad, o bien, omitir en el mismo alguno de los elementos a que refiere el artículo 21 de la presente Ley, según sea el caso, y demás disposiciones que resulten aplicables en la materia; VI. Clasificar como confidencial, con dolo o negligencia, datos personales sin que se cumplan las características señaladas en las disposiciones jurídicas aplicables. La sanción sólo procederá cuando exista una resolución previa que haya quedado firme, respecto del criterio de clasificación de los datos personales; VII. Incumplir el deber de confidencialidad establecido en el artículo 36 de la presente Ley; VIII. No establecer las medidas de seguridad en términos de lo previsto en los artículos 25, 26 y 27 de la presente Ley; IX. Presentar vulneraciones a los datos personales por la falta de implementación de medidas de seguridad de conformidad con los artículos 25, 26 y 27 de la presente Ley; X. Llevar a cabo la transferencia de datos personales en contravención a lo previsto en la presente Ley; XI. Obstruir los actos de verificación de la autoridad; XII. Crear bases de datos personales en contravención a lo dispuesto por el artículo 5 de la presente Ley; XIII. No acatar las resoluciones emitidas por la Secretaría o las Autoridades garantes, y XIV. Omitir la entrega del informe anual y demás informes a que se refiere el artículo 40, fracción VI de la Ley General de Transparencia y Acceso a la Información Pública, o bien, entregar el mismo de manera extemporánea. Las causas de responsabilidad previstas en las fracciones I, II, IV, VI, X, XII y XIV del presente artículo, así como la reincidencia en las conductas previstas en el resto de sus fracciones, serán consideradas como graves para efectos de su sanción administrativa. En caso de que la presunta infracción hubiere sido cometida por algún integrante de un partido político, la investigación y, en su caso, sanción, corresponderán a la autoridad electoral competente. Las sanciones de carácter económico no podrán ser cubiertas con recursos públicos.

LEY GENERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE SUJETOS OBLIGADOS CÁMARA DE DIPUTADOS DEL H. CONGRESO DE LA UNIÓN Última Reforma DOF 14-11-2025 Secretaría General Secretaría de Servicios Parlamentarios