Ley nº 39 de 24 de enero de 2012 de Notificación de Política de Privacidad.

LEY núm. 39 DE 24 DE ENERO DE 2012

Para crear la Ley de Notificación de Política de Privacidad; y facultar al Secretario del Departamento de Asuntos del Consumidor a adoptar los reglamentos necesarios para poner en ejecución dicha Ley. 

 

EXPOSICION DE MOTIVOS

La Sección 8 del Artículo II de la Constitución del Estado Libre Asociado de Puerto Rico establece que toda persona tiene derecho a protección de ley contra ataques abusivos a su honra, a su reputación y a su vida privada o familiar. Esta garantía incluye el derecho de toda persona a tener control sobre toda su información personal.

Anclada en la importancia de la dignidad humana, así como en el derecho individual a definir la personalidad, nuestra garantía constitucional tiene un ámbito de protección más amplio que aquel provisto por la Constitución de los Estados Unidos. De esta forma, provee protección frente al Estado, así como frente a personas privadas. Por ende, el Estado posee un interés apremiante en salvaguardar, dentro de lo posible, el derecho de todo ser humano a su dignidad, intimidad e integridad personal.

El derecho a la privacidad se ha visto directamente afectado por el desarrollo de ciertos usos de la tecnología moderna. Nunca en nuestra historia había sido tan sencillo el acceso y distribución de información personal, la cual se trata como un bien comercial. Uno de los principales problemas que afrontan los consumidores es la imposibilidad de controlar quiénes tienen acceso a datos personales que se generan con sus transacciones comerciales y de otra índole. Asimismo, el ciudadano carece de herramientas esenciales para conocer el uso que terceros le dan a su información personal, que en muchos casos es revendida sin su conocimiento.

El Internet provee un espacio que facilita la comisión de delitos informáticos. La gran cantidad de información personal disponible en Internet posibilita que personas inescrupulosas cometan delitos, tales como el fraude cibernético, el mercado negro y el secuestro de información. Uno de los delitos de mayor crecimiento en el mundo es el robo de identidad.

De acuerdo a un estudio realizado por la Federal Trade Commission (FTC), entre los años de 1998 y 2003 se estima que unos 27.3 millones de estadounidenses fueron víctimas del robo de identidad. Esto representó una pérdida de unos 48 mil millones de dólares a diversas empresas e instituciones financieras, así como la pérdida de unos 5 mil millones de dólares a los consumidores afectados. El 15% de las víctimas reportaron que su información privada no fue utilizada para fines económicos, sino para obtener documentos gubernamentales de manera ilegal. 

Es difícil estimar la magnitud del problema de robo de identidad, ya que tan sólo el 25% de los afectados se querellan al respecto. Para el año 2005, la FTC recibió 685,000 querellas de robo de identidad, las cuales reportaron aproximadamente unos 680 millones de dólares en pérdidas. El 46% de estas querellas estuvieron relacionadas a fraudes mediante Internet. Para el año 2008, el Identity Theft Resource Center reportó 656 casos de accesos indebidos a bancos de datos con información personal, exponiendo a más de 35.6 millones de personas al robo de identidad. Esto representa un incremento de 46% en relación al año 2007, donde se reportaron 446 casos de accesos indebidos a bancos de datos.

En la esfera federal, varios estatutos regulan las políticas de privacidad dirigidas a proteger grupos específicos, entre las que se encuentran el Gramm-Leach-Bliley Act of 1999 (dirigido a instituciones financieras); el Health Insurance Portability and Accountability Act of 1996 (dirigido a los que manejan información relacionada a la salud) y el Children's Online Privacy Protection Act of 1998 (dirigido a los que recogen información de menores mediante Internet). Algunos estados han requerido mediante legislación que las páginas de Internet que recopilen información sobre sus ciudadanos tengan políticas de privacidad claras y accesibles a los consumidores, tal y como lo hizo California en el 2003 mediante su Online Privacy Protection Act.

Actualmente, en Puerto Rico existe legislación específica que regula el delito de usurpación de identidad, tal como la Ley núm. 111 de 7 de septiembre de 2005, conocida como la «Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información», y el Artículo 216 de la Ley núm. 149 de 18 de junio de 2004, según enmendada, conocida como «Código Penal de Puerto Rico». No obstante, la presente Ley tiene como propósito complementar el mencionado estatuto al darles a las personas un instrumento adicional para proteger su buen nombre y crédito y salvaguardar la integridad de su información personal.

La presente Ley no persigue regular la recopilación de información, ya que esto debe ser objeto de legislación aparte de estimarse necesario. Asimismo, no pretende interferir o limitar de ninguna manera el derecho a la libertad de expresión protegido constitucionalmente. Más bien, tiene una función preventiva en contra del robo de identidad y el menoscabo al derecho a la intimidad. El fin es proveerle al individuo las herramientas necesarias para que pueda, de manera informada, decidir con quién entablar relaciones comerciales y con quién no. A través de esta legislación se busca que cualquier persona natural o jurídica que recopile información personal mantenga una Política de Privacidad abierta. Esto se lograría requiriendo que toda persona divulgue su Política de Privacidad de forma clara y concisa y mediante el establecimiento de modelos de Política de Privacidad que podrán ser adoptados por los recopiladores de información personal.

El Departamento estará encargado de crear un reglamento y un logo distintivo para cada modelo de Política de Privacidad, los cuales estarán disponibles en su página de Internet. Cada logo corresponde a los distintos niveles de privacidad, que podrán ser escogidos por los operadores de páginas. Para cada nivel habrá un logo que podrá ser identificado fácilmente debido a su color o diseño distintivo. De tal manera, el usuario podrá identificar fácilmente la Política de Privacidad adoptada por los operadores de páginas de una manera simple y visual. Los operadores de páginas tendrán dos opciones: podrán seleccionar uno de los modelos adoptados por el Departamento o confeccionar su propia Política de Privacidad, de conformidad con esta Ley y la reglamentación adoptada por el Departamento. 

Con esto, se fomenta la transparencia en las transacciones que involucran el manejo de información personal y se salvaguarda nuestro derecho constitucional a la privacidad. En la medida que las políticas de privacidad estén claramente visibles, los individuos no entablarán relaciones con aquellos comercios que tengan políticas oscuras, forzándolos indirectamente a implementar políticas más protectivas, si desean permanecer en un mercado competitivo.

En consecuencia, la Asamblea Legislativa de Puerto Rico estima prudente y necesario aprobar esta Ley con el fin de proteger la privacidad de las personas  residentes en Puerto Rico, establecer una serie de obligaciones para las personas que recopilan información personal y los operadores de páginas de Internet y establecer las sanciones apropiadas en caso de incumplimiento.

 

DECRETASE POR LA ASAMBLEA LEGISLATIVA DE PUERTO RICO:

 

Artículo 1.-Título de la Ley

Esta Ley se conocerá como «Ley de Notificación de Política de Privacidad».

 

Artículo 2.- Definiciones

Los siguientes términos y frases tendrán los significados que se indican a continuación:

1.- «Departamento»– significa el Departamento de Asuntos del Consumidor de Puerto Rico.

2.- «Información personal»– significa cualquier nombre o número que pueda utilizarse, por sí mismo o junto con cualquier otra información, para identificar a un individuo en específico, incluyendo, pero sin limitarse, a:

a) Nombre y apellidos;

b) Número de seguro social;

c) Fecha y/o lugar de nacimiento;

d) Estado civil;

e) Género;

f) Dirección física o postal;

g) Código postal;

h) Dirección de correo electrónico;

i) Número de teléfono;

j) Número de licencia de conducir;

k) Número de pasaporte;

l) Huella(s) dactilar(es);

m) Grabaciones de voz;

n) Imágenes de retina; y

o) Cualquier otra información que permita identificar, física o electrónicamente, a una persona natural. 

3.- «Internet»– es la Red Mundial de Comunicaciones que conecta computadoras alrededor del mundo. Esta red de comunicaciones permite al usuario conectarse a miles de computadoras y acceder su información.

4.- «Operadores de páginas»- significa cualquier persona natural o jurídica residente o que haga negocios en o desde  Puerto Rico que sea dueña y/u operadora de una página localizada en Internet o de cualquier servicio en línea que se encuentre dirigido principalmente hacia la obtención de un beneficio mercantil o de remuneración monetaria y que por cualquier medio recopile y/o conserve información personal de usuarios residentes de Puerto Rico.  Esta definición excluye a los proveedores de servicio de Internet que no sean dueños y/u operadores de las páginas en cuestión. 

5.«Persona que recopila información personal»– significa cualquier persona natural o jurídica que incurra en actividades comerciales dirigidas principalmente hacia la obtención de un beneficio mercantil o de remuneración monetaria y que en el curso de dichas actividades, por cualquier medio recopile y/o conserve información personal de residentes de Puerto Rico.

6.- «Política de Privacidad»- significa un documento que describa las prácticas de recopilación, manejo y disposición de Información Personal.

7.- «Secretario»-significa el Secretario del Departamento de Asuntos del Consumidor.

8.- «Usuarios»– cualquier persona natural que acceda a una página de Internet o servicio en línea operado por una persona o entidad residente en Puerto Rico que recopile y/o conserve información personal.

 

Artículo 3.- Obligación de Notificar la Política de Privacidad

1.- Operadores de Páginas

Será obligación de todo operador de páginas de Internet notificar a sus usuarios su Política de Privacidad de una manera clara, concisa, conspicua y no ambigua. Dicha Política de Privacidad deberá de incluir:

a) El tipo de información personal recopilada y/o conservada sobre los usuarios de la página;

b) Cualquier persona o entidad con los cuales el operador privado comparte la información personal recopilada y/o conservada;

c) En caso de que el operador mantenga un proceso para que el usuario pueda revisar o pedir cambios sobre su información personal recopilada y/o conservada, proveer una descripción de dicho proceso;

d) Describir un proceso mediante el cual el operador pueda notificar a sus usuarios de cambios en su Política de Privacidad. En cuyo caso deberá notificar la fecha en que dicho cambio tendrá efecto;

e) Toda otra información que el Departamento entienda pertinente y compatible con los propósitos de esta Ley.

El Departamento establecerá, mediante reglamento, unas guías para precisar los parámetros específicos que ha de cumplir toda Política de Privacidad antes descrita.

Además,  el Departamento establecerá, mediante reglamento, varios modelos de Políticas de Privacidad que responderán a distintos niveles de privacidad para el usuario. Esos modelos se considerarán para cada caso, como requisito mínimo, para el nivel de privacidad aplicable o correspondiente. No obstante, los operadores podrán incluir otros requisitos adicionales. El Departamento hará disponible en su página de Internet estos modelos y diseñará un logo distintivo, característico de cada modelo de Política de Privacidad. Los operadores de páginas de Internet podrán seleccionar uno de los modelos, así como su respectivo logo, adoptados por el Departamento o podrán confeccionar su propia Política de Privacidad, de conformidad a esta Ley, siguiendo las guías creadas por el Departamento mediante reglamento. Será responsabilidad del Departamento notificar a los operadores y usuarios de sus obligaciones y derechos mediante avisos en medios de comunicación masivos. 

      2.- Persona que Recopila Información Personal

Será obligación de toda persona que recopile información personal tener disponible, para cualquier persona que lo solicite, su Política de Privacidad, de una manera clara, concisa, conspicua y no ambigua. Dicha Política de Privacidad deberá de incluir:

a) El tipo de información personal recopilada y/o conservada;

b) Cualquier persona o entidad con los cuales la persona que recopila información personal comparte dicha información personal recopilada y/o conservada;

c) En caso de que la persona que recopila información personal mantenga un proceso para revisar o pedir cambios sobre la información personal recopilada, y/o conservada, deberá proveer una descripción de dicho proceso;

d) Describir un proceso mediante el cual la persona que recopila información personal pueda notificar a las personas de cambios en su Política de Privacidad. En cuyo caso deberá notificar la fecha en que dicho cambio tendrá efecto;

e) Toda otra información que el Departamento entienda pertinente y compatible con los propósitos de esta Ley.

El Departamento establecerá, mediante reglamento, unas guías para precisar los parámetros específicos que ha de cumplir toda Política de Privacidad antes descrita.

 

Artículo 4.- Exclusiones de Aplicabilidad

En el caso de que alguna ley, reglamento o disposición federal sobre manejo de información personal sea de aplicación a alguna industria o entidad en específico, la presente Ley se interpretará consistentemente con dicha ley, reglamento o disposición federal.

 

Artículo 5.-Facultad de Reglamentación

Se faculta al Secretario para adoptar las normas, reglas y reglamentos que sean necesarios para la implantación de esta Ley y su política pública con arreglo a lo dispuesto en la Ley núm. 170 de 12 de agosto de 1988, según enmendada, mejor conocida como «Ley de Procedimiento Administrativo Uniforme».  El Departamento enmendará o promulgará su Reglamento de conformidad con lo establecido en esta Ley dentro de los ciento veinte (120) días siguientes a su aprobación.

 

Artículo 6.- Facultad de Investigación

El Secretario tendrá todos los poderes investigativos que le proveen la Constitución del Estado Libre Asociado de Puerto Rico, la Ley núm. 5 de 23 de abril de 1973, según enmendada, mejor conocida como la «Ley Orgánica del Departamento de Asuntos del Consumidor», y la Ley núm. 170 de 12 de agosto de 1988, según enmendada, mejor conocida como «Ley de Procedimiento Administrativo Uniforme», para verificar el cumplimiento con los requisitos de la presente Ley y su respectivo Reglamento.

 

Artículo 7.- Sanciones y Penalidades

El Secretario tendrá facultad para expedir avisos, órdenes de hacer o no hacer, cesar y desistir, e imponer sanciones y multas administrativas por lo máximo permitido en su Ley Orgánica por infracciones a esta Ley, sus reglamentos o las órdenes emitidas al amparo de ellos. 

En caso de que un operador de página de Internet o una persona que recopila información personal incurra en la práctica de divulgar una política de privacidad y/o un logo que no corresponda a la realidad de sus prácticas de manejo de información personal incurrirá en infracción administrativa sujeta a una multa de hasta un máximo de cincuenta mil dólares ($50,000). 

Nada en este Artículo será interpretado como una privación del derecho de cualquier usuario afectado de emprender cualquier acción civil que proceda en Derecho.

 

Artículo 8.- Interpretación de esta Ley

Las palabras y frases en esta Ley se interpretarán según el contexto y el significado avalado en el uso común y corriente. Las voces usadas en esta Ley en el tiempo presente incluyen también el futuro; las usadas en el género masculino incluyen el femenino y neutro, salvo en los casos que tal interpretación resultare absurda; el número singular incluye al plural y el plural incluye al singular, siempre que la interpretación no contravenga el propósito de la disposición.

 

Artículo 9.- Cláusula de Separabilidad

De enmendarse uno o varios de los Artículos contenidos en esta Ley, o en caso de que una palabra, inciso, artículo, sección, capítulo o parte de la Ley fuese decretado inconstitucional por el Tribunal Supremo de Puerto Rico o por otro tribunal con jurisdicción y competencia, las restantes disposiciones de esta Ley mantendrán su vigencia.

 

Artículo 10.- Vigencia

Salvo por el Artículo 6, el cual comenzará a regir inmediatamente, esta Ley comenzará a regir ciento veinte días (120) después de que el Departamento apruebe el correspondiente reglamento.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.