ASAMBLEA NACIONAL
El Presidente de la República de Nicaragua A sus habitantes, Sabed:
Que,
LA ASAMBLEA NACIONAL
CONSIDERANDO
I.- El Estado nicaragüense tiene la obligación de promover y garantizar el bien común, asumiendo la tarea de promover el desarrollo humano protegiéndolo de todo tipo de explotación, discriminación y exclusión.
II.- Que son principios de la nación nicaragüense: la libertad, la justicia y el respeto a la dignidad de la persona humana.
III.- Que los nicaragüenses tienen derecho, a su vida privada y la de su familia, a la inviolabilidad de su domicilio, su correspondencia y sus comunicaciones de todo tipo, al respeto de su honra y reputación, así como a saber por qué y con qué finalidad se tiene información personal.
IV.- Que todas las disposiciones señaladas en esta ley, encuentran asidero en los estándares internacionales existentes en materia de protección de datos, y en un marco doctrinal y explicativo que ya cuenta con gran solidez en el marco latinoamericano.
V.- Que es necesario un equilibrio con otras leyes aprobadas por la Asamblea Nacional, como es la Ley nº 621, “Ley de Acceso a la Información Pública”, preparando el camino para una adecuada calificación de los avances nicaragüenses, mediante la implementación de las garantías que se establece en el artículo 26 de la Constitución Política de la República de Nicaragua.
VI.- Que se necesita mantener la competitividad del país en actividades comerciales donde la tutela de los datos personales es preocupación central.
POR TANTO
En uso de sus facultades,
HA DICTADO
La siguiente: LEY DE PROTECCIÓN DE DATOS PERSONALES
Capítulo I.- Definiciones generales
Artículo 1.- Objeto
La presente ley tiene por objeto la protección de la persona natural o jurídica frente al tratamiento, automatizado o no, de sus datos personales en ficheros de datos públicos y privados, a efecto de garantizar el derecho a la privacidad personal y familiar y el derecho a la autodeterminación informativa.
Artículo 2.- Ámbito de aplicación
Las disposiciones de la presente ley serán aplicables al tratamiento de los datos personales que se encuentran en los ficheros de datos públicos y privados.
Artículo 3.- Definiciones
Para la presente ley se entiende por:
a) Autodeterminación Informativa: Es el derecho que tiene toda persona a saber quién, cuándo, con qué fines y en qué circunstancias toman contacto con sus datos personales.
b) Bloqueo: Es la identificación y conservación de datos personales una vez cumplida la finalidad para la cual fueron recabados, con el único propósito de determinar posibles responsabilidades en relación con su tratamiento, hasta el plazo de prescripción legal o contractual de éstas. Durante dicho periodo, los datos personales no podrán ser objeto de tratamiento y transcurrido éste, se procederá a su cancelación en el fichero de datos en el que se encuentran.
c) Cesión o transferencia: Es la trasmisión de los datos personales a una persona distinta de su titular.
d) Consentimiento del titular: Es toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la cual el titular de los datos consiente el tratamiento de sus datos personales.
e) Datos personales: Es toda la información sobre una persona natural o jurídica que la identifica o la hace identificable.
f) Datos personales informáticos: Son los datos personales tratados a través de medios electrónicos o automatizados.
g) Datos personales sensibles: Es toda información que revele el origen racial, étnico, filiación política, credo religioso, filosófico o moral, sindical, relativo a su salud o vida sexual, antecedentes penales o faltas administrativas, económicos financieros; así como información crediticia y financiera y cualquier otra información que pueda ser motivo de discriminación.
h) Disociación de datos: Es todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada.
i) Ficheros de datos: Son los archivos, registros, bases o bancos de datos, públicos y privados, que contienen de manera organizada los datos personales, automatizados o no.
j) Fuentes de acceso público: Son aquellos ficheros cuya consulta puede ser realizada por cualquier persona, sin más exigencia que, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público: La Gaceta, Diario Oficial, los medios de comunicación, el censo, las guías telefónicas en los términos previstos por su normativa específica y los directorios de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.
k) Responsable de ficheros de datos: Es toda persona natural o jurídica, pública o privada, que conforme Ley decide sobre la finalidad y contenido del tratamiento de los datos personales.
l) Tercero: es toda persona, pública o privada que realice a su arbitrio el tratamiento de datos personales, ya sea en ficheros de datos propios o a través de conexión con los mismos.
m) Titular de los datos: Es toda persona natural o jurídica a la que conciernen los datos personales.
n) Tratamiento de datos: Son las operaciones y procedimientos sistemáticos, automatizados o no, que permiten la recopilación, registro, grabación, conservación, ordenación, almacenamiento, modificación, actualización, evaluación, bloqueo, destrucción, supresión, utilización y cancelación, así como la cesión de datos personales que resulten de comunicaciones, consultas, interconexiones y transferencias.
Artículo 4.- Creación de ficheros de datos
La creación de ficheros de datos personales será lícita cuando se encuentren debidamente autorizados y registrados, mediante consentimiento del titular, salvo excepciones de ley. Los ficheros de datos no pueden tener fines distintos a los permitidos por esta ley.
Artículo 5.- Requisitos para la obtención de datos personales
Para obtener los datos personales, se requiere lo siguiente:
a) Que sean adecuados, proporcionales y necesarios en relación al ámbito y fin para el que se colectan; y
b) Que se haga por medios lícitos que garanticen el derecho de toda persona a la autodeterminación informativa.
Artículo 6.- Consentimiento
El titular de los datos deberá dar por sí o por su representante legal o apoderado el consentimiento para la entrega de los datos, salvo que la ley disponga otra cosa dentro de los límites razonables.
La razonabilidad deberá ser considerada por la Dirección de Protección de Datos Personales, si se le planteare alguna controversia. Lo anterior, tiene tanto para los ficheros de datos de titularidad pública como privada.
El consentimiento deberá ser otorgado por escrito o por otro medio idóneo, físico o electrónico. Dicho consentimiento podrá ser revocado sin efecto retroactivo, por cualquiera de los medios permitidos por la ley.
No será necesario el consentimiento cuando:
a) Exista orden motivada, dictada por autoridad judicial competente;
b) Los datos personales se sometan a un procedimiento previo de disociación;
c) Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; y
d) Los datos se obtengan de fuentes de acceso público irrestricto y se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, y fecha de nacimiento.
Capítulo II.- De los responsables de los ficheros de datos
Artículo 7.- Obligación de informar al obtener los datos personales
El responsable de los ficheros de datos personales, deberá informar previamente a los titulares de los mismos de forma expresa y clara lo siguiente:
a) La finalidad para la que serán utilizados y quiénes pueden ser sus destinatarios o clase de destinatarios;
b) La existencia del fichero de datos electrónicos o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;
c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo siguiente;
d) Las consecuencias de proporcionar los datos personales, de la negativa a hacerlo o de la inexactitud de los mismos;
e) La garantía de ejercer por parte del titular el derecho de acceso, rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los datos personales;
f) Cuando los datos procedan de fuentes accesibles al público y se utilicen para hacer envíos publicitarios o promocionales, en cada comunicación que se dirija al titular de los mismos se le informará del origen de los datos y de la identidad del responsable del tratamiento así como de los derechos que le asisten;
g) Los datos sólo pueden ser utilizados para los fines que motivaron su tratamiento; y no podrán ser utilizados para otros fines;
h) Los datos inexactos, incompletos, o que estén en desacuerdo con la realidad de los que le corresponden a la persona, serán rectificados, modificados, suprimidos, completados, incluidos, actualizados o cancelados según corresponda;
i) Los datos personales deben ser almacenados de modo que permitan el derecho de acceso del titular a los mismos;
j) Los datos personales deben ser cancelados cuando hayan dejado de ser necesarios a los fines para los cuales hubiesen sido tratados;
k) Están prohibidos los ficheros de datos personales que no reúnan condiciones técnicas de integridad, confidencialidad y seguridad; y
l) Queda prohibida la creación de ficheros de datos personales que almacenen información de datos sensibles, salvo lo dispuesto en la ley. Sin perjuicio de ello, las diferentes sociedades mercantiles y asociaciones sin fines de lucro, pueden almacenar datos de sus miembros.
Artículo 8.- Categorías de los datos personales
Los datos personales comprenden la información concerniente a personas naturales o jurídicas identificadas o identificables y tendrán las categorías siguientes:
a) Datos personales sensibles: sólo pueden ser obtenidos y tratados por razones de interés general en la Ley, o con el consentimiento del titular de datos, u ordenados por mandato judicial. También podrán ser tratados con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares. Los datos personales relativos a los antecedentes penales o faltas administrativas sólo pueden ser tratados por las autoridades públicas competentes, en la esfera de sus competencias;
b) Los datos personales relativos a la salud, en los hospitales, clínicas, centros y puestos de salud, públicos y privados, y los profesionales vinculados a las ciencias de la salud: sólo pueden ser los relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquellos, respetando el secreto profesional;
c) Datos personales informáticos: Son los datos personales tratados a través de medios electrónicos o automatizados;
d) Datos personales comerciales: son datos sensibles de las Empresas las bases de datos de clientes, proveedores y recursos humanos, para fines de publicidad y cualquier otros datos que se consideren información comercial o empresarial reservada fundamentalmente para el libre ejercicio de sus actividades económicas.
Todos los datos personales sólo podrán ser revelados por consentimiento del Titular de los datos, por ley expresa de interés social o por mandato judicial.
Artículo 9.- Sobre el tratamiento de datos personales
Todo tratamiento de datos personales estará sujeto al consentimiento de su titular, salvo las excepciones previstas en la presente Ley.
Los datos personales sólo podrán ser tratados, cuando sean adecuados, proporcionales y necesarios en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan solicitado. Los derechos de oposición, acceso, modificación, supresión, bloqueo, inclusión, complementación, rectificación o cancelación de los datos tratados se ejercerán mediante comunicación por escrito.
Ninguna persona que solicite la prestación o adquisición de bienes y servicios está obligada a brindar a las instituciones públicas y privadas, mayor información o datos personales que aquellos que sean adecuados, proporcionales y necesarios para la prestación de los mismos.
El tratamiento de los datos personales del usuario o comprador debe tener como finalidad facilitar la mejora, ampliación, venta, facturación, gestión, prestación del servicios y adquisición de bienes.
El responsable del fichero y en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnicas y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su acceso, uso, alteración, pérdida, revelación, transferencia o divulgación no autorizada.
Artículo 10.- Derecho al olvido digital
El titular de los datos tiene derecho a solicitar a las redes sociales, navegadores y servidores que se supriman y cancelen los datos personales que se encuentren en sus ficheros.
En los casos de ficheros de datos de instituciones públicas y privadas que ofrecen bienes y servicios y que por razones contractuales recopilan datos personales una vez terminada la relación contractual, el titular de los mismos puede solicitar que se suprima y cancele toda la información personal que se registró mientras era usuario de un servicio o comprador de un bien.
Artículo 11.- Medidas de seguridad
El responsable del fichero de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la integridad, confidencialidad y seguridad de los datos personales, para evitar su adulteración, pérdida, consulta, tratamiento, revelación, transferencia o divulgación no autorizada, y que permitan detectar desviaciones, intencionales o no, de información privada, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
Cuando los datos personales se refieran a los miembros de la Policía Nacional o del Ejército de Nicaragua y fallaren o se inobservaren las medidas de seguridad a las que se refiere el párrafo anterior, el responsable de fichero de datos deberá informar inmediatamente a la Institución afectada para lo de su cargo.
Artículo 12.- Confidencialidad en el tratamiento de los datos
El responsable del fichero de datos y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aun después de finalizada su relación con el responsable del fichero de datos.
El titular de los datos personales tratados en ficheros de datos, tiene derecho a ser informado sobre las políticas de privacidad que adopta el responsable del fichero, y que se le notifique cualquier modificación de las mismas.
El obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad nacional, defensa nacional, seguridad pública o la salud pública.
Artículo 13.- Cesión y transferencia de datos personales
Los datos personales se podrán ceder y transferir cuando, los fines estén directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le deberá informar sobre la finalidad de la cesión e identificar al cesionario.
El consentimiento para la cesión es revocable, mediante notificación por escrito o por cualquier otra vía que se le equipare, según las circunstancias, al responsable del fichero de datos. Este no podrá ser exigido cuando lo disponga una ley, se realice entre instituciones del Estado en el ejercicio de sus atribuciones, se trate de razones de salud pública, de interés social, de seguridad nacional o se hubiere aplicado un procedimiento de disociación de datos, de modo que no se pueda atribuir a una persona determinada.
Artículo 14.- Prohibiciones y excepciones de cesión y transferencia de datos
Se prohíbe la cesión y transferencia de datos personales de cualquier tipo con países u organismos internacionales, que no proporcionen niveles de seguridad y protección adecuados.
La prohibición no regirá en los supuestos de colaboración judicial internacional, intercambio de datos personales en materia de salud, cuando sea necesaria para una investigación epidemiológica, transferencias bancarias o bursátiles, conforme la legislación de la materia, cuando la transferencia se hubiere acordado en el marco de tratados internacionales ratificados por el Estado de Nicaragua y cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia, en los delitos regulados en la Ley nº 735, “Ley de Prevención, Investigación y Persecución del Crimen Organizado y de la Administración de los Bienes Incautados, Decomisados y Abandonados”, publicada en La Gaceta, Diario Oficial nº 199 y 200 del 19 y 20 de octubre de 2010 respectivamente, en los Delitos Relacionados con Estupefacientes, Psicotrópicos y otras Sustancias Controladas, Delitos Contra la Seguridad del Estado y Delitos Contra el Orden Internacional tipificados en la Ley nº 641, “Código Penal”, publicado en La Gaceta, Diario Oficial nº 83, 84, 85, 86 y 87 correspondientes a los días 5, 6, 7, 8 y 9 de mayo de 2008.
Artículo 15.- Procedimiento para la cesión y transferencia de datos
Para la cesión y transferencia de datos personales y que se encuentren en ficheros de datos públicos o privados, se deberá cumplir el siguiente procedimiento:
a) La cesión y transferencia de datos personales se realizará a solicitud de una persona legalmente autorizada;
b) La solicitud deberá contener el objeto y la finalidad que se persigue con dicha información;
c) El responsable del fichero de datos deberá cumplir con las medidas de seguridad y confidencialidad de los datos personales, verificando que el solicitante cumpla de igual manera con éstas medidas;
d) El responsable del fichero de datos personales deberá informar a la persona titular de los datos, la solicitud de transferencia y el propósito que se persigue, para su consentimiento; con las excepciones contenidas en el artículo anterior;
e) El solicitante y el responsable del fichero de datos, deberán evitar que la información suministrada sea enviada a terceras personas; y
f) El responsable del fichero de datos deberá informar a la Dirección de Protección de Datos Personales, la transferencia de datos realizada.
Capítulo III.- Derechos del titular de los datos
Artículo 16.- Derecho a solicitar información
El titular de los datos puede solicitar información a la Dirección de Protección de Datos Personales, relativa a la existencia de ficheros de datos personales, sus finalidades y la identidad de sus responsables. El registro que se lleve al efecto será de consulta pública y gratuita.
Artículo 17.- Derechos del titular de los datos
El titular de los datos personales tiene derecho a lo siguiente:
a) A solicitar y obtener información de sus datos personales tratados en los ficheros de datos públicos y privados;
El informe que se rinda en atención a la solicitud del titular de los datos personales, debe garantizar el acceso a la información personal objeto de tratamiento por un fichero de datos público o privado, la forma en que sus datos fueron recopilados y las razones que motivaron su recopilación, y las transferencias o cesiones que se realizaron. Debe conservarse la constancia de su envío y recepción;
b) A que se le permita rectificar, modificar, suprimir, complementar, incluir, actualizar o cancelar sus datos personales;
c) El informe se debe proporcionar dentro de los diez días hábiles siguientes a la recepción de la solicitud; vencido el plazo sin que se haya rendido el informe, el interesado puede promover la acción de protección de datos personales prevista en esta Ley;
d) El ejercicio del derecho al cual se refiere este artículo en el caso de datos de personas fallecidas le corresponderá a sus sucesores universales, previa acreditación; y
b) A no ser obligada a proporcionar datos personales de carácter sensible, salvo las excepciones establecidas en la presente Ley.
Artículo 18.- Requisitos de la información
La información debe llenar los requisitos siguientes:
a) Ser clara y sencilla, accesible al conocimiento de la población y titular de los datos personales
b) Ser amplia y pertenecer al titular, aun cuando lo solicitado sólo comprenda un aspecto de los datos personales. No se podrá revelar datos relacionados a terceros, aún cuando se vinculen con aquel; y
c) Podrá suministrarse por escrito, medios electrónicos, telefónicos, de imagen, o por cualquier otro que determine el interesado, a opción del titular, y de acuerdo a la capacidad técnica del responsable de fichero de datos.
Artículo 19.- Derechos de modificación de los datos
Toda persona tiene derecho a:
a) A Solicitar la rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los datos personales de los que sea titular, que estén incluidos en un fichero de datos.
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad que dio lugar a su tratamiento. La cancelación de los datos no procede por razones de interés social, de seguridad nacional, de salud pública o por afectarse derechos de terceros, en los términos que lo disponga la Ley;
b) A que el responsable del fichero de datos, proceda a rectificar, modificar, suprimir, complementar, incluir, actualizar o cancelar los datos personales del titular, dentro de los cinco días hábiles de recibido la solicitud del titular de los mismos, informándole por escrito, o por cualquier otro medio que se le equipare según las circunstancias, de manera completa, clara y sencilla el tratamiento realizado;
c) A que si el responsable del fichero de datos no cumple con la obligación que le impone el inciso anterior, el titular puede ejercitar la acción de protección de datos prevista en esta Ley;
d) En el caso que la información se haya cedido, el responsable del fichero de datos debe comunicar la rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los datos personales al cesionario, dentro de los cinco días hábiles siguientes en que se haya resuelto el tratamiento correspondiente;
e) Durante el procedimiento que se siga de verificación y rectificación del error o falsedad de los datos personales que conciernen al titular, el responsable del fichero de datos debe bloquear los datos materia de la solicitud o consignar al proveer la información relativa que se tramita un procedimiento con determinado objeto; y
f) A que los datos personales se conserven durante cinco años o por el término que las disposiciones contractuales entre las partes acuerden, así como cuando éstos hayan dejado de ser adecuados, proporcionales y necesarios para el ámbito y las finalidades que fueron solicitados.
Artículo 20.- Excepcionalidad para la modificación de los datos
Los responsables de ficheros de datos, pueden negar la rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los datos personales solicitada, cuando exista una resolución judicial que determine la no modificación. Los responsables de ficheros de datos deben poner en conocimiento al titular de los datos personales sobre dicha resolución. Se deberá garantizar acceso al titular de los datos personales que les conciernen en los ficheros de datos, en el momento en que tenga que ejercer su derecho de defensa.
Artículo 21.- Gratuidad de modificación de los datos
La rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los datos personales inexactos o incompletos que se encuentren en ficheros de datos se llevará a cabo de manera gratuita para el titular.
Capítulo IV.- Ficheros y responsables de ficheros de datos personales
Artículo 22.- Obligatoriedad de inscripción en el registro de ficheros de datos
Todo responsable de fichero de datos deberá inscribirse en el Registro de ficheros de datos que al efecto habilite la Dirección de Protección de Datos Personales y esperar en el término de treinta días la resolución de su inscripción.
El registro de ficheros de datos debe recabar la siguiente información:
a) Nombre y domicilio del responsable, ya sea persona natural o jurídica con toda la descripción de la razón social, fecha de constitución, objeto y representante legal;
b) Naturaleza de los datos personales contenidos en cada fichero de datos;
c) Forma, tiempo y lugar de recolección y actualización de datos;
d) Destino de los datos y personas naturales o jurídicas a las que pueden ser transmitidos;
e) Modo de interrelacionar la información registrada;
f) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar nombre y domicilio de las personas que intervienen en la colecta y tratamiento de los datos;
g) Tiempo de conservación de los datos; y
h) Forma y procedimientos en que las personas pueden acceder a los ficheros de datos personales para realizar la rectificación, modificación, supresión, complementación, inclusión, actualización y cancelación de los mismos según concierna.
En los ficheros ninguna persona podrá poseer datos personales de naturaleza distinta a los declarados, cualquier modificación a la información contenida en los ficheros de datos personales debe ser comunicada por el responsable a la Dirección de Datos Personales dentro de los cinco días hábiles siguientes en que haya tenido lugar. El incumplimiento de estos requisitos dará lugar a las sanciones previstas en la presente Ley.
Artículo 23.- Ficheros de datos público y privado
Los ficheros de datos público y privado, sólo se pueden, crear, modificar o extinguir por medio de disposiciones establecidas en la presente Ley.
Las disposiciones del párrafo anterior, deben indicar: características y finalidad del fichero de datos; personas respecto de las cuales se pretenda obtener datos y el carácter facultativo u obligatorio de su suministro por parte de aquéllas.
En las disposiciones que se dicten para la supresión de los ficheros de datos personales se establecerá el destino de los mismos o las medidas que se adopten para su destrucción.
Artículo 24.- Excepcionalidad en el uso de los datos personales
Los ficheros de datos personales que por ser colectados y tratados para fines administrativos, deben permanecer cinco años y estarán sujetos al régimen general de esta ley.
La colecta y el tratamiento de datos personales con fines de seguridad y defensa nacional o seguridad pública por parte de los órganos de inteligencia de la Policía Nacional y el Ejército de Nicaragua, sin consentimiento de los titulares, queda limitado a lo necesario para el estricto cumplimiento de las misiones legalmente asignadas para la seguridad nacional, defensa nacional, seguridad pública o para la investigación de los delitos conforme lo establecido en la Constitución Política de la República de Nicaragua y leyes de la materia.
Los ficheros de datos, en tales casos, deberán ser específicos y establecidos al efecto, debiendo clasificarse por categorías, en función de su grado de fiabilidad Los datos personales obtenidos para fines policiales se cancelarán cuando no sean necesarios para las averiguaciones que motivaron su registro.
Artículo 25.- De los ficheros de datos destinados al envío de publicidad, promociones, ofertas y venta directa de productos, bienes y servicios
Los ficheros de datos destinados al envío de publicidad, promociones, ofertas y venta directa de productos, bienes y servicios u otras actividades análogas sólo pueden incorporar datos personales con el consentimiento del titular de los mismos, cuando ésta los ha facilitado, o cuando los datos obren en fuentes accesibles al público.
El titular de los datos podrá ejercer el derecho de acceso sin cargo alguno, y en cualquier momento podrá solicitar su supresión de los ficheros de datos a los que se refiere el presente artículo.
26.- Del envío de publicidad
El envió de publicidad y promociones, a través de medios electrónicos debe ofrecer la posibilidad al destinatario titular de datos personales de expresar su negativa a seguir recibiendo envíos publicitarios y promocionales devienes y servicios o, en su caso, revocar su consentimiento de una forma clara y gratuita.
Las empresas o instituciones que se dedican a actividades de marketing, envíos publicitarios y promocionales electrónicos deberán protegerse mediante un contrato que establezca que los datos personales que figuran en un fichero de datos han sido obtenidos con el consentimiento inequívoco e informado de los titulares o que estos han sido obtenidos de fuentes de acceso público.
Artículo 27.- Datos relativos a las encuestas
Las normas de la presente Ley no se aplicarán a las encuestas de opinión; investigaciones científicas o médicas, y a las actividades análogas.
Lo anterior es aplicable cuando los datos personales hayan sido obtenidos con el consentimiento expreso ya sea por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos del titular y destinados exclusivamente al cumplimiento de la finalidad para lo que fueron solicitados. Estos datos sólo pueden cederse previo consentimiento del titular.
Capítulo V.- De la Dirección de Protección de Datos Personales
Artículo 28.- Creación de la Dirección de protección de datos personales
Créase la Dirección de Protección de Datos Personales adscrita al Ministerio de Hacienda y Crédito Público, que contará con un Director designado por la máxima autoridad administrativa de dicho ministerio y que tiene por objeto el control, supervisión y protección del tratamiento de los datos personales contenidos en ficheros de datos de naturaleza pública y privada.
Artículo 29.- Funciones de la Dirección de Protección de Datos Personales
Corresponde a la Dirección de Protección de Datos Personales las siguientes funciones:
a) Asesorar a las personas naturales y jurídicas que lo requieran acerca del contenido y alcance de la presente Ley;
b) Dictar las normas y disposiciones administrativas necesarias para la realización de su objeto en el ámbito de su competencia;
c) Dictar y vigilar que las normas sobre confidencialidad, integridad y seguridad de los datos personales se respeten y apliquen por los titulares de los ficheros de datos correspondientes;
d) Solicitar la información que requiera para el cumplimiento de su objeto a las entidades públicas y privadas titulares de los ficheros de datos, garantizando en todo caso la seguridad, la integridad y confidencialidad de la información;
e) Imponer las sanciones administrativas que correspondan a los infractores de esta Ley;
f) Formular y presentar las denuncias por violaciones a lo dispuesto en esta Ley ante la autoridad correspondiente;
g) Verificar que los ficheros de datos personales tengan los requisitos necesarios para que proceda su inscripción en el registro de ficheros de datos;
h) Acreditar a los inspectores para la supervisión y vigilancia de los responsables de los ficheros de datos personales;
i) Promover modelos de autorregulación, cuando esto sea posible, y como mecanismo adicional para garantizar el derecho a la autodeterminación informativa de toda persona, siempre y cuando estos modelos representen un valor añadido en su contenido con respecto a la dispuesto en la presente Ley y su Reglamento, contengan o estén acompañados de elementos que permitan medir su nivel de eficacia en cuanto al cumplimiento y nivel de protección de la persona frente al tratamiento de sus datos personales y se prevean medidas en caso de incumplimiento de los modelos autorregulatorios;
j) Dar su opinión en todos los proyectos de ley y reglamentos que pudieran tener incidencia en la validez y garantía del derecho a la autodeterminación informativa;
k) Divulgar el contenido y extensión del derecho a la autodeterminación informativa a la población y al resto de los Poderes e instituciones del Estado; y
l) Cooperar con otras autoridades de protección de datos a nivel internacional para el cumplimiento de sus competencias y generar los mecanismos de cooperación bilateral y multilateral para asistirse entre sí y prestarse el debido auxilio mutuo cuando se requiera;
Artículo 30.- Sobre el registro de ficheros de datos
La Dirección de Protección de Datos Personales, habilitará el registro de ficheros de datos personales con el objeto de contar de manera actualizada y completa los ficheros de datos personales públicos y privados. Los responsables de ficheros de datos personales deberán brindar la información establecida en la presente Ley.
Artículo 31.- De los inspectores
La Dirección de Protección de Datos Personales, deberá tener personal calificado que realice la función de inspectores.
Artículo 32.- De los procedimientos de inspección
Los procedimientos de inspección para los ficheros de datos tanto públicos como privados, son actividades de visita, verificación y control, mediante las cuales los inspectores debidamente identificados, están facultados para revisar los ficheros de datos de acuerdo al programa de visitas, y que se encuentren operando en el almacenamiento de datos, sean estos públicos y privados dentro del territorio nacional con el objetivo de establecer el grado de cumplimiento de las normas regulatorias de esta actividad o de brindar a las autoridades de la Dirección de Protección de Datos Personales mayores elementos de juicio para la adopción de una resolución con afectación a terceros o no.
Artículo 33.- Requisitos de acreditación del inspector de ficheros
Para la realización de su labor, todo inspector, deberá portar el documento oficial emitido por la Dirección de Protección de Datos Personales, que lo acredita como tal. Los requisitos de la identificación serán señalados en el Reglamento de la presente Ley.
Artículo 34.- De las responsabilidades y atribuciones del inspector
Las responsabilidades y atribuciones del inspector en el ejercicio de su función serán:
a) Estar debidamente acreditado por la Dirección de Protección de Datos Personales;
b) Realizar inspecciones por denuncia o por oficio, mediante autorización judicial competente;
c) Atender debida y oportunamente el o los asuntos que le sean encomendados;
d) Informar a sus superiores cualquier anomalía o circunstancia que dificulte la realización de su trabajo;
e) No excederse de las atribuciones que le son encomendadas para la inspección de identificarse de previo y debidamente ante el inspeccionado;
f) Dirigir las inspecciones cuando éstas sean realizadas en coordinación con otras instituciones;
g) Aclarar al inspeccionado el motivo de la inspección;
h) Realizar los recorridos necesarios y levantar el acta de inspección;
i) Presentar en un plazo de tres días hábiles, después de finalizada la inspección, el acta respectiva con el informe completo de sus hallazgos a la Dirección de Protección de Datos Personales para que este conozca y resuelva conforme a derecho, con el apoyo de la fuerza pública o demás autoridades competentes, si fuere el caso; y
j) Solicitar a la autoridad judicial competente autorización para inspeccionar los inmuebles, equipos, herramientas, programas de captura y tratamiento de datos personales. Así como acceder a la información y lugares utilizados para el tratamiento de los datos personales y la exhibición y envío de documentos y datos, para su correspondiente verificación en el lugar en que se encuentren depositados.
Artículo 35.- De las obligaciones frente al requerimiento de inspección
Las personas naturales o jurídicas cuyas actividades sean objeto de inspección, tendrán frente al requerimiento de los inspectores, las siguientes obligaciones:
a) Permitir el acceso a sus ficheros de datos la presencia de los inspectores debidamente acreditados y con autorización judicial competente;
b) Facilitar y prestar la colaboración necesaria en la inspección;
c) Brindar la información solicitada y los documentos, tales como: certificado de registro y autorización para operar como fichero de datos, nombre y generales de ley del responsable del fichero de datos, documentos legales actualizados de la persona jurídica, medidas de seguridad adoptada y demás que le sean solicitados para comprobación de su legalidad;
d) Permitir la revisión de los equipos en su caso; y
e) Cualquier otra actividad requerida por el inspector para cumplir con los objetivos de la inspección de conformidad con la presente Ley y su Reglamento.
Artículo 36.- Del contenido del acta de inspección
Una vez realizada la inspección, el inspector levantará el acta correspondiente de inspección en el formato diseñado para tal fin y consignando al menos, lo siguiente:
a) Indicación del lugar, fecha y hora en que se realiza la inspección;
b) Breve referencia de la orden de inspección en caso de denuncia expedida por la autoridad competente y que motiva la realización de esta actividad, haciendo constar que copia de la misma le fue entregada al inspeccionado;
c) Datos generales con quien se coordinó la inspección, ya sea el responsable, administrador, gerente, representante legal de la compañía, o similares; y
d) El detalle de los hallazgos de la inspección en materia de acciones, u omisiones, que constituyan cumplimiento de las normas y disposiciones regulatorias de la actividad o por el contrario que presuman infracciones y faltas flagrantes o simuladas a las mismas, describiéndolas con el mayor detalle y precisión posible.
Artículo 37.- De la comprobación de infracciones
Si al momento de la inspección se detectara y comprobara la existencia de infracciones graves o hechos que puedan constituir delitos, el inspector deberá tomar las medidas preventivas necesarias en presencia de la persona con quien se presentó para hacer la inspección, debiendo asentarse lo anterior en el acta de inspección correspondiente y comunicarlo de inmediato a su superior inmediato para que proceda de conformidad a la Ley.
Artículo 38.- Del tiempo de duración de la inspección
En el caso que la inspección tenga que prorrogarse por más de un día, o tenga que realizarse en dos o más lugares, se deberán levantar actas parciales las que se deberán agregar al acta final de la inspección.
Artículo 39.- De la prueba
Las actas de los inspectores salvo impugnación comprobada por falsedad, constituye prueba para todos los efectos del proceso administrativo. La negativa de los agentes de permitir o colaborar con la inspección de conformidad con estas disposiciones, se constituirá en presunción de responsabilidad ante las imputaciones formuladas en su contra, de oficio o por denuncia.
Artículo 40.- De la iniciación de la inspección
La inspección podrá iniciarse de oficio para la verificación preventiva en el cumplimiento de las disposiciones regulatorias de la actividad de tratamientos de datos personales o cuando existan indicios de incumplimiento de la presente Ley y su Reglamento.
Artículo 41.- De la inspección por denuncia
La inspección por denuncia podrá iniciarse cuando un tercero, directamente o a través de la entidad que reciba la denuncia, sea el Ministerio Público o la Policía Nacional, ha dado noticia fundada a la Dirección de Protección de Datos Personales, o autoridades delegadas para la regulación de esta actividad de protección de datos personales, de un hecho que puede constituir violación o infracción a las normas regulatorias establecidas en la presente Ley y su Reglamento.
Artículo 42.- Contenido de la denuncia
Para los efectos, del artículo precedente, la denuncia deberá efectuarse por escrito, conteniendo al menos los siguientes datos:
a) Nombres y apellidos, con las generales de ley del denunciante;
b) Nombres y apellidos, con las generales de ley del denunciado, cuando sea una personal natural;
c) Razón social de la entidad y ubicación, cuando el denunciado sea una persona jurídica;
d) La relación de los hechos que constituyen la infracción o infracciones;
e) El señalamiento de una dirección del denunciante para notificaciones en el proceso administrativo, según el caso; y
f) Lugar y fecha en donde se efectúa la denuncia y la firma del denunciante.
Artículo 43.- Del contenido de la orden de inspección
Admitida la denuncia, la Dirección de Protección de Datos Personales o la autoridad delegada dictará una orden de inspección, la que deberá contener:
a) El nombre del propietario o de la empresa, apoderado o representante legal;
b) Dirección o ubicación;
c) Fundamento y motivación de la inspección;
d) Objetivos y alcances de la inspección;
e) Solicitud de apoyo y facilidades a los inspeccionados;
f) Nombre completo del inspector o inspectores comisionados;
g) Nombre y firma de la autoridad que ordena la inspección; y
h) Lugar y fecha.
Los detalles de procedimientos, diligencias y trámites de actos administrativos e inspecciones, relacionados con el tratamiento de datos personales serán establecidos mediante Reglamento a la presente Ley.
Capítulo VI.- Infracciones y sanciones
Artículo 44.- Infracciones leves
Son infracciones leves a esta ley, las siguientes:
a) Tratar datos personales sin el consentimiento expreso ya sea por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos de su titular, cuanto la ley así lo exija;
b) Omitir la inclusión, complementación, rectificación, actualización, supresión o bloqueo, cancelación, de oficio o a petición del titular, de los datos personales que se encuentran en ficheros de datos públicos y privados;
c) Incumplir las instrucciones dictadas por la Dirección de Protección de Datos Personales;
d) Obtener datos personales a través de formularios u otros impresos, sin que figure en los mismos, en forma claramente legible, las advertencias que se utilizarán para crear ficheros; y
e) Remitir publicidad a través de medios electrónicos, a titulares que han manifestado expresamente su negativa a recibirla.
Artículo 45.- Infracciones graves
Son infracciones graves a esta Ley, las siguientes:
a) El tratamiento de datos personales por medios fraudulentos o que infrinjan las disposiciones contempladas en la presente Ley;
b) Impedir u obstaculizar el ejercicio del derecho a la autodeterminación informativa al titular de los datos personales, así como negar injustificadamente la información solicitada;
c) Violentar el secreto profesional que debe guardarse por disposición de esta Ley;
d) Reincidir en las infracciones leves;
e) Mantener ficheros de datos, inmuebles, equipos o herramientas sin las condiciones mínimas de seguridad, integridad y confidencialidad requeridas por las disposiciones aplicables; y
f) Obstruir las inspecciones que realice la Dirección de Protección de Datos Personales.
Artículo 46.- Sanciones administrativas
Sin perjuicio de las responsabilidades administrativas de los responsables o usuarios de los ficheros de datos públicos; de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente Ley, y de las sanciones penales, a la Dirección de Protección de Datos Personales corresponde aplicar las sanciones administrativas de:
a) Apercibimiento;
b) Suspensión de operaciones relacionadas con el tratamiento de los datos personales; y
c) Clausura o cancelación de los ficheros de datos personales de manera temporal o definitiva.
En el caso de infracciones leves a esta ley, se aplicará al infractor, dependiendo de las circunstancias del caso, del daño causado y de las condiciones del propio infractor, la sanción que corresponda conforme a los literales a) y b), de este artículo.
En el caso de infracciones graves, se impondrá al infractor dependiendo de las circunstancias del caso, del daño causado y de las condiciones del propio infractor, la sanción que corresponda conforme al literal c) de este artículo.
El Reglamento establecerá el procedimiento para la aplicación de las sanciones previstas.
Capítulo VII.- De las acciones de protección de datos personales
Artículo 47.- Protección a través de la vía administrativa
El titular de los datos puede interponer la acción de protección de datos personales, en la vía administrativa de conformidad a lo establecido en el presente capítulo.
Artículo 48.- Acción de protección de los datos personales
La Dirección de Protección de Datos Personales, es el órgano encargado de conocer y resolver la acción de protección de datos personales mediante denuncia presentada por el titular en relación al tratamiento de datos personales que lesionen alguno de los derechos contemplados en esta Ley.
La acción de protección de datos personales, procede:
a) Para conocer de los datos personales que han sido objeto de tratamiento en ficheros de datos;
b) Cuando se hayan violentado las garantías de confidencialidad, integridad y seguridad en el tratamiento de los datos personales;
c) En los casos en que se presuma la falsedad, inexactitud, desactualización, omisión, total o parcial, o ilicitud de la información de que se trata, para exigir su rectificación, actualización, modificación, inclusión, supresión o cancelación;
d) Cuando sean lesionados algunos de los principios que rigen la calidad del tratamiento de datos personales, en el ámbito público y privado;
e) Para acceder a información que se encuentre en poder de cualquier entidad pública y privada de la que generen, produzcan, procesen o posean, información personal, en expedientes, estudios, dictámenes, opiniones, datos estadísticos, informes técnicos y cualquier documento que la administración pública o las entidades privadas tengan en su poder; y
f) Para exigir la rectificación, actualización, modificación, inclusión, complementación, supresión, bloqueo o cancelación de datos personales tratados en ficheros de datos de entidades públicas o de instituciones privadas que brinden servicio o acceso a terceros, ya sea de forma manual, mecánica o informática, cuando se presuma la falsedad, inexactitud, desactualización, omisión total o parcial o la ilicitud de la información de que se trate.
Artículo 49.- Legitimación activa
La acción de protección de los datos personales podrá ser ejercida por el titular, sus tutores y los sucesores de las personas naturales, por sí o por intermedio de un apoderado. Cuando la acción sea ejercida por personas jurídicas, deberá ser interpuesta por sus representantes legales o apoderados que éstas designen al efecto.
Artículo 50.- Legitimación pasiva
La acción procede respecto de los responsables y usuarios de los ficheros de datos personales públicos y privados.
Artículo 51.- De las excepciones
Los responsables de los ficheros de datos no pueden alegar confidencialidad de la información que se les requiera, salvo en el caso de que se afecten fuentes de información periodística o se trate de excepciones previstas en esta Ley.
Artículo 52.- Protección a través de la vía jurisdiccional
Agotada la vía administrativa, mediante resolución emitida por la Dirección de Protección de Datos Personales, el titular de los datos puede hacer uso de la vía jurisdiccional, a través de Recurso de Amparo, establecido en la Ley nº 49, “Ley de Amparo” texto refundido publicado en La Gaceta, Diario Oficial nº 212 del 4 de noviembre de 2008. El Recurso de Amparo se utilizará mientras no exista una regulación específica que desarrolle la protección de los datos personales en la vía jurisdiccional.
Los responsables de los ficheros de datos, podrán impugnar todos los actos administrativos derivados de la presente ley, conforme los procedimientos establecidos en la Ley nº 290, “Ley de Organización, Competencia y Procedimientos del Poder Ejecutivo” publicada en La Gaceta, Diario Oficial nº 102 del 3 de junio de 1998, sus reformas y su Reglamento. Agotada la vía administrativa podrán hacer uso de la vía jurisdiccional correspondiente.
Capítulo VIII.- Disposiciones transitorias
Artículo 53.- Obligación de inscripción en el registro
Los responsables de los ficheros de datos, existentes al momento de la publicación de la presente Ley y su Reglamento, deberán inscribirse en el Registro de Ficheros de Datos de la Dirección de Protección de Datos Personales dentro del plazo de seis meses.
Artículo 54.- Limitaciones del ámbito de aplicación
Queda excluida de la aplicación de la presente Ley, la información obtenida, manejada y regulada por la Comisión Nacional de Microfinanzas (CONAMI), por la Superintendencia de Bancos y de Otras Instituciones Financieras (SIBOIF) y las entidades autorizadas, supervisadas y reguladas por estas Instituciones, así como, la información sujeta a convenios de intercambio recíproca para objeto de supervisión entre entes nacionales supervisores nacionales o extranjeros y las Centrales de Riesgo Privadas que manejan información crediticia, conforme lo regulado en sus respectivas Leyes y normas prudenciales dictadas por los Consejos Directivos de las Instituciones señaladas. Todo lo anterior es sin perjuicio de los principios generales, los derechos de los titulares de datos, así como las limitaciones establecidas en la presente Ley.
Capítulo IX.- Disposiciones finales
Artículo 55.- Reglamentación
La presente Ley será reglamentada de conformidad a lo previsto en el numeral 10 del artículo 150 de la Constitución Política de la República de Nicaragua, dentro de los sesenta días posteriores a su vigencia.
Artículo 56.- Vigencia La presente Ley entrará en vigencia a partir de su publicación en La Gaceta, Diario Oficial.
Dada en la ciudad de Managua, en la Sala de Sesiones de la Asamblea Nacional de la República de Nicaragua, a los veintiún días del mes de marzo del año dos mil doce.
Ing. René Núñez Téllez, Presidente de la Asamblea Nacional.
Lic. Alba Palacios Benavidez, Secretaria de la Asamblea Nacional.
Por tanto. Téngase como Ley de la República. Publíquese y Ejecútese. Managua, veintisiete de Marzo del año dos mil once.
DANIEL ORTEGA SAAVEDRA, PRESIDENTE DE LA REPÚBLICA DE NICARAGUA.