29Abr/20
Todas las entradas de José Cuervo
Informe del Gabinete Jurídico de la Agencia Española de Protección de Datos N/REF: 0017/2020, en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19
Gabinete Jurídico
N/REF: 0017/2020
Examinada su solicitud de informe, en relación con los tratamientos de datos resultantes de la actual situación derivada de la extensión del virus COVID-19, en primer lugar, con carácter general, debe aclararse que la normativa de protección de datos personales, en tanto que dirigida a salvaguardar un derecho fundamental, se aplica en su integridad a la situación actual, dado que no existe razón alguna que determine la suspensión de derechos fundamentales, ni dicha medida ha sido adoptada.
Sin perjuicio de lo anterior, la propia normativa de protección de datos personales (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD) contiene las salvaguardas y reglas necesarias para permitir legítimamente los tratamientos de datos personales en situaciones, como la presente, en que existe una emergencia sanitaria de alcance general. Por ello, al aplicarse dichos preceptos previstos para estos casos en el RGPD, en consonancia con la normativa sectorial aplicable en el ámbito de la salud pública, las consideraciones relacionadas con la protección de datos -dentro de los límites previstos por las leyes- no deberían utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la epidemia, por cuanto ya la normativa de protección de datos personales contiene una regulación para dichos casos que compatibiliza y pondera los intereses y derechos en liza para el bien común.
I
El Considerando (46) del RGPD ya reconoce que en situaciones excepcionales, como una epidemia, la base jurídica de los tratamientos puede ser múltiple, basada tanto en el interés público, como en el interés vital del interesado u otra persona física.
(46) El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
Por lo tanto, como base jurídica para un tratamiento lícito de datos personales, sin perjuicio de que puedan existir otras bases, -como por ejemplo el cumplimiento de una obligación legal, art. 6.1.c) RGPD (para el empleador en la prevención de riesgos laborales de sus empleados)-, el RGPD reconoce explícitamente las dos citadas: misión realizada en interés público (art. 6.1.e) o intereses vitales del interesado u otras personas físicas (art. 6.1.d).
El art. 6.1, letra d) RGPD considera no sólo que el interés vital es suficiente base jurídica del tratamiento para proteger al “interesado” (en cuanto que este es un término definido en el art. 4.1) RGPD como persona física identificada o identificable), sino que dicha base jurídica puede ser utilizada para proteger los intereses vitales “de otra persona física”, lo que por extensión supone que dichas personas físicas pueden ser incluso no identificadas o identificables; es decir, dicha base jurídica del tratamiento (el interés vital) puede ser suficiente para los tratamientos de datos personales dirigidos a proteger a todas aquellas personas susceptibles de ser contagiadas en la propagación de una epidemia, lo que justificaría, desde el punto de vista de tratamiento de datos personales, en la manera más amplia posible, las medidas adoptadas a dicho fin, incluso aunque se dirijan a proteger personas innominadas o en principio no identificadas o identificables, por cuanto los intereses vitales de dichas personas físicas habrán de ser salvaguardados, y ello es reconocido por la normativa de protección de datos personales.
El apartado 3 del artículo 6 RGPD no establece la necesidad de que la base del tratamiento por razón de interés vital haya de ser establecida por el Derecho de la Unión o el Derecho de los Estados Miembros aplicables al responsable del tratamiento, pues dicho apartado se refiere exclusivamente a los tratamientos establecidos para el cumplimiento de una obligación legal, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, ambas referidas en las letras c) y e) de dicho artículo 6 RGPD, pero no para los tratamientos incluidos en la letra d).
Sin embargo, para el tratamiento de datos de salud no basta con que exista una base jurídica del art. 6 RGPD, sino que de acuerdo con el art. 9.1 y 9.2 RGPD exista una circunstancia que levante la prohibición de tratamiento de dicha categoría especial de datos (entre ellos, datos de salud).
Esta AEPD entiende que dichas circunstancias cabe encontrarlas, en este caso, en varios de los epígrafes del art. 9.2 RGPD. Así:
(I) En la letra b), en las relaciones ente empleador y empleado, por cuanto el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento (el empleador) o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, ya que el empleador está sujeto o a la normativa de prevención de riesgos laborales (Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales) de la cual se desprende, artículo 14 y concordantes de dicha ley, un deber del empresario de protección de los trabajadores frente a los riesgos laborales, para lo cual el empresario deberá garantizar la seguridad y salud de todos los trabajadores a su servicio en los aspectos relacionados con el trabajo. Por ese mismo fundamento, el art. 29 de la Ley 31/1995, de 8 de noviembre, de prevención de Riesgos Laborales, que transpone el art. 13 de la Directiva del Consejo (89/391/CEE), de 12 de junio de 1989, relativa a la aplicación de medidas para promover la mejora de la seguridad y de la salud de los trabajadores en el trabajo, establece también obligaciones de los trabajadores en materia de prevención de riesgos. Así, corresponde a cada trabajador velar, según sus posibilidades y mediante el cumplimiento de las medidas de prevención que en cada caso sean adoptadas, por su propia seguridad y salud en el trabajo y por la de aquellas otras personas a las que pueda afectar su actividad profesional, a causa de sus actos y omisiones en el trabajo, de conformidad con su formación y las instrucciones del empresario. Ello se concreta en que deberán de informar de inmediato a su superior jerárquico directo, y a los trabajadores designados para realizar actividades de protección y de prevención o, en su caso, al servicio de prevención, acerca de cualquier situación que, a su juicio, entrañe, por motivos razonables, un riesgo para la seguridad y la salud de los trabajadores; contribuir al cumplimiento de las obligaciones establecidas por la autoridad competente con el fin de proteger la seguridad y la salud de los trabajadores en el trabajo y cooperar con el empresario para que éste pueda garantizar unas condiciones de trabajo que sean seguras y no entrañen riesgos para la seguridad y la salud de los trabajadores. En el ámbito de la situación actual derivada del covid-19 ello supone que el trabajador deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo, para que se puedan adoptar las medidas oportunas. El empleador deberá tratar dichos datos conforme al RGPD, debiendo adoptarse las medidas oportunas de seguridad y responsabilidad proactiva que demanda el tratamiento (art. 32 RGPD).
(II) En la letra g), y en la i), que pueden ser examinadas conjuntamente, por cuanto ambas hacen referencia a un interés público, el primero de ellos calificado de “esencial” y el segundo de ellos que hace referencia a un interés público calificado “en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud”, todo ello sobre la base del Derecho de la Unión o de los Estados Miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional
(III) En la letra h), cuando el tratamiento es necesario para realizar un diagnóstico médico, o evaluación de la capacidad de laboral del trabajador o cualquier otro tipo de asistencia de tipo sanitario o para la gestión de los sistemas y servicios de asistencia sanitaria y social.
(IV) Una última circunstancia de cierre que permitiría el tratamiento de datos de salud podría ser incluso la establecida en la letra c), en el caso de que se den las circunstancias previstas en este apartado, que aplicaría cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.
Dentro de estos criterios, por lo tanto, el RGPD ha pretendido dar la mayor libertad posible a los responsables del tratamiento en caso de necesidad para salvaguardar intereses vitales de los interesados o de otras personas físicas, intereses públicos esenciales en el ámbito de la salud pública o cumplimiento de obligaciones legales, dentro de las medidas establecidas en la normativa legal correspondiente del Estado miembro o de la Unión Europea en cada caso aplicable.
II
En consecuencia, en una situación de emergencia sanitaria como a la que se refiere la solicitud de este informe, es preciso tener en cuenta que, en el exclusivo ámbito de la normativa de protección de datos personales, la aplicación de la normativa de protección de datos personales permitiría adoptar al responsable del tratamiento aquellas decisiones que sean necesarias para salvaguardar los intereses vitales de las personas físicas, el cumplimiento de obligaciones legales o la salvaguardia de intereses esenciales en el ámbito de la salud pública, dentro de lo establecido por la normativa material aplicable.
Cuáles sean dichas decisiones, (desde el punto de vista de la normativa de protección de datos personales, se reitera) serán aquellas que los responsables de los tratamientos de datos deban de adoptar conforme a la situación en que se encuentren, siempre dirigida a salvaguardar los intereses esenciales ya tan reiterados. Pero los responsables de tratamientos, al estar actuando para salvaguardar dichos intereses, deberán actuar conforme a lo que las autoridades establecidas en la normativa del Estado miembro correspondiente, en este caso España, establezcan.
Así, el legislador español se ha dotado de las medidas legales necesarias oportunas para enfrentarse a situaciones de riesgo sanitario, como la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo, por el que se adoptan determinadas medidas urgentes en el ámbito económico y para la protección de la salud pública, publicado en el Boletín Oficial del Estado de 11 de marzo de 2020) o la Ley 33/2011, de 4 de octubre, General de Salud Pública. El artículo 3 de la primera de dichas normas señala que:
con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.
Del mismo modo, los artículos 5 y 84 de la Ley 33/2011, de 4 de octubre, General de Salud Pública se refieren a la anterior Ley orgánica 3/1986, y a la posibilidad de adoptar medidas adicionales en caso de riesgo de transmisión de enfermedades.
Por lo tanto, en materia de riesgo de transmisión de enfermedades, epidemia, crisis sanitarias etc., la normativa aplicable ha otorgado “a las autoridades sanitarias de las distintas Administraciones públicas” (art. 1 Ley Orgánica 3/1986, de 14 de abril) las competencias para adoptar las medidas necesarias previstas en dichas leyes cuando así lo exijan razones sanitarias de urgencia o necesidad.
En consecuencia, desde un punto de vista de tratamiento de datos personales, la salvaguardia de intereses esenciales en el ámbito de la salud pública corresponde a las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar dichos intereses esenciales públicos en situaciones de emergencia sanitaria de salud pública.
Serán estas autoridades sanitarias competentes de las distintas administraciones públicas quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud de personas físicas. Lo anterior hace referencia, expresamente, a la posibilidad de tratar los datos personales de salud de determinadas personas físicas por los responsables de tratamientos de datos personales, cuando, por indicación de las autoridades sanitarias competentes, es necesario comunicar a otras personas con las que dicha persona física ha estado en contacto la circunstancia del contagio de esta, para salvaguardar tanto a dichas personas físicas de la posibilidad de contagio (intereses vitales de las mismas) cuanto para evitar que dichas personas físicas, por desconocimiento de su contacto con un contagiado puedan expandir la enfermedad a otros terceros (intereses vitales de terceros e interés público esencial y/o cualificado en el ámbito de la salud pública).
Del mismo modo, y en aplicación de lo establecido en la normativa de prevención de riesgos laborales, y de medicina laboral, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que estas normas establecen, los datos de sus empleados necesarios para garantizar la salud de todos sus empleados, lo que incluye igualmente al resto de empleados distintos del interesado, para asegurar su derecho a la protección de la salud y evitar contagios en el seno de la empresa y/o centros de trabajo.
III
Ahora bien, los tratamientos de datos personales en estas situaciones de emergencia sanitaria, como se ha mencionado al principio de este informe, siguen siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, LOPDGDD), por lo que se aplican todos sus principios, contenidos en el artículo 5 RGPD, y entre ellos el de tratamiento de los datos personales con licitud, lealtad y transparencia, de limitación de la finalidad (en este caso, salvaguardar los intereses vitales/esenciales de las personas físicas), principio de exactitud, y por supuesto, y hay que hacer especial hincapié en ello, el principio de minimización de datos. Sobre este último aspecto hay que hacer referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a cualesquiera otros datos personales no estrictamente necesarios para dicha finalidad, sin que pueda confundirse conveniencia con necesidad, porque el derecho fundamental a la protección de datos sigue aplicándose con normalidad, sin perjuicio de que, como se ha dicho, la propia normativa de protección de datos personales establece que en situaciones de emergencia, para la protección de intereses esenciales de salud pública y/o vitales de las personas físicas, podrán tratarse los datos de salud necesarios para evitar la propagación de la enfermedad que ha causado la emergencia sanitaria.
Respecto del principio de limitación de la finalidad en relación con supuestos de tratamientos de datos de salud por razones de interés público, el Considerando (54) RGPD es claro, cuando establece que:
El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. […] Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.
23Abr/20
Ley nº 2015 de 31 de enero de 2020, por medio de la cual se crea la Historia Clínica Electrónica Interoperable (HCEI) y se dictan otras disposiciones
El CONGRESO DE COLOMBIA
DECRETA:
CAPÍTULO I.- Objeto, definiciones, diseño, implementación y administración, sujetos obligados, custodia y guarda
Artículo 1º. Objeto.
La presente ley tiene por objeto regular la Interoperabilidad de la Historia Clínica Electrónica – IHCE, a través de la cual se intercambiarán los elementos de datos clínicos relevantes, así como los documentos y expedientes clínicos del curso de vida de cada persona.
A través de la Historia Clínica Electrónica se facilitará, agilizará y garantizará el acceso y ejercicio de los derechos a la salud y a la información de las personas, respetando el Hábeas Data y la reserva de la misma.
Parágrafo. El Ministerio de Salud y Protección Social reglamentará los datos clínicos relevantes.
Artículo 2º. Definiciones.
Historia Clínica Electrónica: es el registro integral y cronológico de las condiciones de salud del paciente, que se encuentra contenido n sistemas de información y aplicaciones de software con capacidad de comunicarse, intercambiar datos y brindar herramientas para la utilización de la información refrendada con firma digital del profesional tratante. Su almacenamiento, actualización y uso se efectúa en estrictas condiciones de seguridad, integridad, autenticidad, confiabilidad, exactitud, inteligibilidad, conservación, disponibilidad y acceso, de conformidad con la normatividad vigente.
Interoperabilidad: capacidad de varios sistemas o componentes para intercambiar información, entender estos datos y utilizarlos. De este modo, la información es compartida y está accesible desde cualquier punto de la red asistencial en la que se requiera su consulta y se garantiza la coherencia y calidad de los datos en todo el sistema, con el consiguiente beneficio para la continuidad asistencial y la seguridad del paciente.
Artículo 3°. Ámbito de aplicación.
Los Prestadores de Servicios de Salud estarán obligados a diligenciar y disponer Ios datos, documentos y expedientes de la historia clínica en la plataforma de interoperabilidad que disponga el Gobierno nacional.
El Ministerio de Salud y Protección Social definirá las características, los términos y condiciones para la interoperabilidad de los elementos de datos, documentos y expedientes de la historia clínica, cumpliendo con los lineamientos de la política de Gobierno Digital o aquélla que haga sus veces, la cual será establecida por el Ministerio de Tecnologías de la Información y las Comunicaciones. El Archivo General de la Nación, de conformidad con las normas aplicables, reglamentará lo relacionado con los tiempos de retención documental, organización y conservación de las historias clínicas. De igual forma, estará en cabeza del Ministerio de Salud y Protección Social definir los criterios para exigir su respectiva implementación.
Parágrafo 1°. El Ministerio de Salud y Protección Social adoptará un plan de implementación de la Interoperabilidad de la Historia Clínica Electrónica – IHCE para el intercambio de los datos clínicos relevantes, el cual deberá tener en cuenta las condiciones específicas de los sujetos obligados. En todo caso, el plazo máximo de implementación será de cinco (5) años contados a partir de la entrada en vigencia de la presente ley. Esta estrategia obedecerá a criterios de interoperabilidad, privilegiando los datos, avances y sistemas existentes en los distintos prestadores dentro del sistema de salud, generando así un ahorro en la implementación de la Interoperabilidad de la Historia Clínica Electrónica -IHCE.
En todo caso, facúltese al Ministerio de Salud y Protección Social para definir los términos de implementación de la interoperabilidad de los documentos y expedientes de la historia clínica electrónica como una fase superior al intercambio de datos clínicos relevantes.
Parágrafo 2°. El Ministerio de Salud y Protección Social definirá los criterios para exigir la Interoperabilidad de la Historia Clínica Electrónica como criterio de habilitación dentro del Sistema Único de Habilitación para Prestadores de Servicios de Salud, en los términos de implementación al que hace referencia el parágrafo primero del presente artículo.
A los prestadores de servicios de salud y demás personas naturales o jurídicas que se relacionen con la atención en salud exceptuados en el marco del artículo 279 de la Ley 100 de 1993, les aplicarán las disposiciones de la presente Ley.
Artículo 4°. Reglamentación y administración.
Los Ministerios de Salud y Protección Social y el de Tecnologías de la Información y las Comunicaciones, o aquéllos que hagan sus veces, reglamentarán el modelo de Interoperabilidad de la Historia Clínica Electrónica. El Ministerio de Salud y Protección Social administrará el modelo de Interoperabilidad de la Historia Clínica Electrónica IHCE y el Ministerio de Tecnologías de la Información y las Comunicaciones será el responsable de la administración de la herramienta tecnológica de la plataforma de interoperabilidad.
Parágrafo. El modelo de Interoperabilidad de la Historia Clínica Electrónica deberá ser reglamentado en un término máximo de doce (12) meses, contados a partir de la entrada en vigencia de la presente ley.
Artículo 5°. Guarda y custodia.
Todos los prestadores de servicios de salud, públicos o privados, seguirán teniendo la responsabilidad de la guarda y custodia de las historias clínicas de las personas en sus propios sistemas tecnológicos de acuerdo con las leyes vigentes sobre la materia. En todo caso, también serán responsables de la guarda y custodia los demás actores de salud involucrados en el marco de interoperabilidad de la historia clínica electrónica.
Parágrafo: El Ministerio de Salud y de la Protección Social, reglamentará el acceso a la información por parte del personal distinto al equipo de salud, en el marco de interoperabilidad de la historia clínica electrónica, lo cual deberá garantizar la privacidad y reserva de la historia clínica.
CAPÍTULO II.- Titularidad
Artículo 6°. Titularidad.
Cada persona será titular de su Historia Clínica Electrónica, a la cual tendrán acceso, además del titular, los sujetos obligados en el artículo tercero de la presente ley, con el previo y expreso consentimiento de la persona o paciente de acuerdo con la normatividad vigente.
Artículo 7°. Autorización a terceros.
Solo la persona titular de la Historia Clínica Electrónica podrá autorizar el uso por terceros de la información total o parcial en ella contenida de acuerdo con la normatividad vigente; salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.
CAPÍTULO III.- Contenido, gratuidad y autenticidad
Artículo 8°. Contenido.
La Historia Clínica Electrónica deberá contener los datos clínicos relevantes de la persona de forma ciaré, completa y estandarizada con los más altos niveles de confidencialidad.
Parágrafo 1°. La información suministrada en la Historia Clínica Electrónica no podrá ser modificada sin que quede registrada la modificación de que se trate, aun en el caso de que ella tuviera por objeto subsanar un error.
En caso de ser necesaria la corrección de una información de Historia Clínica Electrónica, se agregará el nuevo dato con la fecha, hora, nombre e identificación de quien hizo la corrección, sin suprimir lo corregido y haciendo referencia al error que subsana.
Parágrafo 2°. Los sujetos obligados deberán consignar en la Historia Clínica Electrónica Interoperable cualquier tipo de lesión causada por sustancias o agentes químicos corrosivos a la piel.
Artículo 9°. Gratuidad.
Todo paciente tendrá derecho a que le suministren su historia clínica por cualquier medio electrónico por parte de los prestadores de servicios de salud de forma gratuita, completa y rápida.
Artículo 10. Autenticidad.
La Historia Clínica Electrónica se presumirá auténtica de acuerdo con la normatividad vigente.
CAPÍTULO IV.- Disposiciones generales
Artículo 11°. Reportes obligatorios de salud pública.
El Ministerio de Salud y Protección Social articulará la información consignada en los reportes obligatorios de salud pública con la Historia Clínica Electrónica.
Artículo 12°. Prohibición de divulgar datos.
Está prohibida la divulgación de los datos de cualquier persona consignados en la Historia Clínica Electrónica por parte de quien hubiere tenido acceso a esta información, teniendo en cuenta la normatividad vigente.
Parágrafo 1. Para los profesionales de la salud y los servidores públicos, la divulgación de la información de que trata el presente artículo constituirá falta gravísima de acuerdo con la Ley 1952 de 2019 y la Ley 23 de 1981 o normas que la modifiquen, complementen o sustituyan.
Parágrafo 2. Las EPS y las IPS responsables del manejo de la información no podrán divulgar los datos por ellos administrados sin autorización expresa de la persona.
Artículo 13°. Seguridad e la información y seguridad digital.
Los actores que traten información en el marco del presente título deberán establecer un plan de seguridad y privacidad de la información, seguridad digital y continuidad de la prestación del servicio, para lo cual establecerán una estrategia a través de la cual deberán realizar periódicamente una evaluación del riesgo de seguridad digital, que incluya una identificación de las mejoras a implementar en su Sistema de Administración del Riesgo Operativo.
Para lo anterior, deberán contar con normas, políticas, procedimientos, recursos técnicos, administrativos y humanos necesarios para gestionar efectivamente el riesgo mediante la adopción de los lineamientos para la administración de la seguridad de la información y la seguridad digital que emita el Ministerio de Tecnologías de la Información y las Comunicaciones o quien haga sus veces. Lo anterior, incluyendo lo señalado por la Ley 1581 de 2012 de Hábeas Data y Ley 527 de 1999 de Comercio Electrónico, o las normas que las modifiquen, sustituyan o complementen.
Artículo 14°. Financiación.
El Gobierno nacional y los demás agentes del sistema que intervengan en la IHCE concurrirán en la financiación para la implementación de los mecanismos necesarios que garanticen el funcionamiento continuo, oportuno y accesible de la IHCE.
Artículo 15°. Organización y manejo del archivo físico de las historias clínicas.
El Archivo General de la Nación junto con el Ministerio de Salud y Protección Social reglamentarán lo relacionado con los tiempos de retención, organización, así como la conservación de los documentos y el expediente de la historia clínica física o electrónica, en concordancia con la normatividad que rija la materia.
Artículo 16°. Vigencia.
La presente ley rige desde su promulgación y deroga las normas que le sean contrarias.
EL PRESIDENTE DEL HONORABLE SENADO DE LA REPÚBLICA, Lidio Arturo García Turbay
EL SECRETARIO GENERAL DEL HONORABLE SENADO DE LA REPÚBLICA, Gregorio Eljach Pacheco
EL PRESIDENTE DE LA HONORABLE CÁMARA DE REPRESENTANTES, Carlos Alberto Cuenca Chaux
EL SECRETARIO GENERAL DE LA HONORABLE CÁMARA DE REPRESENTANTES, Jorge Humberto Mantilla Serrano
Ley nº 2015 por medio del cual se crea la Historia Clínica Electrónica Interoperable y se dictan otras disposiciones.
República de Colombia, Gobierno Nacional
Publíquese y cúmplase
Dado en Bogotá, DC a los 31 de enero de 2020
LA MINISTRA DEL INTERIOR, Nancy Patricia Gutiérrez Castañeda
EL MINISTRO DE HACIENDA Y CRÉDITO PÚBLICO, Alberto Carrasquilla Barrera
LA MINISTRA DE JUSTICIA Y DEL DERECHO, Margarita Leonor Cabello Blanco
EL VICEMINISTRO DE SALUDO PÚBLICA Y PRESTACIÓN DE SERVICIOS, ENCARGADO DE LAS FUNCIONES DEL EMPLEO DE MINISTRO DE SALUD Y PROTECCIÓN SOCIAL, Iván Darío González Ortiz
Proyecto de Ley 300 de 2020, de 11 de marzo de 2020
Proyecto de Ley 300 de 2020, de 11 de marzo de 2020, por medio de la cual se dictan disposiciones generales para el fortalecimiento de la protección de datos personales, con relación al reconocimiento de las garantías de los derechos digitales, y se dictan otras disposiciones.
Bogotá D.C., 11 de marzo de 2020
Honorable Senador
LIDIO GARCIA TURBAY
Presidente
Senado de la República
Ciudad
Asunto: Proyecto de Ley “Por medio de la cual se dictan disposiciones generales para el fortalecimiento de la protección de datos personales, con relación al reconocimiento de las garantías de los derechos digitales, y se dictan otras disposiciones”
Señor presidente:
En ejercicio de la facultad prevista en el artículo 150 de la Constitución Política y del artículo 140 numeral 1º de la Ley 5ta de 1992, presento a consideración del Congreso de la República el presente Proyecto de Ley “Por medio de la cual se dictan disposiciones generales para el fortalecimiento de la protección de datos personales, con relación al reconocimiento de las garantías de los derechos digitales, y se dictan otras disposiciones”.
Cordialmente,
CARLOS ANDRÉS TRUJILLO GONZÁLEZ
Senador de La República
PROYECTO DE LEY.
“Por medio de la cual se dictan disposiciones generales para el fortalecimiento de la protección de datos personales, con relación al reconocimiento de las garantías de los derechos digitales, y se dictan otras disposiciones”
EL CONGRESO DE COLOMBIA
DECRETA:
Artículo 1. Objeto.
El objeto de esta Ley es el fortalecimiento de la protección de datos personales por medio del reconocimiento de los derechos y libertades digitales de los ciudadanos conforme al mandato establecido en la Constitución, predicables al entorno de Internet en cuanto a la seguridad y educación digital, así como el derecho al olvido en el marco del derecho a la intimidad, la protección de los menores en Internet y el derecho a la aclaración de informaciones en medios de comunicación digitales.
Artículo 2. Derecho a la seguridad digital.
Los usuarios de los servicios de redes sociales y servicios de la sociedad de la información equivalentes, tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a través de Internet. Los proveedores de estos servicios de Internet informarán a los usuarios de sus derechos.
Artículo 3. Derecho a la educación digital:
1. El sistema educativo propenderá por garantizar la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales, y particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales.
Las Instituciones educativas deberán incluir en el diseño de sus bloques de asignaturas la competencia digital a la que se refiere el numeral primero del presente artículo, así como los elementos relacionados con las situaciones de riesgo derivadas de la inadecuada utilización de las tecnologías de la información y la comunicación, con especial atención a las situaciones que configuren cualquier forma de violencia en la red.
2. El Estado propenderá por que los docentes reciban las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos establecidos en el numeral primero del presente artículo.
Artículo 4. Protección de los menores de edad en Internet:
1. Los padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información, a fin de garantizar el adecuado desarrollo de su personalidad, y preservar su dignidad y sus derechos fundamentales.
2. La utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales, determinará la intervención del Instituto de Bienestar Familiar ICBF, que instará las medidas cautelares y de protección necesarias.
Artículo 5. Derecho de rectificación en Internet:
1. Todas las personas tienen derecho a la libertad de expresión en Internet.
2. Los responsables de redes sociales y servicios equivalentes adoptarán protocolos adecuados para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos con información falsa, inexacta, equivocada, desactualizada, parcial, incompleta, fraccionada o que induzca a error, que atente contra el derecho a la honra, el buen nombre, la intimidad personal y familiar en Internet, y el derecho a comunicar o recibir libremente información veraz e imparcial atendiendo el precepto constitucional establecido en el artículo 20 superior, que garantiza el derecho a la rectificación en condiciones de equidad.
Cuando los medios de comunicación digitales deban atender la solicitud de rectificación formulada contra ellos deberán proceder a la publicación en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo. Dicho aviso deberá aparecer en lugar visible junto con la información original.
Artículo 6. Derecho a la actualización de informaciones en medios de comunicación digitales:
Toda persona tiene derecho a solicitar motivadamente de los medios de comunicación digitales la inclusión de un aviso de actualización suficientemente visible junto a las noticias que le conciernan cuando la información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio.
En particular, procederá la inclusión de dicho aviso cuando las informaciones originales se refieran a asuntos que sean consecuencia de decisiones judiciales o administrativas posteriores. En este caso, el aviso hará referencia a la decisión posterior.
Artículo 7. Protección de datos de los menores en Internet:
Cualquier persona ya sea natural o jurídica que desarrolle actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.
Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento previo, expreso e informado de sus representantes legales a través de la autorización de que trata el artículo 9 de la Ley 1581 de 2012.
Artículo 8. Derecho al olvido en búsquedas de Internet:
1. Toda persona tiene derecho a que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona cuando no fuesen veraces, completos, exactos, comprobables, comprensibles, actualizados o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.
Del mismo modo deberá procederse cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los enlaces por el servicio de búsqueda en Internet.
Este derecho subsistirá aun cuando fuera lícita la conservación de la información publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultáneo.
2. El ejercicio del derecho al que se refiere este artículo no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejerciera el derecho.
Artículo 9. Derecho al olvido en servicios de redes sociales y servicios de la sociedad de la información equivalentes:
1. Toda persona tiene derecho a que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado para su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes.
2. Toda persona tiene derecho a que sean suprimidos los datos personales que le conciernan y que hubiesen sido facilitados por terceros para su publicación por los servicios de redes sociales y servicios de la sociedad de la información equivalentes, cuando no fuesen veraces, completos, exactos, comprobables, comprensibles, no actualizados o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.
Del mismo modo deberá procederse a la supresión de dichos datos cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos a la honra, buen nombre, intimidad personal o familiar, sobre el mantenimiento de los datos publicados por los servicios de redes sociales y servicios de la sociedad de la información equivalentes.
3. En caso de que el derecho se ejercitase por un afectado respecto de datos que hubiesen sido facilitados al servicio de redes sociales y servicios de la sociedad de la información equivalentes, por él o por terceros, durante su minoría de edad, el prestador deberá proceder sin dilación a su supresión por su simple solicitud, sin necesidad de que concurran las circunstancias mencionadas en el numeral segundo de este artículo.
Artículo 10. Autoridad de protección de garantías de los derechos digitales:
La Superintendencia de Industria y Comercio, a través de la Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar el ejercicio de los derechos consagrados en la presente ley.
PARÁGRAFO. El Gobierno Nacional reglamentará la materia, dentro de los seis (6) meses siguientes a la promulgación de esta ley.
Artículo 11. Vigencia:
La presente ley rige a partir de la fecha de su promulgación y deroga las disposiciones que le sean contrarias.
CARLOS ANDRÉS TRUJILLO GONZÁLEZ, Senador de la República
Exposición de motivos.
El objetivo de esta iniciativa es regular la protección de datos personales por medio del reconocimiento de los derechos y libertades digitales de los ciudadanos, conforme al mandato establecido en la Constitución, en cuanto a la seguridad y educación digital, así como el derecho al olvido en el marco del derecho a la intimidad, la protección de los menores en Internet, y el derecho a la aclaración de informaciones en medios de comunicación digitales.
La protección de datos personales es un derecho fundamental, toda vez que, hace alusión al derecho a la honra, el buen nombre e intimidad personal y familiar, por tal razón debe garantizarse un desarrollo normativo, que permita a las mismas el control sobre sus datos personales, su uso y destino.
En Colombia según el artículo 15 de la Constitución política se establece que:
“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas”. el Habeas data según Sentencia T-729/02 de la Corte Constitucional, establece que es también el derecho hacia la autodeterminación informática, la cual es la facultad de una persona de administrar debidamente su información personal.
La Ley 1581 de 2012 instaura que los datos sensibles, según el artículo 5 son: “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos”.
A pesar de este precepto y con relación a los datos personales, existen aún en nuestro ordenamiento jurídico vacíos en cuanto al derecho sobre protección de datos personales en internet, toda vez que, aunque existe un control por parte del titular de este derecho de conocer, actualizar y rectificar, cualquier uso ilícito que se haga sobre su información personal en cualquier base de datos ya sea de entidades públicas o privadas, cuando esta no sea veraz, completa, exacta, actualizada, comprobable y comprensible, no sucede lo mismo con la información de ésta misma índole que circula en internet, toda vez que, una vez publicada nunca desaparece de la web, lo que a todas luces vulnera derechos como la honra, el buen nombre e intimidad personal y familiar.
Mediante este proyecto de Ley se pretende una regulación uniforme, que permita eliminar cualquier información personal que no tenga el consentimiento por parte del titular. Por medio de esto se refuerza la seguridad jurídica y la transparencia en el flujo de información que se presenta actualmente en internet.
La globalización ha sido uno de los factores más importantes para el análisis y estudio de la búsqueda para la protección de datos personales, teniendo en cuenta que, con los avances en redes se necesita mitigar y controlar el tráfico ilícito de los mismos. Es importante tener conciencia de la presencia del internet y su poder, como también los riesgos y oportunidades que ofrece, ya que, dicha figura está inmersa tanto en nuestra vida íntima como colectiva.
La transformación y avance digital debe ir de la mano con el ordenamiento jurídico, es decir, debe haber una adaptación del mismo para que el crecimiento de las redes no vulnere los derechos de los ciudadanos. Si bien es cierto, en la actualidad los datos personales son un recurso fundamental de la sociedad para la información, no siempre se le da un buen uso, toda vez que, los usuarios en redes tienen acceso ilimitado a cualquier información que solicite sin casi ninguna restricción, lo que muchas veces conlleva al uso ilícito de las mismas.
Como anteriormente se dijo, existen riesgos que nos presenta la libre circulación de datos, como la información sobre los individuos, las cuales aumentan prominentemente, por lo que son más accesibles para cualquier persona y se hace más difícil el control de su destino y uso.
Ahora bien el principio de la seguridad jurídica, es esencial ya que supone una garantía de certeza para los ciudadanos. Según la sentencia T-502 de 2002:
“La seguridad jurídica es un principio central en los ordenamientos jurídicos occidentales. La Corte ha señalado que este principio ostenta rango constitucional y lo ha derivado del preámbulo de la Constitución y de los artículos 1, 2, 4, 5 y 6 de la Carta. La seguridad jurídica es un principio que atraviesa la estructura del Estado de Derecho y abarca varias dimensiones. En términos generales supone una garantía de certeza. Esta garantía acompaña otros principios y derechos en el ordenamiento.
La seguridad jurídica no es un principio que pueda esgrimirse autónomamente, sino que se predica de algo. Así, la seguridad jurídica no puede invocarse de manera autónoma para desconocer la jerarquía normativa, en particular frente a la garantía de la efectividad de los derechos constitucionales y humanos de las personas.
En materia de competencias, la seguridad jurídica opera en una doble dimensión. De una parte, estabiliza (sin lo cual no existe certeza) las competencias de la administración, el legislador o los jueces, de manera que los ciudadanos no se vean sorprendidos por cambios de competencia. Por otra parte, otorga certeza sobre el momento en el cual ocurrirá la solución del asunto sometido a consideración del Estado” (1)
Mediante este principio, el Estado es garante de la aplicación y el cumplimiento de la norma sobre cualquier interés de la ciudadanía. Este principio determinante permite un ambiente estable y previsible en la seguridad jurídica del Estado ya que esta se basa en la certeza del derecho. Lo dicho permite que se proteja su persona, bienes y derechos para que estos no sean violentados. La confiabilidad dada al ordenamiento jurídico mediante este principio es fundamental. Hoy creemos saber que el dibujo de una lanza no garantiza una caza exitosa, pero muchos piensan todavía que ya una «ley trazada en el papel» (la promulgación de una ley) proporciona seguridad (jurídica) (2).
Por esta razón debemos utilizar los recursos internos que nos brinda el Estado y así regular sobre las garantias y libertades digitales, con el fin de que el Estado de derecho crezca análogo con el desarrollo social, para que, con esto, derechos como la honra, el buen nombre y la intimidad personal y familiar sean realmente protegidos al desvincular de la web cualquier contenido ilícito de datos personales.
Con fundamento en lo anterior el Gobierno Nacional a través de la Ley 1581 de 2012 en su título II, artículo 4 estableció los principios rectores, en referencia al tratamiento de datos personales, que permitiren el ejercicio de los derechos en él inmersos,los cuales son:
“a) Principio de legalidad en materia de Tratamiento de datos: El Tratamiento a que se refiere la presente ley es una actividad reglada que debe sujetarse a lo establecido en ella y en las demás disposiciones que la desarrollen;
b) Principio de finalidad: El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular;
c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento;
d) Principio de veracidad o calidad: La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error;
e) Principio de transparencia: En el Tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan;
f) Principio de acceso y circulación restringida: El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, de las disposiciones de la presente ley y la Constitución. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la presente ley;
Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la presente ley;
g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;
h) Principio de confidencialidad: Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la presente ley y en los términos de la misma” (3).
Con lo anterior, al analizar casos donde una persona, haya presuntamente cometido un crimen el cual posteriormente por medio de sentencia se haya confirmado su inocencia o haya sufrido de una violación de su intimidad mediante una publicación de video, estos hechos pasados pueden generar un impacto negativo en la opinión del público en todo tiempo, lo cual es causante, de una reinserción social difícil, ya que deben lidiar con el recuerdo constante de esos hechos. Situaciones como las descritas denotan las imperiosa necesidad de legislar respecto del derecho al olvido, permitiendo borrar cualquier historial en la web que vulnere nuestros derechos personalísimos, para así mitigar el impacto en el entorno social.
Revisadas experiencias dentro del marco normativo internacional, se encontró que alrededor de esta temática que la Unión Europea en el Reglamento (UE) 2016/679 del parlamento europeo y del consejo de 27 de abril de 2016, establece relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos mismos, que:
“El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y los principios reconocidos en la Carta conforme se consagran en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juicio justo, y la diversidad cultural, religiosa y lingüística” (4)
Por otro lado, España en su Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, permite mediante esta, ofrecer una seguridad y garantiza a sus ciudadanos sobre el buen uso de sus datos personales y el control de los mismo.
Así mismo, desde 1978 en Francia se aprobó la Ley “Informática, Ficheros y Libertades”, en la cual en su artículo 1 desarrolla que “La informática deberá estar al servicio de cada ciudadano. Su desarrollo deberá tener lugar dentro del marco internacional. No deberá atentar la identidad humana ni a los derechos del hombre ni a la vida privada ni a las libertades individuales o públicas”. (5)
Ahora bien, en la protección de los derechos fundamentales debemos tener en cuenta que los niños y niñas juegan un papel fundamental en la proyección de este derecho, toda vez que, según (La Sala Plena de la Corte Constitucional, 2014, p.40):
“En ese orden, el interés superior del menor y la aplicación del principio pro infans deben sopesarse frente a otras garantías de los intervinientes, dando prelación a los primeros, dada su preponderancia constitucional y el estado de vulnerabilidad y debilidad manifiesta en la que se encuentran los niños, niñas y adolescentes víctimas de delitos atroces”. (6)
Para la efectiva protección integral de los derechos de los niños, en este caso sobre sus datos personales y el uso de los mismos, como Estado es necesario ofrecer la garantía del uso licito de los mismos, toda vez que, los niños por su condición de desarrollo y vulnerabilidad, no poseen la suficiente madurez para manejar información o sus propios datos personales.
Mediante la Ley 1581 de 2012, el estado generó unas garantías constitucionales para los niños, niñas y adolescentes respeto al tratamiento de sus datos personales en su artículo 7, donde establece que “Queda proscrito el Tratamiento de datos personales de niños, niñas y adolescentes, salvo aquellos datos que sean de naturaleza pública.”
Posteriormente mediante Decreto 1377 de 2012 se adicionan dos requisitos para el tratamiento de datos de niños tales como:
“1. Que responda y respete el interés superior de los niños, niñas y adolescentes.
2. Que se asegure el respeto de sus derechos fundamentales.”
En este sentido, aún se observa un déficit de protección ante los niños, niñas y adolescentes, toda vez que, existen casos en los que menores de edad se les ha subido información intima o sensible a redes, las cuales quedan registradas en la web sin opción de ser eliminada. Por otra parte, por la poca madurez que estos poseen como se planteó anteriormente, muchas conductas en las redes tienen repercusiones en su identidad digital.
Al llegar a este punto, debemos detenernos brevemente y entender que el derecho al olvido digital según Castellano (2013) es “un derecho a equivocarse y volver a empezar”. Como también la “facultad de evitar que terceros recuerden hechos del pasado veraces y que en su día revistieron una notoriedad pública que con el paso del tiempo pereció” (7).
El simple hecho de que una información sea vulneradora de derechos hacia una persona, es motivo para que se haga la solicitud ante los responsables de las páginas que lo contengan y esta sea eliminada de las mismas, por consiguiente y como ciudadanos, el Estado debe dar la posibilidad de tener la potestad de decidir cual información personal queremos que circule sobre nosotros en la web.
La misma Corte Constitucional en sentencia T- 414 de 1992 ha dicho que:
“recordar que a partir de la década del cincuenta máquinas tales como los computadores han hecho posible no sólo crear e interconectar enormes “bancos de datos” que pueden suministrar inmediatamente una vasta cantidad de información personal a grandes distancias y en forma más comprensiva, sino también establecer correlaciones entre datos que aisladamente son las más de las veces inofensivos pero que reunidos pueden descubrir aspectos cuya revelación atenta contra la libertad e intimidad del ciudadano”.
Este derecho sería un desarrollo, sobre todo en el aspecto de circulación de información falsa, ya que, según la doctrina “Toda persona natural tiene el derecho de comprobar frente al responsable del tratamiento de la información la exactitud y veracidad y solicitar la rectificación de sus datos personales recolectados cuando los mismos resulten inexactos, estén incompletos o conlleven a error. Los titulares de la información deberán indicar los datos que solicitan corregir y además acompañar la documentación que justifique lo solicitado”. (8)
Cuando se trata de falsedad en la información personal, es decir, datos sustancialmente erróneos, el afectado debe estar facultado para solicitar la rectificación de la información, la cual es generadora de una mala reputación injustificada, poder requerir mediante fundamentos válidos su eliminación, toda vez que lesiona los derechos a la honra, el buen nombre y la intimidad personal y familiar.
La dignidad humana entra a jugar un rol fundamental, teniendo en cuenta que la flagrante violación de los derechos personalísimos de las personas tales como la honra, el buen nombre y la intimidad personal y familiar denota un Estado con un ordenamiento jurídico débil.
El Estado debe facultar mediante herramientas idóneas el reconocimiento y respeto de la dignidad de cada persona, toda vez que, “cuando un sujeto pretende corregir información falsa o discriminatoria almacenada en un banco de datos público o privado y que es difundida a terceros, lo que intenta es principalmente tutelar la identidad que el registrado posee frente a la sociedad (9)”.
Si bien es cierto, en el artículo 20 de la constitución política de Colombia, establece que: “Se garantiza a toda persona la libertad de expresar y difundir su pensamiento y opiniones, la de informar y recibir información veraz e imparcial, y la de fundar medios masivos de comunicación. Estos son libres y tienen responsabilidad social. Se garantiza el derecho a la rectificación en condiciones de equidad. No habrá censura”.
Según lo anterior, el ejercicio legítimo del derecho de libertad de expresión, tiene sus limitantes debido a que, en los casos de los medios de comunicación, en su ejercicio de informar, estos en ocasiones sobrepasan el límite de este derecho. A las personas afectadas se les debe permitir la rectificación con fines de proteger sus datos personales. Mediante esta rectificación, se pide a los medios una aclaración del error informativo cometido con respecto a una persona, puesto que es necesaria la aclaración del contenido real y veraz de la información. Según el principio de caducidad, la información desfavorable al titular debe ser retirada (10).
Mediante el derecho al olvido digital, se pretende establecer condiciones en las cuales los medios de información masiva puedan permitir la rectificación de la información inexacta de una persona, toda vez que, la información dada de manera errónea no tiene ningún beneficio de divulgación para la sociedad y por consiguiente es capaz de producir un daño real en la persona.
Por otro lado, el tiempo transcurrido de la información tiene una connotación importante, toda vez que, según la Corte Constitucional plantea que “Los datos tienen por su naturaleza misma una vigencia limitada en el tiempo la cual impone a los responsables o administradores de bancos de datos la obligación ineludible de una permanente actualización a fin de no poner en circulación perfiles de “personas virtuales” que afecten negativamente a sus titulares, vale decir, a las personas reales. De otra parte, es bien sabido que las sanciones o informaciones negativas acerca de una persona no tienen vocación de perennidad y, en consecuencia, después de algún tiempo tales personas son titulares de un verdadero derecho al olvido” (11)
Esta información con el paso de los años resulta alterada y pierde vínculo público, por lo que en diversas ocasiones es necesario su eliminación de la web. Por otra parte, una persona por causa de las redes no debe quedar atada a las condiciones de su pasado y aún menos cuando esta información no tenga ninguna implicación con respecto a los intereses actuales de la colectividad. La información en la web, con el tiempo pierde su finalidad por la cual fue registrada.
La información contenida en las redes, debe volver eventualmente, a la esfera de privacidad de cada quien. El hecho de que esta información personal permanezcan más de lo necesario en la web, no permite una ponderación del derecho al olvido digital. Con lo anteriormente dicho, debe haber un tiempo razonable de permanencia de la información.
Palermo plantea que la aplicación del derecho al olvido es “el justo interés de cada persona de no quedar expuesto en forma indeterminada al daño que impone a su honor y a su reputación la reiterada publicación de una noticia legítimamente divulgada en el pasado”(12).
Del mismo modo, la desindexación que deben realizar los encargados del tratamiento de datos o gestores de motor de búsqueda, la cual es el derecho a ser eliminado en los resultados de búsqueda, cuando se haga a través del nombre del titular que reclama el derecho.
Actualmente mediante resolución 1321 del 24 de enero de 2019, la Superintendencia de Industria y Comercio, realizó una solicitud a Facebook sobre regular respecto a la protección y privacidad de datos personales de los 31 millones de colombianos usuarios de esta red social. Esta debe ser cumplida por parte de Facebook dentro de los cuatro meses siguientes a la solicitud. Esta resolución en el considerando sexto se establece que:
“con sujeción a lo establecido en el artículo 21 de la Ley 1581 de 2012, le corresponde a la Superintendencia de industria y comercio (SIC) impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los responsables del tratamiento y encargados del tratamiento a las disposiciones previstas en esa ley. Adicionalmente, la SIC también puede ordenar las medidas que sean necesarias para hacer efectivo el derecho de habeas data”.
Esta orden es de carácter preventiva, por lo cual se puede observar el grado de preocupación e importancia sobre el tratamiento y uso de los datos personales redes sociales y servicios de la sociedad de la información equivalentes. Como Estado ya se están tomando medidas que contemplan dicha protección, pero, aun así, es necesaria la regulación completa de este derecho fundamental, y, mediante los mecanismos que ofrece el Estado se puede cumplir este cometido.
Uno de los retos que se plantea en este proyecto de Ley, es que el derecho al olvido digital produzca efectos más allá de la frontera de nuestro país, toda vez que, en casos específicos puede ser necesaria la desindexación a nivel mundial.
En este punto, es necesario recalcar la realidad que estamos viviendo con respecto al acceso ilimitado de datos personales, por lo tanto, en nuestro ordenamiento jurídico es preciso definir garantías para que los ciudadanos tengan la posibilidad de decisión respecto al uso y destino de la información que sobre ellos circula en las redes sociales y los servicios de la sociedad de la información.
Un factor clave para el desarrollo de este derecho es la concientización por parte del Estado, de que los datos personales que circulan en Internet, han de ser protegidos en la misma medida que se protegieron los datos personales a través de la Ley Estatutaria de protección de datos, toda vez que a través de la protección de los datos digitales se proporciona la salvaguarda de los derechos a la honra, el buen nombre e intimidad personal y familiar, dado que, exceso de datos usados de manera ilícita, produce la muerte pública en las personas afectadas.
Es ineludible la protección de este derecho, toda vez que, los ciudadanos deben tener no sólo acceso al conocimiento de sus datos en empresas pública o privadas, sino también en las redes, pero adicionalmente a controlar su propio flujo de información. Es una realidad que la información personal en redes es vista como “el nuevo petróleo de la internet y la nueva moneda del mundo digital” (13).
Por lo anteriormente dicho, regular e implementar herramientas de protección de datos personales en redes para el ciudadano, permite el fortalecimiento del Estado Social de Derecho y adicionalmente se crea un manejo responsable de los datos personales.
La Corte Constitucional mediante sentencia T-552 de 1997, planteó que toda persona tiene la potestad de poder exigir “el adecuado manejo de la información que el individuo decide exhibir a los otros” (14). Con la ausencia de norma expresa existe un abuso del imperio informático, teniendo en cuenta que ninguna persona controla su información personal en la web.
De manera concluyente, es necesario esclarecer que en nuestro ordenamiento jurídico hay un vacío, toda vez que, no existe norma alguna que regule y controle el flujo de información digital personal.
Este proyecto es necesario, en cuanto a que la información publicada en la web, debe cumplir con requisitos de adecuación, toda vez que, si los datos publicados en las redes son obsoletos, erróneos o falsos, afectan derechos como la honra el buen nombre y la intimidad personal y familiar.
Esta proyecto enmarca una preocupación nacional, sobre la protección al derecho fundamental del derecho al olvido digital. Si bien es cierto el mundo y la sociedad son cambiantes, por lo tanto, el derecho debe ir de la mano con los mismo, como legisladores debemos proporcionar la protección idónea, toda vez que el internet, así como crea beneficios, genera también peligros para la sociedad, los cuales deben ser resueltos utilizando los mecanismos que el Estado nos proporciona.
Por las anteriores razones, presento esta iniciativa a consideración del Congreso de la República.
De los Honorables Congresistas,
CARLOS ANDRÉS TRUJILLO GONZÁLEZ, Senador de la República
(1) Sentencia T-502 de 2002, Magistrado ponente Dr. EDUARDO MONTEALEGRE LYNETT.
(2) N. LÓSING, Estado de derecho, seguridad jurídica y desarrollo económico, Pág. 279.file:///C:/Users/Maria%20Oliveros/Documents/Dialnet-EstadoDeDerechoSeguridadJuridicaYDesarrolloEconomi-1975583.pdf
(3) Ley Estatutaria 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos personales. Titulo II, articulo 4.
(4) Reglamento (UE) 2016/679 del parlamento europeo y del Consejo de 27 de abril de 2016. Diario Oficial de la Unión Europea. Considerando 4, Pág. 2
(5) Loi relative a L´lnformatique, aux fichiers et aux libertes, nº 78-17 de 6 de enero de 1978, J.O. 227, de 7 de enero de 1978. Dicha Ley entró en vigor para el sector público el 1 de noviembre de 1979, y para el sector privado el 1 de enero de 1980. Ver Informática. Leyes de Protección de dalas. Núm. 3. Servicio Central de Publicaciones. Madrid. 1983, p. 35-36.
(6) Corte Constitucional, Sala Plena. 26 de marzo de 2014, C 177/2014. MP Nilson Pinilla Pinilla.
(7) Castellano, Pere. (2013) El carácter relativo del derecho al olvido en la red y su relación con otros derechos, garantías e intereses legítimos. Editores Corredoira, Loreto; Cotino, Lorenzo (ed) Libertad de expresión e información en Internet: Amenazas y protección de los derechos personales. Centro de Estudios Políticos y Constitucionales. Madrid, España. pp. 451 – 474.
(8) https://donaciones.unicef.org.co/politica-proteccion-datos-personales
(9) Palazzi, Pablo Andrés. El Corpus Data en el Derecho Argentino
(10) Corte Constitucional Sentencia T-022 de 1993, M.P. Ciro Angarita Baron
(11) Corte Constitucional sentencia T-414 DE 1992, MP. Ciro Angarita Baron
(12) Palermo (2010) pág. 279 establece que el derecho al olvido “asegurar la protección del pasado de un sujeto permitiéndole oponerse a la exhumación de hechos que pertenecen a un episodio de su vida que el tiempo ha vuelto secreto”.
(13) Meglena Kuneva, European Consumer Commissioner, Roundtable: Keynote Speech (Bruselas, 31 de marzo, 2009), citada por Katitza Rodríguez-Pereda. Ponencia presentada en el I Seminario Euro-Iberoamericano de protección de datos: La protección de los menores, Cartagena, 26-28 de mayo de 2009.
(14) Sentencia T-552 de 1997. (consideración 2.1.). MP. Vladimiro Naranjo Mesa.
21Abr/20
Decreto nº 360 de 31 de marzo de 2019, sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional
Decreto nº 360 de 31 de marzo de 2019, sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional (Gaceta Oficial nº 31 de 4 de julio de 2019)
CONSEJO DE MINISTROS
MIGUEL DÍAZ-CANEL BERMÚDEZ, Presidente de los consejos de Estado y de Ministros de la República de Cuba.
HAGO SABER:
Que el Consejo de Ministros ha considerado lo siguiente:
POR CUANTO:
El Decreto-Ley nº 370 “Sobre la Informatización de la Sociedad en Cuba”, de 17 de diciembre de 2018, en su Disposición Final Primera establece que el Consejo de Ministros queda encargado de dictar las disposiciones complementarias sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional.
POR CUANTO:
El referido Decreto-Ley nº 370, dispone las regulaciones generales aplicables a las Tecnologías de la Información y la Comunicación (TIC) y recoge los principios a seguir y las acciones y medidas para la determinación, desarrollo y mejoramiento de las condiciones de fiabilidad, estabilidad y seguridad de las TIC que respalden la informatización de la sociedad y la soberanía de la nación, la investigación, el desarrollo, la asimilación tecnológica y los soportes de soluciones para su seguridad de forma sostenible; acciones que requieren ser implementadas mediante las normas complementarias que resulten necesarias.
POR TANTO:
El Consejo de Ministros, en el ejercicio de las atribuciones que le están conferidas en el Artículo 137, incisos ñ) y o) de la Constitución de la República de Cuba, dicta el siguiente:
DECRETO nº 360 SOBRE LA SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN Y LA DEFENSA DEL CIBERESPACIO NACIONAL
CAPÍTULO I.- OBJETO, OBJETIVOS, DEFINICIONES Y ÁMBITO DE APLICACIÓN
Artículo 1.
El Estado moviliza los recursos necesarios para lograr el empleo seguro y eficiente de las Tecnologías de la Información y la Comunicación en función de las necesidades que requiere el desarrollo del país; además, en su papel rector de la sociedad, dirige la implementación de la estrategia aprobada en materia de Seguridad de las Tecnologías de la Información y la Comunicación y controla su cumplimiento, así como promueve la investigación, el desarrollo, la aplicación, la innovación, la divulgación y la capacitación.
Artículo 2.
El objeto del presente Decreto es establecer el marco legal que ordene el empleo seguro de las Tecnologías de la Información y la Comunicación, en lo adelante TIC, para la informatización de la sociedad, la defensa del Ciberespacio Nacional en correspondencia con lo establecido en la Constitución, las leyes y las restantes disposiciones legales relacionadas con el tema, así como los tratados y demás instrumentos jurídicos internacionales de los que la República de Cuba es Estado parte.
Artículo 3.
El objetivo general de este Decreto es establecer los niveles de seguridad en correspondencia con los riesgos asociados a la evolución de las TIC y las posibilidades reales de enfrentar estos últimos, y tiene los objetivos específicos siguientes:
a) Proteger el Ciberespacio Nacional y preservar la soberanía sobre su utilización;
b) establecer la seguridad de las TIC y de los servicios y aplicaciones que soportan; así como la de las Infraestructuras Críticas de las TIC con la finalidad de contar con una estrategia de fortalecimiento y sostenibilidad.
Artículo 4.
El Ciberespacio es el ambiente virtual y dinámico, definido por tecnologías, equipos, procesos y sistemas de información, control y comunicaciones, que interactúan entre sí y con las personas, y en el que la información se crea, procesa, almacena y transmite.
Artículo 5.
La Ciberseguridad es el estado que se alcanza mediante la aplicación de un sistema de medidas (organizativas, normativas, técnicas, educativas, políticas y diplomáticas), destinado a garantizar la protección y el uso legal del ciberespacio.
En la protección del ciberespacio se incluye la reducción de riesgos y vulnerabilidades, la creación de capacidades para detectar y gestionar eventos e incidentes y el fortalecimiento de la resiliencia.
Artículo 6.
La situación o acontecimiento que puede causar daños a los bienes informáticos, sea una persona, un programa maligno o un suceso natural o de otra índole y representan los posibles atacantes o factores que inciden negativamente sobre las debilidades del sistema se denomina amenaza.
Artículo 7.
Se denomina ataque al intento de acceso o acceso a un sistema o una red informática o terminal mediante la explotación de vulnerabilidades existentes en su seguridad.
Artículo 8.
Se identifica como riesgo a la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático y cause un impacto negativo en la organización.
Artículo 9.
La vulnerabilidad se identifica como el punto o aspecto del sistema que muestra debilidad al ser atacado o que puede ser dañada su seguridad; representa los aspectos falibles o atacables en el sistema informático y califica el nivel de riesgo de un sistema.
Artículo 10.
El presente Decreto es de aplicación a los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales, los órganos del Poder Popular, el sistema empresarial y las unidades presupuestadas, las cooperativas, las empresas mixtas, las formas asociativas sin ánimos de lucro, las organizaciones políticas, sociales y de masas y las personas naturales.
Artículo 11.
Constituyen premisas de la seguridad de las TIC para la informatización de la sociedad y la defensa del Ciberespacio Nacional las siguientes:
a) Elevar la Ciberseguridad frente a las amenazas, los ataques y riesgos a los que se exponen las TIC;
b) garantizar que todos los activos de las TIC sean gestionados de acuerdo con los estándares y buenas prácticas en seguridad;
c) aumentar el nivel de atención a la seguridad de las TIC y garantizar que el personal vinculado a estas domine sus deberes y responsabilidades;
d) establecer las bases de un modelo integral de gestión de la seguridad que cubra en un ciclo continuo de mejora los aspectos técnicos, organizativos y procedimentales;
e) garantizar el cumplimiento de la legislación vigente en materia de seguridad de las TIC;
f) elevar la seguridad de las TIC mediante el desarrollo de la industria nacional de programas y aplicaciones informáticas;
g) potenciar la preparación de los profesionales de las TIC, la preservación de estos y el desarrollo integral del capital humano asociado a la actividad;
h) concebir la seguridad en todas las etapas de desarrollo e implantación de las TIC;
i) garantizar la seguridad y resiliencia de las redes y los sistemas de información empleados en los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular;
j) posibilitar la integración de la investigación, desarrollo e innovación con la producción y comercialización de productos, tecnologías y servicios de seguridad; y
k) promover la cooperación e intercambio internacional en función de la Ciberseguridad y la gobernanza de Internet.
Artículo 12.
La Seguridad de las TIC es el conjunto de medidas administrativas, organizativas, físicas, legales y educativas dirigidas a prevenir, detectar y responder a las acciones que puedan poner en riesgo la confidencialidad, integridad y disponibilidad de la información que se procesa, intercambia, reproduce o conserva por medio de las TIC; el empleo del término seguridad informática, tiene igual significado.
CAPÍTULO II.- SISTEMA DE SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN
Sección Primera.- Estrategia y Planificación
Artículo 13.
El Sistema de Seguridad de las TIC es el conjunto de medios humanos, técnicos y administrativos que, de manera interrelacionada garantiza diferentes grados de seguridad informática, en correspondencia con la importancia de los bienes a proteger y los riesgos estimados.
Artículo 14.
El Sistema de Seguridad de las TIC se constituye a partir de los sistemas de seguridad existentes en las instituciones del país que posean o utilicen las TIC, en interés propio o de terceros, e incluye:
a) Operadores de redes de telecomunicaciones, en lo adelante operadores;
b) proveedores de servicios públicos y privados de acceso a Internet;
c) productor de equipos;
d) proveedor de servicios de red;
e) proveedores de servicios de las TIC;
f) usuarios de las TIC; y
g) entidades encargadas de la dirección, el control y la supervisión de la seguridad de las TIC, así como de las actividades relacionadas con la vigilancia tecnológica, la alerta temprana y la gestión de incidentes.
Artículo 15.
Los mecanismos de seguridad comprenden la implementación de hardware o software diseñados o construidos para prevenir, detectar o responder a incidentes de seguridad.
Artículo 16.
Se considera un incidente de seguridad cualquier evento que se produzca de forma accidental o intencional, que afecte o ponga en peligro las tecnologías de la información y la comunicación o los procesos que con ellas se realizan.
Artículo 17.
Cada entidad que haga uso de las TIC diseña, implanta, gestiona y mantiene actualizado un Sistema de Seguridad, a partir de la importancia de los bienes a proteger y de los riesgos a que están sometidos.
Artículo 18.
A partir del Sistema de Seguridad diseñado, cada entidad elabora su Plan de Seguridad de las TIC.
Artículo 19.
El diseño del Sistema de Seguridad de las TIC y la elaboración del Plan de Seguridad de cada entidad se realizan en correspondencia con las metodologías establecidas al respecto por el Ministerio de Comunicaciones.
Artículo 20.
El Plan de Seguridad de las TIC de una organización es el documento que incluye, describe y aplica las políticas, medidas y procedimientos diseñados para esta a partir de los riesgos estimados, así como establece las responsabilidades de los diferentes actores que participan en su ejecución.
Artículo 21.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular y en aquellas entidades en que la cantidad, diversidad e importancia de las TIC lo requieran, según el análisis que para ello se realice, disponen de los cargos de especialistas de seguridad de las TIC que garanticen la atención de esta actividad.
Artículo 22.
Los usuarios de las TIC asumen, en primera instancia, la responsabilidad de las consecuencias que se deriven de su utilización impropia.
Sección Segunda.- Organización institucional, competencias y atribuciones
Artículo 23.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, el sistema empresarial y demás entidades, de acuerdo con su misión y funciones específicas, desarrollan las acciones que se establecen mediante el presente Decreto, en el marco del proceso de Informatización de la Sociedad Cubana.
Artículo 24.
El Ministerio de Comunicaciones controla a todos los niveles de dirección de los organismos de la Administración Central del Estado y de las demás personas jurídicas, el cumplimiento de las normas de seguridad de las TIC, excepto aquellos que se determinen por ese propio Ministerio.
Artículo 25.
El Ministerio de Comunicaciones, en coordinación con los ministerios del Interior y de las Fuerzas Armadas Revolucionarias, establece las normas de seguridad de las TIC y se responsabiliza por la ejecución de las acciones siguientes:
a) Desarrollar y modernizar la infraestructura vinculada a la seguridad de las TIC para incrementar la efectividad en la protección del Ciberespacio Nacional mediante un enfoque sistémico, conceptual y organizativo;
b) impulsar la cooperación internacional y coordinar la participación en eventos que permitan adoptar normas globales para el desarrollo de la Seguridad de las TIC, así como defender la posición del país en materia de Ciberseguridad;
c) suscribir convenios que contribuyan a desarrollar soluciones de seguridad, ampliar el acceso y la transferencia del país a nuevas tecnologías, preparar el capital humano y contribuir al enfrentamiento de las amenazas en el plano internacional;
d) establecer el Modelo de Actuación Nacional para la respuesta a incidentes de Ciberseguridad y asegurar los procedimientos para su implementación en todos los niveles por parte de los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, así como realizar el enfrentamiento y neutralización de estos sucesos atendiendo a lo que a cada organismo le corresponde;
e) establecer un sistema de trabajo entre las entidades especializadas en seguridad de las TIC que garantice el cumplimiento de sus funciones en el intercambio seguro de información relativa a vulnerabilidades e incidentes de Ciberseguridad, la colaboración y la coordinación entre sí, con el empleo de servicios seguros de voz, videoconferencia y datos;
f) organizar y potenciar de modo sostenible la investigación, el desarrollo, la innovación y el soporte tecnológico, en función de los sistemas para la Seguridad de las TIC;
g) perfeccionar y potenciar la supervisión, certificación, homologación y acreditación de las soluciones, servicios y la infraestructura tecnológica vinculados a la seguridad de las TIC;
h) asimilar y recibir transferencia tecnológica de las infraestructuras técnicas y organizacionales, de hardware y software, en centros de investigación para la seguridad, parques científicos-tecnológicos, los sistemas operativos, los equipos de cómputo y los relacionados con la conectividad;
i) diseñar e implementar acciones de inspección, asistencia, consultoría y auditoría, de la seguridad de las TIC; así como para su control, en correspondencia con la categorización de los sistemas y actividades;
j) ejercer la fiscalización de la seguridad de las TIC;
k) fortalecer la estrategia de desarrollo del antivirus nacional;
l) garantizar el desarrollo de las actividades que los ministerios de las Fuerzas Armadas Revolucionarias y del Interior realizan para la supervisión y el control de los servicios de las TIC;
m) adquirir, asimilar y desarrollar equipamientos y soluciones para la supervisión y control de servicios y aplicaciones con impacto en la Seguridad Nacional;
n) instrumentar los mecanismos que organicen e incentiven la cooperación internacional en función del desarrollo de soluciones y tecnologías de seguridad en el territorio nacional;
o) garantizar el desarrollo de las actividades de supervisión y control de los servicios de las TIC;
p) perfeccionar de forma ordenada los sistemas y mecanismos de supervisión y control existentes sobre las TIC que utilizan el espectro radioeléctrico, así como garantizar la compatibilidad electromagnética y su uso seguro;
q) establecer los requerimientos básicos para las aplicaciones informáticas destinadas a la gestión de incidentes de Ciberseguridad;
r) organizar y controlar la protección de las principales redes informáticas y sistemas de trabajo que generan servicios de esta naturaleza, que constituyen Infraestructuras Críticas de las TIC, para dotarlas del nivel de seguridad en correspondencia con su categoría;
s) certificar la seguridad de las Infraestructuras Críticas de las TIC;
t) establecer e implementar el Sistema Nacional de Certificación de la Seguridad de las TIC y los laboratorios de certificación para evaluarla, en correspondencia con la categorización de los sistemas y actividades;
u) implementar y potenciar la Red de Gobierno con los requerimientos disponibles de máxima seguridad;
v) incrementar y fortalecer mecanismos de seguridad que permitan detectar y prevenir actividades nocivas en las redes informáticas de los operadores, así como en los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular y demás entidades;
w) desarrollar e implementar proyectos propios de soluciones integrales, telemática, protección técnica integral y canales colaterales, programas y aplicaciones informáticas básicas, protección de activos digitales, licenciamiento y las soluciones para la Seguridad y Defensa Nacional y el Orden Interior, en correspondencia con la categorización de los sistemas y actividades;
x) desarrollar entrenamientos de Ciberseguridad en los ejercicios que se ejecuten para elevar la defensa del país en el Ciberespacio y comprobar la efectividad de los planes orientados a dar respuesta a incidentes de Seguridad de las TIC; e
y) incrementar la calidad de la gestión del capital humano especializado en la Seguridad de las TIC.
Artículo 26.
El Ministerio de Comunicaciones, de conformidad con sus atribuciones y funciones específicas, es el responsable de las actividades siguientes:
a) Fortalecer la infraestructura de seguridad en las redes informáticas;
b) establecer y controlar la implementación de configuraciones básicas de seguridad orientadas al fortalecimiento de las aplicaciones y equipos que operan en el perímetro de las redes informáticas de las entidades;
c) adquirir y desarrollar equipamientos y programas informáticos especializados para el procesamiento y almacenamiento de las evidencias digitales relacionadas con incidentes de Ciberseguridad;
d) facilitar el hospedaje de los servicios de las entidades estatales y del sector no estatal en los centros de datos públicos para garantizar la racionalidad de las infraestructuras de seguridad y su despliegue y minimizar su diseminación;
e) perfeccionar el marco legal con la finalidad de sustentar la seguridad de las TIC en la informatización de la sociedad para establecer interoperabilidad, integridad, confidencialidad, disponibilidad y no repudio de la información;
f) establecer los mecanismos a emplear para la prevención y respuesta a incidentes de seguridad informática que involucren las TIC ubicadas en los hogares y las áreas públicas para el acceso al ciberespacio, por parte de las personas naturales y jurídicas; y
g) garantizar la recopilación de los incidentes de Ciberseguridad que se detecten.
Artículo 27.
El Ministerio del Interior, de conjunto con el Ministerio de las Fuerzas Armadas Revolucionarias, de acuerdo con sus funciones específicas, es responsable de fortalecer los mecanismos de seguridad que permitan detectar y prevenir actividades enemigas y delictivas en las redes informáticas de los operadores, así como en las entidades.
Artículo 28.
El Ministerio del Interior en coordinación con los ministerios de las Fuerzas Armadas Revolucionarias y de Comunicaciones, realiza las acciones siguientes:
a) Organizar actividades para fortalecer la recopilación y el análisis nacional sobre Seguridad de las TIC; y
b) establecer la gestión de identidad como parte indispensable del proceso de registro y validación, en correspondencia con la legislación vigente.
Artículo 29.
El Ministerio de las Fuerzas Armadas Revolucionarias, en coordinación con los ministerios del Interior y de Comunicaciones, mantiene actualizado el Procedimiento para la Compatibilización con la Defensa de los servicios, tecnologías e inversiones vinculadas a las TIC.
Sección Tercera.- Del empleo seguro de las Tecnologías de la Información y la Comunicación
Artículo 30.
La seguridad de la información oficial se rige por la legislación vigente que regula lo relativo a su protección, en cualquier soporte en el que se encuentre.
Artículo 31.
Los requerimientos de seguridad para la proyección, diseño e instalación de locales tecnológicos en los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, se establecen según lo dispuesto en la legislación vigente.
Artículo 32.
Los ministerios del Interior y de Justicia, de acuerdo con sus funciones, son los encargados de regular y controlar la protección de la información correspondiente a las personas naturales y jurídicas y la privacidad de los datos personales.
Artículo 33.
La entidad que por sus funciones posea o controle datos de las personas naturales o jurídicas es responsable de la protección de la información personal y la privacidad de los documentos y únicamente facilita a las autoridades competentes la supervisión y acceso a estos datos personales, en correspondencia con la legislación vigente.
Artículo 34.
El que haga uso, procese, trasmita y almacene información de personas naturales y jurídicas, lo realiza bajo los principios de legalidad, propiedad y necesidad e indica, de forma explícita, a estas personas los objetivos y el alcance, y han de tener su consentimiento cuando se requiera.
Artículo 35.
Las reglas para la recopilación y el uso de la información tienen carácter público y se divulgan de forma oportuna y precisa para garantizar el conocimiento por las personas naturales y jurídicas.
Artículo 36.
Se consideran bienes informáticos a los elementos que componen el sistema informático que son protegidos para evitar que sufran algún tipo de daño, como resultado de la materialización de una amenaza.
Artículo 37.
Los bienes informáticos de una entidad son utilizados en las funciones propias del trabajo, así como en tareas autorizadas por la dirección de esta.
Artículo 38. Todos los bienes informáticos de una entidad se identifican y controlan, para lo cual se conforma y mantiene actualizado su estado físico, incluidos sus componentes y las especificaciones técnicas de aquellos que pudieran ser sustituidos.
Artículo 39.
Es un deber y un derecho de la dirección de la entidad el control y supervisión del correcto empleo de las TIC por parte de los usuarios y su uso no autorizado es sancionable según la legislación vigente.
Artículo 40.
Los jefes a cada nivel garantizan que el personal vinculado a las TIC esté capacitado para su utilización, que conozca los deberes y derechos en relación con el Sistema de Seguridad Informática, así como que exista constancia del conocimiento y compromiso que asume este personal de forma individual.
Artículo 41.
El Ministerio de Comunicaciones otorga una licencia de operación a las entidades que pueden brindar servicios de seguridad de las TIC a terceros.
Artículo 42.
El acceso del personal a las facilidades de procesamiento y a los servicios que brindan las tecnologías requiere de autorización expresa y de un control estricto de su uso por la dirección de cada entidad, las que establecen los requerimientos específicos para garantizar la seguridad, a partir de los riesgos que esto pueda introducir.
Artículo 43.
La unidad organizativa que corresponda en cada entidad, de acuerdo con su estructura, exige a los usuarios de las TIC el cumplimiento de la información inmediata de cualquier incidente de seguridad, debilidad o amenaza a los sistemas y servicios con que opera.
Artículo 44.
Se denomina Barrera de Protección al dispositivo físico o lógico utilizado para proteger un sistema informático o red de telecomunicaciones y obstaculizar el acceso a estos o entre sus componentes, ya sea de forma directa o remota.
Artículo 45.
La dirección de cada entidad determina aquellos equipamientos de las TIC que por las funciones a las que se destinan, la información que contengan y las condiciones de los locales en que se encuentran ubicados, requieren la aplicación específica de medidas especiales de protección física y asegura una barrera de protección a estos medios que impida su empleo en la comisión de hechos intencionales que violen lo establecido o en actividades delictivas.
Artículo 46.
El Ministerio de Comunicaciones ejecuta periódicamente las acciones de control a la seguridad de las TIC siguientes:
a) Realizar diagnósticos integrales en los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, tanto tecnológicos como organizativos, que permitan evaluar el estado de la seguridad de las TIC e implementar acciones correctivas para su solución;
b) evaluar sistemáticamente las condiciones de seguridad de las aplicaciones informáticas, tanto en su codificación y despliegue como en la ejecución y trazabilidad de las operaciones realizadas; y
c) diseñar y establecer los mecanismos de comprobación de la Seguridad de las TIC que se utilizan por las personas naturales y jurídicas para acceder al ciberespacio.
Artículo 47.
En cada entidad se implementan los controles y procedimientos que los protegen contra programas malignos, con el fin de mitigar sus efectos nocivos e impedir su generalización; para la protección contra virus informático se utilizan los programas antivirus de producción nacional y otros autorizados para su uso en el país, con un soporte establecido que permita su actualización.
Artículo 48.
El Virus Informático es el programa capaz de reproducirse a sí mismo sin que el usuario esté consciente de ello; se adiciona a programas de aplicación, así como a componentes ejecutables del sistema, de forma tal que pueda tomar el control de este durante la ejecución del programa infectado.
Artículo 49.
Queda prohibido el envío de mensajes masivos que:
a) Sean no deseados (Spam); que se entiende por toda información de voz o datos transmitida o enviada de forma masiva, indiscriminada y repetitivamente por medio de las redes de telecomunicaciones, sin el previo consentimiento de sus destinatarios.
b) no contenga, sea falso u oculto el asunto y la dirección o ubicación física o electrónica, número telefónico, identidad u otro medio de identificación del emisor e impidan a los destinatarios o receptores notificar su voluntad de no recibir más mensajes o no incluyan mecanismos que permitan al receptor manifestar su voluntad de no recibirlos;
c) afecten el uso seguro y la calidad de las redes de telecomunicaciones de Cuba o de otros países o de los servicios que se prestan a través de estas; y
d) posean un contenido que transgreda lo establecido en la legislación vigente cubana o los tratados, convenios o cualquier otro instrumento jurídico de carácter internacional de los que la República de Cuba es Estado parte.
Artículo 50.
Los mensajes que contengan las características referidas en el Artículo anterior se consideran mensajes masivos dañinos.
Artículo 51.
Corresponde a los operadores y proveedores:
a) Bloquear el envío, recepción o transmisión de los mensajes masivos dañinos que se cursan por sus redes y utilizan sus servicios;
b) suspender temporalmente por hasta un mes las comunicaciones entre sus redes y las que se establecen con las redes de operadores o proveedores extranjeros que no adopten las medidas necesarias para impedir el tráfico de mensajes masivos dañinos, lo que se notifica antes de las 72 horas posteriores a su suspensión y, en igual término, dar cuenta al Ministerio de Comunicaciones; y
c) suspender temporalmente por hasta un mes el servicio prestado a los usuarios responsables del envío de mensajes masivos dañinos, lo que se notifica antes de las 72 horas posteriores a su suspensión y, en igual término, da cuenta al Ministerio de Comunicaciones, a los órganos del Ministerio del Interior o de la Fiscalía General de la República.
Artículo 52.
En los contratos suscritos por los operadores y proveedores entre sí y con sus usuarios, se incluye una cláusula sobre la responsabilidad derivada del envío de mensajes masivos dañinos a través de las redes de telecomunicaciones con utilización de las TIC o de los equipos terminales de telecomunicaciones que son objeto de control por el Ministerio de Comunicaciones y, ante su incumplimiento, se le aplican las medidas previstas en la legislación vigente.
Artículo 53.
Es responsable del envío de mensajes masivos dañinos toda persona natural o jurídica que:
a) directamente los envíe;
b) los genere a través de los equipos de telecomunicaciones de otras personas;
c) los transporte o intermedie en su difusión o trasmisión o haya incidido en su contenido, si mediante sus medios técnicos lo hubiese conocido y no evita su transportación, difusión, trasmisión, envío y reenvío; y
d) cree, venda, preste, intercambie o realice cualquier tipo de recolección o transferencia de listas de direcciones de correo electrónico, números telefónicos u otro medio de identificación del emisor que haya sido realizada sin la autorización o consentimiento de su titular o del operador o proveedor de los servicios y sean conformadas para el envío de mensajes masivos dañinos.
Sección Cuarta.- De la Seguridad de las Operaciones
Artículo 54.
La seguridad de las operaciones realizadas sobre las TIC es garantizada por la protección desplegada de seguridad de la red por niveles para evitar interferencias, daños o accesos no autorizados, fugas de datos, robos o falsificación.
Artículo 55.
Se denomina traza al registro cronológico de las acciones que se realizan en un sistema, el acceso a este y los procesos y ficheros que han intervenido.
Artículo 56.
Los proveedores de servicio de acceso a Internet, para garantizar la seguridad de sus operaciones, cumplen con los deberes siguientes:
a) elaborar procedimientos de operación y gestión de seguridad internos;
b) determinar las personas responsables de la seguridad de la red y los sistemas que soporta, así como implementar mecanismos efectivos de control y supervisión sobre la actividad que realizan;
c) adoptar medidas técnicas y organizativas para prevenir la contaminación con programas malignos, ataques e intrusiones en la red, así como otras acciones que pongan en peligro la seguridad de las TIC;
d) elaborar planes de respuesta a incidentes de seguridad que establezcan medidas para su prevención y, en caso de ocurrencia, aseguren la actuación bajo el principio de la racionalidad y en correspondencia con lo establecido a esos efectos;
e) establecer el registro y la trazabilidad de las operaciones realizadas, así como el control de los eventos e incidentes, en correspondencia con las regulaciones vigentes;
f) aplicar mecanismos que aseguren la preservación de evidencias digitales, la clasificación de los datos sensibles y el cifrado; y
g) establecer la obligatoriedad de las personas naturales y jurídicas de preservar las trazas de los servicios utilizados para acceder al ciberespacio.
Artículo 57.
Los responsables de la instalación y operación del equipamiento perimetral de las redes informáticas y los productos especializados de seguridad, cumplen con la legislación vigente relativa a los requerimientos de la Seguridad y Defensa Nacional; los requisitos establecidos en las normas nacionales son evaluados por la entidad autorizada por el Ministerio de Comunicaciones a través de la implementación de las medidas siguientes:
a) Establecer un catálogo de equipos y servicios especializados de seguridad considerados como críticos; y
b) promover el reconocimiento recíproco, entre las entidades especializadas en seguridad de las TIC, de certificaciones de seguridad y los resultados de controles, inspecciones y auditorías, para evitar la duplicación de esfuerzos.
Artículo 58.
Al determinar las responsabilidades asignadas al personal que labora en las áreas relacionadas con la seguridad informática, se tiene en cuenta el principio de separación de funciones y se especifican las tareas que no pueden ser ejecutadas por una misma persona, a fin de reducir oportunidades de modificación no autorizada, o uso inadecuado de los sistemas de las TIC.
Artículo 59.
El jefe de la entidad es el responsable de la introducción de los servicios de las TIC, actualizaciones y nuevas versiones, en correspondencia con el sistema de seguridad establecido y los resultados de las pruebas realizadas, para determinar si cumple los criterios de seguridad apropiados.
Artículo 60.
Los sistemas informáticos en que es posible el acceso por múltiples usuarios disponen de un identificador de usuario personal y único; y las personas a las que se le asignen identificadores de usuarios responden por las acciones que con ellos se realicen; en caso del cese de la relación laboral u otras causas que se determine por la dirección de la entidad se procede a eliminar el identificador del usuario; en todos los casos se preservan las trazas de uso de las credenciales de acceso, por un tiempo no menor de un año.
Artículo 61.
La entidad establece un procedimiento para la asignación de los identificadores de usuarios en los sistemas, que incluye en el caso de los nuevos la solicitud previa al jefe inmediato superior y su posterior notificación al interesado.
Artículo 62.
La entidad implementa un sistema fiable de respaldo de la información esencial para su funcionamiento, que permita su recuperación después de un ataque informático, desastre o fallo de los medios, para ello ejecuta los procedimientos que aseguren la obtención sistemática de las copias que se requieran.
Artículo 63.
La información de respaldo, conjuntamente con informes precisos y completos de sus copias y los procedimientos de recuperación documentados, se almacenan en otra ubicación, que le permita no afectarse en caso de desastre en la ubicación principal.
Artículo 64.
La información de respaldo requiere una protección física y ambiental consecuente con las normas aplicadas en la ubicación principal; los controles realizados a los medios en la ubicación principal se extienden a los medios de respaldo.
Artículo 65.
Los medios de respaldo se prueban regularmente y se verifica el estado de actualización de la información almacenada, con el fin de asegurar la confiabilidad en ellos para un uso de emergencia, cuando sea necesaria la ejecución de un proceso de recuperación.
Artículo 66.
El jefe de la entidad establece la utilización obligatoria del antivirus nacional y su despliegue en la red privada.
Artículo 67. El Ministerio de Comunicaciones aprueba la utilización de un antivirus extranjero para su uso en el país, cuando este se justifique, y promueve el fortalecimiento del motor del antivirus nacional a partir de la asimilación de otros motores de antivirus.
Artículo 68.
El Ministerio de Comunicaciones promueve el desarrollo y la comercialización de los servicios de instalación y actualización del antivirus nacional y las licencias para su uso por las personas naturales y jurídicas.
Artículo 69.
La entidad puede adquirir la infraestructura y el equipamiento especializado necesario para la captura de muestras de programas malignos que incorpora a la base de datos del antivirus nacional.
Artículo 70.
El Ministerio de Comunicaciones, en coordinación con los ministerios de Educación y Educación Superior, diseña e implementa proyectos de investigación y desarrollo sobre la seguridad de las TIC en colaboración con centros académicos y de investigación del país, dentro de los que se incluyen los de los ministerios de las Fuerzas Armadas Revolucionarias y del Interior.
Sección Quinta.- De la seguridad en el empleo de las redes
Artículo 71.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, de conjunto con los ministerios de Economía y Planificación y el de Finanzas y Precios, evalúan el respaldo financiero para incrementar la Seguridad de las TIC en las redes informáticas, de manera estable y sostenida, a partir de considerar la importancia de la información y los servicios que sustentan, el que se define en el Plan anual de la Economía.
Artículo 72.
En todas las redes de datos se habilitan las opciones de seguridad con que cuentan los sistemas operativos, de forma tal que garanticen la protección de los servidores y las terminales, el acceso a la información solamente por personal autorizado y los elementos que permitan la supervisión y auditoría de los principales eventos por un tiempo no menor de un año.
Artículo 73.
El jefe del área o de la unidad organizativa que atiende las TIC responde por la implementación y ejecución de los procedimientos y normas que garanticen el empleo seguro de las TIC de forma general y la protección de la seguridad de la red por niveles para evitar interferencias, daños o accesos no autorizados, fugas de datos, robos o falsificación de forma particular; para lograr este objetivo tiene las responsabilidades siguientes:
a) Determinar las personas responsables de la seguridad de la red y los sistemas que soporta, así como implementar mecanismos efectivos de control y supervisión sobre la actividad que realizan, así como aquellos que permitan filtrar o depurar la información que se intercambie.
b) adoptar las medidas técnicas y organizativas para prevenir la contaminación con programas malignos, ataques e intrusiones en la red, así como otras acciones que pongan en peligro la seguridad de las TIC;
c) elaborar planes de respuesta a incidentes de seguridad que establezcan medidas para su prevención y, en caso de ocurrencia, aseguren la actuación bajo el principio de la racionalidad y en correspondencia con lo establecido a esos efectos; y
d) aplicar mecanismos que aseguren la preservación de evidencias digitales, la clasificación de los datos sensibles, el cifrado y las trazas de los servicios utilizados para acceder al ciberespacio por parte de las personas naturales y jurídicas.
Artículo 74.
El jefe del área o de la unidad organizativa que atiende las TIC asegura la instalación de las herramientas de seguridad autorizadas por el Ministerio de Comunicaciones para la fiscalización y la supervisión del empleo de las redes de datos y de los servicios implementados.
Artículo 75.
La arquitectura y la configuración de los diferentes componentes de seguridad de una red de datos y la implementación de sus servicios están en correspondencia con el Plan de Seguridad de las TIC, y en ningún caso son el resultado de la iniciativa de una persona, con independencia de la preparación que posea.
Artículo 76.
Toda red de datos requiere para su operación de la presencia de, al menos, una persona encargada de su administración.
Artículo 77. La gestión de administración de las redes de datos implica la concesión de privilegios requeridos para la tarea que cumple, los que se realizan directamente desde el puesto de trabajo que ocupe; se prohíbe la administración remota de estas redes de datos a través de redes públicas sin mecanismos criptográficos autorizados por los organismos competentes.
Artículo 78.
Los usuarios que han recibido la autorización para el empleo de los servicios que brindan las redes son responsables de su propia conducta; para ello conocen y cumplen los planes de seguridad de las TIC.
Artículo 79.
Los jefes de las redes de datos o equipos que prevean conexiones desde o hacia el exterior de una entidad, instalan los medios técnicos que aseguren una barrera de protección entre las TIC de la entidad de que se trate y la red externa, con los mecanismos de seguridad que sea necesario implementar.
Artículo 80.
La dirección de la entidad instrumenta la ejecución de procedimientos periódicos de verificación de la seguridad de sus redes de datos, con la finalidad de detectar posibles vulnerabilidades, incluido para ello, cuando sea procedente y debido a la sensibilidad de estas acciones, la comprobación de forma remota por entidades autorizadas oficialmente.
Artículo 81.
El jefe del área o de la unidad organizativa que atiende las TIC que coloque información en servidores para su acceso público establece las medidas y procedimientos que garanticen su integridad y disponibilidad, así como la correspondencia de su contenido con sus intereses y los del país.
Artículo 82.
Cuando por necesidades de conectividad u otros intereses, la entidad requiere hospedar un sitio en servidores ubicados en un país extranjero, esto se realiza como espejo o réplica del sitio principal en servidores ubicados en Cuba y se establecen las medidas requeridas para garantizar su seguridad, en particular durante el proceso de actualización de la información.
Artículo 83.
Los servidores de redes de una entidad destinados a facilitar accesos hacia o desde el exterior y los de uso interno deben estar instalados en zonas diferentes de la red, de forma tal que evite la conexión entre estos.
Artículo 84.
La dirección de la entidad autoriza el acceso de su personal a Internet y los servicios asociados a este, en correspondencia con sus intereses y necesidades, según las normas particulares establecidas para estos servicios, y documenta esta autorización de manera que pueda ser objeto de comprobación.
Artículo 85.
Las redes proveedoras de servicios han de tener las medidas que se requieran para impedir la sobrecarga de los canales de comunicaciones, restringir el envío o recepción de grandes volúmenes de información y la generación de mensajes a múltiples destinatarios.
Artículo 86.
La dirección de la entidad implementa controles dirigidos a impedir e interrumpir la generación de cartas en cadena y el envío de mensajes de correo de forma masiva a través de las redes.
Artículo 87.
La dirección de una entidad con redes de datos destinadas a proveer servicios a otras personas naturales o jurídicas mediante conexiones remotas, cumple los requisitos siguientes:
a) Establecer las medidas y procedimientos de seguridad de las TIC que garanticen la protección de los servicios a brindar y los intereses de seguridad de los que los reciben;
b) implementar los mecanismos y procedimientos que aseguren la identificación del origen de las conexiones, incluidas las conmutadas, así como su registro y conservación por un tiempo no menor de un año;
c) informar a los clientes de estos servicios los requerimientos de seguridad informática que tienen que cumplir, en correspondencia con el Plan de Seguridad de las TIC establecido en la red que los brinda; y
d) facilitar el acceso de las autoridades competentes a los registros de las conexiones y cooperar en la investigación de violaciones de las normas establecidas y de incidentes de seguridad.
Artículo 88.
La entidad autorizada es la única que puede explorar o monitorear las redes públicas de transmisión de datos, en busca de vulnerabilidades o información sobre sus usuarios.
Artículo 89.
Los productores de equipos, los proveedores de servicios de red y de programas, aplicaciones y servicios informáticos, tanto nacionales como extranjeros, responden por la implementación de los requerimientos que garanticen el empleo seguro de los equipos y servicios que suministran.
Artículo 90.
Las personas naturales o jurídicas, nacionales y extranjeras, usuarios de las TIC, responden por la utilización adecuada de los servicios y productos que emplean.
Artículo 91.
Los cables de alimentación o de comunicaciones de las redes que transporten datos o apoyen los servicios de información se protegen contra la intercepción o el daño; el tendido de los cables de alimentación eléctrica se realiza de acuerdo con las normas establecidas a esos efectos, separados adecuadamente de los de comunicaciones para evitar posibles interferencias.
Artículo 92.
El jefe de cada entidad garantiza que la instalación y operación del equipamiento perimetral de las redes informáticas y los productos especializados de seguridad se realicen en correspondencia con los requerimientos de la seguridad y defensa nacional, y que cumplan los requisitos establecidos en estándares nacionales elaborados a esos efectos y que sean aprobados por una entidad autorizada.
Artículo 93.
La entidad aprobada por la autoridad competente para la creación de productos o soluciones informáticas, que implementan herramientas criptográficas, se rige por la legislación vigente.
Sección Sexta.- Gestión de incidentes de seguridad
Artículo 94.
La gestión de incidentes es el proceso que se realiza con el objetivo de prevenir, detectar y enfrentar los de Ciberseguridad y comprende las acciones que se realizan antes, durante y después de su ocurrencia.
Artículo 95.
El jefe de la entidad dispone de las medidas y procedimientos que garanticen la continuidad, el restablecimiento y la recuperación de los procesos informáticos, como respuesta a incidentes de Ciberseguridad y en correspondencia con el Modelo de Actuación Nacional.
Artículo 96.
Las medidas y procedimientos de recuperación son definidos a partir de la identificación de los posibles eventos que puedan causar la interrupción o afectación de los procesos informáticos e incluyen las acciones de respuesta, la determinación de los responsables de su cumplimiento y los recursos necesarios en cada caso.
Artículo 97.
Los procedimientos para la gestión de incidentes y violaciones de Seguridad de las TIC especifican la obligación de informar su ocurrencia y los pasos a seguir para garantizar una correcta evaluación de lo sucedido, a quién, cómo y cuándo se reporta la respuesta, los aspectos relacionados con su documentación, la preservación de las evidencias y las acciones a seguir una vez restablecida la situación inicial.
Artículo 98.
El Ministerio de Comunicaciones potencia la incorporación del Equipo de Respuesta a Incidentes Computacionales de Cuba a los mecanismos regionales e internacionales que agrupan a ese tipo de organizaciones.
CAPÍTULO III.- INFRAESTRUCTURAS CRÍTICAS DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN
Artículo 99.
El Ministerio de Comunicaciones, en coordinación con los ministerios del Interior y de las Fuerzas Armadas Revolucionarias, es el responsable de elaborar y actualizar el Catálogo Nacional de Infraestructuras Críticas de las TIC y el Plan Nacional para la Protección de las Infraestructuras Críticas de las TIC.
Artículo 100.
Los ministerios de la Fuerzas Armadas Revolucionarias y del Interior, según corresponda, establecen y organizan sus Infraestructuras Críticas de las TIC relacionadas con la Seguridad y Defensa Nacional.
Artículo 101.
El Ministerio de Comunicaciones, en coordinación con los ministerios de la Fuerzas Armadas Revolucionarias y del Interior, organiza el trabajo de protección de las Infraestructuras Críticas de las TIC para dotarlas de la seguridad requerida y controla su correcto despliegue por parte de las entidades especializadas, en correspondencia con el nivel de seguridad requerido.
Artículo 102.
El Sistema Nacional de Protección de las Infraestructuras Críticas de las TIC es el conjunto de medidas, previsiones y acciones que se generan, adoptan y ejecutan de forma integral y permanente, con el objetivo de preparar, organizar, ejercer y dirigir la protección de las infraestructuras críticas de las TIC, para lo cual se establecen las políticas, estructuras organizativas, normas y recursos orientados a ese fin, así como se dispone un flujo de información que abarque a todos sus integrantes.
Artículo 103.
El Plan Nacional de Protección a las Infraestructuras Críticas de las TIC tiene como objetivo establecer los criterios y las directrices precisas para movilizar las capacidades operativas de los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, en coordinación con los operadores de las infraestructuras críticas y articular las medidas preventivas necesarias para asegurar su protección permanente, actualizada y homogénea.
Artículo 104.
El Ministerio de Comunicaciones, de conjunto con los ministerios de la Fuerzas Armadas Revolucionarias y del Interior, coordina las actividades de prevención, evaluación, aviso, investigación y respuesta a las acciones que afecten el funcionamiento de las Infraestructuras Críticas de las TIC.
Artículo 105.
El jefe de la entidad responde por la garantía de la confidencialidad de los datos sobre Infraestructuras Críticas de las TIC a los que tengan acceso y de los planes que para su protección se deriven, según la clasificación de la información almacenada; además garantiza que el personal vinculado a las infraestructuras críticas de las TIC esté capacitado para su utilización, posean compromiso político, ético y de responsabilidad social y material; así como que conozcan sus deberes y derechos específicos en relación con estas.
Artículo 106.
Los sistemas, las comunicaciones y la información referida a la protección de las Infraestructuras Críticas de las TIC tienen las medidas de seguridad necesarias que garanticen su confidencialidad, integridad y disponibilidad, según el nivel de clasificación que les sea asignado.
CAPÍTULO IV.- DE LA INSPECCIÓN Y LOS INCUMPLIMIENTOS EN LA SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN
Artículo 107.
El Ministerio de Comunicaciones tiene como función estatal la ejecución de las inspecciones en materia de seguridad de las TIC, la que se realiza por sus inspectores y entidades autorizadas por este.
Artículo 108.
El jefe de la entidad faculta a especialistas debidamente preparados para realizar controles en materia de seguridad informática a otras entidades atendidas, adscritas, subordinadas y patrocinadas.
Artículo 109.
Las entidades y las personas naturales que incumplan lo dispuesto en el presente Decreto y en las disposiciones legales vigentes, están sujetas a la aplicación de las medidas siguientes:
a) Notificación preventiva;
b) invalidación temporal, parcial o cancelación de las autorizaciones administrativas concedidas por el Ministerio de Comunicaciones;
c) suspensión temporal, parcial o la cancelación de los servicios de informática y comunicaciones que hayan suscrito con empresas debidamente reconocidas y autorizadas por el Estado cubano;
d) decomiso de los medios, instrumentos, equipamientos y otros, utilizados para cometer la infracción; y
e) la aplicación de otras medidas que correspondan, de conformidad con lo legalmente establecido.
Artículo 110.
Las entidades y las personas naturales sujetas a la aplicación de las medidas descritas en el Artículo anterior tienen derecho a interponer recurso en la vía administrativa, según lo dispuesto en el Decreto-Ley nº 370, de 17 de diciembre de 2018, “Sobre la Informatización de la Sociedad en Cuba”.
CAPÍTULO V.- CAPACITACIÓN Y DIVULGACIÓN SOBRE LA SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN
Artículo 111.
El Ministerio de Finanzas y Precios, en coordinación con el Ministerio de Economía y Planificación, define las fuentes de financiamiento, orientadas a la adquisición de tecnologías de seguridad y a la preparación técnica de los especialistas en seguridad de las TIC.
Artículo 112.
Los ministerios de Educación y de Educación Superior crean programas educativos y estrategias de trabajo que contribuyan a incrementar la conciencia en la sociedad acerca de la importancia de preservar la información personal.
Artículo 113.
El Ministerio de Comunicaciones, en coordinación con el Instituto Cubano de Radio y Televisión, el Ministerio de Cultura y otras instituciones, promueve el uso de los medios de difusión para la trasmisión de mensajes educativos relacionados con la seguridad de las TIC.
Artículo 114.
Cada entidad es responsable por la superación de los especialistas en las diferentes áreas del conocimiento, relacionadas con la seguridad de las TIC de acuerdo con su nivel de especialización.
Artículo 115.
El jefe de la entidad implementa acciones que contribuyan y propicien la permanencia y el tratamiento diferenciado del personal que cumple funciones como especialistas de seguridad informática, en correspondencia con su categorización.
Artículo 116.
La preparación en las materias objeto del presente Decreto de los cuadros, funcionarios y especialistas se desarrolla mediante acciones de carácter educativo-preventivas que estén relacionadas con los planes de estudios de las escuelas o centros docentes que correspondan.
Artículo 117.
Los ministerios de Educación y Educación Superior insertan en los planes de estudio los temas referentes a la Seguridad de las TIC en todos los niveles de enseñanza, e implementan planes de estudios para los especialistas en seguridad de las TIC, actualizados por normas internacionales, así como fomentan los intercambios académicos e investigativos con universidades y centros de investigaciones nacionales e internacionales con alta preparación en la temática.
DISPOSICIÓN ESPECIAL
ÚNICA:
Se faculta a los ministros de las Fuerzas Armadas Revolucionarias y del Interior a adecuar para sus sistemas lo establecido en el presente Decreto, de conformidad con sus estructuras.
DISPOSICIONES FINALES
PRIMERA:
Los jefes de los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, en el marco de su competencia, dictan las disposiciones legales, realizan el control y fiscalización y establecen las coordinaciones que resulten necesarias relativas a la aplicación del presente Decreto.
SEGUNDA:
El Ministerio de Trabajo y Seguridad Social actualiza los calificadores y jerarquiza los cargos, a partir de las competencias requeridas para el perfil ocupacional del especialista en seguridad de las TIC.
TERCERA:
El glosario de términos y definiciones anexo forma parte del contenido del presente Decreto.
PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.
DADO en el Palacio de la Revolución, a los 31 días del mes de mayo de 2019.
Miguel Díaz-Canel Bermúdez, Presidente de los consejos de Estado y de Ministros
Jorge Luis Perdomo Di-Lella, Ministro de Comunicaciones
ANEXO.- GLOSARIO DE TÉRMINOS Y DEFINICIONES
1) Entidad: Todos los órganos, organismos y entidades nacionales del Estado y del Gobierno, sistema empresarial y unidades presupuestadas, el Banco Central de Cuba y demás instituciones financieras, las cooperativas, las empresas mixtas, las formas asociativas sin ánimos de lucro y las organizaciones políticas, sociales y de masas.
2) Infraestructuras críticas de las Tecnologías de la Información y la Comunicación: Son aquellas que soportan los componentes, procesos y servicios esenciales que garantizan las funciones y la seguridad a los sectores estratégicos de la economía, a la Seguridad y Defensa Nacional y a los servicios que brinde la Administración Pública.
3) Órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular: Todos los órganos superiores del Estado y del Gobierno, los órganos locales del Poder Popular, los organismos de la Administración Central del Estado, las organizaciones superiores de dirección empresarial que incluye a la Empresa de Telecomunicaciones de Cuba S.A.
20Abr/20
Decreto nº 359 de 31 de marzo de 2019, sobre el desarrollo de la Industria Cubana de Programas y Aplicaciones Informáticas
Decreto nº 359 de 31 de marzo de 2019, sobre el desarrollo de la Industria Cubana de Programas y Aplicaciones Informáticas (Publicada en la Gaceta Oficial nº 31 de 4 de julio de 2019)
CONSEJO DE MINISTROS
MIGUEL DÍAZ-CANEL BERMÚDEZ, Presidente de los consejos de Estado y de Ministros de la República de Cuba.
HAGO SABER:
Que el Consejo de Ministros ha considerado lo siguiente:
POR CUANTO:
El Decreto-Ley nº 370 “Sobre la Informatización de la Sociedad en Cuba”, de 17 de diciembre de 2018, en su Disposición Final Primera encarga al Consejo de Ministros dictar disposiciones complementarias sobre la Industria de Programas y Aplicaciones Informáticas.
POR CUANTO:
El referido Decreto-Ley nº 370, establece las regulaciones generales aplicables a la determinación del alcance de la Industria Cubana de Programas y Aplicaciones Informáticas para promover, perfeccionar e incrementar la producción nacional y las exportaciones de los productos de la industria y a la sustitución de importaciones, acciones que requieren ser implementadas mediante las normas complementarias que resulten necesarias.
POR TANTO:
El Consejo de Ministros, en el ejercicio de las atribuciones que le están conferidas en el Artículo 137, incisos ñ) y o), de la Constitución de la República de Cuba, decreta lo siguiente:
DECRETO nº 359 SOBRE EL DESARROLLO DE LA INDUSTRIA CUBANA DE PROGRAMAS Y APLICACIONES INFORMÁTICAS
CAPÍTULO I.- OBJETO, OBJETIVOS Y ÁMBITO DE APLICACIÓN
Artículo 1.
El Estado promueve el desarrollo y utilización de la Industria Cubana de Programas y Aplicaciones Informáticas, en lo adelante la Industria, con el objetivo de contribuir a respaldar las prioridades de la informatización en beneficio de la economía, la sociedad y la Seguridad y Defensa Nacional, para alcanzar un crecimiento sustancial de su ejecución y servicios asociados.
Artículo 2.
El presente Decreto tiene como objeto establecer el marco legal reglamentario que ordene y garantice el derecho al acceso y participación de las personas en el desarrollo de la Industria cubana de programas y aplicaciones informáticas, en correspondencia con lo establecido en la Constitución, las leyes y las restantes disposiciones legales relacionadas con el tema, así como los acuerdos internacionales en esta materia de los que la República de Cuba es Estado parte.
Artículo 3.
Resulta de aplicación este Decreto a las relaciones jurídicas que se establecen entre los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, el sistema empresarial y las formas de propiedad y gestión no estatal cuyo objeto social o actividad comprenda el desarrollo de programas y aplicaciones informáticas y la prestación de servicios informáticos asociados a esta industria.
Artículo 4.
Los objetivos del presente Decreto son los siguientes:
a) Promover la empresa estatal socialista, como actor principal en esta industria y, de conjunto con las formas de propiedad y gestión no estatal, contribuir a la informatización de la sociedad, la sustitución de importaciones y a las exportaciones;
b) preservar y desarrollar el capital humano asociado a la actividad y estimular su vínculo con las prioridades de informatización de la sociedad;
c) fortalecer la capacidad de la Industria para contribuir a la soberanía tecnológica, la ciberseguridad, la sostenibilidad y crecimiento económico del país y al bienestar social; e
d) impulsar la integración de la investigación, el desarrollo y la innovación con la producción y comercialización de los productos y servicios informáticos.
Artículo 5.
La Industria, comprende a las entidades y al trabajador por cuenta propia que se relacionan con el desarrollo de programas y aplicaciones informáticas y la prestación de servicios informáticos, que estén inscritos en el control administrativo del Ministerio de Comunicaciones.
Artículo 6.
Las entidades y el trabajador por cuenta propia solicitan al Ministerio de Comunicaciones su incorporación a la Industria, según los requisitos que este establezca.
Artículo 7.
Los principios sobre los que se sustenta la Industria cubana de programas y aplicaciones informáticas son:
a) La satisfacción de las exigencias de la informatización de la sociedad cubana;
b) la contribución a la soberanía tecnológica, la ciberseguridad, la sostenibilidad y al crecimiento económico del país;
c) la atención al capital humano asociado a la actividad;
d) la integración de la investigación, el desarrollo y la innovación para la producción y comercialización de productos y servicios;
e) la coherencia en el desarrollo de la Industria y el aprovechamiento de los diferentes actores del modelo económico cubano; y
f) la exportación de productos y servicios, con participación de todas las formas de propiedad y gestión no estatal existentes en el modelo económico cubano.
CAPÍTULO II.- ORGANIZACIÓN INSTITUCIONAL Y COMPETENCIAS
Artículo 8.
El Ministerio de Comunicaciones es el organismo encargado de proponer, coordinar y controlar el cumplimiento de las políticas y estrategias asociadas al proceso de organización y desarrollo de la Industria y en el ejercicio de sus funciones específicas cumple las acciones siguientes:
a) Propone, coordina, controla y emite directrices asociadas al proceso de organización y desarrollo de la Industria para garantizar el cumplimiento de las normas jurídicas, procedimientos y metodologías y el funcionamiento de los procesos que aseguren su sinergia;
b) inscribe en el control administrativo a las entidades y al trabajador por cuenta propia que conforman la Industria y establece los requisitos que deban cumplir y lo publica en el sitio web;
c) atiende de manera priorizada y diferenciada los proyectos del programa nacional de informatización;
d) promueve y coordina el desarrollo de programas, aplicaciones y servicios informáticos, en correspondencia con las prioridades de informatización del país, así como la capacitación permanente del capital humano de la Industria y el acceso a la información por directivos y funcionarios vinculados a estas actividades, en función de contribuir a la efectividad en el desempeño de su labor;
e) evalúa y controla los planes de acción que desarrollan las entidades y el trabajador por cuenta propia en función del proceso de organización de la Industria, así como asegura el empleo ordenado de las capacidades humanas y tecnológicas del país;
f) diseña e implementa una estrategia de comunicación sobre la Industria y sus resultados, que contribuya al proceso de informatización de la sociedad, así como evalúa sistemáticamente su efectividad;
g) constituye grupos de expertos con el fin de contribuir a la formulación de políticas y estrategias y a la evaluación de su impacto, para proyectar e implementar soluciones informáticas ante los retos que impone el desarrollo y aplicación de las nuevas tecnologías en procesos priorizados de la nación;
h) coordina los esfuerzos nacionales de investigación, desarrollo e innovación en el terreno de las aplicaciones, programas informáticos y servicios asociados; supervisa la protección de sus resultados, en especial los que tengan mayor utilización en los frentes estratégicos del país;
i) impulsa la cooperación internacional y la realización de eventos con la finalidad de lograr una mayor integración de la Industria, ampliar las capacidades del país y asimilar modelos de gestión para el desarrollo de los programas y aplicaciones informáticas y servicios asociados, con el fin de contribuir a la informatización de la sociedad, la prevención y el enfrentamiento a los eventos nocivos en el ciberespacio;
j) aprueba las normas jurídicas asociadas al desarrollo de esta Industria; controla y fiscaliza su cumplimiento; e
k) identifica los principales proyectos informáticos, con el fin de crear las capacidades de desarrollo de la Industria que permitan su impulso.
Artículo 9.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, de acuerdo con su misión y funciones específicas aprobadas, desarrollan las acciones que se establecen mediante el presente Decreto, en el marco del proceso de Informatización de la Sociedad Cubana.
CAPÍTULO III.- DE LAS ACCIONES PARA FORTALECER LA INDUSTRIA CUBANA DE PROGRAMAS Y APLICACIONES INFORMÁTICAS
Artículo 10.
Corresponde al Ministerio de Comunicaciones, en el marco del proceso de organización y desarrollo de la Industria Cubana de Programas y Aplicaciones Informáticas y de conformidad con sus funciones específicas aprobadas, coordinar con los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular competentes, la implementación de las acciones y medidas básicas para de forma integral garantizar el desarrollo de esta Industria.
Artículo 11.
En el marco del proceso de organización y desarrollo de la Industria, los organismos de la Administración Central del Estado y el Banco Central de Cuba mencionados a continuación, realizan las acciones y medidas siguientes:
Ministerio del Comercio Exterior y la Inversión Extranjera:
1) Promueve la inversión extranjera y otras formas de asociación, para contribuir al crecimiento de las exportaciones y al progreso de la Industria, en función del interés nacional y la necesidad de potenciar el capital humano;
2) establece e implementa normas que regulen la importación de productos y servicios informáticos en correspondencia con las necesidades del país; e
3) implementa programas de exportación de servicios profesionales especializados en tecnología de la información y la comunicación, en lo adelante TIC e intensifica la cooperación internacional para el intercambio de expertos y la transferencia de tecnologías.
Ministerio de Comunicaciones:
1) Identifica, evalúa y propone políticas y estrategias para la organización de la Industria de programas y aplicaciones informáticas, con el objetivo de fomentar el desarrollo de la empresa estatal informática, de conjunto con las formas de propiedad y gestión no estatal para contribuir al desarrollo de la informatización de la sociedad y a sus exportaciones;
2) adopta un modelo organizativo que garantice el desarrollo y la sostenibilidad económica de la Industria;
3) incrementa la participación de la Industria en los proyectos priorizados por el país y favorece el desarrollo de los programas y aplicaciones informáticas vinculadas a los servicios;
4) favorece la diversificación de entidades especializadas que brinden servicios asociados a las TIC;
5) potencia el desarrollo y alcance de la autoridad nacional de calidad de programas y aplicaciones informáticas y fomenta la creación de empresas estatales que contribuyan de forma intensiva y efectiva a la evaluación, normalización, certificación de la calidad de los programas y aplicaciones informáticas y servicios asociados a las TIC desarrollados en el país, así como promueve la certificación y acreditación de entidades, procesos, especialistas, soluciones y equipamiento informáticos;
6) colabora en la elaboración de los programas de formación y capacitación de especialistas;
7) promueve el desarrollo de parques científicos-tecnológicos como parte integrante de la Industria y para aprovechar la infraestructura y el capital humano de los centros universitarios de nivel superior y potencia la vinculación de la investigación, el desarrollo y la innovación (I+D+i) entre las universidades, los gobiernos locales, los productores de programas y aplicaciones informáticas y los centros de investigación;
8) propone las acciones que favorezcan el fortalecimiento de la empresa estatal informática y su flexibilización en la gestión económica–financiera de estas, permitiéndoles con mayor autonomía, la distribución de utilidades como salario, así como aquellas que contribuyan al incremento de los niveles de exportación de los programas y aplicaciones informáticas y servicios asociados;
9) establece, según lo regulado por el Ministerio del Comercio Exterior y la Inversión Extranjera, el procedimiento para la importación de programas o aplicaciones informáticas;
10) potencia la producción nacional para contribuir a la informatización de la sociedad y a las exigencias en materia de seguridad y soberanía tecnológica;
11) propone formas organizativas para la Industria en correspondencia con las prioridades de informatización de la sociedad y la sustitución de importaciones e implementa la migración ordenada y sostenible a plataformas de código abierto y de producción nacional;
12) prioriza la utilización de código abierto en los proyectos que desarrolle la Industria;
13) atiende el sistema de gestión integrada del capital humano específico para esta Industria que garantice su permanencia en la actividad con el fin de contribuir al mejoramiento de los procesos productivos y de servicios y minimizar el éxodo de personal.
14) atiende a los profesionales del sector informático en función del desarrollo y organización de esta Industria;
15) establece el modelo de calidad para el desarrollo de aplicaciones informáticas (MCDAI);
16) prioriza el desarrollo de las empresas vinculadas de la Industria, así como favorece la aprobación de tarifas preferenciales para los servicios asociados a las redes;
17) regula la participación de las formas de propiedad y de gestión no estatal en el desarrollo de aplicaciones y servicios informáticos;
18) promueve las asociaciones entre entidades para fortalecer la exportación de productos y servicios informáticos;
19) identifica e impulsa la ejecución de proyectos de inversión extranjera y otras formas de relación económica que potencien el mercado nacional, el crecimiento de las exportaciones y el desarrollo del capital humano;
20) fortalece las entidades especializadas de las TIC dirigidas a satisfacer las prioridades de informatización de la sociedad, la seguridad nacional, el desarrollo económico del país, la exportación de productos y servicios y potencia la vinculación de la investigación, el desarrollo y la innovación (I+D+i), así como la generación de empleos y calidad de vida;
21) impulsa la adopción de las normas técnicas internacionales y la emisión de las normas cubanas para las tecnologías, la producción y los servicios informáticos a través del fortalecimiento del trabajo de los comités de normas técnicas;
22) establece el requisito de inscripción de los programas, aplicaciones y servicios informáticos que se desarrollen para su comercialización, en el control administrativo; así como mantiene actualizado el catálogo nacional de soluciones informáticas desarrolladas por la Industria;
23) promueve la seguridad tecnológica en los productos y los servicios informáticos;
24) prioriza el desarrollo de programas y aplicaciones informáticas de producción nacional que sean sistemas operativos, antivirus, herramientas para la planificación de recursos empresariales, plataformas de comercio y gobierno electrónico, programas y aplicaciones informáticas empotradas en equipos tecnológicos producidos en el país, que se establece como única opción de uso en el mercado nacional, excepto aquellos que se autoricen;
25) potencia el desarrollo de aplicaciones y servicios asociados al gobierno y comercio electrónico;
26) promueve la creación de plataformas que faciliten la generación y diversificación de contenidos;
27) promueve el desarrollo de la Industria de equipamiento vinculado a las TIC;
28) inserta la Industria en acuerdos generados por los mecanismos de integración regionales o internacionales para la informatización de las infraestructuras;
29) colabora en el registro y protección de la propiedad intelectual de lo que se genere en este campo para lo que tiene en cuenta las regulaciones vigentes;
30) favorece el empleo de los recursos humanos que componen la Unión de Informáticos de Cuba, como cantera para los proyectos de informatización local, nacional u otros destinados a la exportación; y
31) coordina y participa en la adecuación del marco regulatorio de la industria que contribuya a agilizar su desarrollo y organización.
Ministerios de Ciencia, Tecnología y Medio Ambiente y de Cultura:
1) Proponen o emiten las normas jurídicas relacionadas con la propiedad intelectual y el derecho de autor, respectivamente, en el ámbito del desarrollo, producción y comercialización de programas y aplicaciones informáticas, así como los mecanismos que garanticen la protección del patrimonio nacional del sector.
Ministerio de Economía y Planificación:
1) Dispone, en el marco de su competencia y según el Plan Nacional de Desarrollo Económico y Social, las medidas que favorezcan la sostenibilidad y el fortalecimiento del sistema empresarial estatal y estimulen la producción de programas, aplicaciones y servicios informáticos nacionales; y
2) Establece y controla que en los estudios de factibilidad de las inversiones se tengan en cuenta los presupuestos referidos a programas y aplicaciones informáticas que permitan incrementar las capacidades en la industria nacional, reducir las importaciones, garantizar mayor seguridad nacional y generar productos exportables.
Ministerios de Educación y de Educación Superior, según corresponda:
1) Promueven la vinculación con las entidades de la Industria de los recursos humanos relacionados con la actividad de programas y aplicaciones informáticas de los centros de estudios y de investigación;
2) orientan los programas de las carreras universitarias, de los técnicos superiores y especialidades con perfiles de informática para que permitan la posterior especialización y certificación de competencia en roles profesionales y realizan su revisión periódica para lograr su actualización;
3) tramitan la homologación de cursos de formación o capacitación para que sean certificados en coordinación con entidades y universidades extranjeras;
4) promueven que los egresados de carreras universitarias afines al perfil de informática y los que laboren en las empresas del sector dominen lenguas extranjeras, preferentemente el idioma inglés;
5) garantizan la realización de cursos de formación de postgrado en las TIC para los graduados de otras disciplinas con vistas a elevar el número de expertos;
6) establecen cursos de capacitación para mejorar el desempeño y capacidad del personal de la administración estatal y local en la utilización de productos informáticos de producción nacional para la gestión estatal;
7) desarrollan acciones que impulsen la investigación-desarrollo-producción de programas, aplicaciones y servicios informáticos y contribuye a la introducción de estos resultados;
8) fomentan programas de calificación y adiestramiento, con el objeto de ampliar y actualizar la especialización en las diferentes ramas de la Industria, y enfatizan lo relacionado con la ciberseguridad; a su vez promueven el desarrollo profesional y técnico y los programas de apoyo a la educación tecnológica en la esfera de la informática, en coordinación con las instituciones de educación media y superior del país;
9) implementan programas de capacitación en las diferentes ramas de esta industria, acorde con su desarrollo y evolución tecnológica;
10) mantienen relaciones con las entidades de la Industria que gestionan, producen, desarrollan programas y aplicaciones informáticas y servicios al sector educacional; y
11) desarrollan la preparación permanente del personal asociado a las TIC y a la población en general.
Ministerio de Finanzas y Precios:
1) Implementa mecanismos fiscales que estimulen el desarrollo y la comercialización de la Industria para el mercado nacional y la exportación.
Banco Central de Cuba:
1) Realiza las acciones que se requieran a fin de destinar créditos para el desarrollo de la Industria de programas y aplicaciones informáticas, de acuerdo con lo establecido en materia crediticia.
CAPÍTULO IV.- DE LAS OBLIGACIONES, CAPACITACIÓN, INVESTIGACIÓN, DESARROLLO E INNOVACIÓN TECNOLÓGICA
Sección Primera.- De las obligaciones de las entidades y del sistema empresarial vinculadas con la Industria
Artículo 12.
Las entidades de la Industria fortalecen sus estructuras y servicios basadas en el uso integrado de las TIC.
Artículo 13.
Los dispositivos informáticos son aquellos aparatos tecnológicos que permiten el procesamiento y almacenamiento de la información y la comunicación.
Artículo 14.
La Industria y las empresas dedicadas a la producción, importación y comercialización de dispositivos informáticos suscriben acuerdos en interés de favorecer la incorporación de los programas y aplicaciones informáticas desarrolladas en el país.
Artículo 15.
Las empresas dedicadas a la producción de dispositivos informáticos en el país garantizan que estos equipos incorporen programas y aplicaciones informáticas de producción nacional.
Artículo 16.
Se exceptúan de cumplir lo regulado en el artículo anterior aquellos dispositivos informáticos destinados a la exportación u otros que se autoricen por el Ministro de Comunicaciones.
Artículo 17.
Las empresas de la Industria crean capacidades para la prestación de servicios profesionales en materia de consultoría, auditoría, capacitación y entrenamiento.
Artículo 18.
Las entidades y el sistema empresarial relacionados con la Industria, implementan las acciones que se corresponden con el programa vigente de investigación, desarrollo e innovación.
Sección Segunda.- De las obligaciones de los ministerios de Ciencia, Tecnología y Medio Ambiente, Comunicaciones, Educación y de Educación Superior
Artículo 19.
El Ministerio de Ciencia, Tecnología y Medio Ambiente, en coordinación con los organismos de la Administración Central del Estado y el Banco Central de Cuba, establece el programa de ciencia, tecnología e innovación de la Industria, que aproveche las potencialidades del capital humano, en especial las universidades y centros de investigación.
Artículo 20.
Los ministerios de Educación y de Educación Superior:
a) Validan los programas de las carreras en la especialidad de informática, que permitan la especialización y certificación de competencias en roles profesionales, en los niveles medio superior y superior, así como la homologación de los cursos de formación o certificación a cualquier nivel, con entidades y universidades certificadas internacionalmente;
b) combinan la formación, la producción, investigación e innovación y las vinculan con las entidades de la Industria para elevar la calidad de las soluciones informáticas nacionales; y
c) potencian, en coordinación con el Ministerio de Comunicaciones, la capacitación en centros de formación, para lo que tienen en cuenta las normas internacionales, con el objetivo de atraer a personal extranjero a estos centros de formación.
Artículo 21.
El Ministerio de Comunicaciones, en coordinación con los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, contribuye a la capacitación del personal en la utilización de programas y aplicaciones informáticas de producción nacional para la gestión de gobierno.
CAPÍTULO V.- INDUSTRIA CUBANA DE PROGRAMAS Y APLICACIONES INFORMÁTICAS PARA LA DEFENSA Y SEGURIDAD NACIONAL
Artículo 22.
Los ministerios de Comunicaciones, del Interior y de las Fuerzas Armadas Revolucionarias, coordinan y establecen las acciones que permiten alcanzar paulatinamente las condiciones de fiabilidad, estabilidad y seguridad de los programas, aplicaciones y servicios informáticos que respalden la Seguridad y Defensa Nacional.
Artículo 23.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, organizan y establecen los servicios que brinde su Industria, para responder a las necesidades que el país requiera en las diferentes situaciones excepcionales y las vinculadas a la Seguridad y Defensa Nacional.
CAPÍTULO VI.- REGULACIÓN, CONTROL Y FISCALIZACIÓN
Artículo 24.
El Ministerio de Comunicaciones dispone de las unidades organizativas y entidades que garanticen la regulación, control y fiscalización con el fin de asegurar el cumplimiento de lo que establece el presente Decreto.
Artículo 25.
Corresponde a los organismos de la Administración Central del Estado y al Banco Central de Cuba establecer el marco legal que sustente el proceso de ordenamiento en las entidades subordinadas, adscritas, atendidas y patrocinadas relacionadas con la Industria e implementar el control y la fiscalización que corresponda.
Artículo 26.
Las personas naturales y jurídicas sometidas a inspección en la esfera de la Industria colaboran y facilitan la gestión de los funcionarios de las correspondientes entidades y unidades organizativas de control y fiscalización sin perjuicio de los derechos legalmente reconocidos.
Artículo 27.
Las autoridades de orden público prestan la protección y auxilio a los funcionarios de las entidades y unidades organizativas de control y fiscalización que realizan la inspección en la esfera de la Industria.
DISPOSICIÓN ESPECIAL
ÚNICA:
Los ministros de las Fuerzas Armadas Revolucionarias y del Interior quedan facultados para adecuar en sus sistemas lo establecido en el presente Decreto.
DISPOSICIÓN TRANSITORIA
ÚNICA:
Los órganos, organismos de la Administración Central del Estado y el Banco Central de Cuba ejecutan las medidas necesarias para la migración a la utilización de programas y aplicaciones informáticas de producción nacional antes de que hayan transcurrido tres (3) años, contados a partir de la fecha de entrada en vigor del presente Decreto; y cuando no puedan cumplir con el término establecido, solicitan prórroga al Ministro de Comunicaciones, el que queda facultado para establecer el nuevo término.
DISPOSICIONES FINALES
PRIMERA:
Los jefes de los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular que correspondan, en el marco de su competencia, dictan las disposiciones legales, realizan el control y fiscalización y establecen las coordinaciones que resulten necesarias relativas a la aplicación del presente Decreto.
SEGUNDA:
El glosario de términos y definiciones anexo forma parte del contenido del presente Decreto.
PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.
DADO en el Palacio de la Revolución, a los 31 días de mes de mayo de 2019.
Miguel Díaz-Canel Bermúdez, Presidente de los consejos de Estado y de Ministros
Jorge Luis Perdomo Di-Lella, Ministro de Comunicaciones
ANEXO.- GLOSARIO DE TÉRMINOS Y DEFINICIONES
1) Entidad: Todos los órganos, organismos y entidades nacionales del Estado y del Gobierno, sistema empresarial y unidades presupuestadas, el Banco Central de Cuba y demás instituciones financieras, las cooperativas, las empresas mixtas, las formas asociativas sin ánimos de lucro y las organizaciones políticas, sociales y de masas.
2) Órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular: Todos los órganos superiores del Estado y del Gobierno, los órganos locales del Poder Popular, los organismos de la Administración Central del Estado y las organizaciones superiores de dirección empresarial, que incluye a la Empresa de Telecomunicaciones de Cuba S.A.
20Abr/20
Decreto nº 363 de los parques científicos y tecnológicos y de las empresas de ciencia y tecnología que funcionan como interface entre las Universidades y Entidades de Ciencia, Tecnología e Innovación con las entidades productivas y de servicios, de 6 de septiembre de 2019
Decreto nº 363 de los parques científicos y tecnológicos y de las empresas de ciencia y tecnología que funcionan como interface entre las Universidades y Entidades de Ciencia, Tecnología e Innovación con las entidades productivas y de servicios, de 6 de septiembre de 2019 (Publicada en la Gaceta Oficial de la República de Cuba nº 86 del viernes 8 de noviembre de 2019)
CONSEJO DE MINISTROS
MIGUEL DÍAZ-CANEL BERMUDEZ, Presidente de los consejos de Estado y de Ministros.
HAGO SABER:
Que el Consejo de Ministros ha considerado lo siguiente:
POR CUANTO:
La Constitución de la República de Cuba en su Artículo 21 establece que el Estado promueve el avance de la ciencia, la tecnología y la innovación como elementos imprescindibles para el desarrollo económico y social; implementa formas de organización, financiamiento y gestión de la actividad científica; propicia la introducción sistemática y acelerada de sus resultados en los procesos productivos y de servicios, mediante el marco institucional y regulatorio correspondiente.
POR CUANTO:
El Decreto-Ley 323 “De las Entidades de Ciencia, Tecnología e Innovación”, de 31 de julio de 2014, establece las disposiciones para la organización y funcionamiento de las entidades de ciencia, tecnología e innovación y asegura una gestión más integral, económicamente sostenible, estable y permanente de estas; asimismo define que las entidades de ciencia, tecnología e innovación tienen como actividad fundamental la investigación científica, la innovación, los servicios científicos y tecnológicos, así como las producciones especializadas con valor agregado.
POR CUANTO:
Dada la necesidad de crear nuevas formas organizativas que incentiven la aplicación de los resultados de la ciencia, la tecnología y la innovación, en aras de garantizar el desarrollo sostenible de los sectores productivos y de servicios del país y ante las limitaciones existentes para emplear el financiamiento en proyectos y la remuneración de participantes en las universidades y entidades de ciencia, tecnología e innovación, resulta pertinente regular lo relativo a los parques científicos y tecnológicos, así como a las empresas de Ciencia y Tecnología que funcionan como interface.
POR TANTO:
El Consejo de Ministros, en el ejercicio de la atribución que le está conferido por el Artículo 137, inciso o), de la Constitución de la República de Cuba, dicta el siguiente:
DECRETO nº 363 DE LOS PARQUES CIENTÍFICOS Y TECNOLÓGICOS Y DE LAS EMPRESAS DE CIENCIA Y TECNOLOGÍA QUE FUNCIONAN COMO INTERFACE ENTRE LAS UNIVERSIDADES Y ENTIDADES DE CIENCIA, TECNOLOGÍA E INNOVACIÓN CON LAS ENTIDADES PRODUCTIVAS Y DE SERVICIOS
CAPÍTULO I.- DISPOSICIONES GENERALES
Artículo 1.
El presente Decreto tiene por objeto regular lo relativo a los parques científicos y tecnológicos y a las empresas de Ciencia y Tecnología, que funcionan como interface entre las universidades y entidades de Ciencia, Tecnología e Innovación con las entidades productivas y de servicios.
Artículo 2.
Este Decreto resulta aplicable a las personas naturales y jurídicas que se vinculan a la actividad de ciencia, tecnología e innovación, en correspondencia con su esfera de actuación.
CAPÍTULO II.- DE LOS PARQUES CIENTÍFICOS Y TECNOLÓGICOS
Sección primera.- Definición, objetivos y organización
Artículo 3.
Los parques científicos y tecnológicos, en lo adelante Parque, se definen como la organización gestionada por profesionales especializados, cuyo objetivo fundamental es incrementar la riqueza de su comunidad promoviendo la cultura de la innovación y la competitividad de las empresas e instituciones generadoras de saber instaladas en el Parque o asociadas a él; estimula y gestiona el flujo de conocimiento y tecnología entre universidades, instituciones de investigación, empresas y mercados; impulsa la creación y el crecimiento de empresas innovadoras mediante mecanismos de incubación y de generación centrífuga; y proporciona otros servicios de valor añadido, así como espacio e instalaciones de gran calidad.
Artículo 4.
El Parque se crea con los objetivos siguientes:
a) Promover la constitución de empresas especializadas a partir de los nuevos conocimientos, modelos de negocios y capacidades para crear empresas innovadoras, proporcionando condiciones adecuadas para la investigación, el desarrollo I+D, la innovación, la transferencia de tecnología y los servicios científicos y tecnológicos de alto valor agregado;
b) coordinar de manera expedita la transformación de los proyectos de innovación exitosos, en entidades de base tecnológica y la afiliación de estas al Parque;
c) fomentar la incubación de empresas;
d) estimular y gestionar el flujo de conocimiento y tecnología entre diferentes actores sociales;
e) desarrollar en el espacio físico del Parque empresas de nueva creación, especialmente las de base tecnológica, a las que se les proporciona un entorno intelectual que incremente su capacidad de supervivencia;
f) brindar servicios de alto valor añadido, intensivos en conocimiento e instalaciones especializadas;
g) fomentar la inversión nacional y atraer la inversión extranjera directa para la introducción de tecnologías de avanzada;
h) contribuir a la creación de una cultura empresarial nueva e innovadora;
i) crear entornos de calidad para el desarrollo de una actividad económico-industrial de alta generación, de valor añadido, con elevado capital humano;
j) asegurar mediante la utilización adecuada de la Propiedad Intelectual, la protección de los bienes, servicios y tecnologías que se desarrollan en el Parque;
k) utilizar de manera intensiva las nuevas tecnologías, promocionarlas y difundirlas;
l) actuar como multiplicadores de recursos humanos, económicos y financieros en todos los actores de la actividad de Ciencia, Tecnología e Innovación; y
m) gestionar la ejecución de proyectos de servicios científicos y técnicos, demandados por el Gobierno, empresas y otras instituciones, utilizando el potencial de las entidades productivas y de servicios, las empresas, instituciones de conocimiento, universidades, entre otras, a partir de contratos firmados entre las partes.
Artículo 5.
El Parque funciona como sociedad mercantil y adopta la forma de Sociedad Anónima; es rectorado metodológicamente por el Ministerio de Ciencia, Tecnología y Medio Ambiente; y patrocinado por el órgano, organismo, organización superior de dirección empresarial o la entidad nacional que más se relacione con la actividad que desarrolle.
Artículo 6.
Los patrocinadores deben ofrecer el apoyo institucional adecuado y cuidar que la gestión del Parque cumpla con los objetivos para los cuales fue creado; identificar oportunidades de negocios; promover alianzas de cooperación con empresas, universidades y entidades de investigación, desarrollo e innovación que prestigien el Parque; así como monitorear el crecimiento y la competitividad de las empresas instaladas a partir de las facilidades que brinda el Parque.
Artículo 7.
1. El Parque decide y aprueba las instituciones empresariales y de conocimiento que se afilien o incuben en este, según la inserción en el mercado y la factibilidad económico-financiera y técnica de los proyectos.
2. La creación de las nuevas empresas, a partir de las incubadas, debe ser de forma expedita, de acuerdo con las formalidades que la ley prescriba y a través del organismo competente.
Artículo 8.
Las empresas incubadas en el Parque tienen el mismo tratamiento que este.
Sección segunda.- Del funcionamiento
Artículo 9.
El Parque dispone de las áreas, que constituyen elementos básicos para su funcionamiento, siguientes:
a) Las áreas de Innovación que son lugares diseñados para promover negocios intensivos en conocimiento e inversiones, en los que se desarrollan y combinan un conjunto de activos en materia de potencial humano, infraestructura e instituciones; y
b) las Incubadoras de Empresas que operan con resultados de proyectos de innovación con potencial para introducirse en el mercado como negocio innovador, a partir de un nuevo conocimiento obtenido por un área de I+D de una empresa, por un centro de investigación o universidad; y utilizan el espacio físico, así como el conjunto de servicios básicos del Parque con el fin de acceder a la logística necesaria para llevar a cabo la innovación.
Artículo 10.
1. La afiliación de entidades al Parque se sustenta a partir de los proyectos presentados a su convocatoria, cuya selección toma en consideración la capacidad del equipo del proyecto, así como las factibilidades económico-financiera, técnica y de inserción en el mercado.
2. En la selección de las empresas se tiene en cuenta su idoneidad para insertarse en el Parque y se consideran factores tales como:
a) La cartera de actividades de ciencia, tecnología e innovación que se prevé realizar;
b) capacidad de relación con las entidades generadoras de conocimiento, universidades y entidades de ciencia, tecnología e innovación;
c) grado de integración que su actividad puede alcanzar en el ámbito del Parque;
d) capacidad de desarrollar, aplicar y difundir nuevas tecnologías;
e) contribución potencial a la transferencia de tecnología por medio de bienes o servicios avanzados;
f) nivel tecnológico de sus producciones;
g) capacidad de atraer a otras empresas de alta tecnología;
h) potencial de crecimiento de la empresa;
i) potencial científico y tecnológico y calificación del personal;
j) contribución a potenciar la imagen del Parque como núcleo de tecnología avanzada; y
k) viabilidad tecnológica, económica y financiera.
Artículo 11.
Las empresas se instalan en el Parque de acuerdo con sus especificaciones y atendiendo, en lo fundamental, a las etapas siguientes:
a) La primera etapa comprende la instalación e ingeniería del proceso tecnológico, asimilación de transferencia de tecnología, elaboración de sistemas integrales de calidad, propiedad intelectual y diseño industrial, sistemas de costo y política de precios, estudios de mercado, elaboración de normativas para la regulación de las relaciones entre las entidades participantes y el entrenamiento del personal;
b) la segunda etapa se identifica con la producción en escala experimental de las líneas productivas, comprobación del funcionamiento de la tecnología básica y la periférica, y la prueba de todos los sistemas de la producción; y
c) la tercera etapa considera la estabilización de la producción en escala masiva y la comercialización nacional e internacional de sus bienes, servicios y tecnología.
Artículo 12.
En el análisis de la viabilidad y del impacto económico del Parque se consideran los aspectos siguientes:
a) El componente tecnológico del Parque en términos de la transferencia tecnológica desde las universidades, centros de investigación o empresas con las que se relaciona el Parque o cercanas a la empresa que transfiere;
b) los flujos de cooperación tecnológica tanto dentro como fuera del Parque, entre las empresas instaladas en él y fuera de este;
c) la creación de empresas de base tecnológica; y
d) la contribución a la innovación a partir del desarrollo y transferencia tecnológica a las empresas y su aplicación en innovaciones de bienes y servicios, y en los procesos productivos que se inserten en el mercado nacional e internacional.
Sección tercera.- Del financiamiento y el régimen fiscal
Artículo 13.
El financiamiento y el régimen fiscal del Parque operan bajo los principios siguientes:
a) El capital social lo aportan los accionistas;
b) emplean un esquema cerrado de financiamiento en divisas que les permita disponer de una parte de los ingresos por exportaciones en moneda extranjera que se generen desde el exterior, en la magnitud que asegure la sostenibilidad de su actividad;
c) tienen régimen especial de tributación que favorece e incentiva los proyectos de investigación en los primeros cinco (5) años de funcionamiento; y
d) se eximen del pago de aranceles por concepto de importación de partes, piezas y equipamiento en los primeros cinco (5) años de funcionamiento.
Sección cuarta.- De la inscripción del Parque
Artículo 14.
El Parque se inscribe en los registros correspondientes para adquirir personalidad jurídica y realizar las actividades de investigación científica, innovación, servicios científicos y tecnológicos, así como las producciones especializadas con valor agregado que tienen aprobadas.
CAPÍTULO III.- DE LAS EMPRESAS DE CIENCIA Y TECNOLOGÍA QUE FUNCIONAN COMO INTERFACE ENTRE LAS UNIVERSIDADES Y ENTIDADES DE CIENCIA, TECNOLOGÍA E INNOVACIÓN CON LAS ENTIDADES PRODUCTIVAS Y DE SERVICIOS
Sección primera.- Definición
Artículo 16.
Las empresas de Ciencia y Tecnología, en lo adelante Empresas, que funcionan como interface entre las universidades y entidades de ciencia, tecnología e innovación con las entidades productivas y de servicios, sin interferir en la misión de la universidad, tienen como objeto social la gestión de proyectos de investigación, desarrollo e innovación comercializables; la transferencia de tecnología, la realización de consultorías y asesorías asociadas a los proyectos y comercialización de otros intangibles, con la participación de profesores, investigadores, estudiantes y especialistas de diferentes instituciones, logrando ser sostenible.
Sección segunda.- De los principios
Artículo 17.
Estas Empresas funcionan bajo los principios siguientes:
a) Emplean un esquema cerrado de financiamiento en divisas que les permita disponer de una parte de los ingresos por exportaciones en moneda libremente convertible que se generen desde el exterior, en la magnitud que asegure la sostenibilidad de su actividad;
b) tienen régimen especial de tributación que favorece e incentiva los proyectos de innovación en los primeros cinco (5) años de funcionamiento; y
c) se eximen del pago de aranceles por concepto de importación de partes, piezas y equipamiento en los primeros cinco (5) años de funcionamiento.
Sección tercera.- De las funciones
Artículo 18.
Estas Empresas tienen las funciones específicas siguientes:
a) Gestionar proyectos demandados por el sector empresarial y de servicios que aseguren cubrir los gastos para la ejecución de la investigación, desarrollo e innovación en universidades y entidades de Ciencia, Tecnología e Innovación, el pago de servicios, patentes, registros, insumos, entre otras necesidades, incluido el sostenimiento y desarrollo de la infraestructura asociada a la ejecución de los proyectos;
b) destinar fondos para el desarrollo, fomento y nuevos proyectos que sean financiados por las utilidades obtenidas, fondos nominalizados y otras fuentes captadas;
c) captar y emplear fondos financieros mixtos del Gobierno, empresas, asociaciones y otras, nacionales e internacionales; y
d) utilizar el por ciento de las utilidades que se determine para las inversiones, según los procedimientos establecidos.
Sección cuarta.- De las facultades
Artículo 19.
Para estas Empresas se establecen como facultades las siguientes:
a) Remunerar a los participantes en los proyectos de investigación, desarrollo e innovación, en adición a otros ingresos que puedan recibir estos;
b) ejercer el comercio exterior; y
c) utilizar esquemas de redistribución de fondos para proyectos de investigación, desarrollo e innovación.
CAPÍTULO IV.- DE LA REMUNERACÍON Y LAS FUENTES DE FINANCIAMIENTO EN PROGRAMAS Y PROYECTOS DE CIENCIA, TECNOLOGÍA E INNOVACIÓN QUE SE DESARROLLEN EN LOS PARQUES CIENTÍFICOS Y TECNOLÓGICOS Y EMPRESAS DE CIENCIA Y TECNOLOGÍA
Sección primera.- De la remuneración
Artículo 20.
1. La remuneración por la participación en programas y proyectos de Ciencia, Tecnología e Innovación, tiene como propósitos fundamentales incentivar:
a) La participación en los programas y proyectos dirigidos a dar respuesta a las prioridades identificadas en los diferentes niveles;
b) la eficiencia en la ejecución de los programas y proyectos que incluye la optimización de los plazos de obtención, el uso racional de los recursos y el aumento de la calidad de los resultados, teniendo en cuenta nuevos métodos de gestión, organización y control de los programas y proyectos;
c) el reconocimiento al aporte del conocimiento en la obtención del resultado, el incremento de la productividad científica y la visibilidad; y
d) la introducción y generalización de los resultados, promoviendo las cadenas de conocimientos, productivas y de valores, que permitan elevar los impactos científicos, tecnológicos, económicos, medioambientales, sociales e institucionales de estos.
2. Las especificidades para la aplicación de esta remuneración se regulan en disposición complementaria.
Sección segunda.- De las fuentes de financiamiento
Artículo 21.
Las fuentes de financiamiento para la remuneración por la participación en programas y proyectos de Ciencia, Tecnología e Innovación son:
a) El presupuesto del proyecto;
b) el cobro de un porciento de los beneficios económicos generados por la introducción o generalización del resultado; y
c) las regalía.
DISPOSICIONES ESPECIALES
PRIMERA:
El Ministro de Ciencia, Tecnología y Medio Ambiente es el responsable de dirigir la implementación de las acciones y medidas para la creación de los parques científicos y tecnológicos y de las empresas de Ciencia y Tecnología, así como de evaluar sus resultados con los patrocinadores de la actividad del Parque y otros que se determinen.
SEGUNDA:
Implementar lo dispuesto en el presente Decreto de manera experimental en las universidades que tienen las condiciones más avanzadas para ello.
DISPOSICIONES FINALES
PRIMERA:
El Ministerio de Ciencia, Tecnología y Medio Ambiente, de conjunto con los organismos implicados, realizan durante un período de tres (3) años el seguimiento de lo que por el presente Decreto se dispone, con el fin de evaluar y aplicar mejores prácticas a partir de indicadores que contribuyan a la creación de nuevos parques científicos y tecnológicos y empresas de Ciencia y Tecnología.
SEGUNDA:
Los ministros de Ciencia, Tecnología y Medio Ambiente, y de Finanzas y Precios quedan encargados de dictar en el ámbito de sus competencias las disposiciones necesarias para el mejor cumplimiento de lo establecido en este Decreto.
TERCERA:
El presente Decreto entra en vigor a partir de su publicación en la Gaceta Oficial de la República de Cuba.
PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.
DADO en el Palacio de la Revolución, en La Habana, a los 6 días del mes de septiembre de 2019.
Miguel Díaz-Canel Bermúdez, Presidente de los Consejos de Estado y de Ministros
Acceso a la información pública Argentina 2020
Reclamo-Resolución IF-2020-08119555-APN-AAIP, de 5 de febrero de 2020, de Archivo reclamo Ministerio de Educación. (Acceso a la Información)
Reclamo-Resolución IF-2020-08814618-APN-AAIP, de 7 de febrero de 2020, de Archivo reclamo Ministerio de Transporte. (Acceso a la Información)
Reclamo-Resolución 34/2020, de 11 de febrero de 2020, de
Reclamo sobre solicitud de acceso a la información pública de particular contra Aerolíneas Argentinas S.A. (Acceso a la Información)
Reclamo-Resolución IF-2020-10757723-APN-AAIP, de 17 de febrero de 2020, de Archivo reclamo Ministerio de Turismo y Deportes (Acceso a la Información)
Reclamo-Resolución 37/2020, de 18 de febrero de 2020, de Reclamo sobre solicitud de acceso a la información pública de particular contra Hospital de Pediatría S.A.M.I.C. “Prof. Dr. Juan P. Garraham”. (Acceso a la Información)
Reclamo-Resolución 38/2020, de 18 de febrero de 2020, de Reclamo sobre solicitud de acceso a la información pública de particular contra la Administración Federal de Ingresos Públicos. (Acceso a la Información)
Reclamo-Resolución 39/2020, de 18 de febrero de 2020, de Reclamo sobre solicitud de acceso a la información pública de particular contra la Administración Federal de Ingresos Públicos. (Acceso a la Información)
Reclamo-Resolución IF-2020-11660198-APN-AAIP, de 20 de febrero de 2020, de Archivo reclamo Administración Nacional de Seguridad Social. (Acceso a la Información)
Reclamo-Resolución IF-2020-13208227-APN-AAIP, de 28 de febrero de 2020, de Archivo reclamo Administración Nacional de Avición Civil. (Acceso a la Información)
Reclamo-Resolución IF-2020-13207289-APN-AAIP, de 28 de febrero de 2020, de Archivo reclamo Aguas y Saneamiento S.A. (Acceso a la Información)
Reclamo-Resolución 2020-47-APN-AAIP, de 6 de marzo de 2020, de la AFI, M. Defensa, M. Seguridad, M. Justicia y Derechos Humanos, otros. (Acceso a la Información)
Resolución 70/2020, de 15 de abril de 2020, de la Agencia de Acceso a la Información Pública, de la suspensión de los plazos administrativos establecida por el Decreto n° 298/20, prorrogada por los Decretos n° 327/20 y nº 372/20, a los trámites previstos por la Ley nº 27.275 y la Ley n° 25.326
Resolución nº 1/2020 Pandemia y Derechos Humanos en las Américas(Adoptado por la CIDH el 10 de abril de 2020)
A. INTRODUCCIÓN
Las Américas y el mundo se enfrentan actualmente a una emergencia sanitaria global sin precedentes ocasionada por la pandemia del virus que causa el COVID-19, ante la cual las medidas adoptadas por los Estados en la atención y contención del virus deben tener como centro el pleno respeto de los derechos humanos.
La pandemia del COVID-19 puede afectar gravemente la plena vigencia de los derechos humanos de la población en virtud de los serios riesgos para la vida, salud e integridad personal que supone el COVID-19; así como sus impactos de inmediato, mediano y largo plazo sobre las sociedades en general, y sobre las personas y grupos en situación de especial vulnerabilidad.
Las Américas es la región más desigual del planeta, caracterizada por profundas brechas sociales en que la pobreza y la pobreza extrema constituyen un problema transversal a todos los Estados de la región; así como por la falta o precariedad en el acceso al agua potable y al saneamiento; la inseguridad alimentaria, las situaciones de contaminación ambiental y la falta de viviendas o de hábitat adecuado. A lo que se suman altas tasas de informalidad laboral y de trabajo e ingresos precarios que afectan a un gran número de personas en la región y que hacen aún más preocupante el impacto socioeconómico del COVID-19. Todo esto dificulta o impide a millones de personas tomar medidas básicas de prevención contra la enfermedad, en particular cuando afecta a grupos en situación de especial vulnerabilidad.
Además, la región se caracteriza por altos índices de violencia generalizada y especialmente violencia por razones de género, de raza o etnia; así como por la persistencia de flagelos tales como la corrupción y la impunidad. Asimismo, en la región prevalece por parte de los ciudadanos y ciudadanas el ejercicio del derecho a la protesta social, en un contexto de represión mediante el uso desproporcionado de la fuerza, así como de actos de violencia y vandalismo; graves crisis penitenciarias que afectan a la gran mayoría de los países; y la profundamente preocupante extensión del fenómeno de la migración, del desplazamiento forzado interno, de personas refugiadas y apátridas; así como la discriminación estructural en contra de grupos en situación de especial vulnerabilidad.
En este contexto, la pandemia supone desafíos aún mayores para los Estados de las Américas, tanto en términos de políticas y medidas sanitarias, como en capacidades económicas, que permitan poner en marcha medidas de atención y contención que resultan urgentes y necesarias para proteger efectivamente a sus poblaciones, acordes con el Derecho Internacional de los Derechos Humanos.
A su vez, la pandemia genera impactos diferenciados e interseccionales sobre la realización de los derechos económicos, sociales, culturales y ambientales (DESCA) para ciertos colectivos y poblaciones en especial situación de vulnerabilidad, por lo que se torna esencial la adopción de políticas para prevenir eficazmente el contagio, así como de medidas de seguridad social y el acceso a sistemas de salud pública que faciliten el diagnóstico y tratamiento oportuno y asequible; a fin de brindar a las poblaciones en situación de vulnerabilidad la atención integral de la salud física y mental, sin discriminación.
Asimismo, los sistemas de salud de los Estados de la región se han visto o pueden verse, aún más, desbordados frente a la magnitud de la pandemia del COVID-19, en particular respecto de quienes viven en la pobreza y para quienes no tienen cobertura médica, en caso de que necesiten atención médica u hospitalización.
A la fecha no se tiene conocimiento de intervenciones farmacéuticas viables para luchar contra el COVID-19 y muchos países han introducido medidas de contención que incluyen cuarentena, distanciamiento o aislamiento social, cierre de escuelas y negocios, limitaciones de circulación a nivel nacional e internacional, así como orientaciones preventivas de higiene personal y comunitaria.
En cuanto a las medidas de contención con el fin de enfrentar y prevenir los efectos de la pandemia, la CIDH ha observado que se han suspendido y restringido algunos derechos, y en otros casos se han declarado “estados de emergencia”, “estados de excepción”, “estados de catástrofe por calamidad pública”, o “emergencia sanitaria”, a través de decretos presidenciales y normativa de diversa naturaleza jurídica con el fin de proteger la salud pública y evitar el incremento de contagios. Asimismo, se han establecido medidas de distinta naturaleza que restringen los derechos de la libertad de expresión, el derecho de acceso a la información pública, la libertad personal, la inviolabilidad del domicilio, el derecho a la propiedad privada; y se ha recurrido al uso de tecnología de vigilancia para rastrear la propagación del coronavirus, y al almacenamiento de datos de forma masiva.
La Comisión Interamericana de Derechos Humanos (CIDH), con el apoyo de sus Relatorías Especiales sobre los Derechos Económicos, Sociales, Culturales y Ambientales y sobre Libertad de Expresión, en ejercicio de su mandato, adopta la presente resolución con estándares y recomendaciones bajo la convicción de que las medidas adoptadas por los Estados en la atención y contención de la pandemia deben tener como centro el pleno respeto de los derechos humanos.
B. PARTE CONSIDERATIVA
I. El derecho humano a la salud y otros DESCA en el contexto de las pandemias
Considerando que, si bien existen impactos sobre todos los derechos humanos frente a los diversos contextos ocasionados por la pandemia, especialmente en relación al derecho a la vida, la salud e integridad personal, se ven seriamente afectados el derecho al trabajo, a la seguridad social, a la educación, a la alimentación, al agua y a la vivienda, entre otros DESCA.
Subrayando que los contextos de pandemia y sus consecuencias acentúan la importancia del cumplimiento y observancia de las obligaciones internacionales en materia de derechos humanos, y particularmente aquéllas referidas a los DESCA, en las decisiones económicas y políticas adoptadas por los Estados, sea individualmente o como integrantes de instituciones multilaterales de financiamiento u órganos internacionales.
Recordando que, en el contexto de la pandemia, los Estados tienen la obligación reforzada de respetar y garantizar los derechos humanos en el marco de actividades empresariales, incluyendo la aplicación extraterritorial de dicha obligación, de conformidad con los estándares interamericanos en la materia.
Recordando que en el contexto específico de pandemia, los Estados tienen el deber de incentivar la investigación aplicada, la innovación y la difusión de nuevas tecnologías científicas directamente aplicables a la lucha contra la propagación del patógeno y, muy especialmente, al descubrimiento de nuevas alternativas de tratamiento del mismo, incluso compatibilizando la protección integral de la vida humana con reglas y procedimientos que regulen la propiedad intelectual sobre tales tecnologías y hallazgos.
Recordando que los Estados del hemisferio han reconocido la alta relevancia de la protección de los DESCA como condición esencial para la democracia, el Estado de Derecho y el desarrollo sostenible; y que la salud es un derecho humano reconocido en el corpus iuris internacional de los derechos humanos.
Observando que las pandemias tienen el potencial de afectar gravemente el derecho a la salud directa e indirectamente, por el riesgo sanitario inherente en la transmisión y adquisición de la infección, la exposición sobre el personal de salud y la alta incidencia en la organización social y los sistemas de salud, saturando la asistencia sanitaria general.
Destacando que la salud es un bien público que debe ser protegido por todos los Estados y que el derecho humano a la salud es un derecho de carácter inclusivo, que guarda correspondencia con el goce de otros derechos, que comprende sus determinantes básicos y sociales como el conjunto de factores que condicionan su efectivo ejercicio y disfrute. Que el contenido del derecho a la salud se refiere al derecho de toda persona a gozar del más alto nivel de bienestar físico, mental y social.
Asimismo, que este derecho incluye la atención de salud oportuna y apropiada, así como los elementos esenciales e interrelacionados de disponibilidad, accesibilidad, aceptabilidad y calidad de los servicios, bienes e instalaciones de salud, incluyendo los medicamentos y los beneficios del progreso científico en esta área, en condiciones de igualdad y no discriminación.
Subrayando que los contextos de pandemia y sus consecuencias, incluyendo las medidas de contención implementadas por los Estados, generan serios impactos en la salud mental como parte del derecho a la salud de la población, particularmente respecto de ciertas personas y grupos en mayor riesgo.
Observando que la generalidad de las personas trabajadoras, en especial las que viven en situación de pobreza o con bajos salarios, dependen por definición de sus ingresos económicos laborales para su subsistencia y tomando en cuenta, que existen ciertas categorías de trabajos que exponen especialmente a las personas a mayores riesgos de ver afectados sus derechos humanos por la pandemia y sus consecuencias, tales como personas trabajadoras de la salud, producción y distribución de alimentos, limpieza, cuidado, trabajadores rurales, informales o precarizados, entre otros.
II. Estados de excepción, libertades fundamentales y Estado de Derecho
Teniendo en cuenta que la Democracia y el Estado de Derecho son condiciones necesarias para lograr la vigencia y el respeto de los derechos humanos, y que la naturaleza jurídica de las limitaciones a dichos derechos puede tener impactos directos en los sistemas democráticos de los Estados, la Comisión reafirma el rol fundamental de la independencia y de la actuación de los poderes públicos y las instituciones de control, en particular de los poderes judiciales y legislativos, cuyo funcionamiento debe ser asegurado aún en contextos de pandemia.
Reconociendo que, en determinadas circunstancias, con el objeto de generar adecuada distancia social, puede resultar de hecho imperativa la restricción del pleno goce de derechos como el de reunión y la libertad de circulación en espacios tangibles, públicos o comunes que no sean indispensables para el abastecimiento de insumos esenciales o para la propia atención médica.
Considerando con especial preocupación que mediante la restricción o limitaciones a los derechos se pueden generar impactos en el goce de otros derechos de manera desproporcionada en determinados grupos y que, por lo tanto, se hace necesaria la adopción de medidas positivas de protección adicionales para estos grupos, ante la evidencia de que se han suscitado restricciones al trabajo de la prensa y detenciones arbitrarias de periodistas y personas defensoras de derechos humanos en el marco de la cobertura de la pandemia.
Reconociendo el rol crítico de la prensa, el acceso universal a Internet a través de las fronteras, la transparencia y el acceso a la información pública respecto de la pandemia y las medidas que se adoptan para contenerla y enfrentar las necesidades básicas de la población, así como la preservación de la privacidad y la protección de datos personales de las personas involucradas.
III. Grupos en situación de especial vulnerabilidad
Recordando que al momento de emitir medidas de emergencia y contención frente a la pandemia del COVID-19, los Estados de la región deben brindar y aplicar perspectivas interseccionales y prestar especial atención a las necesidades y al impacto diferenciado de dichas medidas en los derechos humanos de los grupos históricamente excluidos o en especial riesgo, tales como: personas mayores y personas de cualquier edad que tienen afecciones médicas preexistentes, personas privadas de libertad, mujeres, pueblos indígenas, personas en situación de movilidad humana, niñas, niños y adolescentes, personas LGBTI, personas afrodescendientes, personas con discapacidad, personas trabajadoras, y personas que viven en pobreza y pobreza extrema, especialmente personas trabajadoras informales y personas en situación de calle; así como en las defensoras y defensores de derechos humanos, líderes sociales, profesionales de la salud y periodistas.
Teniendo en particular consideración que en el contexto de pandemia, por lo general, los cuidados de las personas enfermas o necesitadas de especial atención recaen fundamentalmente en las mujeres, a expensas de su desarrollo personal o laboral, existiendo un escaso nivel de institucionalización y reconocimiento social o económico para tales tareas de cuidados que en tiempo de pandemia se vuelven aún más necesarios y exigentes.
IV. Cooperación internacional e intercambio de buenas prácticas Destacando que toda política pública con enfoque de derechos humanos para la prevención, atención y contención de la pandemia requiere un abordaje amplio y multidisciplinario a partir del fortalecimiento de mecanismos de cooperación internacional entre Estados.
Resultando urgente avanzar en la coordinación regional y global para enfrentar la crisis de la pandemia del COVID-19, a fin de lograr eficacia de manera regional, global y sostenible en las políticas públicas y medidas de distinta naturaleza que se adopten.
Destacando la importancia de contar con el apoyo, la participación y cooperación de personas y grupos de la sociedad civil, como las organizaciones no gubernamentales y las organizaciones de base comunitaria, y del sector privado, para que los esfuerzos de los Estados en el ámbito de las acciones de prevención, contención y tratamiento de la pandemia sean eficaces y oportunas.
Resaltando que la cooperación que brindan los organismos regionales y universales como la CIDH, la Organización Panamericana de la Salud (OPS), o agencias y órganos especializados de las Naciones Unidas, a través de sus mecanismos, resulta clave en la coordinación de esfuerzos y acciones conjuntas con los Estados en el marco de la crisis de la pandemia del COVID-19.
Manifestando la voluntad y disposición de la CIDH y sus Relatorías Especiales para brindar asistencia técnica a los Estados, los organismos regionales, las organizaciones sociales y otras instituciones para el fortalecimiento institucional y la formulación, implementación y evaluación de políticas públicas orientadas a combatir la pandemia en las Américas con enfoque de derechos humanos sobre la base de los estándares interamericanos e internacionales pertinentes.
C. PARTE RESOLUTIVA
En virtud de lo anterior, en ejercicio de las funciones que le son conferidas por el artículo 106 de la Carta de la Organización de los Estados Americanos y en aplicación del artículo 41.b de la Convención Americana sobre Derechos Humanos y el artículo 18.b de su Estatuto, la Comisión Interamericana sobre Derechos Humanos formula las siguientes recomendaciones a los gobiernos de los Estados miembros:
1. Adoptar de forma inmediata, urgente y con la debida diligencia, todas las medidas que sean adecuadas para proteger los derechos a la vida, salud e integridad personal de las personas que se encuentren en sus jurisdicciones frente al riesgo que representa la presente pandemia. Tales medidas deberán de ser adoptadas atendiendo a la mejor evidencia científica, en concordancia con el Reglamento Sanitario Internacional (RSI), así como con las recomendaciones emitidas por la OMS y la OPS, en lo que fueran aplicables.
2. Adoptar de manera inmediata e interseccional el enfoque de derechos humanos en toda estrategia, política o medida estatal dirigida a enfrentar la pandemia del COVID-19 y sus consecuencias, incluyendo los planes para la recuperación social y económica que se formulen. Estas deben estar apegadas al respeto irrestricto de los estándares interamericanos e internacionales en materia de derechos humanos, en el marco de su universalidad, interdependencia, indivisibilidad y transversalidad, particularmente de los DESCA.
3. Guiar su actuación de conformidad con los siguientes principios y obligaciones generales:
a. Los compromisos internacionales en materia de derechos humanos deben cumplirse de buena fe y tomando en cuenta los estándares interamericanos y las normas de derecho internacional aplicables.
b. El deber de garantía de los derechos humanos requiere que los Estados protejan los derechos humanos atendiendo a las particulares necesidades de protección de las personas y que esta obligación involucra el deber de los Estados de organizar todo el aparato gubernamental y, en general, todas las estructuras a través de las cuales se manifiesta el ejercicio del poder público, de manera tal que sean capaces de asegurar jurídicamente el libre y pleno ejercicio de los derechos humanos.
c. El deber de respetar los derechos humanos comprende la noción de la restricción al ejercicio del poder estatal, es decir, requiere que cualquier órgano o funcionario del Estado o de una institución de carácter público se abstenga de violar los derechos humanos.
d. Ante las circunstancias actuales de la pandemia del COVID-19, que constituyen una situación de riesgo real, los Estados deben adoptar medidas de forma inmediata y de manera diligente para prevenir la ocurrencia de afectaciones al derecho a la salud, la integridad personal y la vida. Tales medidas deben estar enfocadas de manera prioritaria a prevenir los contagios y brindar un tratamiento médico adecuado a las personas que lo requieran.
e. El objetivo de todas las políticas y medidas que se adopten deben basarse en un enfoque de derechos humanos que contemple la universalidad e inalienabilidad; indivisibilidad; interdependencia e interrelación de todos los derechos humanos; la igualdad y la no discriminación; la perspectiva de género, diversidad e interseccionalidad; la inclusión; la rendición de cuentas; el respeto al Estado de Derecho y el fortalecimiento de la cooperación entre los Estados.
f. Las medidas que los Estados adopten, en particular aquéllas que resulten en restricciones de derechos o garantías, deben ajustarse a los principios «pro persona», de proporcionalidad, temporalidad, y deben tener como finalidad legítima el estricto cumplimiento de objetivos de salud pública y protección integral, como el debido y oportuno cuidado a la población, por sobre cualquier otra consideración o interés de naturaleza pública o privada.
g. Aún en los casos más extremos y excepcionales donde pueda ser necesaria la suspensión de determinados derechos, el derecho internacional impone una serie de requisitos –tales como el de legalidad, necesidad, proporcionalidad y temporalidad– dirigidos a evitar que medidas como el estado de excepción o emergencia sean utilizadas de manera ilegal, abusiva y desproporcionada, ocasionando violaciones a derechos humanos o afectaciones del sistema democrático de gobierno.
Derechos Económicos, Sociales, Culturales y Ambientales
4. Garantizar que las medidas adoptadas para enfrentar las pandemias y sus consecuencias incorporen de manera prioritaria el contenido del derecho humano a la salud y sus determinantes básicos y sociales, los cuales se relacionan con el contenido de otros derechos humanos, como la vida e integridad personal y de otros DESCA, tales como acceso a agua potable, acceso a alimentación nutritiva, acceso a medios de limpieza, vivienda adecuada, cooperación comunitaria, soporte en salud mental, e integración de servicios públicos de salud; así como respuestas para la prevención y atención de las violencias, asegurando efectiva protección social, incluyendo, entre otros, el otorgamiento de subsidios, rentas básicas u otras medidas de apoyo económico.
5. Proteger los derechos humanos, y particularmente los DESCA, de las personas trabajadoras en mayor situación de riesgo por la pandemia y sus consecuencias. Es importante tomar medidas que velen por asegurar ingresos económicos y medios de subsistencia de todas las personas trabajadoras, de manera que tengan igualdad de condiciones para cumplir las medidas de contención y protección durante la pandemia, así como condiciones de acceso a la alimentación y otros derechos esenciales. Las personas que hayan de proseguir realizando sus actividades laborales, deben ser protegidas de los riesgos de contagio del virus y, en general, se debe dar adecuada protección a los trabajos, salarios, la libertad sindical y negociación colectiva, pensiones y demás derechos sociales interrelacionados con el ámbito laboral y sindical.
6. Asegurar el diseño de un plan de actuación que guíe los procedimientos a seguir para la prevención, detección, tratamiento, control y seguimiento de la pandemia con base en la mejor evidencia científica y el derecho humano a la salud. Estos procedimientos deben ser transparentes, independientes, participativos, claros e inclusivos.
7. Instrumentar espacios oportunos de participación social para la evaluación de los impactos y resultados de las medidas adoptadas, que permitan gestionar los ajustes necesarios desde un enfoque de derechos humanos. Asimismo, establecer espacios de diálogo nacionales con participación de personas expertas independientes, las instituciones nacionales de derechos humanos y el sector privado.
8. Velar por una distribución y acceso equitativos a las instalaciones, bienes y servicios de salud sin discriminación alguna, sean públicos o privados, asegurando la atención de las personas con COVID-19 y los grupos desproporcionalmente afectados por la pandemia, así como personas con enfermedades preexistentes que las hacen especialmente vulnerables al virus. La escasez de recursos no justifica actos de discriminación directos, indirectos, múltiples o interseccionales.
9. Asegurar el acceso a medicamentos y tecnologías sanitarias necesarias para enfrentar los contextos de pandemia, particularmente poniendo atención al uso de estrategias, como la aplicación de cláusulas de flexibilidad o excepción en esquemas de propiedad intelectual, que eviten restricciones a medicamentos genéricos, precios excesivos de medicamentos y vacunas, abuso de uso de patentes o protección exclusiva a los datos de prueba.
10. Asegurar la disponibilidad y provisión oportuna de cantidades suficientes de material de bioseguridad, insumos y suplementos médicos esenciales de uso del personal de salud, fortalecer su capacitación técnica y profesional para el manejo de pandemias y crisis infecciosas, garantizar la protección de sus derechos, así como la disposición de recursos específicos mínimos destinados a enfrentar este tipo de situaciones de emergencia sanitaria.
11. Mejorar la disponibilidad, accesibilidad y calidad de los servicios de salud mental sin discriminación ante los efectos de los contextos de pandemia y sus consecuencias, lo que incluye la distribución equitativa de tales servicios y bienes en la comunidad, particularmente de las poblaciones que se ven más expuestas o en mayor riesgo a verse afectadas, tales como personas profesionales de salud, personas mayores o personas con condiciones médicas que requieren atención específica de su salud mental.
12. Garantizar el consentimiento previo e informado de todas las personas en su tratamiento de salud en el contexto de las pandemias, así como la privacidad y protección de sus datos personales, asegurando un trato digno y humanizado a las personas portadoras o en tratamiento por COVID-19. Está prohibido someter a las personas a pruebas médicas o científicas experimentales sin su libre consentimiento.
13. Disponer y movilizar el máximo de los recursos disponibles, incluyendo acciones de búsqueda permanente de dichos recursos a nivel nacional y multilateral, para hacer efectivo el derecho a la salud y otros DESCA el con objeto de prevenir y mitigar los efectos de la pandemia sobre los derechos humanos, incluso tomando medidas de política fiscal que permitan una redistribución equitativa, incluyendo el diseño de planes y compromisos concretos para aumentar sustantivamente el presupuesto público para garantizar el derecho a la salud.
14. Asegurar que, en los casos excepcionales que fuera inevitable adoptar medidas que limiten algún DESCA, los Estados deben velar porque tales medidas estén plena y estrictamente justificadas, sean necesarias y proporcionales, teniendo en cuenta todos los derechos en juego y la correcta utilización de los máximos recursos disponibles.
15. Integrar medidas de mitigación y atención enfocadas específicamente en la protección y garantía de los DESCA dado los graves impactos directos e indirectos que contextos de pandemia y crisis sanitarias infecciosas les pueden generar. Las medidas económicas, políticas o de cualquier índole que sean adoptadas no deben acentuar las desigualdades existentes en la sociedad.
16. Asegurar la existencia de mecanismos de rendición de cuentas y acceso a la justicia ante posibles violaciones de los derechos humanos, incluidos los DESCA, en el contexto de las pandemias y sus consecuencias, incluyendo abusos por parte de actores privados y actos de corrupción o captura del Estado en perjuicio de los derechos humanos.
17. Asegurar que las instituciones multilaterales de financiamiento e inversión en las que los Estados hacen parte implementen garantías específicas para proteger los derechos humanos en sus procesos de evaluación de riesgo y sistemas de operación relativos a proyectos de inversión o préstamos monetarios que se den en el contexto de respuesta a la pandemia y sus consecuencias sobre los derechos humanos, en particular de los DESCA.
18. Suspender o aliviar la deuda externa y las sanciones económicas internacionales que pueden amenazar, debilitar o impedir las respuestas de los Estados para proteger los derechos humanos frente a contextos de pandemia y sus consecuencias. Ello a fin de facilitar la adquisición oportuna de insumos y equipo médico esencial y permitir el gasto público de emergencia prioritario en otros DESCA, sin poner en mayor riesgo todos los derechos humanos y los esfuerzos avanzados por otros Estados en esta coyuntura, dada la naturaleza transnacional de la pandemia.
19. Exigir y vigilar que las empresas respeten los derechos humanos, adopten procesos de debida diligencia en materia de derechos humanos y rindan cuentas ante posibles abusos e impactos negativos sobre los derechos humanos, particularmente por los efectos que los contextos de pandemia y crisis sanitarias infecciosas suelen generar sobre los DESCA de las poblaciones y grupos en mayor situación de vulnerabilidad y, en general, sobre las personas que trabajan, las personas con condiciones médicas sensibles y las comunidades locales. Las empresas tienen un rol clave que desempeñar en estos contextos y su conducta debe guiarse por los principios y reglas de derechos humanos aplicables.
Estados de excepción, restricciones a las libertades fundamentales y Estado de Derecho
20. Asegurar que toda restricción o limitación que se imponga a los derechos humanos con la finalidad de protección de la salud en el marco de la pandemia COVID-19 cumpla con los requisitos establecidos por el derecho internacional de los derechos humanos. En particular, dichas restricciones deben cumplir con el principio de legalidad, ser necesarias en una sociedad democrática y, por ende, resultar estrictamente proporcionales para atender la finalidad legítima de proteger la salud.
21. Asegurar que en caso de establecerse un estado de excepción:
i) se justifique que existe una excepcionalidad de la situación de emergencia en cuanto a su gravedad, inminencia e intensidad que constituye una amenaza real a la independencia o seguridad del Estado;
ii) la suspensión de algunos derechos y garantías sea únicamente por el tiempo estrictamente limitado a las exigencias de la situación;
iii) las disposiciones que sean adoptadas resulten proporcionales, en particular, que la suspensión de derechos o garantías constituya el único medio para hacer frente a la situación, que no pueda ser enfrentada mediante el uso de las atribuciones ordinarias de las autoridades estatales, y que las medidas adoptadas no generen una mayor afectación al derecho que sea suspendido en comparación con el beneficio obtenido; y
iv) las disposiciones adoptadas no sean incompatibles con las demás obligaciones que impone el derecho internacional, y no entrañen discriminación alguna fundada, en particular, con motivos de raza, color, sexo, idioma, religión u origen social.
22. Asegurar que ninguna medida de excepción sea, en sí misma o por sus efectos, discriminatoria y contraria al derecho internacional. Un estado de excepción no debe ser utilizado para generar propaganda a favor de la guerra o apología del odio nacional, racial o religioso que constituya incitación a la discriminación, hostilidad o violencia.
23. Abstenerse de suspender el derecho al reconocimiento de la personalidad jurídica; el derecho a la vida; el derecho a la integridad personal y la prohibición de tortura, tratos inhumanos, crueles y degradantes; la prohibición de esclavitud y servidumbre; el principio de legalidad y retroactividad; la libertad de conciencia y religión; la protección a la familia; el derecho al nombre; los derechos de la niñez; el derecho a la nacionalidad, y los derechos políticos.
24. Abstenerse de suspender procedimientos judiciales idóneos para garantizar la plenitud del ejercicio de los derechos y libertades, entre ellos las acciones de hábeas corpus y amparo para controlar las actuaciones de las autoridades, incluyendo las restricciones a la libertad personal en dicho contexto. Estas garantías deben ejercitarse bajo el marco y principios del debido proceso legal.
25. Asegurar que la proclamación de un estado de excepción sea realizada de conformidad con el marco constitucional y demás disposiciones que rijan tal actuación, y que se identifiquen expresamente los derechos cuyo pleno goce será limitado, así como el ámbito temporal y geográfico que justifica tal excepción.
26. Informar inmediatamente, en casos de suspensión de los derechos humanos, a los demás Estados partes de la Convención Americana, por conducto del Secretario General de la Organización de los Estados Americanos, sobre las disposiciones cuya aplicación haya sido suspendida, los motivos que hayan suscitado la suspensión y la fecha en que se haya dado por terminada tal suspensión. La Comisión recomienda a los Estados que no son parte de dicho tratado la adopción de dicha práctica, como salvaguardia para prevenir el abuso de las facultades excepcionales de suspensión y como medio idóneo de solidaridad y cooperación entre los Estados miembros respecto de las medidas que pueden ser adoptadas para enfrentar la emergencia.
27. Asegurar que cualquier restricción o suspensión adoptada tenga sustento en la mejor evidencia científica y considere, de manera previa a su adopción y durante su implementación, los particulares efectos que puede tener sobre los grupos más vulnerables con el fin de asegurar que su impacto no sea especialmente desproporcionado mediante la adopción de las medidas positivas que resulten necesarias. Asimismo, toda decisión y medida que sea adoptada en este contexto debe considerar de manera especialmente relevante, la perspectiva de género, interseccional, lingüística e intercultural.
28. Asegurar la existencia de medios idóneos para el control de las disposiciones que se dicten en una situación de emergencia. Las autoridades deben evaluar permanentemente la necesidad de mantener la vigencia de cada una de las medidas temporales de suspensión o restricción adoptadas.
29. Abstenerse de restringir el trabajo y la circulación de las y los periodistas y personas defensoras de derechos humanos que cumplen una función central durante la emergencia de salud pública, con el objeto de informar y monitorear las acciones del Estado. Los Estados no deben incluir a los comunicadores en las restricciones de circulación y tienen la obligación de permitir el acceso a las conferencias de prensa oficiales a todos los medios, sin discriminación por línea editorial, a excepción de las medidas necesarias y proporcionales para proteger la salud. Al mismo tiempo, los Estados deben respetar la reserva de sus fuentes informativas y evaluar la situación particular de riesgo de los periodistas y trabajadores de la comunicación, establecer medidas de bio protección adecuadas y facilitarles acceso prioritario a evaluar su propio estado de salud.
30. Garantizar que defensoras y defensores de derechos humanos puedan realizar su labor de defensa e información en el contexto de la pandemia. Abstenerse de perseguir o detener a las personas defensoras de derechos humanos por la vigilancia que realizan respecto de la actuación del Estado ante la pandemia y frente a las eventuales vulneraciones a los derechos fundamentales, lo que incluye no someterles a procesos civiles o penales por sus opiniones, no detenerlas con base en el uso de figuras penales amplias o ambiguas, ni exponerlas al riesgo de sufrir ataques físicos o virtuales.
31. Respetar la prohibición de censura previa y abstenerse de bloquear total o parcialmente sitios de medios de comunicación, plataformas o cuentas particulares en Internet. Garantizar el acceso más amplio e inmediato al servicio de Internet a toda la población y desarrollar medidas positivas para reducir de manera rápida la brecha digital que enfrentan los grupos vulnerables y con menores ingresos. No se puede justificar la imposición de restricciones al acceso a Internet por motivos de orden público o seguridad nacional.
32. Asegurar el derecho de acceso a la información pública en el marco de la emergencia generada por el COVID-19 y no establecer limitaciones generales basadas en razones de seguridad u orden público. Los órganos que garantizan este derecho y los sujetos obligados deben otorgar prioridad a las solicitudes de acceso a la información relacionadas con la emergencia de salud pública, así como informar proactivamente, en formatos abiertos y de manera accesible a todos los grupos en situación de vulnerabilidad, de forma desagregada sobre los impactos de la pandemia y los gastos de emergencia, desagregados de acuerdo con las mejores prácticas internacionales. En los casos de postergación de los plazos de solicitudes de información en asuntos no vinculados a la pandemia, los Estados deberán fundamentar la negativa, establecer un espacio temporal para cumplir la obligación y admitir la apelación de estas resoluciones.
33. Asegurar que cualquier responsabilidad ulterior que se pretenda imponer por la difusión de información u opiniones, basada en la protección de los intereses de salud pública –aun de manera temporal–, se establezca por ley, de modo proporcional al interés imperioso que la justifica y se ajuste estrechamente al logro de ese legítimo objetivo.
34. Observar un especial cuidado en los pronunciamientos y declaraciones de los funcionarios públicos con altas responsabilidades respecto de la evolución de la pandemia. En las actuales circunstancias, constituye un deber que las autoridades estatales informen a la población, y al pronunciarse al respecto, deben actuar con diligencia y contar en forma razonable con base científica. También, deben recordar que están expuestos a un mayor escrutinio y a la crítica pública, aun en períodos especiales. Los gobiernos y las empresas de Internet deben atender y combatir de forma transparente la desinformación que circula respecto de la pandemia.
35. Proteger el derecho a la privacidad y los datos personales de la población, especialmente de la información personal sensible de los pacientes y personas sometidas a exámenes durante la pandemia. Los Estados, prestadores de salud, empresas y otros actores económicos involucrados en los esfuerzos de contención y tratamiento de la pandemia, deberán obtener el consentimiento al recabar y compartir datos sensibles de tales personas. Solo deben almacenar los datos personales recabados durante la emergencia con el fin limitado de combatir la pandemia, sin compartirlos con fines comerciales o de otra naturaleza. Las personas afectadas y pacientes conservarán el derecho a cancelación de sus datos sensibles.
36. Asegurar que, en caso de recurrir a herramientas de vigilancia digital para determinar, acompañar o contener la expansión de la epidemia y el seguimiento de personas afectadas, éstas deben ser estrictamente limitadas, tanto en términos de propósito como de tiempo, y proteger rigurosamente los derechos individuales, el principio de no discriminación y las libertades fundamentales. Los Estados deben transparentar las herramientas de vigilancia que están utilizando y su finalidad, así como poner en marcha mecanismos de supervisión independientes del uso de estas tecnologías de vigilancia, y los canales y mecanismos seguros para recepción de denuncias y reclamaciones.
37. Garantizar que no se realicen detenciones arbitrarias durante la vigencia de estados de emergencia o restricciones a la circulación de las personas, y que toda detención cuente con el debido control judicial, de conformidad con los estándares.
Grupos en especial situación de vulnerabilidad
38. Considerar los enfoques diferenciados requeridos al momento de adoptar las medidas necesarias para garantizar los derechos de los grupos en situación de especial vulnerabilidad al momento de adoptar medidas de atención, tratamiento y contención de la pandemia del COVID-19; así como para mitigar los impactos diferenciados que dichas medidas puedan generar.
39. Promover desde las más altas autoridades la eliminación de estigmas y estereotipos negativos que puedan surgir sobre ciertos grupos de personas a partir del contexto de pandemia.
Personas mayores
40. Incluir prioritariamente a las personas mayores en los programas de respuesta a la pandemia, especialmente en el acceso a las pruebas de COVID-19, al tratamiento oportuno, al acceso a medicamentos y a los cuidados paliativos necesarios, garantizándose que brinden su consentimiento previo, pleno, libre e informado y teniendo en cuenta situaciones particulares como la pertenencia a pueblos indígenas o afrodescendientes.
41. Adoptar las medidas necesarias a fin de prevenir los contagios de COVID-19 de la población mayor en general y en particular de quienes se encuentren en residencias de larga estancia, hospitales y centros de privación de libertad, adoptando medidas de ayuda humanitaria para garantizarles la provisión de alimentos, agua y saneamiento y estableciendo espacios de acogida para personas en situación de pobreza extrema, calle o abandono o situación de discapacidad.
42. Reforzar en este contexto las medidas de monitoreo y vigilancia contra la violencia hacia personas mayores, ya sea a nivel intrafamiliar, en residencias de larga estancia, hospitales o cárceles, facilitando la accesibilidad a los mecanismos de denuncia.
43. Supervisar que los protocolos médicos, las decisiones sobre recursos médicos y tratamientos en relación al COVID-19 sean implementados sin discriminación en razón de la edad y prestando especial atención a las personas mayores con discapacidad o condiciones crónicas y enfermedades, pacientes con VIH o sida, que requieren medicación y atención regular como pacientes de diabetes, hipertensión, demencia senil, alzhéimer, entre otras.
44. Considerar en la implementación de medidas de contingencia el balance que debe existir entre la protección ante el COVID-19 y la necesidad particular de las personas mayores de conexión con sus familiares, para quienes se encuentran solos o en residencias de largo plazo, facilitando medios alternativos de contacto familiar como comunicación telefónica o por internet, teniendo en cuenta la necesidad de remediar la brecha digital.
Personas Privadas de Libertad
45. Adoptar medidas para enfrentar el hacinamiento de las unidades de privación de la ibertad, incluida la reevaluación de los casos de prisión preventiva para identificar aquéllos que pueden ser convertidos en medidas alternativas a la privación de la libertad, dando prioridad a las poblaciones con mayor riesgo de salud frente a un eventual contagio del COVID-19, principalmente las personas mayores y mujeres embarazadas o con hijos lactantes.
46. Asegurar que, en los casos de personas en situación de riesgo en contexto de pandemia, se evalúen las solicitudes de beneficios carcelarios y medidas alternativas a la pena de prisión. En el caso de personas condenadas por graves violaciones a los derechos humanos y delitos de lesa humanidad, atendiendo el bien jurídico afectado, la gravedad de los hechos y la obligación de los Estados de sancionar a los responsables de tales violaciones, tales evaluaciones requieren de un análisis y requisitos más exigentes, con apego al principio de proporcionalidad y a los estándares interamericanos aplicables.
47. Adecuar las condiciones de detención de las personas privadas de libertad particularmente en lo que respecta a alimentación, salud, saneamiento y medidas de cuarentena para impedir el contagio intramuros del COVID-19, garantizando en particular que todas las unidades cuenten con atención médica.
48. Establecer protocolos para la garantía de la seguridad y el orden en las unidades de privación de la libertad, en particular para prevenir actos de violencia relacionados con la pandemia y respetando los estándares interamericanos en la materia. Asimismo, asegurar que toda medida que limite los contactos, comunicaciones, visitas, salidas y actividades educativas, recreativas o laborales, sea adoptada con especial cuidado y luego de un estricto juicio de proporcionalidad.
Mujeres
49. Incorporar la perspectiva de género a partir de un enfoque interseccional en todas las respuestas de los Estados para contener la pandemia, teniendo en cuenta los distintos contextos y condiciones que potencializan la vulnerabilidad a la que las mujeres están expuestas, como la precariedad económica, la edad, la condición de migrante o desplazada, la condición de discapacidad, la privación de libertad, el origen étnico-racial, la orientación sexual, identidad y/o expresión de género, entre otras.
50. Asegurar la participación de mujeres en posiciones de toma de decisión en los comités y grupos de trabajo de respuesta a la crisis sanitaria del COVID-19, asegurando la incorporación de la perspectiva de género en el diseño, implementación, ejecución y monitoreo de las medidas y políticas adoptadas en respuesta a dicha crisis sanitaria. En particular, incorporar la perspectiva de género a partir un enfoque transversal teniendo en cuenta los contextos y condiciones que potencializan los efectos de la crisis, como la precariedad económica, la condición de migrante o desplazada, la privación de libertad, origen étnico-racial, entre otras.
51. Fortalecer los servicios de respuesta a la violencia de género, en particular la violencia intrafamiliar y la violencia sexual en el contexto de confinamiento. Reformular los mecanismos tradicionales de respuesta, adoptando canales alternativos de comunicación y fortaleciendo las redes comunitarias para ampliar los medios de denuncia y órdenes de protección en el marco del periodo de confinamiento. Así como desarrollar protocolos de atención y fortalecer la capacidad de los agentes de seguridad y actores de justicia involucrados en la investigación y sanción de hechos de violencia intrafamiliar, así como llevar a cabo la distribución de materiales de orientación sobre el manejo de dichos casos en todas las instituciones estatales.
52. Ofrecer atención diferenciada a las mujeres profesionales de salud que trabajan en la primera línea de respuesta a la crisis sanitaria del COVID-19. En particular, ofrecer recursos adecuados a la ejecución de sus tareas, atención en salud mental, así como medios para reducir la carga doble de trabajo que tienen acumulando el rol profesional y las tareas de cuidado doméstico.
53. Garantizar la disponibilidad y continuidad de los servicios de salud sexual y reproductiva durante la crisis de la pandemia, incrementando, en particular, las medidas de educación sexual integral y de diseminación de información por medios accesibles y con lenguaje adecuado, con el objeto de alcanzar a las mujeres en su diversidad.
Pueblos indígenas
54. Proporcionar información sobre la pandemia de forma en su idioma tradicional, estableciendo cuando sea posible facilitadores interculturales que les permita comprender de manera clara las medidas adoptadas por el Estado y los efectos de la pandemia.
55. Respetar de forma irrestricta el no contacto con los pueblos y segmentos de pueblos indígenas en aislamiento voluntario, dados los gravísimos impactos que el contagio del virus podría representar para su subsistencia y sobrevivencia como pueblo.
56. Extremar las medidas de protección de los derechos humanos de los pueblos indígenas en el marco de la pandemia del COVID-19, tomando en consideración que estos colectivos tienen derecho a recibir una atención de salud con pertinencia cultural, que tome en cuenta los cuidados preventivos, las prácticas curativas y las medicinas tradicionales.
57. Abstenerse de promover iniciativas legislativas y/o avances en la implementación de proyectos productivos y/o extractivos en los territorios de los pueblos indígenas durante el tiempo en que dure la pandemia, en virtud de la imposibilidad de llevar adelante los procesos de consulta previa, libre e informada (debido a la recomendación de la OMS de adoptar medidas de distanciamiento social) dispuestos en el Convenio 169 de la OIT y otros instrumentos internacionales y nacionales relevantes en la materia.
Personas migrantes, solicitantes de asilo, personas refugiadas, apátridas, víctimas de trata de personas y personas desplazadas internas
58. Evitar el empleo de estrategias de detención migratoria y otras medidas que aumenten los riesgos de contaminación y propagación de la enfermedad generada por el COVID-19 y la vulnerabilidad de las personas en situación de movilidad humana como deportaciones o expulsiones colectivas, o cualquier forma de devolución que sea ejecutada sin la debida coordinación y verificación de las condiciones sanitarias correspondientes, garantizando las condiciones para que estas personas y sus familias puedan salvaguardar su derecho a la salud sin ninguna discriminación. En este sentido, se deben implementar rápidamente mecanismos para proporcionar la liberación de las personas que actualmente se encuentran en centros de detención.
59. Abstenerse de implementar medidas que puedan obstaculizar, intimidar y desestimular el acceso de las personas en situación de movilidad humana a los programas, servicios y políticas de respuesta y atención ante la pandemia del COVID-19, tales como acciones de control migratorio o represión en las cercanías de hospitales o albergues, así como el intercambio de información de servicios médico hospitalarios con autoridades migratorias con carácter represivo.
60. Garantizar el derecho de regreso y la migración de retorno a los Estados y territorios de origen o nacionalidad, a través de acciones de cooperación, intercambio de información y apoyo logístico entre los Estados correspondientes, con atención a los protocolos sanitarios requeridos y considerando de manera particular el derecho de las personas apátridas de retornar a los países de residencia habitual, y garantizando el principio de respeto a la unidad familiar.
61. Implementar medidas para prevenir y combatir la xenofobia y la estigmatización de las personas en situación de movilidad humana en el marco de la pandemia, impulsando acciones de sensibilización a través de campañas y otros instrumentos de comunicación y elaborando protocolos y procedimientos específicos de protección y atención dirigidos a niñas, niños y adolescentes migrantes y refugiados, en especial, proveyendo los mecanismos específicos de asistencia a aquellas personas que se encuentran separadas o sin compañía.
62. Incluir expresamente las poblaciones en situación de movilidad humana en las políticas y acciones de recuperación económica que se hagan necesarias en todos los momentos de la crisis generada por la pandemia.
Niños, niñas y adolescentes
63. Reforzar la protección de niños, niñas y adolescentes (NNA) –incluyendo muy especialmente aquellos que no cuentan con cuidados familiares y que se encuentran en instituciones de cuidado–, y prevenir el contagio por el COVID-19, implementando medidas que consideren sus particularidades como personas en etapa de desarrollo y que atiendan de manera más amplia posible su interés superior. La protección debe, en la medida de lo posible, garantizar los vínculos familiares y comunitarios.
64. En cuanto al derecho a la educación, los Estados deben disponer de mecanismos que permitan a los NNA seguir con el acceso a la educación y con estímulos que su edad y nivel de desarrollo requieran. En particular, los Estados deben proveer herramientas para que los adultos responsables realicen actividades con sus niños y niñas, privilegiando el refuerzo de los vínculos familiares y previniendo la violencia en el hogar. Asegurar que las niñas y los niños con algún tipo de discapacidad, puedan acceder a la educación en línea sin exclusiones, mediante sistemas de apoyo, estrategias de comunicación y contenidos accesibles.
65. Adoptar medidas de prevención del abuso y violencia intrafamiliar, facilitando el acceso a los medios de denuncia y actuando con la debida diligencia ante las denuncias realizadas.
66. Respecto de las instituciones de cuidado residenciales, los Estados deben revisar las medidas especiales de protección vigentes promoviendo la revinculación familiar de los niños, niñas y adolescentes cuando sea posible y siempre que esta medida no sea contraria a su interés superior. Además, se debe asegurar acciones de prevención del contagio en estas unidades, además de establecer protocolos de emergencia orientadores para los equipos y personas que tengan niños a su cargo.
67. Dar atención especial a los niños, niñas y adolescentes, que viven en la calle o en zonas rurales. Las medidas de atención especial deben considerar las condiciones económicas y sociales y, además, considerar que los efectos de la pandemia son diferenciados para cada grupo poblacional de NNA debido al contexto social en que están insertados, incluida la brecha digital. La Comisión recomienda que los Estados usen de los medios de comunicación para garantizar el acceso a la educación a todos los NNA sin ningún tipo de discriminación.
Personas LGBTI
68. Garantizar la inclusión de las personas LGBTI, en particular las personas trans que se encuentran en un ciclo de pobreza, exclusión y falta de acceso a la vivienda, en la formulación de políticas de asistencia social durante la pandemia –incluyendo acceso a vivienda y refugio seguros– así como en las eventuales medidas de reactivación económica.
69. Adoptar o fortalecer protocolos de atención en salud y sistema de denuncias para las personas LGBTI –incluyendo niños, niñas y adolescentes– que tomen en cuenta el prejuicio, la discriminación y la violencia en sus hogares en el contexto de distanciamiento social o cuarentena.
70. Adoptar o fortalecer políticas que garanticen el respeto a la identidad de género en el ámbito hospitalario y garantizar la continuidad de servicios médicos prestados a las personas trans.
71. Adoptar campañas de prevención y combate contra la homofobia, transfobia y discriminación basada en orientación sexual, garantizando la protección a los derechos de identidad de género, dirigidas especialmente a personal de salud y de seguridad del Estado que tenga a su cargo medidas de atención y contención de la pandemia.
Personas afrodescendientes
72. Prevenir los usos excesivos de la fuerza basados en el origen étnico-racial y patrones de perfilamiento racial, en el marco de los estados de excepción y toques de queda adoptados por la pandemia,
73. Implementar medidas de apoyo económico, bonos, subsidios, entre otros, para las personas afrodescendientes y comunidades tribales que se encuentran en situación de pobreza y pobreza extrema, y otras situaciones de especial vulnerabilidad en el contexto de la pandemia.
74. Incluir en los registros de personas contagiadas, hospitalizadas y fallecidas por la pandemia del COVID-19, datos desagregados de origen étnico-racial, género, edad y discapacidad.
75. Garantizar el acceso a servicios de salud pública integral de forma oportuna a personas afrodescendientes y comunidades tribales, incorporando un enfoque intercultural y garantizando a esta población información clara, accesible e inclusiva sobre los procedimientos médicos que se les practiquen.
Personas con discapacidad
76. Asegurar atención médica preferencial a las personas con discapacidad, sin discriminación, incluso en casos de razonamientos de recursos médicos.
77. Asegurar la participación de personas con discapacidad en el diseño, implementación y monitoreo de las medidas adoptadas frente a la pandemia del COVID-19.
78. Ajustar los entornos físicos de privación de la libertad y atención médica, tanto en instituciones públicas como en privadas, para que las personas con discapacidad puedan gozar de la mayor independencia posible y acceder a medidas como el aislamiento social y el lavado frecuente de manos, entre otras.
79. Adoptar los ajustes razonables y apoyos necesarios para garantizar que las personas con discapacidad puedan ejercer sus derechos humanos en condiciones de igualdad en contextos de medidas de aislamiento o contención.
80. Adoptar estrategias accesibles de comunicación a fin de informar en formatos accesibles sobre evolución, prevención y tratamiento.
Cooperación internacional e intercambio de buenas prácticas
81. Dar cumplimiento efectivo al compromiso de adoptar medidas, tanto a nivel interno como mediante la cooperación internacional, para asegurar la realización del derecho a la salud, a otros DESCA y al conjunto de los derechos humanos, en el marco de contextos de pandemia y sus consecuencias, conforme a las reglas generales del derecho internacional e interamericano.
82. Alentar y promover el desarrollo de espacios amplios y efectivos de diálogo internacionales con el fin de establecer y consolidar canales de intercambio de buenas prácticas en materia de estrategias exitosas y políticas públicas con enfoque de derechos humanos, información oportuna, así como de desafíos y retos para enfrentar la crisis global provocada por la irrupción de la pandemia de COVID-19. Estos espacios deben propiciar particularmente la plena participación de los grupos y sectores más afectados por la pandemia, la sociedad civil, Instituciones Nacionales de Derechos Humanos, la academia y personas expertas o entidades especializadas en DESCA, salud pública y global, o derecho al desarrollo, entre otros.
83. Convocar al intercambio técnico y regional para el establecimiento de protocolos globales para el tratamiento de los datos e información referida a la pandemia a fin de uniformar las estadísticas que se relevan en la materia; alentando a la sociedad civil a aunar esfuerzos regionales a través de la promoción y el encuentro en espacios de articulación y diálogo internacional.
84. Promover mecanismos de cooperación técnica como herramientas para facilitar la realización de acciones conjuntas con los Estados, así como manifestar su disposición para brindar asistencia técnica en las materias pertinentes para garantizar la implementación del enfoque de derechos humanos en el marco de las políticas, acceso a fondos económicos que refuercen la protección de dichos derechos, planes y estrategias adoptadas para afrontar la crisis de la pandemia.
85. Emplear los mecanismos de promoción, protección y asistencia técnica de la Comisión Interamericana de Derechos Humanos y de sus Relatorías Especiales, como herramienta de asistencia y fortalecimiento de los esfuerzos estatales para hacer frente a lo
COVID-19: Los gobiernos deben promover y proteger el acceso a y el flujo libre de información durante la pandemia – Expertos internacionales, Ginebra / Washington / Viena, 19 demarzo 2020
Ante los graves trastornos causados por la pandemia del COVID-19, los órganos vigilantes de la libertad de expresión y la libertad de los medios de comunicación en las Naciones Unidas, la Comisión Interamericana de Derechos Humanos y el Representante para la Libertad de los Medios de Comunicación de la Organización para la Seguridad y la Cooperación en Europa emitieron el siguiente comunicado conjunto:
“Compartimos la profunda preocupación que existe en todo el mundo ante la pandemia del COVID-19. En un momento de tanta gravedad, entendemos y apoyamos plenamente los esfuerzos realizados por los profesionales de la salud pública y los gobiernos para desarrollar e implementar estrategias conducentes a proteger la salud y vida humanas. El derecho fundamental e inderogable a la vida está en juego, y los gobiernos están obligados a asegurar su protección.
“La salud humana no depende exclusivamente del acceso inmediato a atención médica. También depende del acceso a información precisa sobre la naturaleza de las amenazas y sobre los medios para protegerse a uno mismo, a nuestra familia, y a nuestra comunidad. El derecho a la libertad de expresión, el cual incluye el derecho a buscar, recibir y difundir información e ideas de todo tipo, sin limitación de fronteras y por cualquier medio de expresión, se aplica a cualquier persona, en cualquier lugar, y solamente puede estar sujeto a restricciones limitadas. A este respecto, recomendamos lo siguiente:
“En primer lugar, es fundamental que los gobiernos proporcionen información veraz sobre la naturaleza de la amenaza que representa el coronavirus. Los gobiernos de todo el mundo están obligados en virtud de la legislación sobre derechos humanos a ofrecer información fiable en formatos accesibles para todo el mundo, centrándose en especial en garantizar el acceso a información a aquellas personas con acceso limitado a Internet o cuando una discapacidad dificulte especialmente este acceso.
“En segundo lugar, el acceso a Internet es vital en tiempos de crisis. Es fundamental que los gobiernos se abstengan de bloquear el acceso a Internet; en aquellas situaciones donde el acceso a Internet haya quedado bloqueado, los gobiernos han de asegurar de forma prioritaria un acceso inmediato al servicio de Internet más rápido y amplio posible. En especial en tiempo de emergencia, cuando el acceso a la información es de capital importancia, no se pueden justificar las restricciones amplias en el acceso a Internet por razones de orden público o seguridad nacional.
“En tercer lugar, el derecho de acceso a la información supone que los gobiernos deben realizar esfuerzos extraordinarios para proteger el trabajo de los periodistas. El periodismo cumple una función crucial ante un momento de emergencia de salud pública, en especial cuando su objetivo es proporcionar al público información fundamental y supervisar las medidas gubernamentales. Instamos a todos los gobiernos a ejecutar con rigor sus leyes de libertad de información para garantizar que todas las personas, y en especial los periodistas, tengan acceso a la información.
“En cuarto lugar, compartimos la preocupación de que la información falsa sobre la pandemia puede conducir a problemas de salud, pánico y desorden. A este respecto, es fundamental que los gobiernos y las empresas de Internet solucionen esta desinformación en primer lugar de forma individual ofreciendo información contrastada. Ésta puede expresarse en forma de mensajes públicos muy claros, transmitiendo anuncios de servicio público y con el apoyo de emergencia a la radiodifusión pública y al periodismo local (por ejemplo, a través de anuncios de salud del gobierno).
El recurrir a otras medidas, como la eliminación y censura de contenidos, puede suponer una limitación del acceso a información importante para la salud pública y debe llevarse a cabo exclusivamente cuando se cumpla con los principios de necesidad y proporcionalidad. Cualquier intento por penalizar información relativa a la pandemia puede crear desconfianza en la información institucional, retrasar el acceso a información contrastada y tener un efecto amedrentador sobre la libertad de expresión.
“En quinto lugar, somos conscientes del uso cada vez mayor de herramientas de tecnología de vigilancia para controlar la propagación del coronavirus. A la vez que comprendemos y apoyamos la necesidad de esfuerzos para combatir activamente la pandemia, es asimismo crucial que estas herramientas tengan un uso limitado, tanto en términos de finalidad como de tiempo, y que se protejan rigurosamente los derechos individuales a la privacidad, a la no-discriminación, la protección de las fuentes de información y otras libertades. Los países deben proteger también la información personal de los pacientes. Instamos firmemente a que cualquier uso de esta tecnología cumpla con las protecciones más estrictas y que solamente esté disponible de acuerdo con el derecho interno que sea conforme con las normas internacionales de derechos humanos.
Queremos concluir agradeciendo a todos los profesionales médicos y sanitarios por situarse en la primera línea del tratamiento de los enfermos.”
Legislación Argentina 2020
Reclamo-Resolución IF-2020-08119555-APN-AAIP, de 5 de febrero de 2020, de Archivo reclamo Ministerio de Educación. (Acceso a la Información)
Reclamo-Resolución IF-2020-08814618-APN-AAIP, de 7 de febrero de 2020, de Archivo reclamo Ministerio de Transporte. (Acceso a la Información)
Reclamo-Resolución 34/2020, de 11 de febrero de 2020, de
Reclamo sobre solicitud de acceso a la información pública de particular contra Aerolíneas Argentinas S.A. (Acceso a la Información)
Reclamo-Resolución IF-2020-10757723-APN-AAIP, de 17 de febrero de 2020, de Archivo reclamo Ministerio de Turismo y Deportes (Acceso a la Información)
Reclamo-Resolución 37/2020, de 18 de febrero de 2020, de Reclamo sobre solicitud de acceso a la información pública de particular contra Hospital de Pediatría S.A.M.I.C. “Prof. Dr. Juan P. Garraham”. (Acceso a la Información)
Reclamo-Resolución 38/2020, de 18 de febrero de 2020, de Reclamo sobre solicitud de acceso a la información pública de particular contra la Administración Federal de Ingresos Públicos. (Acceso a la Información)
Reclamo-Resolución 39/2020, de 18 de febrero de 2020, de Reclamo sobre solicitud de acceso a la información pública de particular contra la Administración Federal de Ingresos Públicos. (Acceso a la Información)
Reclamo-Resolución IF-2020-11660198-APN-AAIP, de 20 de febrero de 2020, de Archivo reclamo Administración Nacional de Seguridad Social. (Acceso a la Información)
Reclamo-Resolución IF-2020-13208227-APN-AAIP, de 28 de febrero de 2020, de Archivo reclamo Administración Nacional de Avición Civil. (Acceso a la Información)
Reclamo-Resolución IF-2020-13207289-APN-AAIP, de 28 de febrero de 2020, de Archivo reclamo Aguas y Saneamiento S.A. (Acceso a la Información)
Reclamo-Resolución 2020-47-APN-AAIP, de 6 de marzo de 2020, de la AFI, M. Defensa, M. Seguridad, M. Justicia y Derechos Humanos, otros. (Acceso a la Información)
Resolución 70/2020, de 15 de abril de 2020, de la Agencia de Acceso a la Información Pública, de la suspensión de los plazos administrativos establecida por el Decreto n° 298/20, prorrogada por los Decretos n° 327/20 y nº 372/20, a los trámites previstos por la Ley nº 27.275 y la Ley n° 25.326.
Ley 27555, de 30 de julio de 2020. Régimen Legal del Contrato de Teletrabajo.
Ley 25326 de Protección de Datos ( Habeas Data) de 4 octubre de 2000.
19Abr/20
Resolución 70/2020, de 15 de abril de 2020, de la Agencia de Acceso a la Información Pública, de la suspensión de los plazos administrativos establecida por el Decreto n° 298/20, prorrogada por los Decretos n° 327/20 y nº 372/20, a los trámites previstos por la Ley nº 27.275 y la Ley n° 25.326 (Boletín Oficial 15/04/2020)
VISTO el Expediente EX-2020-25632359- -APN-AAIP, las Leyes nros. 25.326, 27.275 y 27.541 y los Decretos nº 260 del 12 de marzo de 2020, 297 y 298, ambos del 19 de marzo de 2020, 325 del 31 de marzo de 2020, 327 del 31 de marzo de 2020, 355 del 11 de abril de 2020, 372 del 13 de abril de 2020 y la Decisión Administrativa de la JEFATURA DE GABINETE DE MINISTROS nº 390 del 16 de marzo de 2020; y
CONSIDERANDO:
Que mediante el artículo 1º de la Ley nº 27.541 se declaró la emergencia pública en materia económica, financiera, fiscal, administrativa, previsional, tarifaria, energética, sanitaria y social hasta el 31 de diciembre de 2020.
Que el 11 de marzo de 2020 la ORGANIZACIÓN MUNDIAL DE LA SALUD (OMS), declaró el brote del COVID-19 como una pandemia, que por sus dimensiones y alcances mereció la adopción de medidas urgentes, orientadas a poner los recursos del Estado al servicio de mitigar su propagación y su impacto sanitario.
Que a dicho efecto, el PODER EJECUTIVO DE LA NACIÓN en virtud de la facultad que le otorga el artículo 99, inciso 3° de la Constitución Nacional, dictó el Decreto de Necesidad y Urgencia nº 260 de fecha 12 de marzo de 2020, mediante el cual se amplió, por el plazo de UN (1) año, el alcance de la emergencia pública en materia sanitaria.
Que el 16 de marzo de 2020 se promulgó la Decisión Administrativa n° 390, disponiendo que “Las Jurisdicciones, Entidades y Organismos de la Administración Pública Nacional, de conformidad con lo establecido en el artículo 8° de la ley de Administración Financiera y de los Sistemas de Control del Sector Público Nacional n° 24.156, dispensarán del deber de asistencia a su lugar de trabajo, a partir de la publicación de la presente y por el plazo de CATORCE (14) días corridos, a las personas que revistan en Plantas Permanentes, Plantas Transitorias, Personal de Gabinete, Contratos Temporarios, y toda otra vinculación jurídica de prestación de servicios de carácter laboral y/o personal, y siempre que no revistan en áreas esenciales o críticas o de prestación de servicios indispensables, a fin de que realicen sus tareas habituales u otras análogas en forma remota, debiendo dentro del marco de la buena fe contractual, establecer con su empleador las condiciones en que dicha labor será realizada.”.
Que el 19 de marzo de 2020 el PODER EJECUTIVO DE LA NACION dictó el Decreto de Necesidad y Urgencia n° 297, decretando en su artículo 1° que “se establece para todas las personas que habitan en el país o se encuentren en él en forma temporaria, la medida de “aislamiento social, preventivo y obligatorio” en los términos indicados en el presente decreto. La misma regirá desde el 20 hasta el 31 de marzo inclusive del corriente año, pudiéndose prorrogar este plazo por el tiempo que se considere necesario en atención a la situación epidemiológica.”
Que, en lo atinente al personal de la ADMINISTRACIÓN PÚBLICA NACIONAL, en el artículo 9°, del citado Decreto, se otorgó asueto los días 20, 25, 26, 27 y 30 de marzo de 2020.
Que, asimismo, el 19 de marzo de 2020 por el Decreto n° 298, se suspendió el curso de los plazos dentro de los procedimientos administrativos regulados por la Ley Nacional de Procedimientos Administrativos n° 19.549, por el Reglamento de Procedimientos Administrativos (Decreto 1759/72 – T.O. 2017) y por otros procedimientos especiales, hasta el 31 de marzo de 2020.
Que el 31 de marzo de 2020 mediante el Decreto n° 325, se prorrogó la vigencia del Decreto n° 297/20 hasta el 12 de abril de 2020 inclusive.
Que en el artículo 2° de dicho Decreto se especificó que el personal que no se encuentre alcanzado por ninguna de las excepciones previstas en el artículo 6° del Decreto n° 297/20, y deban cumplir con el “aislamiento social preventivo y obligatorio”, perteneciente a las jurisdicciones, organismos y entidades del sector público nacional, deberá abstenerse de concurrir a sus lugares de trabajo, pero deberán realizar sus tareas, en tanto sea posible, desde el lugar donde cumplan el aislamiento ordenado, cumpliendo las indicaciones de la autoridad jerárquica correspondiente.
Que, en congruencia con ello, atento la prórroga del aislamiento social, preventivo y obligatorio y con el fin de resguardar la tutela de los derechos y garantías de los interesados, con la sanción del Decreto n° 327 de fecha 31 de marzo de 2020 se prorrogó la suspensión del curso de los plazos dispuestos por el Decreto n° 298/20, desde el 1° al 12 de abril de 2020 inclusive.
Que el 11 de abril de 2020 mediante el Decreto nº 355 se prorrogó hasta el día 26 de abril de 2020 inclusive, la vigencia del Decreto n° 297/20, prorrogado a su vez por el Decreto n° 325/20.
Que el 13 de abril de 2020 mediante el Decreto nº 372 se prorrogó la suspensión del curso de los plazos dispuestos por el Decreto nº 298/20, desde el 12 al 26 de abril de 2020 inclusive.
Que al igual que se dispuso mediante los Decretos n° 298/20 y 327/20, esta suspensión no alcanza a los plazos relativos a los trámites vinculados a la emergencia pública sanitaria.
Que, asimismo, por el artículo 3° del Decreto nº 372/20 se facultó a las jurisdicciones, entidades y organismos contemplados en el artículo 8° de la Ley de Administración Financiera y de los Sistemas de Control del Sector Público Nacional n° 24.156 y sus modificatorias a disponer excepciones adicionales respecto de la suspensión de los plazos correspondientes a los trámites administrativos, en virtud de las particularidades que estos últimos puedan exhibir en sus respectivos ámbitos.
Que el artículo 19 de la Ley n° 27.275 creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP) como ente autárquico con autonomía funcional en el ámbito de JEFATURA DE GABINETE DE MINISTROS – PODER EJECUTIVO NACIONAL con el objeto de velar por el cumplimiento de los principios y procedimientos establecidos en la Ley n° 27.275, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como autoridad de aplicación de la Ley Nacional de Protección de Datos Personales n° 25.326.
Que de conformidad con lo prescripto por el artículo 3° del Decreto 372/20 mencionado supra, corresponde disponer cuáles son los trámites administrativos que se sustancian en el ámbito de esta jurisdicción, que deben ser incluidos, en virtud de sus particularidades, en las excepciones adicionales con respecto de la suspensión de los plazos que correspondan.
Que la Ley nº 27.275 tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover la participación ciudadana y la transparencia de la gestión pública (artículo 1°).
Que el acceso a la información pública es un derecho humano de jerarquía constitucional (artículo 75, inciso 22) reconocido principalmente en el artículo 13 de la CONVENCION AMERICANA SOBRE DERECHOS HUMANOS, en el artículo 19 de la DECLARACION UNIVERSAL DE DERECHOS HUMANOS y en el artículo 19 del PACTO INTERNACIONAL DE DERECHOS CIVILES Y POLITICOS.
Que la CORTE INTERAMERICANA DE DERECHOS HUMANOS (CIDH) sostuvo que “[s]ólo a través del acceso a la información bajo control del Estado que sea de interés público es que los ciudadanos pueden cuestionar, indagar y considerar si se está dando cumplimiento adecuado a las funciones públicas” (Corte IDH. Caso Claude Reyes y otros. Sentencia de 19 de septiembre de 2006. Serie C nº 151. Párrs. 86 y 87).
Que, si bien el ejercicio del derecho de acceso a la información pública es susceptible de ser suspendido en circunstancias excepcionales y bajo las previsiones del artículo 27 de dicha Convención y del artículo 4 del referido Pacto, no ha mediado en tal sentido declaración alguna por parte del ESTADO NACIONAL; de allí que mantiene plena vigencia al presente.
Que su ejercicio resulta fundamental para el control ciudadano de los actos públicos y la evaluación de la gestión del Estado; a la vez que, ante una situación de emergencia y crisis sanitaria producto de la pandemia generada por el COVID 19, acceder a la información pública se torna indispensable para conocer la actuación de la Administración y evitar la arbitrariedad en la toma de decisiones públicas.
Que refuerza lo expresado el hecho de que el relator especial de la ORGANIZACIÓN DE LAS NACIONES UNIDAS sobre libertad de expresión y otros Relatores especiales emitieron una declaración el 19 de marzo de 2020 instando a la divulgación de información, acceso a internet y protección de periodistas, y sostuvieron: “es esencial que los gobiernos brinden información veraz sobre la naturaleza de la amenaza que representa el coronavirus. Los gobiernos de todo el mundo están obligados por las leyes de derechos humanos a proporcionar información confiable en formatos accesibles para todos, con un enfoque particular en garantizar el acceso a la información por parte de aquellos con acceso limitado a Internet o donde la discapacidad dificulta el acceso”.
Que, en su Resolución nº 1 adoptada el 10 de abril de 2020, la COMISION INTERAMERICANA DE DERECHOS HUMANOS (CIDH) ha recomendado a los Gobiernos “asegurar el derecho de acceso a la información pública en el marco de la emergencia generada por el COVID-19 y no establecer limitaciones generales basadas en razones de seguridad u orden público. Los órganos que garantizan este derecho y los sujetos obligados deben otorgar prioridad a las solicitudes de acceso a la información relacionadas con la emergencia de salud pública, así como informar proactivamente, en formatos abiertos y de manera accesible a todos los grupos en situación de vulnerabilidad, de forma desagregada sobre los impactos de la pandemia y los gastos de emergencia, desagregados de acuerdo con las mejores prácticas internacionales. En los casos de postergación de los plazos de solicitudes de información en asuntos no vinculados a la pandemia, los Estados deberán fundamentar la negativa, establecer un espacio temporal para cumplir la obligación y admitir la apelación de estas resoluciones.”
Que, en relación con el derecho a la protección de datos personales, corresponde remarcar que es un derecho de carácter fundamental, protegido no solo por la Ley n° 25.326 de Protección de Datos Personales, sino además por el artículo 43 de la Constitución Nacional que establece que toda persona se encuentra facultada para “tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquéllos”.
Que la Convención Americana de Derechos Humanos, tratado internacional con rango constitucional en virtud del artículo 75, inciso 22 de la Constitución Nacional, también reconoce a la protección de los datos personales como un derecho fundamental, que se deriva del derecho a la privacidad contemplado en el artículo 11 de la mencionada Convención.
Que, en particular, dicha norma internacional prevé en relación con el derecho a la protección de la honra y de la dignidad que “[n]adie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación”. En este sentido, en el caso “Artavia Murillo vs. Costa Rica” la CORTE INTERAMERICANA DE DERECHOS HUMANOS se ha pronunciado sobre la importancia de este derecho estableciendo que “la vida privada incluye la forma en que el individuo se ve a sí mismo y cómo decide proyectarse a los demás, y es una condición indispensable para el libre desarrollo de la personalidad”.
Que el derecho a la protección de los datos personales también se encuentra protegido por el CONVENIO PARA LA PROTECCION DE LAS PERSONAS con respecto al tratamiento automatizado de datos de carácter personal, y su Protocolo Adicional sobre las Autoridades de Control y a los “Flujos Transfronterizos de Datos”, en su conjunto denominados “Convenio 108”, y que han sido aprobados mediante Ley n° 27.483 y entrado en vigor respecto de la República Argentina en junio de 2019.
Que el Decreto n° 1558/01, modificado por los Decretos n° 1160/10 y n° 899/17, ha establecido que la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA se encuentra facultada para intervenir cuando alguno de los derechos protegidos por la Ley n° 25.326 no haya sido cumplido por el responsable de tratamiento.
Que, en particular, el artículo 31, inc. a) del mentado Decreto sostiene que “[l]a DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES (DNPDP) [dependiente de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA] iniciará actuaciones administrativas en caso de presuntas infracciones a las disposiciones de la Ley nº 25.326, sus normas reglamentarias y complementarias, de oficio o por denuncia de quien invocare un interés particular, del Defensor del Pueblo de la Nación o de asociaciones de consumidores o usuarios”.
Que, en este contexto, resulta necesario que la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA exceptúe de la suspensión de los plazos dispuesta por los Decretos nº 298/20, 327/20 y 372/20, a aquellas denuncias que reciba en el marco de la Ley nº 25.326, así como a aquellos trámites que se encuentren actualmente en curso.
Que, por el contrario, la suspensión de los plazos dispuesta por los Decretos n° 298/20, 327/20 y 372/20 debe mantenerse respecto de los trámites en los que ya haya comenzado el proceso sancionatorio y el derecho involucrado del titular de los datos ya haya sido atendido.
Que, resulta oportuno destacar que en la Resolución n° 1/20 de la CIDH citada más arriba, se expresa que “[…] con el fin de enfrentar y prevenir los efectos de la pandemia, la CIDH ha observado que se han suspendido y restringido algunos derechos, y en otros casos se han declarado “estados de emergencia”, “estados de excepción”, “estados de catástrofe por calamidad pública”, o “emergencia sanitaria”, a través de decretos presidenciales y normativa de diversa naturaleza jurídica con el fin de proteger la salud pública y evitar el incremento de contagios. Asimismo, se han establecido medidas de distinta naturaleza que restringen los derechos de la libertad de expresión, el derecho de acceso a la información pública, la libertad personal, la inviolabilidad del domicilio, el derecho a la propiedad privada; y se ha recurrido al uso de tecnología de vigilancia para rastrear la propagación del coronavirus, y al almacenamiento de datos de forma masiva.”
Que, sin perjuicio que a consideración de la AGENCIA DE ACCESO A LA INFORMACION PUBLICA no se han establecido medidas que directamente restrinjan el derecho al acceso a la información pública o el derecho a la protección de los datos personales, la continuación de la suspensión de los plazos para responder pedidos de información pública o para salvaguardar los derechos fundamentales consagrados en los artículos 14, 15 y 16 de la Ley nº 25.326, podría, en la práctica, vaciar de contenido a esos derechos humanos fundamentales.
Que, en tales circunstancias y a fin de garantizar el efectivo ejercicio de los derechos de acceso a la información y protección de los datos personales esta AGENCIA DE ACCESO A LA INFORMACION PUBLICA considera necesario declarar que los trámites referidos a solicitudes y reclamos enmarcados en la Ley nº 27.275 y los trámites contemplados en la Ley n° 25.326 quedan exceptuados de la suspensión de plazos dispuesta por el artículo 1° del Decreto n° 298/20 prorrogada por Decreto n° 327/20 y por Decreto nº 372/20 a la vez que se hace preciso recordar la utilidad de la herramienta de transparencia activa a fin de garantizar el efectivo y rápido acceso a información relevante en formatos abiertos que permitan su reutilización.
Que, sin embargo, pueden ser atendibles las dificultades operativas que podrían ocurrir para la tramitación en tiempo y forma tanto de las solicitudes de acceso a la información en los términos de la Ley nº 27.275, como de los trámites contemplados en la Ley nº 25.326. Ello así como consecuencia de las medidas adoptadas por el PODER EJECUTIVO NACIONAL mencionadas más arriba que impactan, a no dudarlo, en el quehacer de los sujetos obligados y los responsables de tratamiento de datos personales que establecen, respectivamente, la Ley nº 27.275 y la Ley nº 25.326.
Que, debido a esto último, y llegado el caso, tales dificultades que pudieran provocar retrasos en la tramitación y que sean debidamente explicadas, deberán ser evaluadas por esta AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA sobre la base de los principios de buena fe y razonabilidad que debe guiar la actuación de los sujetos obligados.
Que la COORDINACIÓN DE ASUNTOS JURÍDICOS de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA tomó la intervención que le compete.
Que la presente medida se dicta en virtud de las facultades conferidas por los artículos 19 de la Ley nº 27.275, y lo dispuesto en el artículo 3° del Decreto n° 372/20.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1º.-
Exceptúase de la suspensión de los plazos administrativos establecida por el Decreto n° 298/20, prorrogada por los Decretos n° 327/20 y nº 372/20, a los trámites previstos por la Ley nº 27.275, de Acceso a la Información Pública de conformidad con lo expresado en los Considerandos de la presente Resolución.
ARTÍCULO 2°.-
Exceptúanse de la suspensión de plazos administrativos establecida por el Decreto nº 298/20, prorrogada por los Decretos nº 327/20, y nº 372/20, a los trámites previstos por la Ley nº 25.326 de Protección de Datos Personales de conformidad con lo expresado en los Considerandos de la presente Resolución.
ARTÍCULO 3°.-
La presente medida entrará en vigencia a partir de su publicación en el BOLETÍN OFICIAL.
ARTÍCULO 4°.-
Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
Eduardo Andrés Bertoni
Constitución de la República de Cuba 2019
ASAMBLEA NACIONAL DEL PODER POPULAR, ACUERDO NÚMERO IX-19 DE 22 DE DICIEMBRE DE 2018
(Gaceta Oficial nº 5 Extraordinaria de 10 de abril de 2019)
CONSTITUCIÓN DE LA REPÚBLICA
PREÁMBULO
NOSOTROS, EL PUEBLO DE CUBA,
inspirados en el heroísmo y patriotismo de los que lucharon por una Patria libre, independiente, soberana, democrática, de justicia social y solidaridad humana, forjada en el sacrificio de nuestros antecesores;
por los aborígenes que se resistieron a la sumisión;
por los esclavos que se rebelaron contra sus amos;
por los que despertaron la conciencia nacional y el ansia cubana de patria y libertad;
por los patriotas que a partir de 1868 iniciaron y participaron en nuestras luchas independentistas contra el colonialismo español, y a los que en el último impulso de 1895 les fuera frustrada la victoria al producirse la intervención y ocupación militar del imperialismo yanqui en 1898;
por los que lucharon durante más de cincuenta años contra el dominio imperialista, la corrupción política, la falta de derechos y libertades populares, el desempleo, la explotación impuesta por capitalistas, terratenientes y otros males sociales;
por los que promovieron, integraron y desarrollaron las primeras organizaciones de obreros, campesinos y estudiantes; difundieron las ideas socialistas y fundaron los primeros movimientos revolucionarios, marxistas y leninistas;
por los integrantes de la vanguardia de la Generación del Centenario del natalicio de Martí, que nutridos por su magisterio nos condujeron a la victoria revolucionaria popular de enero de 1959;
por los que, con el sacrificio de sus vidas, defendieron la Revolución y contribuyeron a su definitiva consolidación;
por los que masivamente cumplieron heroicas misiones internacionalistas;
por la resistencia épica y unidad de nuestro pueblo;
GUIADOS
por lo más avanzado del pensamiento revolucionario, antiimperialista y marxista cubano, latinoamericano y universal, en particular por el ideario y ejemplo de Martí y Fidel y las ideas de emancipación social de Marx, Engels y Lenin;
APOYADOS
en el internacionalismo proletario, en la amistad fraternal, la ayuda, la cooperación y la solidaridad de los pueblos del mundo, especialmente los de América Latina y el Caribe;
DECIDIDOS
a llevar adelante la Revolución del Moncada, del Granma, de la Sierra, de la lucha clandestina y de Girón, que sustentada en el aporte y la unidad de las principales fuerzas revolucionarias y del pueblo conquistó la plena independencia nacional, estableció el poder revolucionario, realizó las transformaciones democráticas e inició la construcción del socialismo;
CONVENCIDOS
de que Cuba no volverá jamás al capitalismo como régimen sustentado en la explotación del hombre por el hombre, y que solo en el socialismo y en el comunismo el ser humano alcanza su dignidad plena;
CONSCIENTES
de que la unidad nacional y el liderazgo del Partido Comunista de Cuba, nacido de la voluntad unitaria de las organizaciones que contribuyeron decisivamente al triunfo de la Revolución y legitimado por el pueblo, constituyen pilares fundamentales y garantías de nuestro orden político, económico y social;
IDENTIFICADOS
con los postulados expuestos en el concepto de Revolución, expresado por nuestro Comandante en Jefe Fidel Castro Ruz el 1ro de mayo del año 2000;
DECLARAMOS
nuestra voluntad de que la ley de leyes de la República esté presidida por este profundo anhelo, al fin logrado, de José Martí:
“Yo quiero que la ley primera de nuestra República sea el culto de los cubanos a la dignidad plena del hombre”;
ADOPTAMOS
por nuestro voto libre y secreto, mediante referendo popular, a ciento cincuenta años de nuestra primera Constitución mambisa, aprobada en Guáimaro el 10 de abril de 1869, la siguiente:
CONSTITUCIÓN
TÍTULO I.- FUNDAMENTOS POLÍTICOS
CAPÍTULO I.- PRINCIPIOS FUNDAMENTALES
ARTÍCULO 7.
La Constitución es la norma jurídica suprema del Estado. Todos están obligados a cumplirla. Las disposiciones y actos de los órganos del Estado, sus directivos, funcionarios y empleados, así como de las organizaciones, las entidades y los individuos se ajustan a lo que esta dispone.
ARTÍCULO 8.
Lo prescrito en los tratados internacionales en vigor para la República de Cuba forma parte o se integra, según corresponda, al ordenamiento jurídico nacional. La Constitución de la República de Cuba prima sobre estos tratados internacionales.
CAPÍTULO II.- RELACIONES INTERNACIONALES
TÍTULO II.- FUNDAMENTOS ECONÓMICOS
ARTÍCULO 21.
El Estado promueve el avance de la ciencia, la tecnología y la innovación como elementos imprescindibles para el desarrollo económico y social.
Igualmente implementa formas de organización, financiamiento y gestión de la actividad científica; propicia la introducción sistemática y acelerada de sus resultados en los procesos productivos y de servicios, mediante el marco institucional y regulatorio correspondiente.
TÍTULO III.- FUNDAMENTOS DE LA POLÍTICA EDUCACIONAL, CIENTÍFICA Y CULTURAL
TÍTULO IV.- CIUDADANÍA
TÍTULO V.- DERECHOS, DEBERES Y GARANTÍAS
CAPÍTULO I.- DISPOSICIONES GENERALES
ARTÍCULO 40.
La dignidad humana es el valor supremo que sustenta el reconocimiento y ejercicio de los derechos y deberes consagrados en la Constitución, los tratados y las leyes.
ARTÍCULO 41.
El Estado cubano reconoce y garantiza a la persona el goce y el ejercicio irrenunciable, imprescriptible, indivisible, universal e interdependiente de los derechos humanos, en correspondencia con los principios de progresividad, igualdad y no discriminación. Su respeto y garantía es de obligatorio cumplimiento para todos.
ARTÍCULO 42.
Todas las personas son iguales ante la ley, reciben la misma protección y trato de las autoridades y gozan de los mismos derechos, libertades y oportunidades, sin ninguna discriminación por razones de sexo, género, orientación sexual, identidad de género, edad, origen étnico, color de la piel, creencia religiosa, discapacidad, origen nacional o territorial, o cualquier otra condición o circunstancia personal que implique distinción lesiva a la dignidad humana.
Todas tienen derecho a disfrutar de los mismos espacios públicos y establecimientos de servicios.
Asimismo, reciben igual salario por igual trabajo, sin discriminación alguna.
La violación del principio de igualdad está proscrita y es sancionada por la ley.
ARTÍCULO 45.
El ejercicio de los derechos de las personas solo está limitado por los derechos de los demás, la seguridad colectiva, el bienestar general, el respeto al orden público, a la Constitución y a las leyes.
CAPÍTULO II.- DERECHOS
ARTÍCULO 48.
Todas las personas tienen derecho a que se les respete su intimidad personal y familiar, su propia imagen y voz, su honor e identidad personal.
ARTÍCULO 49.
El domicilio es inviolable. No se puede penetrar en morada ajena sin permiso de quien la habita, salvo por orden expresa de la autoridad competente, con las formalidades legales y por motivo previamente definido en la ley.
ARTÍCULO 50.
La correspondencia y demás formas de comunicación entre las personas son inviolables. Solo pueden ser interceptadas o registradas mediante orden expresa de autoridad competente, en los casos y con las formalidades establecidas en la ley.
Los documentos o informaciones obtenidas con infracción de este principio no constituyen prueba en proceso alguno.
ARTÍCULO 53.
Todas las personas tienen derecho a solicitar y recibir del Estado información veraz, objetiva y oportuna, y a acceder a la que se genere en los órganos del Estado y entidades, conforme a las regulaciones establecidas.
ARTÍCULO 62.
Se reconocen a las personas los derechos derivados de la creación intelectual, conforme a la ley y los tratados internacionales.
Los derechos adquiridos se ejercen por los creadores y titulares en correspondencia con la ley, en función de las políticas públicas.
CAPÍTULO III.- LAS FAMILIAS
CAPÍTULO IV.- DEBERES
CAPÍTULO V.- DERECHOS Y DEBERES DE LOS EXTRANJEROS
CAPÍTULO VI.- GARANTÍAS DE LOS DERECHOS
TÍTULO VI.- ESTRUCTURA DEL ESTADO
CAPÍTULO I.- PRINCIPIOS DE ORGANIZACIÓN Y FUNCIONAMIENTO DE LOS ÓRGANOS DEL ESTADO
CAPÍTULO II.- ASAMBLEA NACIONAL DEL PODER POPULAR Y CONSEJO DE ESTADO
SECCIÓN PRIMERA.- ASAMBLEA NACIONAL DEL PODER POPULAR
SECCIÓN SEGUNDA.- DIPUTADOS Y COMISIONESDE LA ASAMBLEA NACIONALDEL PODER POPULAR
SECCIÓN TERCERA.- CONSEJO DE ESTADO
CAPÍTULO III.- PRESIDENTE Y VICEPRESIDENTE DE LA REPÚBLICA
CAPÍTULO IV.- GOBIERNO DE LA REPÚBLICA
SECCIÓN PRIMERA.- CONSEJO DE MINISTROS
SECCIÓN SEGUNDA.- PRIMER MINISTRO
SECCIÓN TERCERA.- MIEMBROS DEL CONSEJO DE MINISTROS
SECCIÓN CUARTA.- ADMINISTRACIÓN CENTRAL DEL ESTADO
CAPÍTULO V.- TRIBUNALES DE JUSTICIA
CAPÍTULO VI.- FISCALÍA GENERAL DE LA REPÚBLICA
CAPÍTULO VII.- CONTRALORÍA GENERAL DE LA REPÚBLICA
CAPÍTULO VIII.- DE LAS DISPOSICIONES NORMATIVAS
SECCIÓN PRIMERA.- DE LA INICIATIVA LEGISLATIVA
SECCIÓN SEGUNDA.- DE LA ELABORACIÓN, PUBLICACIÓN Y ENTRADA EN VIGOR
TÍTULO VII.- ORGANIZACIÓN TERRITORIAL DEL ESTADO
TÍTULO VIII.- ÓRGANOS LOCALES DEL PODER POPULAR
CAPÍTULO I.- GOBIERNO PROVINCIAL DEL PODER POPULAR
SECCIÓN PRIMERA.- DISPOSICIONES GENERALES
SECCIÓN SEGUNDA.- GOBERNADOR Y VICEGOBERNADOR PROVINCIAL
SECCIÓN TERCERA.- CONSEJO PROVINCIAL
CAPÍTULO II.- ÓRGANOS MUNICIPALES DEL PODER POPULAR
SECCIÓN PRIMERA.- ASAMBLEA MUNICIPAL DEL PODER POPULAR
SECCIÓN SEGUNDA.- DELEGADOS A LA ASAMBLEA MUNICIPAL DEL PODER POPULAR
SECCIÓN TERCERA.- COMISIONES DE LA ASAMBLEA MUNICIPAL DEL PODER POPULAR
SECCIÓN CUARTA.- CONSEJO POPULAR
SECCIÓN QUINTA.- GARANTÍAS A LOS DERECHOS DE PETICIÓN Y PARTICIPACIÓN POPULAR LOCAL
SECCIÓN SEXTA.- ADMINISTRACIÓN MUNICIPAL
TÍTULO IX.- SISTEMA ELECTORAL
CAPÍTULO I.- DISPOSICIONES GENERALES
CAPÍTULO II.- CONSEJO ELECTORAL NACIONAL
TÍTULO X.- DEFENSA Y SEGURIDAD NACIONAL
CAPÍTULO I.- DISPOSICIONES GENERALES
CAPÍTULO II.- CONSEJO DE DEFENSA NACIONAL
CAPÍTULO III.- INSTITUCIONES ARMADAS DEL ESTADO
CAPÍTULO IV.- SITUACIONES EXCEPCIONALES Y DE DESASTRE
TÍTULO XI.- REFORMA DE LA CONSTITUCIÓN
DISPOSICIONES ESPECIALES
DISPOSICIONES TRANSITORIAS
DISPOSICIONES FINALES
PRIMERA:
Se deroga la Constitución de la República de Cuba, de 24 de febrero de 1976, tal como quedó redactada por las reformas de 1978, 1992 y 2002.
SEGUNDA:
La presente Constitución entra en vigor, una vez proclamada, a partir de su publicación en la Gaceta Oficial de la República.
——————————————————————————————————
ASAMBLEA NACIONAL DEL PODER POPULAR, ACUERDO NÚMERO IX-19 DE 22 DE DICIEMBRE DE 2018
(Gaceta Oficial nº 5 Extraordinaria de 10 de abril de 2019)
CONSTITUCIÓN DE LA REPÚBLICA
PREÁMBULO
NOSOTROS, EL PUEBLO DE CUBA,
inspirados en el heroísmo y patriotismo de los que lucharon por una Patria libre, independiente, soberana, democrática, de justicia social y solidaridad humana, forjada en el sacrificio de nuestros antecesores;
por los aborígenes que se resistieron a la sumisión;
por los esclavos que se rebelaron contra sus amos;
por los que despertaron la conciencia nacional y el ansia cubana de patria y libertad;
por los patriotas que a partir de 1868 iniciaron y participaron en nuestras luchas independentistas contra el colonialismo español, y a los que en el último impulso de 1895 les fuera frustrada la victoria al producirse la intervención y ocupación militar del imperialismo yanqui en 1898;
por los que lucharon durante más de cincuenta años contra el dominio imperialista, la corrupción política, la falta de derechos y libertades populares, el desempleo, la explotación impuesta por capitalistas, terratenientes y otros males sociales;
por los que promovieron, integraron y desarrollaron las primeras organizaciones de obreros, campesinos y estudiantes; difundieron las ideas socialistas y fundaron los primeros movimientos revolucionarios, marxistas y leninistas;
por los integrantes de la vanguardia de la Generación del Centenario del natalicio de Martí, que nutridos por su magisterio nos condujeron a la victoria revolucionaria popular de enero de 1959;
por los que, con el sacrificio de sus vidas, defendieron la Revolución y contribuyeron a su definitiva consolidación;
por los que masivamente cumplieron heroicas misiones internacionalistas;
por la resistencia épica y unidad de nuestro pueblo;
GUIADOS
por lo más avanzado del pensamiento revolucionario, antiimperialista y marxista cubano, latinoamericano y universal, en particular por el ideario y ejemplo de Martí y Fidel y las ideas de emancipación social de Marx, Engels y Lenin;
APOYADOS
en el internacionalismo proletario, en la amistad fraternal, la ayuda, la cooperación y la solidaridad de los pueblos del mundo, especialmente los de América Latina y el Caribe;
DECIDIDOS
a llevar adelante la Revolución del Moncada, del Granma, de la Sierra, de la lucha clandestina y de Girón, que sustentada en el aporte y la unidad de las principales fuerzas revolucionarias y del pueblo conquistó la plena independencia nacional, estableció el poder revolucionario, realizó las transformaciones democráticas e inició la construcción del socialismo;
CONVENCIDOS
de que Cuba no volverá jamás al capitalismo como régimen sustentado en la explotación del hombre por el hombre, y que solo en el socialismo y en el comunismo el ser humano alcanza su dignidad plena;
CONSCIENTES
de que la unidad nacional y el liderazgo del Partido Comunista de Cuba, nacido de la voluntad unitaria de las organizaciones que contribuyeron decisivamente al triunfo de la Revolución y legitimado por el pueblo, constituyen pilares fundamentales y garantías de nuestro orden político, económico y social;
IDENTIFICADOS
con los postulados expuestos en el concepto de Revolución, expresado por nuestro Comandante en Jefe Fidel Castro Ruz el 1ro de mayo del año 2000;
DECLARAMOS
nuestra voluntad de que la ley de leyes de la República esté presidida por este profundo anhelo, al fin logrado, de José Martí:
“Yo quiero que la ley primera de nuestra República sea el culto de los cubanos a la dignidad plena del hombre”;
ADOPTAMOS
por nuestro voto libre y secreto, mediante referendo popular, a ciento cincuenta años de nuestra primera Constitución mambisa, aprobada en Guáimaro el 10 de abril de 1869, la siguiente:
CONSTITUCIÓN
TÍTULO I.- FUNDAMENTOS POLÍTICOS
CAPÍTULO I.- PRINCIPIOS FUNDAMENTALES
ARTÍCULO 1.
Cuba es un Estado socialista de derecho y justicia social, democrático, independiente y soberano, organizado con todos y para el bien de todos como república unitaria e indivisible, fundada en el trabajo, la dignidad, el humanismo y la ética de sus ciudadanos para el disfrute de la libertad, la equidad, la igualdad, la solidaridad, el bienestar y la prosperidad individual y colectiva.
ARTÍCULO 2.
El nombre del Estado cubano es República de Cuba, el idioma oficial es el español y su capital es La Habana.
Los símbolos nacionales son la bandera de la estrella solitaria, el Himno de Bayamo y el escudo de la palma real.
La ley define las características que los identifican, su uso y conservación.
ARTÍCULO 3.
En la República de Cuba la soberanía reside intransferiblemente en el pueblo, del cual dimana todo el poder del Estado. El pueblo la ejerce directamente o por medio de las Asambleas del Poder Popular y demás órganos del Estado que de ellas se derivan, en la forma y según las normas fijadas por la Constitución y las leyes.
ARTÍCULO 4.
La defensa de la patria socialista es el más grande honor y el deber supremo de cada cubano.
La traición a la patria es el más grave de los crímenes, quien la comete está sujeto a las más severas sanciones.
El sistema socialista que refrenda esta Constitución, es irrevocable.
Los ciudadanos tienen el derecho de combatir por todos los medios, incluyendo la lucha armada, cuando no fuera posible otro recurso, contra cualquiera que intente derribar el orden político, social y económico establecido por esta Constitución.
ARTÍCULO 5.
El Partido Comunista de Cuba, único, martiano, fidelista, marxista y leninista, vanguardia organizada de la nación cubana, sustentado en su carácter democrático y la permanente vinculación con el pueblo, es la fuerza política dirigente superior de la sociedad y del Estado.
Organiza y orienta los esfuerzos comunes en la construcción del socialismo y el avance hacia la sociedad comunista. Trabaja por preservar y fortalecer la unidad patriótica de los cubanos y por desarrollar valores éticos, morales y cívicos.
ARTÍCULO 6.
La Unión de Jóvenes Comunistas, organización de vanguardia de la juventud cubana, cuenta con el reconocimiento y el estímulo del Estado, contribuye a la formación de las más jóvenes generaciones en los principios revolucionarios y éticos de nuestra sociedad, y promueve su participación en la edificación del socialismo.
ARTÍCULO 7.
La Constitución es la norma jurídica suprema del Estado. Todos están obligados a cumplirla. Las disposiciones y actos de los órganos del Estado, sus directivos, funcionarios y empleados, así como de las organizaciones, las entidades y los individuos se ajustan a lo que esta dispone.
ARTÍCULO 8.
Lo prescrito en los tratados internacionales en vigor para la República de Cuba forma parte o se integra, según corresponda, al ordenamiento jurídico nacional. La Constitución de la República de Cuba prima sobre estos tratados internacionales.
ARTÍCULO 9.
Cumplir estrictamente la legalidad socialista es una obligación de todos.
Los órganos del Estado, sus directivos, funcionarios y empleados, además, velan por su respeto en la vida de toda la sociedad y actúan dentro de los límites de sus respectivas competencias.
ARTÍCULO 10.
Los órganos del Estado, sus directivos, funcionarios y empleados están obligados a respetar, atender y dar respuesta al pueblo, mantener estrechos vínculos con este y someterse a su control, en las formas establecidas en la Constitución y las leyes.
ARTÍCULO 11.
El Estado ejerce soberanía y jurisdicción:
a) sobre todo el territorio nacional, integrado por la Isla de Cuba, la Isla de la Juventud, las demás islas y cayos adyacentes, las aguas interiores y el mar territorial en la extensión que fija la ley, el espacio aéreo que sobre estos se extiende y el espectro radioeléctrico;
b) sobre el medio ambiente y los recursos naturales del país;
c) sobre los recursos naturales, tanto vivos como no vivos, del lecho y de las aguas suprayacentes a este, y el subsuelo del mar de la zona económica exclusiva de la República, en la extensión que fija la ley, de conformidad con el Derecho Internacional, y
d) sobre la plataforma continental en la extensión que fija la ley y conforme al Derecho Internacional.
Asimismo, ejerce jurisdicción en la zona contigua en correspondencia con el Derecho Internacional.
ARTÍCULO 12.
La República de Cuba repudia y considera ilegales y nulos los tratados, concesiones o pactos acordados en condiciones de desigualdad o que desconocen o disminuyen su soberanía e integridad territorial.
ARTÍCULO 13.
El Estado tiene como fines esenciales los siguientes:
a) encauzar los esfuerzos de la nación en la construcción del socialismo y fortalecer la unidad nacional;
b) mantener y defender la independencia, la integridad y la soberanía de la patria;
c) preservar la seguridad nacional;
d) garantizar la igualdad efectiva en el disfrute y ejercicio de los derechos, y en el cumplimiento de los deberes consagrados en la Constitución y las leyes;
e) promover un desarrollo sostenible que asegure la prosperidad individual y colectiva, y obtener mayores niveles de equidad y justicia social, así como preservar y multiplicar los logros alcanzados por la Revolución;
f) garantizar la dignidad plena de las personas y su desarrollo integral;
g) afianzar la ideología y la ética inherentes a nuestra sociedad socialista;
h) proteger el patrimonio natural, histórico y cultural de la nación, y
i) asegurar el desarrollo educacional, científico, técnico y cultural del país.
ARTÍCULO 14.
El Estado reconoce y estimula a las organizaciones de masas y sociales, que agrupan en su seno a distintos sectores de la población, representan sus intereses específicos y los incorporan a las tareas de la edificación, consolidación y defensa de la sociedad socialista.
La ley establece los principios generales en que estas organizaciones se fundamentan y reconoce el desempeño de las demás formas asociativas.
ARTÍCULO 15.
El Estado reconoce, respeta y garantiza la libertad religiosa.
El Estado cubano es laico. En la República de Cuba las instituciones religiosas y asociaciones fraternales están separadas del Estado y todas tienen los mismos derechos y deberes.
Las distintas creencias y religiones gozan de igual consideración.
CAPÍTULO II.- RELACIONES INTERNACIONALES
ARTÍCULO 16.
La República de Cuba basa las relaciones internacionales en el ejercicio de su soberanía y los principios antiimperialistas e internacionalistas, en función de los intereses del pueblo y, en consecuencia:
a) reafirma que las relaciones económicas, diplomáticas y políticas con cualquier otro Estado no podrán ser jamás negociadas bajo agresión, amenaza o coerción;
b) ratifica su aspiración de paz digna, verdadera y válida para todos los Estados, asentada en el respeto a la independencia y soberanía de los pueblos y su derecho a la libre determinación, expresado en la libertad de elegir su sistema político, económico, social y cultural, como condición esencial para asegurar la convivencia pacífica entre las naciones;
c) sostiene su voluntad de observar de manera irrestricta los principios y normas que conforman el Derecho Internacional, en particular la igualdad de derechos, la integridad territorial, la independencia de los Estados, el no uso ni amenaza del uso de la fuerza en las relaciones internacionales, la cooperación internacional en beneficio e interés mutuo y equitativo, el arreglo pacífico de controversias sobre la base de la igualdad, el respeto y los demás principios proclamados en la Carta de las Naciones Unidas;
d) reafirma su voluntad de integración y colaboración con los países de América Latina y del Caribe;
e) promueve la unidad de todos los países del Tercer Mundo y condena el imperialismo, el fascismo, el colonialismo, el neocolonialismo u otras formas de sometimiento, en cualquiera de sus manifestaciones;
f) promueve la protección y conservación del medio ambiente y el enfrentamiento al cambio climático, que amenaza la sobrevivencia de la especie humana, sobre la base del reconocimiento de responsabilidades comunes, pero diferenciadas; el establecimiento de un orden económico internacional justo y equitativo y la erradicación de los patrones irracionales de producción y consumo;
g) defiende y protege el disfrute de los derechos humanos y repudia cualquier manifestación de racismo o discriminación;
h) condena la intervención directa o indirecta en los asuntos internos o externos de cualquier Estado y, por tanto, la agresión armada, cualquier forma de coerción económica o política, los bloqueos unilaterales violatorios del Derecho Internacional, u otro tipo de injerencia y amenaza a la integridad de los Estados;
i) rechaza la violación del derecho irrenunciable y soberano de todo Estado a regular el uso y los beneficios de las telecomunicaciones en su territorio, conforme a la práctica universal y a los convenios internacionales de los que Cuba es parte;
j) califica de crimen internacional la agresión y la guerra de conquista, reconoce la legitimidad de las luchas por la liberación nacional y la resistencia armada a la agresión, así como considera su deber internacionalista solidarizarse con el agredido y con los pueblos que combaten por su liberación y autodeterminación;
k) promueve el desarme general y completo y rechaza la existencia, proliferación o uso de armas nucleares, de exterminio en masa u otras de efectos similares, así como el desarrollo y empleo de nuevas armas y de nuevas formas de hacer la guerra, como la ciberguerra, que transgreden el Derecho Internacional;
l) repudia y condena el terrorismo en cualquiera de sus formas y manifestaciones, en particular el terrorismo de Estado;
m) ratifica su compromiso en la construcción de una sociedad de la información y el conocimiento centrada en la persona, integradora y orientada al desarrollo sostenible, en la que todos puedan crear, consultar, utilizar y compartir la información y el conocimiento en la mejora de su calidad de vida; y defiende la cooperación de todos los Estados y la democratización del ciberespacio, así como condena su uso y el del espectro radioeléctrico con fines contrarios a lo anterior, incluidas la subversión y la desestabilización de naciones soberanas;
n) basa sus relaciones con los países que edifican el socialismo en la amistad fraternal, la cooperación y la ayuda mutua;
ñ) mantiene y fomenta relaciones de amistad con los países que, teniendo un régimen político, social y económico diferente, respetan su soberanía, observan las normas de convivencia entre los Estados y adoptan una actitud recíproca con nuestro país, de conformidad con los principios del Derecho Internacional, y
o) promueve el multilateralismo y la multipolaridad en las relaciones internacionales, como alternativas a la dominación y al hegemonismo político, financiero y militar o cualquier otra manifestación que amenacen la paz, la independencia y la soberanía de los pueblos.
ARTÍCULO 17.
La República de Cuba puede conceder asilo, de conformidad con la ley, a los perseguidos por sus ideales o luchas por la liberación nacional, por actividades progresistas, por el socialismo y la paz, por los derechos democráticos y sus reivindicaciones, así como a los que luchan contra el imperialismo, el fascismo, el colonialismo, el neocolonialismo y cualquier otra forma de dominación, la discriminación y el racismo.
TÍTULO II.- FUNDAMENTOS ECONÓMICOS
ARTÍCULO 18.
En la República de Cuba rige un sistema de economía socialista basado en la propiedad de todo el pueblo sobre los medios fundamentales de producción como la forma de propiedad principal, y la dirección planificada de la economía, que tiene en cuenta, regula y controla el mercado en función de los intereses de la sociedad.
ARTÍCULO 19.
El Estado dirige, regula y controla la actividad económica conciliando los intereses nacionales, territoriales, colectivos e individuales en beneficio de la sociedad.
La planificación socialista constituye el componente central del sistema de dirección del desarrollo económico y social. Su función esencial es proyectar y conducir el desarrollo estratégico, previendo los equilibrios pertinentes entre los recursos y las necesidades.
ARTÍCULO 20.
Los trabajadores participan en los procesos de planificación, regulación, gestión y control de la economía.
La ley regula la participación de los colectivos laborales en la administración y gestión de las entidades empresariales estatales y unidades presupuestadas.
ARTÍCULO 21.
El Estado promueve el avance de la ciencia, la tecnología y la innovación como elementos imprescindibles para el desarrollo económico y social.
Igualmente implementa formas de organización, financiamiento y gestión de la actividad científica; propicia la introducción sistemática y acelerada de sus resultados en los procesos productivos y de servicios, mediante el marco institucional y regulatorio correspondiente.
ARTÍCULO 22.
Se reconocen como formas de propiedad, las siguientes:
a) socialista de todo el pueblo: en la que el Estado actúa en representación y beneficio de aquel como propietario.
b) cooperativa: la sustentada en el trabajo colectivo de sus socios propietarios y en el ejercicio efectivo de los principios del cooperativismo.
c) de las organizaciones políticas, de masas y sociales: la que ejercen estos sujetos sobre los bienes destinados al cumplimiento de sus fines.
d) privada: la que se ejerce sobre determinados medios de producción por personas naturales o jurídicas cubanas o extranjeras; con un papel complementario en la economía.
e) mixta: la formada por la combinación de dos o más formas de propiedad.
f) de instituciones y formas asociativas: la que ejercen estos sujetos sobre sus bienes para el cumplimiento de fines de carácter no lucrativo.
g) personal: la que se ejerce sobre los bienes que, sin constituir medios de producción, contribuyen a la satisfacción de las necesidades materiales y espirituales de su titular.
Todas las formas de propiedad sobre los medios de producción interactúan en similares condiciones; el Estado regula y controla el modo en que contribuyen al desarrollo económico y social.
La ley regula lo relativo al ejercicio y alcance de las formas de propiedad.
ARTÍCULO 23.
Son de propiedad socialista de todo el pueblo: las tierras que no pertenecen a particulares o a cooperativas integradas por estos, el subsuelo, los yacimientos minerales, las minas, los bosques, las aguas, las playas, las vías de comunicación y los recursos naturales tanto vivos como no vivos dentro de la zona económica exclusiva de la República.
Estos bienes no pueden trasmitirse en propiedad a personas naturales o jurídicas y se rigen por los principios de inalienabilidad, imprescriptibilidad e inembargabilidad.
La trasmisión de otros derechos que no impliquen transferencia de propiedad sobre estos bienes, se hará previa aprobación del Consejo de Estado, conforme a lo previsto en la ley, siempre que se destinen a los fines del desarrollo económico y social del país y no afecten los fundamentos políticos, económicos y sociales del Estado.
ARTÍCULO 24.
La propiedad socialista de todo el pueblo incluye otros bienes como las infraestructuras de interés general, principales industrias e instalaciones económicas y sociales, así como otros de carácter estratégico para el desarrollo económico y social del país.
Estos bienes son inembargables y pueden trasmitirse en propiedad solo en casos excepcionales, siempre que se destinen a los fines del desarrollo económico y social del país y no afecten los fundamentos políticos, económicos y sociales del Estado, previa aprobación del Consejo de Ministros.
En cuanto a la trasmisión de otros derechos sobre estos bienes, así como a su gestión, se actuará conforme a lo previsto en la ley.
Las instituciones presupuestadas y las entidades empresariales estatales cuentan con otros bienes de propiedad socialista de todo el pueblo, sobre los cuales ejercen los derechos que le corresponden de conformidad con lo previsto en la ley.
ARTÍCULO 25.
El Estado crea instituciones presupuestadas para cumplir esencialmente funciones estatales y sociales.
ARTÍCULO 26.
El Estado crea y organiza entidades empresariales estatales con el objetivo de desarrollar actividades económicas de producción y prestación de servicios.
Estas entidades responden de las obligaciones contraídas con su patrimonio, en correspondencia con los límites que determine la ley.
El Estado no responde de las obligaciones contraídas por las entidades empresariales estatales y estas tampoco responden de las de aquel.
ARTÍCULO 27.
La empresa estatal socialista es el sujeto principal de la economía nacional. Dispone de autonomía en su administración y gestión; desempeña el papel principal en la producción de bienes y servicios y cumple con sus responsabilidades sociales.
La ley regula los principios de organización y funcionamiento de la empresa estatal socialista.
ARTÍCULO 28.
El Estado promueve y brinda garantías a la inversión extranjera, como elemento importante para el desarrollo económico del país, sobre la base de la protección y el uso racional de los recursos humanos y naturales, así como del respeto a la soberanía e independencia nacionales.
La ley establece lo relativo al desarrollo de la inversión extranjera en el territorio nacional.
ARTÍCULO 29.
La propiedad privada sobre la tierra se regula por un régimen especial.
Se prohíbe el arrendamiento, la aparcería y los préstamos hipotecarios a particulares.
La compraventa o trasmisión onerosa de este bien solo podrá realizarse previo cumplimiento de los requisitos que establece la ley y sin perjuicio del derecho preferente del Estado a su adquisición mediante el pago de su justo precio.
Los actos traslativos de dominio no onerosos o de derechos de uso y disfrute sobre este bien se realizan previa autorización de la autoridad competente y de conformidad con lo establecido en la ley.
ARTÍCULO 30.
La concentración de la propiedad en personas naturales o jurídicas no estatales es regulada por el Estado, el que garantiza además, una cada vez más justa redistribución de la riqueza, con el fin de preservar los límites compatibles con los valores socialistas de equidad y justicia social.
La ley establece las regulaciones que garantizan su efectivo cumplimiento.
ARTÍCULO 31.
El trabajo es un valor primordial de nuestra sociedad. Constituye un derecho, un deber social y un motivo de honor de todas las personas en condiciones de trabajar.
El trabajo remunerado debe ser la fuente principal de ingresos que sustenta condiciones de vida dignas, permite elevar el bienestar material y espiritual y la realización de los proyectos individuales, colectivos y sociales.
La remuneración con arreglo al trabajo aportado se complementa con la satisfacción equitativa y gratuita de servicios sociales universales y otras prestaciones y beneficios.
TÍTULO III.- FUNDAMENTOS DE LA POLÍTICA EDUCACIONAL, CIENTÍFICA Y CULTURAL
ARTÍCULO 32.
El Estado orienta, fomenta y promueve la educación, las ciencias y la cultura en todas sus manifestaciones.
En su política educativa, científica y cultural se atiene a los postulados siguientes:
a) se fundamenta en los avances de la ciencia, la creación, la tecnología y la innovación, el pensamiento y la tradición pedagógica progresista cubana y la universal;
b) la enseñanza es función del Estado, es laica y se basa en los aportes de la ciencia y en los principios y valores de nuestra sociedad;
c) la educación promueve el conocimiento de la historia de la nación y desarrolla una alta formación de valores éticos, morales, cívicos y patrióticos;
d) promueve la participación ciudadana en la realización de su política educacional, científica y cultural;
e) orienta, fomenta y promueve la cultura física, la recreación y el deporte en todas sus manifestaciones como medio de educación y contribución a la formación integral de las personas;
f) la actividad creadora e investigativa en la ciencia es libre. Se estimula la investigación científica con un enfoque de desarrollo e innovación, priorizando la dirigida a solucionar los problemas que atañen al interés de la sociedad y al beneficio del pueblo;
g) se fomenta la formación y empleo de las personas que el desarrollo del país requiere para asegurar las capacidades científicas, tecnológicas y de innovación;
h) se promueve la libertad de creación artística en todas sus formas de expresión, conforme a los principios humanistas en que se sustenta la política cultural del Estado y los valores de la sociedad socialista;
i) se fomenta y desarrolla la educación artística y literaria, la vocación para la creación, el cultivo del arte y la capacidad para apreciarlo;
j) defiende la identidad y la cultura cubana y salvaguarda la riqueza artística, patrimonial e histórica de la nación, y
k) protege los monumentos de la nación y los lugares notables por su belleza natural, o por su reconocido valor artístico o histórico.
TÍTULO IV.- CIUDADANÍA
ARTÍCULO 33.
La ciudadanía cubana se adquiere por nacimiento o por naturalización.
ARTÍCULO 34.
Son ciudadanos cubanos por nacimiento:
a) los nacidos en el territorio nacional, con excepción de los hijos de extranjeros que se encuentren al servicio de su gobierno o de organismos internacionales. La ley establece los requisitos y las formalidades para el caso de los hijos de los extranjeros no residentes permanentes en el país;
b) los nacidos en el extranjero de padre o madre cubanos que se hallen cumpliendo misión oficial, de acuerdo con los requisitos y las formalidades que establece la ley;
c) los nacidos en el extranjero de padre o madre cubanos, previo cumplimiento de los requisitos y las formalidades que la ley señala, y
d) los nacidos fuera del territorio nacional de padre o madre cubanos por nacimiento que hayan perdido la ciudadanía cubana, siempre que la reclamen en la forma que señala la ley.
ARTÍCULO 35.
Son ciudadanos cubanos por naturalización:
a) los extranjeros que adquieren la ciudadanía de acuerdo con lo establecido en la ley;
b) los que obtengan la ciudadanía cubana por decisión del Presidente de la República.
ARTÍCULO 36.
La adquisición de otra ciudadanía no implica la pérdida de la ciudadanía cubana. Los ciudadanos cubanos, mientras se encuentren en el territorio nacional, se rigen por esa condición, en los términos establecidos en la ley y no pueden hacer uso de una ciudadanía extranjera.
ARTÍCULO 37.
El matrimonio, la unión de hecho o su disolución no afectan la ciudadanía de los cónyuges, de los unidos o de sus hijos.
ARTÍCULO 38.
Los cubanos no pueden ser privados de su ciudadanía, salvo por causas legalmente establecidas.
La ley establece el procedimiento a seguir para la formalización de la pérdida y renuncia de la ciudadanía y las autoridades facultadas para decidirlo.
ARTÍCULO 39.
La ciudadanía cubana podrá recuperarse previo cumplimiento de los requisitos y formalidades que prescribe la ley.
TÍTULO V.- DERECHOS, DEBERES Y GARANTÍAS
CAPÍTULO I.- DISPOSICIONES GENERALES
ARTÍCULO 40.
La dignidad humana es el valor supremo que sustenta el reconocimiento y ejercicio de los derechos y deberes consagrados en la Constitución, los tratados y las leyes.
ARTÍCULO 41.
El Estado cubano reconoce y garantiza a la persona el goce y el ejercicio irrenunciable, imprescriptible, indivisible, universal e interdependiente de los derechos humanos, en correspondencia con los principios de progresividad, igualdad y no discriminación. Su respeto y garantía es de obligatorio cumplimiento para todos.
ARTÍCULO 42.
Todas las personas son iguales ante la ley, reciben la misma protección y trato de las autoridades y gozan de los mismos derechos, libertades y oportunidades, sin ninguna discriminación por razones de sexo, género, orientación sexual, identidad de género, edad, origen étnico, color de la piel, creencia religiosa, discapacidad, origen nacional o territorial, o cualquier otra condición o circunstancia personal que implique distinción lesiva a la dignidad humana.
Todas tienen derecho a disfrutar de los mismos espacios públicos y establecimientos de servicios.
Asimismo, reciben igual salario por igual trabajo, sin discriminación alguna.
La violación del principio de igualdad está proscrita y es sancionada por la ley.
ARTÍCULO 43.
La mujer y el hombre tienen iguales derechos y responsabilidades en lo económico, político, cultural, laboral, social, familiar y en cualquier otro ámbito. El Estado garantiza que se ofrezcan a ambos las mismas oportunidades y posibilidades.
El Estado propicia el desarrollo integral de las mujeres y su plena participación social. Asegura el ejercicio de sus derechos sexuales y reproductivos, las protege de la violencia de género en cualquiera de sus manifestaciones y espacios, y crea los mecanismos institucionales y legales para ello.
ARTÍCULO 44.
El Estado crea las condiciones para garantizar la igualdad de sus ciudadanos. Educa a las personas desde la más temprana edad en el respeto a este principio.
El Estado hace efectivo este derecho con la implementación de políticas públicas y leyes para potenciar la inclusión social y la salvaguarda de los derechos de las personas cuya condición lo requieran.
ARTÍCULO 45.
El ejercicio de los derechos de las personas solo está limitado por los derechos de los demás, la seguridad colectiva, el bienestar general, el respeto al orden público, a la Constitución y a las leyes.
CAPÍTULO II.- DERECHOS
ARTÍCULO 46.
Todas las personas tienen derecho a la vida, la integridad física y moral, la libertad, la justicia, la seguridad, la paz, la salud, la educación, la cultura, la recreación, el deporte y a su desarrollo integral.
ARTÍCULO 47.
Las personas tienen derecho al libre desarrollo de su personalidad y deben guardar entre sí una conducta de respeto, fraternidad y solidaridad.
ARTÍCULO 48.
Todas las personas tienen derecho a que se les respete su intimidad personal y familiar, su propia imagen y voz, su honor e identidad personal.
ARTÍCULO 49.
El domicilio es inviolable. No se puede penetrar en morada ajena sin permiso de quien la habita, salvo por orden expresa de la autoridad competente, con las formalidades legales y por motivo previamente definido en la ley.
ARTÍCULO 50.
La correspondencia y demás formas de comunicación entre las personas son inviolables. Solo pueden ser interceptadas o registradas mediante orden expresa de autoridad competente, en los casos y con las formalidades establecidas en la ley.
Los documentos o informaciones obtenidas con infracción de este principio no constituyen prueba en proceso alguno.
ARTÍCULO 51.
Las personas no pueden ser sometidas a desaparición forzada, torturas ni tratos o penas crueles, inhumanas o degradantes.
ARTÍCULO 52.
Las personas tienen libertad de entrar, permanecer, transitar y salir del territorio nacional, cambiar de domicilio o residencia, sin más limitaciones que las establecidas por la ley.
ARTÍCULO 53.
Todas las personas tienen derecho a solicitar y recibir del Estado información veraz, objetiva y oportuna, y a acceder a la que se genere en los órganos del Estado y entidades, conforme a las regulaciones establecidas.
ARTÍCULO 54.
El Estado reconoce, respeta y garantiza a las personas la libertad de pensamiento, conciencia y expresión.
La objeción de conciencia no puede invocarse con el propósito de evadir el cumplimiento de la ley o impedir a otro su cumplimiento o el ejercicio de sus derechos.
ARTÍCULO 55.
Se reconoce a las personas la libertad de prensa. Este derecho se ejerce de conformidad con la ley y los fines de la sociedad.
Los medios fundamentales de comunicación social, en cualquiera de sus manifestaciones y soportes, son de propiedad socialista de todo el pueblo o de las organizaciones políticas, sociales y de masas; y no pueden ser objeto de otro tipo de propiedad.
El Estado establece los principios de organización y funcionamiento para todos los medios de comunicación social.
ARTÍCULO 56.
Los derechos de reunión, manifestación y asociación, con fines lícitos y pacíficos, se reconocen por el Estado siempre que se ejerzan con respeto al orden público y el acatamiento a las preceptivas establecidas en la ley.
ARTÍCULO 57.
Toda persona tiene derecho a profesar o no creencias religiosas, a cambiarlas y a practicar la religión de su preferencia, con el debido respeto a las demás y de conformidad con la ley.
ARTÍCULO 58.
Todas las personas tienen derecho al disfrute de los bienes de su propiedad. El Estado garantiza su uso, disfrute y libre disposición, de conformidad con lo establecido en la ley.
La expropiación de bienes se autoriza únicamente atendiendo a razones de utilidad pública o interés social y con la debida indemnización.
La ley establece las bases para determinar su utilidad y necesidad, las garantías debidas, el procedimiento para la expropiación y la forma de indemnización.
ARTÍCULO 59.
La confiscación de bienes se aplica solo como sanción dispuesta por autoridad competente, en los procesos y por los procedimientos que determina la ley.
Cuando la confiscación de bienes sea dispuesta en procedimiento administrativo, se garantiza siempre a la persona su defensa ante los tribunales competentes.
ARTÍCULO 60.
El Estado favorece en su política penitenciaria la reinserción social de las personas privadas de libertad, garantiza el respeto de sus derechos y el cumplimiento de las normas establecidas para su tratamiento en los establecimientos penitenciarios.
Asimismo, se ocupa de la atención y reinserción social de las personas que extinguen sanciones penales no detentivas o cumplen otros tipos de medidas impuestas por los tribunales.
ARTÍCULO 61.
Las personas tienen derecho a dirigir quejas y peticiones a las autoridades, las que están obligadas a tramitarlas y dar las respuestas oportunas, pertinentes y fundamentadas en el plazo y según el procedimiento establecido en la ley.
ARTÍCULO 62.
Se reconocen a las personas los derechos derivados de la creación intelectual, conforme a la ley y los tratados internacionales.
Los derechos adquiridos se ejercen por los creadores y titulares en correspondencia con la ley, en función de las políticas públicas.
ARTÍCULO 63.
Se reconoce el derecho a la sucesión por causa de muerte. La ley regula su contenido y alcance.
ARTÍCULO 64.
Se reconoce el derecho al trabajo. La persona en condición de trabajar tiene derecho a obtener un empleo digno, en correspondencia con su elección, calificación, aptitud y exigencias de la economía y la sociedad.
El Estado organiza instituciones y servicios que faciliten a las familias trabajadoras el desempeño de sus responsabilidades.
ARTÍCULO 65.
Toda persona tiene derecho a que su trabajo se remunere en función de la calidad y cantidad, expresión del principio de distribución socialista “de cada cual según su capacidad, a cada cual según su trabajo”.
ARTÍCULO 66.
Se prohíbe el trabajo de las niñas, los niños y los adolescentes.
El Estado brinda especial protección a aquellos adolescentes graduados de la enseñanza técnica y profesional u otros que, en circunstancias excepcionales definidas en la ley, son autorizados a incorporarse al trabajo, con el fin de garantizar su adiestramiento y desarrollo integral.
ARTÍCULO 67.
La persona que trabaja tiene derecho al descanso, que se garantiza por la jornada de trabajo de ocho horas, el descanso semanal y las vacaciones anuales pagadas.
La ley define aquellos otros supuestos en los que excepcionalmente se pueden aprobar jornadas y regímenes diferentes de trabajo, con la debida correspondencia entre el tiempo de trabajo y el descanso.
ARTÍCULO 68.
La persona que trabaja tiene derecho a la seguridad social. El Estado, mediante el sistema de seguridad social, le garantiza la protección adecuada cuando se encuentre impedida de laborar por su edad, maternidad, paternidad, invalidez o enfermedad.
Asimismo, de conformidad con la ley, el Estado protege a los abuelos u otros familiares del menor de edad, en función del cuidado y atención a este.
En caso de muerte de la persona que trabaja o se encuentra pensionada, el Estado brinda similar protección a su familia, conforme a lo establecido en la ley.
ARTÍCULO 69.
El Estado garantiza el derecho a la seguridad y salud en el trabajo mediante la adopción de medidas adecuadas para la prevención de accidentes y enfermedades profesionales.
La persona que sufre un accidente de trabajo o contrae una enfermedad profesional tiene derecho a la atención médica, a subsidio o jubilación en los casos de incapacidad temporal o permanente de trabajo o a otras formas de protección de la seguridad social.
ARTÍCULO 70.
El Estado, mediante la asistencia social, protege a las personas sin recursos ni amparo, no aptas para trabajar, que carezcan de familiares en condiciones de prestarle ayuda; y a las familias que, debido a la insuficiencia de los ingresos que perciben, así lo requieran, de conformidad con la ley.
ARTÍCULO 71.
Se reconoce a todas las personas el derecho a una vivienda adecuada y a un hábitat seguro y saludable.
El Estado hace efectivo este derecho mediante programas de construcción, rehabilitación y conservación de viviendas, con la participación de entidades y de la población, en correspondencia con las políticas públicas, las normas del ordenamiento territorial y urbano y las leyes.
ARTÍCULO 72.
La salud pública es un derecho de todas las personas y es responsabilidad del Estado garantizar el acceso, la gratuidad y la calidad de los servicios de atención, protección y recuperación.
El Estado, para hacer efectivo este derecho, instituye un sistema de salud a todos los niveles accesible a la población y desarrolla programas de prevención y educación, en los que contribuyen la sociedad y las familias.
La ley define el modo en que los servicios de salud se prestan.
ARTÍCULO 73.
La educación es un derecho de todas las personas y responsabilidad del Estado, que garantiza servicios de educación gratuitos, asequibles y de calidad para la formación integral, desde la primera infancia hasta la enseñanza universitaria de posgrado.
El Estado, para hacer efectivo este derecho, establece un amplio sistema de instituciones educacionales en todos los tipos y niveles educativos, que brinda la posibilidad de estudiar en cualquier etapa de la vida de acuerdo a las aptitudes, las exigencias sociales y a las necesidades del desarrollo económico-social del país.
En la educación tienen responsabilidad la sociedad y las familias.
La ley define el alcance de la obligatoriedad de estudiar, la preparación general básica que, como mínimo, debe adquirirse; la educación de las personas adultas y aquellos estudios de posgrado u otros complementarios que excepcionalmente pueden ser remunerados.
ARTÍCULO 74.
Las personas tienen derecho a la educación física, al deporte y a la recreación como elementos esenciales de su calidad de vida.
El sistema nacional de educación garantiza la inclusión de la enseñanza y práctica de la educación física y el deporte como parte de la formación integral de la niñez, la adolescencia y la juventud.
El Estado crea las condiciones para garantizar los recursos necesarios dedicados a la promoción y práctica del deporte y la recreación del pueblo, así como para la preparación, atención y desarrollo de los talentos deportivos.
ARTÍCULO 75.
Todas las personas tienen derecho a disfrutar de un medio ambiente sano y equilibrado.
El Estado protege el medio ambiente y los recursos naturales del país. Reconoce su estrecha vinculación con el desarrollo sostenible de la economía y la sociedad para hacer más racional la vida humana y asegurar la supervivencia, el bienestar y la seguridad de las generaciones actuales y futuras.
ARTÍCULO 76.
Todas las personas tienen derecho al agua.
El Estado crea las condiciones para garantizar el acceso al agua potable y a su saneamiento, con la debida retribución y uso racional.
ARTÍCULO 77.
Todas las personas tienen derecho a la alimentación sana y adecuada. El Estado crea las condiciones para fortalecer la seguridad alimentaria de toda la población.
ARTÍCULO 78.
Todas las personas tienen derecho a consumir bienes y servicios de calidad y que no atenten contra su salud, y a acceder a información precisa y veraz sobre estos, así como a recibir un trato equitativo y digno de conformidad con la ley.
ARTÍCULO 79.
Todas las personas tienen derecho a participar en la vida cultural y artística de la nación.
El Estado promueve la cultura y las distintas manifestaciones artísticas, de conformidad con la política cultural y la ley.
ARTÍCULO 80.
Los ciudadanos cubanos tienen derecho a participar en la conformación, ejercicio y control del poder del Estado; en razón a esto pueden, de conformidad con la Constitución y las leyes:
a) estar inscriptos en el registro electoral;
b) proponer y nominar candidatos;
c) elegir y ser elegidos;
d) participar en elecciones, plebiscitos, referendos, consultas populares y otras formas de participación democrática;
e) pronunciarse sobre la rendición de cuenta que les presentan los elegidos;
f) revocar el mandato de los elegidos;
g) ejercer la iniciativa legislativa y de reforma de la Constitución;
h) desempeñar funciones y cargos públicos, y
i) estar informados de la gestión de los órganos y autoridades del Estado.
CAPÍTULO III.- LAS FAMILIAS
ARTÍCULO 81.
Toda persona tiene derecho a fundar una familia. El Estado reconoce y protege a las familias, cualquiera sea su forma de organización, como célula fundamental de la sociedad y crea las condiciones para garantizar que se favorezca integralmente la consecución de sus fines.
Se constituyen por vínculos jurídicos o de hecho, de naturaleza afectiva, y se basan en la igualdad de derechos, deberes y oportunidades de sus integrantes.
La protección jurídica de los diversos tipos de familias es regulada por la ley.
ARTÍCULO 82.
El matrimonio es una institución social y jurídica. Es una de las formas de organización de las familias. Se funda en el libre consentimiento y en la igualdad de derechos, obligaciones y capacidad legal de los cónyuges.
La ley determina la forma en que se constituye y sus efectos.
Se reconoce, además, la unión estable y singular con aptitud legal, que forme de hecho un proyecto de vida en común, que bajo las condiciones y circunstancias que señale la ley, genera los derechos y obligaciones que esta disponga.
ARTÍCULO 83.
Todos los hijos tienen iguales derechos.
Se prohíbe toda calificación sobre la naturaleza de la filiación.
El Estado garantiza, mediante los procedimientos legales adecuados, la determinación y el reconocimiento de la maternidad y la paternidad.
ARTÍCULO 84.
La maternidad y la paternidad son protegidas por el Estado.
Las madres y los padres tienen responsabilidades y funciones esenciales en la educación y formación integral de las nuevas generaciones en los valores morales, éticos y cívicos, en correspondencia con la vida en nuestra sociedad socialista.
Las madres y los padres u otros parientes consanguíneos o afines que cumplan funciones de guarda y cuidado tienen el deber de dar alimentos a niñas, niños y adolescentes, respetar y garantizar el pleno ejercicio de sus derechos, protegerlos de todos los tipos de violencia y contribuir activamente al desarrollo pleno de su personalidad.
Los hijos, a su vez, están obligados a respetar, atender y proteger a sus madres, padres y otros parientes, conforme con lo establecido en la ley.
ARTÍCULO 85.
La violencia familiar, en cualquiera de sus manifestaciones, se considera destructiva de las personas implicadas, de las familias y de la sociedad, y es sancionada por la ley.
ARTÍCULO 86.
El Estado, la sociedad y las familias brindan especial protección a las niñas, niños y adolescentes y garantizan su desarrollo armónico e integral para lo cual tienen en cuenta su interés superior en las decisiones y actos que les conciernan.
Las niñas, niños y adolescentes son considerados plenos sujetos de derechos y gozan de aquellos reconocidos en esta Constitución, además de los propios de su especial condición de persona en desarrollo. Son protegidos contra todo tipo de violencia.
ARTÍCULO 87.
El Estado, la sociedad y las familias reconocen a las personas jóvenes como activos participantes en la sociedad, a tales efectos crean las condiciones para el pleno ejercicio de sus derechos y su desarrollo integral.
ARTÍCULO 88.
El Estado, la sociedad y las familias, en lo que a cada uno corresponde, tienen la obligación de proteger, asistir y facilitar las condiciones para satisfacer las necesidades y elevar la calidad de vida de las personas adultas mayores. De igual forma, respetar su autodeterminación, garantizar el ejercicio pleno de sus derechos y promover su integración y participación social.
ARTÍCULO 89.
El Estado, la sociedad y las familias tienen la obligación de proteger, promover y asegurar el pleno ejercicio de los derechos de las personas en situación de discapacidad. El Estado crea las condiciones requeridas para su rehabilitación o el mejoramiento de su calidad de vida, su autonomía personal, su inclusión y participación social.
CAPÍTULO IV.- DEBERES
ARTÍCULO 90.
El ejercicio de los derechos y libertades previstos en esta Constitución implican responsabilidades. Son deberes de los ciudadanos cubanos, además de los otros establecidos en esta Constitución y las leyes:
a) servir y defender la patria;
b) cumplir la Constitución y demás normas jurídicas;
c) respetar y proteger los símbolos patrios;
d) contribuir a la financiación de los gastos públicos en la forma establecida por la ley;
e) guardar el debido respeto a las autoridades y sus agentes;
f) prestar servicio militar y social de acuerdo con la ley;
g) respetar los derechos ajenos y no abusar de los propios;
h) conservar, proteger y usar racionalmente los bienes y recursos que el Estado y la sociedad ponen al servicio de todo el pueblo;
i) cumplir los requerimientos establecidos para la protección de la salud y la higiene ambiental;
j) proteger los recursos naturales, la flora y la fauna y velar por la conservación de un medio ambiente sano;
k) proteger el patrimonio cultural e histórico del país, y
l) actuar, en sus relaciones con las personas, conforme al principio de solidaridad humana, respeto y observancia de las normas de convivencia social.
CAPÍTULO V.- DERECHOS Y DEBERES DE LOS EXTRANJEROS
ARTÍCULO 91.
Los extranjeros residentes en el territorio de la República se equiparan a los cubanos:
a) en la protección de sus personas y bienes;
b) en la obligación de observar la Constitución y demás normas jurídicas;
c) en la obligación de contribuir a la financiación de los gastos públicos en la forma y la cuantía que la ley establece;
d) en la sumisión a la jurisdicción y resoluciones de los tribunales de justicia y autoridades de la República, y
e) en el disfrute de los derechos y el cumplimiento de los deberes reconocidos en esta Constitución, bajo las condiciones y con las limitaciones que la ley fija.
La ley establece los casos y la forma en que los extranjeros pueden ser expulsados del territorio nacional y las autoridades facultadas para decidirlo.
CAPÍTULO VI.- GARANTÍAS DE LOS DERECHOS
ARTÍCULO 92.
El Estado garantiza, de conformidad con la ley, que las personas puedan acceder a los órganos judiciales a fin de obtener una tutela efectiva de sus derechos e intereses legítimos. Las decisiones judiciales son de obligatorio cumplimiento y su irrespeto deriva responsabilidad para quien las incumpla.
ARTÍCULO 93.
El Estado reconoce el derecho de las personas a resolver sus controversias utilizando métodos alternos de solución de conflictos, de conformidad con la Constitución y las normas jurídicas que se establezcan a tales efectos.
ARTÍCULO 94.
Toda persona, como garantía a su seguridad jurídica, disfruta de un debido proceso tanto en el ámbito judicial como en el administrativo y, en consecuencia, goza de los derechos siguientes:
a) disfrutar de igualdad de oportunidades en todos los procesos en que interviene como parte;
b) recibir asistencia jurídica para ejercer sus derechos en todos los procesos en que interviene;
c) aportar los medios de prueba pertinentes y solicitar la exclusión de aquellos que hayan sido obtenidos violando lo establecido;
d) acceder a un tribunal competente, independiente e imparcial, en los casos que corresponda;
e) no ser privada de sus derechos sino por resolución fundada de autoridad competente o sentencia firme de tribunal;
f) interponer los recursos o procedimientos pertinentes contra las resoluciones judiciales o administrativas que correspondan;
g) tener un proceso sin dilaciones indebidas, y
h) obtener reparación por los daños materiales y morales e indemnización por los perjuicios que reciba.
ARTÍCULO 95.
En el proceso penal las personas tienen, además, las siguientes garantías:
a) no ser privada de libertad sino por autoridad competente y por el tiempo legalmente establecido;
b) disponer de asistencia letrada desde el inicio del proceso;
c) que se le presuma inocente hasta tanto se dicte sentencia firme en su contra;
d) ser tratada con respeto a su dignidad e integridad física, psíquica y moral, y a no ser víctima de violencia y coacción de clase alguna para forzarla a declarar;
e) no declarar contra sí misma, su cónyuge, pareja de hecho o parientes hasta el cuarto grado de consanguinidad y segundo de afinidad;
f) ser informada sobre la imputación en su contra;
g) ser juzgada por un tribunal preestablecido legalmente y en virtud de leyes anteriores al delito;
h) comunicarse con sus familiares o personas allegadas, con inmediatez, en caso de ser detenida o arrestada; si se tratara de extranjeros se procede a la notificación consular, y
i) de resultar víctima, a disfrutar de protección para el ejercicio de sus derechos.
ARTÍCULO 96.
Quien estuviere privado de libertad ilegalmente tiene derecho, por sí o a través de tercero, a establecer ante tribunal competente procedimiento de Habeas Corpus, conforme a las exigencias establecidas en la ley.
ARTÍCULO 97.
Se reconoce el derecho de toda persona de acceder a sus datos personales en registros, archivos u otras bases de datos e información de carácter público, así como a interesar su no divulgación y obtener su debida corrección, rectificación, modificación, actualización o cancelación.
El uso y tratamiento de estos datos se realiza de conformidad con lo establecido en la ley.
ARTÍCULO 98.
Toda persona que sufriere daño o perjuicio causado indebidamente por directivos, funcionarios y empleados del Estado con motivo del ejercicio de las funciones propias de sus cargos, tiene derecho a reclamar y obtener la correspondiente reparación o indemnización en la forma que establece la ley.
ARTÍCULO 99.
La persona a la que se le vulneren los derechos consagrados en esta Constitución y, como consecuencia sufriere daño o perjuicio por órganos del Estado, sus directivos, funcionarios o empleados, con motivo de la acción u omisión indebida de sus funciones, así como por particulares o por entes no estatales, tiene derecho a reclamar ante los tribunales la restitución de los derechos y obtener, de conformidad con la ley, la correspondiente reparación o indemnización.
La ley establece aquellos derechos amparados por esta garantía, y el procedimiento preferente, expedito y concentrado para su cumplimiento.
ARTÍCULO 100.
En el ordenamiento jurídico rige el principio de irretroactividad de las leyes, salvo en materia penal cuando sean favorables a la persona encausada o sancionada, y en las demás leyes, cuando así lo dispongan expresamente, atendiendo a razones de interés social o utilidad pública.
TÍTULO VI.- ESTRUCTURA DEL ESTADO
CAPÍTULO I.- PRINCIPIOS DE ORGANIZACIÓN Y FUNCIONAMIENTO DE LOS ÓRGANOS DEL ESTADO
ARTÍCULO 101.
Los órganos del Estado se integran y desarrollan su actividad sobre la base de los principios de la democracia socialista que se expresan en las reglas siguientes:
a) todos los órganos representativos de poder del Estado son electivos y renovables;
b) el pueblo controla la actividad de los órganos estatales, de sus directivos y funcionarios, de los diputados y de los delegados, de conformidad con lo previsto en la ley;
c) los elegidos tienen el deber de rendir cuenta de su actuación periódicamente y pueden ser revocados de sus cargos en cualquier momento;
d) los órganos estatales de acuerdo a sus funciones y en el marco de su competencia desarrollan las iniciativas encaminadas al aprovechamiento de los recursos y posibilidades locales y la incorporación de las organizaciones de masas y sociales a su actividad;
e) las disposiciones de los órganos estatales superiores son obligatorias para los inferiores;
f) los órganos estatales inferiores responden ante los superiores y les rinden cuenta de su gestión;
g) la libertad de discusión, el ejercicio de la crítica y la autocrítica y la subordinación de la minoría a la mayoría rigen en todos los órganos estatales colegiados, y
h) los órganos del Estado, sus directivos y funcionarios actúan con la debida transparencia.
CAPÍTULO II.- ASAMBLEA NACIONAL DEL PODER POPULAR Y CONSEJO DE ESTADO
SECCIÓN PRIMERA.- ASAMBLEA NACIONAL DEL PODER POPULAR
ARTÍCULO 102.
La Asamblea Nacional del Poder Popular es el órgano supremo del poder del Estado. Representa a todo el pueblo y expresa su voluntad soberana.
ARTÍCULO 103.
La Asamblea Nacional del Poder Popular es el único órgano con potestad constituyente y legislativa en la República.
ARTÍCULO 104.
La Asamblea Nacional del Poder Popular está integrada por diputados elegidos por el voto libre, igual, directo y secreto de los electores, en la proporción y según el procedimiento que determina la ley.
ARTÍCULO 105.
La Asamblea Nacional del Poder Popular es elegida por un período de cinco años.
Este período solo podrá extenderse por la propia Asamblea mediante acuerdo adoptado por una mayoría no inferior a las dos terceras partes del número total de sus integrantes, en caso de circunstancias excepcionales que impidan la celebración normal de las elecciones y mientras subsistan tales circunstancias.
ARTÍCULO 106.
La Asamblea Nacional del Poder Popular, al constituirse para una nueva legislatura, elige, de entre sus diputados, a su Presidente, al Vicepresidente y al Secretario.
La ley regula la forma y el procedimiento mediante los cuales se constituye la Asamblea y realiza esa elección.
ARTÍCULO 107.
La Asamblea Nacional del Poder Popular elige, de entre sus diputados, al Consejo de Estado, órgano que la representa entre uno y otro período de sesiones, ejecuta sus acuerdos y cumple las demás funciones que la Constitución y la ley le atribuyen.
ARTÍCULO 108.
Corresponde a la Asamblea Nacional del Poder Popular:
a) acordar reformas de la Constitución, conforme a lo establecido en el Título XI;
b) dar a la Constitución y a las leyes, en caso necesario, una interpretación general y obligatoria, en correspondencia con el procedimiento previsto en la ley;
c) aprobar, modificar o derogar las leyes y someterlas previamente a la consulta popular cuando lo estime procedente, en atención a la índole de la legislación de que se trate;
d) adoptar acuerdos en correspondencia con las leyes vigentes y controlar su cumplimiento;
e) ejercer el control de constitucionalidad sobre las leyes, decretos-leyes, decretos presidenciales, decretos y demás disposiciones generales, de conformidad con el procedimiento previsto en la ley;
f) ratificar los decretos-leyes y acuerdos del Consejo de Estado;
g) revocar total o parcialmente los decretos-leyes, decretos presidenciales, decretos, acuerdos o disposiciones generales que contradigan la Constitución o las leyes;
h) revocar total o parcialmente los acuerdos o disposiciones de las asambleas municipales del Poder Popular que contravengan la Constitución, las leyes, los decretos-leyes, los decretos presidenciales, decretos y demás disposiciones dictadas por órganos competentes, o los que afecten los intereses de otras localidades o los generales del país;
i) discutir y aprobar los objetivos generales y metas de los planes a corto, mediano y largo plazos, en función del desarrollo económico y social;
j) aprobar los principios del sistema de dirección del desarrollo económico y social;
k) discutir y aprobar el presupuesto del Estado y controlar su cumplimiento;
l) acordar los sistemas monetario, financiero y fiscal;
m) establecer, modificar o extinguir los tributos;
n) aprobar los lineamientos generales de la política exterior e interior;
ñ) declarar el Estado de Guerra o la Guerra en caso de agresión militar y aprobar los tratados de paz;
o) establecer y modificar la división político-administrativa; aprobar regímenes de subordinación administrativa, sistemas de regulación especiales a municipios u otras demarcaciones territoriales y a los distritos administrativos, conforme a lo establecido en la Constitución y las leyes;
p) nombrar comisiones permanentes, temporales y grupos parlamentarios de amistad;
q) ejercer la más alta fiscalización sobre los órganos del Estado;
r) conocer y evaluar los informes y análisis de los sistemas empresariales estatales que, por su magnitud y trascendencia económica y social, sean pertinentes;
s) conocer, evaluar y adoptar decisiones sobre los informes de rendición de cuenta que le presenten el Consejo de Estado, el Presidente de la República, el Primer Ministro, el Consejo de Ministros, el Tribunal Supremo Popular, la Fiscalía General de la República, la Contraloría General de la República y los organismos de la Administración Central del Estado, así como los gobiernos provinciales;
t) crear o extinguir los organismos de la Administración Central del Estado o disponer cualquier otra medida organizativa que resulte procedente;
u) conceder amnistías;
v) disponer la convocatoria a referendos o a plebiscitos en los casos previstos en la Constitución y en otros que la propia Asamblea considere procedente;
w) acordar su reglamento y el del Consejo de Estado, y
x) las demás atribuciones que le confiere esta Constitución.
ARTÍCULO 109.
La Asamblea Nacional del
Poder Popular, en ejercicio de sus atribuciones:
a) elige al Presidente y al Vicepresidente de la República;
b) elige a su Presidente, Vicepresidente y Secretario;
c) elige a los integrantes del Consejo de Estado;
d) designa, a propuesta del Presidente de la República, al Primer Ministro;
e) designa, a propuesta del Presidente de la República, a los Viceprimeros Ministros y demás miembros del Consejo de Ministros;
f) elige al Presidente del Tribunal Supremo Popular, al Fiscal General de la República y al Contralor General de la República;
g) elige al Presidente y a los demás integrantes del Consejo Electoral Nacional;
h) elige a los vicepresidentes y a los magistrados del Tribunal Supremo Popular, así como a los jueces legos de esta instancia;
i) elige a los vicefiscales y vicecontralores generales de la República, y
j) revoca o sustituye a las personas elegidas o designadas por ella. La ley regula el procedimiento para hacer efectivas estas atribuciones.
ARTÍCULO 110.
La Asamblea Nacional del Poder Popular en su funcionamiento se rige por los principios siguientes:
a) las leyes y acuerdos que emite, salvo las excepciones previstas en la Constitución, se adoptan por mayoría simple de votos;
b) se reúne en dos períodos ordinarios de sesiones al año y en sesión extraordinaria cuando la convoque el Consejo de Estado o lo solicite la tercera parte de sus miembros. En las sesiones extraordinarias se tratan los asuntos que la motivaron;
c) para celebrar sus sesiones se requiere la presencia de más de la mitad del número total de los diputados que la integran, y
d) sus sesiones son públicas, excepto cuando la propia Asamblea acuerde celebrarlas a puertas cerradas por razón de interés de Estado.
ARTÍCULO 111.
Corresponde al Presidente de la Asamblea Nacional del Poder Popular:
a) cumplir y velar por el respeto a la Constitución y las leyes;
b) presidir las sesiones de la Asamblea Nacional del Poder Popular y del Consejo de Estado;
c) convocar las sesiones ordinarias de la Asamblea Nacional;
d) convocar las sesiones ordinarias y extraordinarias del Consejo de Estado;
e) proponer el proyecto de orden del día de las sesiones de la Asamblea Nacional y del Consejo de Estado;
f) firmar las leyes, decretos-leyes y acuerdos adoptados por la Asamblea Nacional del Poder Popular y el Consejo de Estado, según corresponda, y disponer la publicación de los decretos-leyes y acuerdos en la Gaceta Oficial de la República;
g) dirigir las relaciones internacionales de la Asamblea Nacional del Poder Popular;
h) dirigir y organizar la labor de las comisiones permanentes y temporales que sean creadas por la Asamblea Nacional del Poder Popular o el Consejo de Estado, según corresponda;
i) dirigir y organizar las relaciones de la Asamblea Nacional del Poder Popular y del Consejo de Estado con los órganos estatales;
j) controlar el cumplimiento de los acuerdos de la Asamblea Nacional del Poder Popular y del Consejo de Estado;
k) velar por el adecuado vínculo entre los diputados y los electores, y
l) las demás atribuciones que por esta Constitución, la Asamblea Nacional del Poder Popular o el Consejo de Estado se le asignen.
ARTÍCULO 112.
En caso de ausencia, enfermedad o muerte del Presidente de la Asamblea Nacional del Poder Popular, lo sustituye en sus funciones el Vicepresidente, conforme a lo establecido en la ley.
SECCIÓN SEGUNDA.- DIPUTADOS Y COMISIONESDE LA ASAMBLEA NACIONALDEL PODER POPULAR
ARTÍCULO 113.
Los diputados tienen el deber de desarrollar sus labores en beneficio de los intereses del pueblo, mantener vínculo con sus electores, atender sus planteamientos, sugerencias, críticas y explicarles la política del Estado. Asimismo, rendirán cuenta del cumplimiento de sus funciones como tal, según lo establecido en la ley.
La Asamblea Nacional del Poder Popular adopta las medidas que garanticen la adecuada vinculación de los diputados con sus electores y con los órganos locales del Poder Popular en el territorio donde fueron elegidos.
ARTÍCULO 114.
Ningún diputado puede ser detenido ni sometido a proceso penal sin autorización de la Asamblea Nacional del Poder Popular o del Consejo de Estado si no está reunida aquella, salvo en caso de delito flagrante.
ARTÍCULO 115.
La condición de diputado no entraña privilegios personales ni beneficios económicos. Durante el tiempo que empleen en el desempeño efectivo de sus funciones, los diputados perciben la misma remuneración de su centro de trabajo y mantienen el vínculo con este, a los efectos pertinentes.
ARTÍCULO 116.
A los diputados les puede ser revocado su mandato en cualquier momento, en la forma, por las causas y según los procedimientos establecidos en la ley.
ARTÍCULO 117.
Los diputados, en el curso de las sesiones de la Asamblea Nacional del Poder Popular, tienen el derecho de hacer preguntas al Consejo de Estado y al Consejo de Ministros o a los miembros de uno y otro, y a que estas les sean respondidas en el curso de la misma o en la próxima sesión.
ARTÍCULO 118.
La Asamblea Nacional del Poder Popular para el mejor ejercicio de sus funciones crea comisiones permanentes y temporales integradas por diputados, conforme a los principios de organización y funcionamiento previstos en la ley.
ARTÍCULO 119.
Los diputados y las comisiones tienen el derecho de solicitar a los órganos estatales o entidades la colaboración necesaria para el cumplimiento de sus funciones, y estos están en la obligación de prestarla en los términos establecidos en la ley.
SECCIÓN TERCERA.- CONSEJO DE ESTADO
ARTÍCULO 120.
El Consejo de Estado tiene carácter colegiado, es responsable ante la Asamblea Nacional del Poder Popular y le rinde cuenta de todas sus actividades.
Los decretos-leyes y acuerdos que adopte el Consejo de Estado se someten a la ratificación de la Asamblea Nacional en la sesión más próxima.
ARTÍCULO 121.
El Presidente, el Vicepresidente y el Secretario de la Asamblea Nacional del Poder Popular, lo son a su vez del Consejo de Estado, el que está integrado por los demás miembros que aquella decida.
No pueden integrar el Consejo de Estado los miembros del Consejo de Ministros, ni las máximas autoridades de los órganos judiciales, electorales y de control estatal.
ARTÍCULO 122.
Corresponde al Consejo de Estado:
a) velar por el cumplimiento de la Constitución y las leyes;
b) dar a las leyes vigentes, en caso necesario, una interpretación general y obligatoria;
c) dictar decretos-leyes y acuerdos;
d) disponer la celebración de sesiones extraordinarias de la Asamblea Nacional del Poder Popular;
e) convocar y acordar la fecha de las elecciones para la renovación periódica de la Asamblea Nacional del Poder Popular y de las asambleas municipales del Poder Popular;
f) analizar los proyectos de leyes que se someten a la consideración de la Asamblea Nacional del Poder Popular;
g) exigir el cumplimiento de los acuerdos de la Asamblea Nacional del Poder Popular;
h) suspender los decretos presidenciales, decretos, acuerdos y demás disposiciones que contradigan la Constitución y las le-yes, dando cuenta a la Asamblea Nacional del Poder Popular en la primera sesión que celebre después de acordada dicha suspensión;
i) suspender los acuerdos y disposiciones de las asambleas municipales del Poder Popular que no se ajusten a la Constitución o a las leyes, los decretos-leyes, los decretos presidenciales, decretos y demás disposiciones dictadas por órganos competentes; o los que afecten los intereses de otras localidades o los generales del país, dando cuenta a la Asamblea Nacional del Poder Popular en la primera sesión que celebre después de acordada dicha suspensión;
j) revocar o modificar los acuerdos y demás disposiciones de los gobernadores y consejos provinciales que contravengan la Constitución, las leyes, los decretos-leyes, los decretos presidenciales, decretos y demás disposiciones dictadas por un órgano de superior jerarquía, o cuando afecten los intereses de otras localidades o los generales del país;
k) elegir, designar, suspender, revocar o sustituir, entre uno y otro período de sesiones de la Asamblea Nacional del Poder Popular, a quienes deban ocupar los cargos que le corresponde a esta decidir, a excepción del Presidente y Vicepresidente de la República, el Presidente, Vicepresidente y Secretario de la Asamblea Nacional del Poder Popular, a los integrantes del Consejo de Estado y al Primer Ministro. Al Presidente del Tribunal Supremo Popular, al Fiscal General de la República, al Contralor General de la República y al Presidente del Consejo Electoral Nacional, solo los puede suspender del ejercicio de sus responsabilidades. En todos los casos, da cuenta a la Asamblea Nacional del Poder Popular en su sesión más próxima, a los efectos que corresponda;
l) asumir, a propuesta del Presidente de la República, las facultades de declarar el Estado de Guerra o la Guerra en caso de agresión o concertar la paz, que la Constitución atribuye a la Asamblea Nacional del Poder Popular, cuando esta se halle en receso y no pueda ser convocada con la seguridad y urgencia necesarias;
m) impartir instrucciones de carácter general a los tribunales a través del Consejo de Gobierno del Tribunal Supremo Popular;
n) crear comisiones;
ñ) ratificar y denunciar tratados internacionales;
o) designar y remover, a propuesta del Presidente de la República, a los jefes de misiones diplomáticas de Cuba ante otros Estados, organismos u organizaciones internacionales;
p) ejercer el control y fiscalización de los órganos del Estado;
q) durante los períodos que medien entre una y otra sesión de la Asamblea Nacional del Poder Popular, crear o extinguir los organismos de la Administración Central del Estado o disponer cualquier otra medida organizativa que resulte procedente;
r) aprobar las modalidades de inversión extranjera que le corresponden;
s) examinar y aprobar, entre uno y otro período de sesiones de la Asamblea Nacional del Poder Popular, los ajustes que sean necesarios realizar al presupuesto del Estado;
t) coordinar y garantizar las actividades de los diputados y de las comisiones permanentes y temporales de trabajo de la Asamblea Nacional del Poder Popular, y
u) las demás atribuciones que le confieran la Constitución y las leyes o le encomiende la Asamblea Nacional del Poder Popular.
ARTÍCULO 123.
Todas las decisiones del Consejo de Estado son adoptadas por el voto favorable de la mayoría simple de sus integrantes.
ARTÍCULO 124.
El mandato confiado al Consejo de Estado por la Asamblea Nacional del Poder Popular expira al tomar posesión el nuevo Consejo de Estado elegido en virtud de las renovaciones periódicas de aquella.
CAPÍTULO III.- PRESIDENTE Y VICEPRESIDENTE DE LA REPÚBLICA
ARTÍCULO 125.
El Presidente de la República es el Jefe del Estado.
ARTÍCULO 126.
El Presidente de la República es elegido por la Asamblea Nacional del Poder Popular de entre sus diputados, por un período de cinco años, y le rinde cuenta a esta de su gestión.
Para ser elegido Presidente de la República se requiere el voto favorable de la mayoría absoluta.
El Presidente de la República puede ejercer su cargo hasta dos períodos consecutivos, luego de lo cual no puede desempeñarlo nuevamente.
ARTÍCULO 127.
Para ser Presidente de la República se requiere haber cumplido treinta y cinco años de edad, hallarse en pleno goce de los derechos civiles y políticos, ser ciudadano cubano por nacimiento y no tener otra ciudadanía.
Se exige además tener hasta sesenta años de edad para ser elegido en este cargo en un primer período.
ARTÍCULO 128.
Corresponde al Presidente de la República:
a) cumplir y velar por el respeto a la Constitución y las leyes;
b) representar al Estado y dirigir su política general;
c) dirigir la política exterior, las relaciones con otros Estados y la relativa a la defensa y la seguridad nacional;
d) refrendar las leyes que emita la Asamblea Nacional del Poder Popular y disponer su publicación en la Gaceta Oficial de la República, de conformidad con lo previsto en la ley;
e) presentar a la Asamblea Nacional del Poder Popular, una vez elegido por esta, en esa sesión o en la próxima, los miembros del Consejo de Ministros;
f) proponer a la Asamblea Nacional del Poder Popular o al Consejo de Estado, según corresponda, la elección, designación, suspensión, revocación o sustitución en sus funciones del Primer Ministro, del Presidente del Tribunal Supremo Popular, del Fiscal General de la República, del Contralor General de la República, del Presidente del Consejo Electoral Nacional y de los miembros del Consejo de Ministros;
g) proponer a los delegados de las asambleas municipales del Poder Popular que correspondan, la elección o revocación de los gobernadores y vicegobernadores provinciales;
h) conocer, evaluar y adoptar decisiones sobre los informes de rendición de cuenta que le presente el Primer Ministro sobre su gestión, la del Consejo de Ministros o la de su Comité Ejecutivo;
i) desempeñar la Jefatura Suprema de las instituciones armadas y determinar su organización general;
j) presidir el Consejo de Defensa Nacional y proponer a la Asamblea Nacional del Poder Popular o al Consejo de Estado, según proceda, declarar el Estado de Guerra o la Guerra en caso de agresión militar;
k) decretar la Movilización General cuando la defensa del país lo exija, así como declarar el Estado de Emergencia y la Situación de Desastre, en los casos previstos en la Constitución, dando cuenta de su decisión, tan pronto las circunstancias lo permitan, a la Asamblea Nacional del Poder Popular o al Consejo de Estado, de no poder reunirse aquella, a los efectos legales procedentes;
l) ascender en grado y cargo a los oficiales de mayor jerarquía de las instituciones armadas de la nación y disponer el cese de estos, de conformidad con el procedimiento previsto en la ley;
m) decidir, en los casos que le corresponda, el otorgamiento de la ciudadanía cubana, aceptar las renuncias y disponer sobre la privación de esta;
n) proponer, de conformidad con lo previsto en la Constitución y la ley, la suspensión, modificación o revocación de las disposiciones y acuerdos de los órganos del Estado que contradigan la Constitución, las leyes o afecten los intereses generales del país;
ñ) dictar, en el ejercicio de sus atribuciones, decretos presidenciales y otras disposiciones;
o) crear comisiones o grupos de trabajo temporales para la realización de tareas específicas;
p) proponer al Consejo de Estado la designación
o remoción de los jefes de misiones diplomáticas de Cuba ante otros Estados, organismos u organizaciones internacionales;
q) conceder o retirar el rango de embajador de la República de Cuba;
r) otorgar condecoraciones y títulos honoríficos;
s) otorgar o negar, en representación de la República de Cuba, el beneplácito a los jefes de misiones diplomáticas de otros Estados;
t) recibir las cartas credenciales de los jefes de las misiones extranjeras. El Vicepresidente podrá asumir esta función excepcionalmente;
u) conceder indultos y solicitar a la Asamblea Nacional del Poder Popular la concesión de amnistías;
v) participar por derecho propio en las reuniones del Consejo de Estado y convocarlas cuando lo considere;
w) presidir las reuniones del Consejo de Ministros o su Comité Ejecutivo, y
x) las demás atribuciones que por la Constitución o las leyes se le asignen.
ARTÍCULO 129.
Para ser Vicepresidente de la República se requiere haber cumplido treinta y cinco años de edad, hallarse en pleno goce de los derechos civiles y políticos, ser ciudadano cubano por nacimiento y no tener otra ciudadanía. Es elegido de la misma forma, por igual período y limitación de mandato que el Presidente de la República.
ARTÍCULO 130.
El Vicepresidente de la República cumple las atribuciones que le sean delegadas o asignadas por el Presidente de la República.
ARTÍCULO 131.
En caso de ausencia, enfermedad o muerte del Presidente de la República, lo sustituye temporalmente en sus funciones el Vicepresidente.
Cuando la ausencia es definitiva, la Asamblea Nacional del Poder Popular elige al nuevo Presidente de la República.
Cuando quede vacante el cargo de Vicepresidente de la República, la Asamblea Nacional del Poder Popular elige a su sustituto.
Si la ausencia es definitiva, tanto del Presidente como del Vicepresidente de la República, la Asamblea Nacional del Poder Popular elige a sus sustitutos. Hasta tanto se realice la elección, el Presidente de la Asamblea Nacional del Poder Popular asume interinamente el cargo de Presidente de la República.
La ley regula el procedimiento para su cumplimiento.
ARTÍCULO 132.
El Presidente y Vicepresidente de la República se mantienen en sus cargos hasta la elección de sus sucesores por la Asamblea Nacional del Poder Popular.
CAPÍTULO IV.- GOBIERNO DE LA REPÚBLICA
SECCIÓN PRIMERA.- CONSEJO DE MINISTROS
ARTÍCULO 133.
El Consejo de Ministros es el máximo órgano ejecutivo y administrativo y constituye el Gobierno de la República.
ARTÍCULO 134.
El Consejo de Ministros está integrado por el Primer Ministro, los Viceprimeros Ministros, los Ministros, el Secretario y los otros miembros que determine la ley.
En las sesiones del Consejo de Ministros participa, por derecho propio, el Secretario General de la Central de Trabajadores de Cuba.
ARTÍCULO 135.
El Primer Ministro, los Viceprimeros Ministros, el Secretario y otros miembros del Consejo de Ministros que determine el Presidente de la República, integran su Comité Ejecutivo.
El Comité Ejecutivo puede decidir sobre las cuestiones atribuidas al Consejo de Ministros, durante los períodos que medien entre una y otra de sus reuniones.
ARTÍCULO 136.
El Consejo de Ministros es responsable y periódicamente rinde cuenta de sus actividades ante la Asamblea Nacional del Poder Popular.
ARTÍCULO 137.
Corresponde al Consejo de Ministros:
a) cumplir y velar por el cumplimiento de la Constitución y las leyes;
b) organizar y dirigir la ejecución de las actividades políticas, económicas, culturales, científicas, sociales y de la defensa acordadas por la Asamblea Nacional del Poder Popular;
c) proponer los objetivos generales y metas para la elaboración de los planes a corto, mediano y largo plazos en función del desarrollo económico y social del Estado, y una vez aprobados por la Asamblea Nacional del Poder Popular, organizar, dirigir y controlar su ejecución;
d) aprobar y someter a la ratificación del Consejo de Estado los tratados internacionales;
e) dirigir y controlar el comercio exterior y la inversión extranjera;
f) elaborar el proyecto de Presupuesto del Estado y, una vez aprobado por la Asamblea Nacional del Poder Popular, velar por su ejecución;
g) implementar y exigir el cumplimiento de los objetivos aprobados para fortalecer los sistemas monetario, financiero y fiscal;
h) elaborar proyectos legislativos y someterlos a la consideración de la Asamblea Nacional del Poder Popular o del Consejo de Estado, según proceda;
i) proveer a la defensa nacional, al mantenimiento de la seguridad y orden interior, y a la protección de los derechos ciudadanos, así como a la salvaguarda de vidas y bienes en caso de desastres;
j) dirigir la administración del Estado, así como unificar, coordinar y fiscalizar la actividad de los organismos de la Administración Central del Estado, de las entidades nacionales y de las administraciones locales;
k) evaluar y adoptar decisiones sobre los informes de rendición de cuenta que le presenten los gobernadores provinciales;
l) crear, modificar o extinguir entidades subordinadas o adscriptas al Consejo de Ministros y, en lo que le corresponda, a los organismos de la Administración Central del Estado;
m)orientar y controlar la gestión de los gobernadores provinciales;
n) aprobar o autorizar las modalidades de inversión extranjera que le correspondan;
ñ) ejecutar las leyes y acuerdos de la Asamblea Nacional del Poder Popular, así como los decretos-leyes y disposiciones del Consejo de Estado, los decretos presidenciales y, en caso necesario, reglamentar lo que corresponda;
o) dictar decretos y acuerdos sobre la base y en cumplimiento de las leyes vigentes y controlar su ejecución;
p) proponer al Consejo de Estado la suspensión de los acuerdos de las asambleas municipales del Poder Popular que contravengan las leyes y demás disposiciones vigentes, o que afecten los intereses de otras comunidades o los generales del país;
q) suspender los acuerdos y demás disposiciones de los consejos provinciales y de los consejos de la administración municipal que no se ajusten a la Constitución, las leyes, decretos-leyes, decretos presidenciales, decretos y demás disposiciones de los órganos superiores, o cuando afecten los intereses de otras localidades o los generales del país, dando cuenta al Consejo de Estado o a la Asamblea Municipal del Poder Popular, a los efectos que proceda según corresponda;
r) revocar total o parcialmente las disposiciones que emitan los gobernadores provinciales, cuando contravengan la Constitución, las leyes, los decretos-leyes, decretos presidenciales, decretos y demás disposiciones dictadas por órganos competentes, o los que afecten los intereses de otras localidades o los generales del país;
s) revocar total o parcialmente las disposiciones de los jefes de organismos de la Administración Central del Estado, cuando contravengan las normas superiores que les sean de obligatorio cumplimiento;
t) crear las comisiones que estime necesarias para facilitar el cumplimiento de las tareas que le están asignadas;
u) designar o sustituir a los directivos y funcionarios de acuerdo con las facultades que le confiere la ley;
v) someter a la aprobación de la Asamblea Nacional del Poder Popular o del Consejo de Estado su reglamento, y
w) las demás atribuciones que le confieran la Constitución, las leyes o le encomiende la Asamblea Nacional del Poder Popular o el Consejo de Estado.
ARTÍCULO 138.
El Consejo de Ministros tiene carácter colegiado y sus decisiones son adoptadas por el voto favorable de la mayoría simple de sus integrantes.
ARTÍCULO 139.
El Consejo de Ministros se mantiene en funciones hasta tanto sea designado el Gobierno en la nueva legislatura.
SECCIÓN SEGUNDA.- PRIMER MINISTRO
ARTÍCULO 140.
El Primer Ministro es el Jefe de Gobierno de la República.
ARTÍCULO 141.
El Primer Ministro es designado por la Asamblea Nacional del Poder Popular, a propuesta del Presidente de la República, por un período de cinco años.
Para ser designado Primer Ministro se requiere el voto favorable de la mayoría absoluta.
ARTÍCULO 142.
El Primer Ministro es responsable ante la Asamblea Nacional del Poder Popular y ante el Presidente de la República, a los cuales rinde cuenta e informa de su gestión, de la del Consejo de Ministros o de su Comité Ejecutivo, en las ocasiones que se le indique.
ARTÍCULO 143.
Para ser Primer Ministro se requiere ser diputado a la Asamblea Nacional del Poder Popular, haber cumplido treinta y cinco años de edad, hallarse en pleno goce de los derechos civiles y políticos, ser ciudadano cubano por nacimiento y no tener otra ciudadanía.
ARTÍCULO 144.
Corresponde al Primer Ministro:
a) cumplir y velar por el respeto a la Constitución y las leyes;
b) representar al Gobierno de la República;
c) convocar y dirigir las sesiones del Consejo de Ministros o de su Comité Ejecutivo;
d) atender y controlar el desempeño de las actividades de los organismos de la Administración Central del Estado, de las entidades nacionales y de las administraciones locales;
e) asumir, con carácter excepcional y temporalmente, la dirección de cualquier organismo de la Administración Central del Estado;
f) solicitar al Presidente de la República que interese a los órganos pertinentes la sustitución de los integrantes del Consejo de Ministros y, en cada caso, proponer los sustitutos correspondientes;
g) ejercer el control sobre la labor de los jefes de los organismos de la Administración Central del Estado;
h) impartir instrucciones a los gobernadores provinciales y controlar su ejecución;
i) adoptar de forma excepcional decisiones sobre los asuntos ejecutivo-administrativos competencia del Consejo de Ministros, cuando el carácter apremiante de la situación o el tema a solucionar lo exijan, informándole posteriormente a ese órgano o a su Comité Ejecutivo;
j) designar o sustituir a los directivos y funcionarios, de acuerdo con las facultades que le confiere la ley;
k) firmar las disposiciones legales adoptadas por el Consejo de Ministros o por su Comité Ejecutivo y disponer su publicación en la Gaceta Oficial de la República;
l) crear comisiones o grupos de trabajo temporales para la realización de tareas específicas, y
m) cualquier otra atribución que le asignen la Constitución y las leyes.
SECCIÓN TERCERA.- MIEMBROS DEL CONSEJO DE MINISTROS
ARTÍCULO 145.
Corresponde a los miembros del Consejo de Ministros:
a) representar al Consejo de Ministros o a su Primer Ministro en las circunstancias que así se disponga;
b) cumplir los acuerdos y demás disposiciones del Consejo de Ministros y su Comité Ejecutivo que les correspondan e informar al respecto al Primer Ministro;
c) cumplir con las tareas que les asigne el Primer Ministro y ejercer las atribuciones que, en cada caso, este les delegue;
d) dirigir los asuntos y tareas del ministerio u organismo a su cargo, dictando las resoluciones y disposiciones necesarias;
e) dictar, cuando no sea atribución expresa de otro órgano estatal, las disposiciones que se requieran para la ejecución y aplicación de las leyes, decretos-leyes y otras disposiciones que les conciernen;
f) asistir a las sesiones del Consejo de Ministros, con voz y voto, y presentar a este proyectos de leyes, decretos-leyes, decretos, resoluciones, acuerdos o cualquier otra proposición que estimen conveniente;
g) designar o sustituir a los directivos y funcionarios de acuerdo con las facultades que les confiere la ley, y
h) cualquier otra atribución que les asignen la Constitución y las leyes.
SECCIÓN CUARTA.- ADMINISTRACIÓN CENTRAL DEL ESTADO
ARTÍCULO 146.
El número, denominación, misión y funciones de los ministerios y demás organismos que forman parte de la Administración Central del Estado son determinados por la ley.
CAPÍTULO V.- TRIBUNALES DE JUSTICIA
ARTÍCULO 147.
La función de impartir justicia dimana del pueblo y es ejercida a nombre de este por el Tribunal Supremo Popular y los demás tribunales que la ley instituye.
La ley establece los principales objetivos de la actividad judicial y regula la organización de los tribunales; la jurisdicción y la extensión de su competencia; la forma en que se constituyen para los actos de impartir justicia; la participación de los jueces legos; los requisitos que deben reunir los magistrados del Tribunal Supremo Popular y demás jueces; la forma de elección de estos y las causas y procedimientos para la revocación o cese en el ejercicio de sus funciones.
ARTÍCULO 148.
Los tribunales constituyen un sistema de órganos estatales, estructurados con independencia funcional de cualquier otro.
El Tribunal Supremo Popular ejerce la máxima autoridad judicial y sus decisiones son definitivas.
A través de su Consejo de Gobierno ejerce la iniciativa legislativa y la potestad reglamentaria, toma decisiones y dicta normas de obligado cumplimiento por todos los tribunales y, sobre la base de la experiencia de estos, imparte instrucciones de carácter obligatorio para establecer una práctica judicial uniforme en la interpretación y aplicación de la ley.
ARTÍCULO 149.
Los magistrados y jueces legos del Tribunal Supremo Popular son elegidos por la Asamblea Nacional del Poder Popular o, en su caso, por el Consejo de Estado.
La ley determina la elección de los demás jueces.
ARTÍCULO 150.
Los magistrados y jueces, en su función de impartir justicia, son independientes y no deben obediencia más que a la ley.
Asimismo, son inamovibles en su condición mientras no concurran causas legales para el cese o revocación en sus funciones.
ARTÍCULO 151.
Las sentencias y demás resoluciones firmes de los tribunales, dictadas dentro de los límites de su competencia, son de obligatorio cumplimiento por los órganos del Estado, las entidades y los ciudadanos, tanto por los directamente afectados por ellos como por los que no teniendo interés directo en su ejecución tengan que intervenir en esta.
ARTÍCULO 152.
En los actos judiciales que participen jueces legos, estos tienen iguales derechos y deberes que los jueces profesionales. El desempeño de sus funciones judiciales, dada su importancia social, tiene prioridad con respecto a su ocupación laboral habitual.
ARTÍCULO 153.
En todos los tribunales las audiencias son públicas, a menos que razones de seguridad estatal, moralidad, orden público
o el respeto a la persona agraviada por el delito o a sus familiares, aconsejen celebrarlas a puertas cerradas.
ARTÍCULO 154.
El Tribunal Supremo Popular rinde cuenta ante la Asamblea Nacional del Poder Popular de los resultados de su trabajo en la forma y con la periodicidad que establece la ley.
ARTÍCULO 155.
La facultad de revocación de los magistrados y jueces corresponde al órgano que los elige.
CAPÍTULO VI.- FISCALÍA GENERAL DE LA REPÚBLICA
ARTÍCULO 156.
La Fiscalía General de la República es el órgano del Estado que tiene como misión fundamental ejercer el control de la investigación penal y el ejercicio de la acción penal pública en representación del Estado, así como velar por el estricto cumplimiento de la Constitución, las leyes y demás disposiciones legales por los órganos del Estado, las entidades y por los ciudadanos.
La ley determina los demás objetivos y funciones, así como la forma, extensión y oportunidad en que la Fiscalía ejerce sus facultades.
ARTÍCULO 157.
La Fiscalía General de la República constituye una unidad orgánica indivisible y con independencia funcional, subordinada al Presidente de la República.
Al Fiscal General de la República corresponde la dirección y reglamentación de la actividad de la Fiscalía en todo el territorio nacional.
Los órganos de la Fiscalía se organizan verticalmente en toda la nación, están subordinados solamente a la Fiscalía General de la República y son independientes de todo órgano local.
ARTÍCULO 158.
El Fiscal General de la República y los vicefiscales generales son elegidos y pueden ser revocados, según corresponda, por la Asamblea Nacional del Poder Popular, o en su caso por el Consejo de Estado.
ARTÍCULO 159.
La Fiscalía General de la República rinde cuenta de su gestión ante la Asamblea Nacional del Poder Popular en la forma y con la periodicidad que establece la ley.
CAPÍTULO VII.- CONTRALORÍA GENERAL DE LA REPÚBLICA
ARTÍCULO 160.
La Contraloría General de la República es el órgano del Estado que tiene como misión fundamental velar por la correcta y transparente administración de los fondos públicos y el control superior sobre la gestión administrativa.
La ley regula las demás funciones y aspectos relativos a su actuación.
ARTÍCULO 161.
La Contraloría General de la República tiene independencia funcional respecto a cualquier otro órgano, está estructurada verticalmente en todo el país y se subordina al Presidente de la República.
El Contralor General de la República es su máxima autoridad y le corresponde la dirección y reglamentación de la actividad de la Contraloría en todo el territorio nacional.
ARTÍCULO 162.
La Contraloría General de la República rinde cuenta de su gestión ante la Asamblea Nacional del Poder Popular en la forma y periodicidad prevista en la ley.
ARTÍCULO 163.
El Contralor General de la República y los vicecontralores generales son elegidos o revocados, según corresponda, por la Asamblea Nacional del Poder Popular o el Consejo de Estado.
CAPÍTULO VIII.- DE LAS DISPOSICIONES NORMATIVAS
SECCIÓN PRIMERA.- DE LA INICIATIVA LEGISLATIVA
ARTÍCULO 164.
La iniciativa de las leyes compete:
a) al Presidente de la República;
b) a los diputados de la Asamblea Nacional del Poder Popular;
c) al Consejo de Estado;
d) al Consejo de Ministros;
e) a las comisiones de la Asamblea Nacional del Poder Popular;
f) al Consejo Nacional de la Central de Trabajadores de Cuba y a las direcciones nacionales de las demás organizaciones de masas y sociales;
g) al Consejo de Gobierno del Tribunal Supremo Popular, en materia relativa a la administración de justicia;
h) a la Fiscalía General de la República, en materia de su competencia;
i) a la Contraloría General de la República, en materia de su competencia;
j) al Consejo Electoral Nacional, en materia electoral, y
k) a los ciudadanos. En este caso será requisito indispensable que ejerciten la iniciativa como mínimo diez mil electores.
La ley establece el procedimiento para hacer efectivo su ejercicio.
SECCIÓN SEGUNDA.- DE LA ELABORACIÓN, PUBLICACIÓN Y ENTRADA EN VIGOR
ARTÍCULO 165.
Las leyes y decretos-leyes que emitan la Asamblea Nacional del Poder Popular o el Consejo de Estado, según corresponda, entran en vigor en la fecha que, en cada caso, determine la propia disposición normativa.
Las leyes, decretos-leyes, decretos presidenciales, decretos, resoluciones y demás disposiciones de interés general que se emitan por los órganos competentes se publican en la Gaceta Oficial de la República.
La ley establece el procedimiento para la elaboración, publicación y entrada en vigor de las disposiciones normativas.
TÍTULO VII.- ORGANIZACIÓN TERRITORIAL DEL ESTADO
ARTÍCULO 166.
El territorio nacional, para los fines político-administrativos, se divide en provincias y municipios; su número, límites y denominación se establecen en la ley.
La ley podrá establecer otras divisiones y atribuir regímenes de subordinación administrativa y sistemas de regulación especiales a municipios u otras demarcaciones territoriales que se determine, atendiendo a su ubicación geográfica o importancia económica y social. En todos los casos se garantiza la representación del pueblo por medio de los órganos del Poder Popular.
En los municipios pueden organizarse distritos administrativos, de acuerdo con la ley.
ARTÍCULO 167.
La provincia tiene personalidad jurídica propia a todos los efectos legales y se organiza por la ley como nivel intermedio entre las estructuras centrales del Estado y los municipios, con una extensión superficial equivalente a la del conjunto de municipios comprendidos en su demarcación territorial, bajo la dirección del Gobierno Provincial del Poder Popular.
ARTÍCULO 168.
El municipio es la sociedad local, organizada por la ley, que constituye la unidad política-administrativa primaria y fundamental de la organización nacional; goza de autonomía y personalidad jurídica propias a todos los efectos legales, con una extensión territorial determinada por necesarias relaciones de vecindad, económicas y sociales de su población e intereses de la nación, con el propósito de lograr la satisfacción de las necesidades locales. Cuenta con ingresos propios y las asignaciones que recibe del Gobierno de la República, en función del desarrollo económico y social de su territorio y otros fines del Estado, bajo la dirección de la Asamblea Municipal del Poder Popular.
ARTÍCULO 169.
La autonomía del municipio comprende la elección o designación de sus autoridades, la facultad para decidir sobre la utilización de sus recursos y el ejercicio de las competencias que le corresponden, así como dictar acuerdos y disposiciones normativas necesarias para el ejercicio de sus facultades, según lo dispuesto en la Constitución y las leyes.
La autonomía se ejerce de conformidad con los principios de solidaridad, coordinación y colaboración con el resto de los territorios del país, y sin detrimento de los intereses superiores de la nación.
TÍTULO VIII.- ÓRGANOS LOCALES DEL PODER POPULAR
CAPÍTULO I.- GOBIERNO PROVINCIAL DEL PODER POPULAR
SECCIÓN PRIMERA.- DISPOSICIONES GENERALES
ARTÍCULO 170.
En cada provincia rige un Gobierno Provincial del Poder Popular que funciona en estrecha vinculación con el pueblo, conformado por un Gobernador y un Consejo Provincial.
ARTÍCULO 171.
El Gobierno Provincial del Poder Popular representa al Estado y tiene como misión fundamental el desarrollo económico y social de su territorio, conforme a los objetivos generales del país, y actúa como coordinador entre las estructuras centrales del Estado y los municipios, para lo cual contribuye a la armonización de los intereses propios de la provincia y sus municipios, y ejerce las atribuciones y funciones reconocidas en la Constitución y las leyes.
ARTÍCULO 172.
El Gobierno Provincial del Poder Popular coadyuva al desarrollo de las actividades y al cumplimiento de los planes de las entidades establecidas en su territorio que no le estén subordinadas, conforme a lo dispuesto en la Constitución y las leyes.
ARTÍCULO 173.
El Gobierno Provincial del Poder Popular en el ejercicio de sus funciones y atribuciones no puede asumir ni interferir en las que, por la Constitución y las leyes, se les confieren a los órganos municipales del Poder Popular.
SECCIÓN SEGUNDA.- GOBERNADOR Y VICEGOBERNADOR PROVINCIAL
ARTÍCULO 174.
El Gobernador es el máximo responsable ejecutivo-administrativo en su provincia.
ARTÍCULO 175.
El Gobernador es elegido por los delegados de las asambleas municipales del Poder Popular correspondientes, a propuesta del Presidente de la República, por el período de cinco años y de conformidad con el procedimiento establecido en la ley.
ARTÍCULO 176.
Para ser Gobernador se requiere ser ciudadano cubano por nacimiento y no tener otra ciudadanía, haber cumplido treinta años de edad, residir en la provincia y hallarse en el pleno goce de los derechos civiles y políticos.
ARTÍCULO 177.
El Gobernador es responsable ante la Asamblea Nacional del Poder Popular, el Consejo de Estado, el Consejo de Ministros y el Consejo Provincial, a los que les rinde cuenta e informa de su gestión, en la oportunidad y sobre los temas que le soliciten.
ARTÍCULO 178.
El Gobernador organiza y dirige la Administración Provincial para lo cual se asiste de la entidad administrativa correspondiente.
La ley determina la creación, estructura y funcionamiento de la Administración Provincial, así como sus relaciones con los órganos nacionales y municipales del Poder Popular.
ARTÍCULO 179.
Corresponde al Gobernador:
a) cumplir y hacer cumplir, en lo que le concierne, la Constitución y las leyes;
b) convocar y presidir las reuniones del Consejo Provincial;
c) dirigir, coordinar y controlar la labor de las estructuras organizativas de la Administración Provincial y, en el marco de su competencia, dictar disposiciones normativas y adoptar las decisiones que correspondan;
d) exigir y controlar el cumplimiento del plan de la economía y la ejecución del presupuesto de la provincia, conforme a la política acordada por los órganos nacionales competentes;
e) exigir y controlar el cumplimiento de los planes de desarrollo y de ordenamiento territorial y urbano;
f) designar y sustituir a los directivos y funcionarios de la Administración Provincial, y someter a la ratificación del Consejo Provincial aquellos casos previstos por la ley;
g) presentar al Consejo de Ministros, previo acuerdo del Consejo Provincial, las propuestas de políticas que contribuyan al desarrollo integral de la provincia;
h) poner en conocimiento del Consejo de Ministros, previo acuerdo del Consejo Provincial, aquellas decisiones de los órganos de superior jerarquía que afecten los intereses de la comunidad o considere extralimitan las facultades de quien las adoptó;
i) suspender los acuerdos y disposiciones de los consejos de la Administración Municipal, que no se ajusten a la Constitución, las leyes, decretos-leyes, decretos presidenciales, decretos y demás disposiciones de los órganos del Estado, o cuando afecten los intereses de otras localidades o los generales del país, dando cuenta a la respectiva Asamblea Municipal del Poder Popular en la primera sesión que celebre después de dicha suspensión;
j) revocar o modificar las disposiciones que sean adoptadas por las autoridades administrativas provinciales a él subordinadas, que contravengan la Constitución, las leyes y demás disposiciones vigentes, o que afecten los intereses de otras comunidades o los generales del país;
k) crear comisiones o grupos temporales de trabajo;
l) disponer la publicación de los acuerdos del Consejo Provincial de interés general y controlar su ejecución; y
m) las demás atribuciones que por esta Constitución o las leyes se le asignen.
ARTÍCULO 180.
El Vicegobernador es elegido en la misma forma, por igual período y se le exigen los mismos requisitos que al Gobernador.
ARTÍCULO 181.
El Vicegobernador cumple las atribuciones que le delegue o asigne el Gobernador.
Asimismo, sustituye al Gobernador en caso de ausencia, enfermedad o muerte, conforme al procedimiento previsto en la ley.
SECCIÓN TERCERA.- CONSEJO PROVINCIAL
ARTÍCULO 182.
El Consejo Provincial es el órgano colegiado y deliberativo que cumple las funciones previstas en esta Constitución y las leyes.
Sus decisiones son adoptadas por el voto favorable de la mayoría simple de sus integrantes.
El Consejo Provincial es presidido por el Gobernador e integrado por el Vicegobernador, los presidentes y vicepresidentes de las asambleas locales del Poder Popular correspondientes y los intendentes municipales.
ARTÍCULO 183.
El Consejo Provincial celebra sus reuniones ordinarias con la periodicidad que fija la ley, y las extraordinarias cuando las convoque el Gobernador o las soliciten más de la mitad de sus integrantes.
ARTÍCULO 184.
Corresponde al Consejo Provincial:
a) cumplir y hacer cumplir, en lo que le concierne, la Constitución, las leyes y demás disposiciones de carácter general, así como sus acuerdos;
b) aprobar y controlar, en lo que le corresponda, el plan de la economía y el presupuesto de la provincia;
c) adoptar acuerdos en el marco de la Constitución y las leyes;
d) orientar y coordinar en el territorio las actividades políticas, económicas, culturales, científicas, sociales, de la defensa y el orden interior, que por el Estado se dispongan;
e) evaluar los resultados de la gestión de las administraciones municipales y aprobar las acciones a realizar;
f) aprobar las propuestas de políticas que contribuyen al desarrollo integral de la provincia, antes de su presentación al Consejo de Ministros;
g) pronunciarse, a solicitud del Gobernador, sobre aquellas decisiones de los órganos competentes que afectan los intereses de la comunidad o considere extralimitan la facultad de quien las adoptó;
h) analizar periódicamente la atención brindada por las entidades radicadas en su territorio a los planteamientos de los electores y las quejas y peticiones de la población;
i) hacer recomendaciones al Gobernador sobre su informe de rendición de cuenta y otros temas que este le consulte;
j) proponer al Consejo de Estado la suspensión de los acuerdos o disposiciones de las asambleas municipales del Poder Popular de su demarcación, cuando contravengan las normas legales superiores o afecten los intereses de la comunidad;
k) proponer a la Asamblea Nacional del Poder Popular la revocación o modificación de los acuerdos o disposiciones de las asambleas municipales del Poder Popular de su demarcación, cuando contravengan las normas legales superiores o afecten los intereses de la comunidad;
l) crear comisiones o grupos temporales de trabajo, y m) las demás atribuciones que la Constitución o las leyes le asignen.
CAPÍTULO II.- ÓRGANOS MUNICIPALES DEL PODER POPULAR
SECCIÓN PRIMERA.- ASAMBLEA MUNICIPAL DEL PODER POPULAR
ARTÍCULO 185.
La Asamblea Municipal del Poder Popular es el órgano superior del poder del Estado en su demarcación y, en consecuencia, está investida de la más alta autoridad en su territorio; para ello, dentro del marco de su competencia, ejerce las atribuciones que la Constitución y las leyes le asignan.
ARTÍCULO 186.
La Asamblea Municipal del Poder Popular está integrada por los delegados elegidos en cada circunscripción en que a los efectos electorales se divide su territorio, mediante el voto libre, igual, directo y secreto de los electores.
ARTÍCULO 187.
La Asamblea Municipal del Poder Popular se renovará cada cinco años, que es el período de duración del mandato de sus delegados.
Dicho mandato solo podrá extenderse por decisión de la Asamblea Nacional del Poder Popular, en los supuestos previstos en la Constitución.
ARTÍCULO 188.
La Asamblea Municipal del Poder Popular, al constituirse, elige de entre sus delegados a su Presidente y Vicepresidente, y designa a su Secretario, de conformidad con los requisitos y el procedimiento previsto en la ley.
El Presidente de la Asamblea Municipal del Poder Popular representa al Estado en su demarcación territorial.
La ley establece las atribuciones del Presidente, del Vicepresidente y del Secretario de la Asamblea Municipal del Poder Popular.
ARTÍCULO 189.
Las sesiones ordinarias y extraordinarias de la Asamblea Municipal del Poder Popular son públicas, salvo en el caso que esta acuerde celebrarlas a puertas cerradas, por razón de interés de Estado o porque se traten en ellas asuntos referidos al decoro de las personas.
ARTÍCULO 190.
En las sesiones de la Asamblea Municipal del Poder Popular se requiere para su validez la presencia de más de la mitad del número total de sus integrantes. Sus acuerdos se adoptan por mayoría simple de votos.
ARTÍCULO 191.
Corresponde a la Asamblea Municipal del Poder Popular:
a) cumplir y hacer cumplir la Constitución, las leyes y demás disposiciones normativas de carácter general;
b) aprobar y controlar, en lo que le corresponda, el plan de la economía, el presupuesto y el plan de desarrollo integral del municipio;
c) aprobar el plan de ordenamiento territorial y urbano, y controlar su cumplimiento;
d) elegir, designar, revocar o sustituir al Presidente, al Vicepresidente y al Secretario de la propia Asamblea, según corresponda;
e) designar o sustituir al Intendente Municipal, a propuesta del Presidente de la propia Asamblea;
f) designar o sustituir al resto de los miembros del Consejo de la Administración Municipal, a propuesta de su Intendente;
g) adoptar acuerdos y dictar disposiciones normativas en el marco de su competencia, sobre asuntos de interés municipal y controlar su cumplimiento;
h) controlar y fiscalizar la actividad del Consejo de la Administración del Municipio, auxiliándose para ello de sus comisiones de trabajo, sin perjuicio de las actividades de control a cargo de otros órganos y entidades;
i) organizar y controlar, en lo que le concierne y conforme a lo establecido por el Consejo de Ministros o el Gobierno Provincial, el funcionamiento y las tareas de las entidades encargadas de realizar, entre otras, las actividades económicas, de producción y servicios, de salud, asistenciales, de prevención y atención social, científicas, educacionales, culturales, recreativas, deportivas y de protección del medio ambiente en el municipio;
j) exigir y controlar el cumplimiento de la legalidad, así como el fortalecimiento del orden interior y la capacidad defensiva del país, en su territorio;
k) proponer al Consejo de Ministros o al Gobernador, según el caso, la revocación de decisiones adoptadas por órganos o autoridades subordinadas a estos;
l) revocar o modificar las decisiones adoptadas por los órganos o autoridades que le están subordinados, cuando contravengan las normas legales superiores, afecten los intereses de la comunidad, o extralimiten las facultades de quien las adoptó;
m) aprobar la creación de los consejos populares del municipio, previa consulta al Consejo de Estado;
n) coadyuvar, de conformidad con lo previsto en la ley, a la ejecución de las políticas del Estado en su demarcación, así como al desarrollo de las actividades de producción y servicios de las entidades radicadas en su territorio que no les estén subordinadas;
ñ) crear comisiones de trabajo y aprobar los lineamientos generales para su labor, y
o) cualquier otra atribución que le asigne esta Constitución y las leyes.
ARTÍCULO 192.
La Asamblea Municipal del Poder Popular para el ejercicio de sus funciones se apoya en sus comisiones de trabajo, en los consejos populares, en la iniciativa y amplia participación de la población, y actúa en estrecha coordinación con las organizaciones de masas y sociales.
SECCIÓN SEGUNDA.- DELEGADOS A LA ASAMBLEA MUNICIPAL DEL PODER POPULAR
ARTÍCULO 193.
Los delegados cumplen el mandato que les han conferido sus electores, en interés de toda la comunidad, para lo cual deberán compartir estas funciones, con sus responsabilidades y tareas habituales. La ley regula la forma en que se desarrollan estas funciones.
ARTÍCULO 194.
Los delegados tienen los derechos siguientes:
a) participar con voz y voto en las sesiones de la Asamblea Municipal y en las reuniones de las comisiones y consejos populares de que formen parte;
b) solicitar información al Presidente, Vicepresidente y Secretario de la Asamblea Municipal, a los miembros de las comisiones y al Consejo de la Administración sobre temas relevantes para el ejercicio de sus funciones y obtener respuesta en la propia sesión o lo antes posible;
c) solicitar la atención e información de las entidades radicadas en el territorio respecto a situaciones o problemas que afecten a sus electores, y estas vienen obligadas a responder con la debida prontitud, y
d) cualquier otro que les reconozcan la Constitución y las leyes.
ARTÍCULO 195.
Los delegados tienen los deberes siguientes:
a) mantener una relación permanente con sus electores, promoviendo la participación de la comunidad en la solución de sus problemas;
b) dar a conocer a la Asamblea Municipal y a la administración de la localidad las opiniones, necesidades y dificultades que les trasmitan sus electores, y trabajar en función de gestionar su solución, en lo que les corresponda;
c) informar a los electores sobre la política que sigue la Asamblea Municipal y las medidas adoptadas en atención a sus opiniones y para la solución de las necesidades planteadas por la población o las dificultades para resolverlas;
d) rendir cuenta periódicamente a sus electores de su gestión, conforme a lo establecido en la ley, e informar a la Asamblea, a la Comisión y al Consejo Popular a que pertenezcan sobre el cumplimiento de las tareas que les hayan sido encomendadas, cuando estos lo reclamen, y
e) cualquier otro que le reconozcan la Constitución y las leyes.
ARTÍCULO 196.
El mandato de los delegados es revocable en todo momento. La ley determina la forma, las causas y los procedimientos para su revocación.
SECCIÓN TERCERA.- COMISIONES DE LA ASAMBLEA MUNICIPAL DEL PODER POPULAR
ARTÍCULO 197.
Las comisiones permanentes de trabajo son constituidas por la Asamblea Municipal del Poder Popular atendiendo a los intereses específicos de su localidad, para que la auxilie en la realización de sus actividades y especialmente para ejercer el control a las entidades de subordinación municipal.
Del mismo modo, las comisiones pueden solicitar a entidades de otros niveles de subordinación, que se encuentren radicadas en su demarcación territorial que les informen sobre aspectos que inciden directamente en la localidad.
Las comisiones de carácter temporal cumplen las tareas específicas que les son asignadas dentro del término que se les señale.
SECCIÓN CUARTA.- CONSEJO POPULAR
ARTÍCULO 198.
El Consejo Popular es un órgano local del Poder Popular de carácter representativo, investido de la más alta autoridad para el desempeño de sus funciones y, sin constituir una instancia intermedia a los fines de la división político-administrativa, se organiza en ciudades, pueblos, barrios, poblados y zonas rurales; lo integran los delegados elegidos en las circunscripciones de su demarcación, los cuales deben elegir de entre ellos a quien lo presida.
A las reuniones del Consejo Popular pueden invitarse, según los temas y asuntos a tratar, representantes de las organizaciones de masas y sociales y de las entidades más importantes en la demarcación, con el objetivo principal de fortalecer la coordinación y el esfuerzo colectivo en beneficio de la comunidad, siempre desde las funciones propias que a cada cual corresponden.
ARTÍCULO 199.
El Consejo Popular representa a la población de la demarcación donde actúa y a la vez a la Asamblea Municipal del Poder Popular. Ejerce el control sobre las entidades de producción y servicios de incidencia local, y trabaja activamente para la satisfacción, entre otras, de las necesidades de la economía, de salud, asistenciales, educacionales, culturales, deportivas y recreativas, así como en las tareas de prevención y atención social, promoviendo la participación de la población y las iniciativas locales para su consecución.
La ley regula la organización y atribuciones del Consejo Popular.
SECCIÓN QUINTA.- GARANTÍAS A LOS DERECHOS DE PETICIÓN Y PARTICIPACIÓN POPULAR LOCAL
ARTÍCULO 200.
La Asamblea Municipal del Poder Popular, a los efectos de garantizar los derechos de petición y de participación ciudadana:
a) convoca a consulta popular asuntos de interés local en correspondencia con sus atribuciones;
b) garantiza la correcta atención a los planteamientos, quejas y peticiones de la población;
c) garantiza el derecho de la población del municipio a proponerle el análisis de temas de su competencia;
d) mantiene un adecuado nivel de información a la población sobre las decisiones de interés general que se adoptan por los órganos del Poder Popular;
e) analiza, a petición de los ciudadanos, los acuerdos y disposiciones propias o de autoridades municipales subordinadas, por estimar aquellos que estos lesionan sus intereses, tanto individuales como colectivos, y adopta las medidas que correspondan, y
f) ejecuta, en el marco de su competencia, cualquier otra acción que resulte necesaria a fin de garantizar estos derechos.
La ley establece la forma y el ejercicio de estas garantías.
SECCIÓN SEXTA.- ADMINISTRACIÓN MUNICIPAL
ARTÍCULO 201.
La Administración Municipal tiene como objetivo esencial satisfacer, entre otras, las necesidades de la economía, de salud, asistenciales, educacionales, culturales, deportivas y recreativas de la colectividad del territorio a que se extiende su jurisdicción, así como ejecutar las tareas relativas a la prevención y atención social.
La ley determina la organización, estructura y funcionamiento de la Administración Municipal.
ARTÍCULO 202.
El Consejo de la Administración es designado por la Asamblea Municipal del Poder Popular, a la que se le subordina y rinde cuenta. Su composición, integración y funciones se establecen en la ley.
ARTÍCULO 203.
El Consejo de la Administración Municipal es presidido por el Intendente, tiene carácter colegiado, desempeña funciones ejecutivo-administrativas y dirige la Administración Municipal.
TÍTULO IX.- SISTEMA ELECTORAL
CAPÍTULO I.- DISPOSICIONES GENERALES
ARTÍCULO 204.
Todos los ciudadanos, con capacidad legal para ello, tienen derecho a intervenir en la dirección del Estado, bien directamente o por intermedio de sus representantes elegidos para integrar los órganos del Poder Popular y a participar, con ese propósito, en la forma prevista en la ley, en elecciones periódicas, plebiscitos y referendos populares, que serán de voto libre, igual, directo y secreto. Cada elector tiene derecho a un solo voto.
ARTÍCULO 205.
El voto es un derecho de los ciudadanos. Lo ejercen voluntariamente los cubanos, hombres y mujeres, mayores de dieciséis años de edad, excepto:
a) Las personas que por razón de su discapacidad tengan restringido judicialmente el ejercicio de la capacidad jurídica; b) los inhabilitados judicialmente, y
c) los que no cumplan con los requisitos de residencia en el país previstos en la ley.
ARTÍCULO 206.
El Registro de Electores tiene carácter público y permanente; lo conforman de oficio todos los ciudadanos con capacidad legal para ejercer el derecho al voto, de conformidad con lo previsto en la ley.
ARTÍCULO 207.
Tienen derecho a ser elegidos los ciudadanos cubanos, hombres y mujeres, que se hallen en el pleno goce de sus derechos políticos y que cumplan con los demás requisitos previstos en la ley.
Si la elección es para diputados a la Asamblea Nacional del Poder Popular deben, además, ser mayores de dieciocho años de edad.
ARTÍCULO 208.
Los miembros de las instituciones armadas tienen derecho a elegir y a ser elegidos, igual que los demás ciudadanos.
ARTÍCULO 209.
La ley determina la cantidad de diputados que integran la Asamblea Nacional del Poder Popular y de delegados que componen las asambleas municipales del Poder Popular, en proporción al número de habitantes de las respectivas demarcaciones en que, a los efectos electorales, se divide el territorio nacional.
Los diputados a la Asamblea Nacional del Poder Popular y los delegados a las asambleas municipales del Poder Popular se eligen por el voto libre, igual, directo y secreto de los electores. La ley regula el procedimiento para su elección.
ARTÍCULO 210.
Para que se considere elegido un diputado o un delegado es necesario que haya obtenido más de la mitad del número de votos válidos emitidos en la demarcación electoral de que se trate.
De no concurrir esta circunstancia, o en los demás casos de plazas vacantes, la ley regula la forma en que se procederá.
CAPÍTULO II.- CONSEJO ELECTORAL NACIONAL
ARTÍCULO 211.
El Consejo Electoral Nacional es el órgano del Estado que tiene como misión fundamental organizar, dirigir y supervisar las elecciones, consultas populares, plebiscitos y referendos que se convoquen.
Tramita y responde las reclamaciones que en esta materia se establezcan, así como cumple las demás funciones reconocidas en la Constitución y las leyes.
El Consejo Electoral Nacional garantiza la confiabilidad, transparencia, celeridad, publicidad, autenticidad e imparcialidad de los procesos de participación democrática.
ARTÍCULO 212.
El Consejo Electoral Nacional tiene independencia funcional respecto a cualquier otro órgano y responde por el cumplimiento de sus funciones ante la Asamblea Nacional del Poder Popular.
Asimismo, una vez culminado cada proceso electoral, informa de su resultado a la nación.
ARTÍCULO 213.
El Consejo Electoral Nacional está integrado por el Presidente, el Vicepresidente, el Secretario y los vocales previstos en la ley.
Los integrantes del Consejo Electoral Nacional son elegidos y revocados, según corresponda, por la Asamblea Nacional del Poder Popular o, en su caso, por el Consejo de Estado.
ARTÍCULO 214.
La organización, funcionamiento, integración y designación de las autoridades electorales, a todos los niveles, se regula en la ley.
No pueden ser miembros de los órganos electorales los que resulten nominados u ocupen cargos de elección popular.
ARTÍCULO 215.
El Consejo Electoral Nacional controla la confección y actualización del Registro Electoral, de conformidad con lo establecido en la ley.
ARTÍCULO 216.
Todos los órganos estatales, sus directivos y funcionarios, así como las entidades, están obligados a colaborar con el Consejo Electoral Nacional en el ejercicio de sus funciones.
TÍTULO X.- DEFENSA Y SEGURIDAD NACIONAL
CAPÍTULO I.- DISPOSICIONES GENERALES
ARTÍCULO 217.
El Estado cubano fundamenta su política de Defensa y Seguridad Nacional en la salvaguarda de la independencia, la integridad territorial, la soberanía y la paz sobre la base de la prevención y enfrentamiento permanente a los riesgos, amenazas y agresiones que afecten sus intereses.
Su concepción estratégica de defensa se sustenta en la Guerra de Todo el Pueblo.
CAPÍTULO II.- CONSEJO DE DEFENSA NACIONAL
ARTÍCULO 218.
El Consejo de Defensa Nacional es el órgano superior del Estado, que tiene como misión fundamental organizar, dirigir y preparar al país, desde tiempo de paz, para su defensa, y velar por el cumplimiento de las normativas vigentes relativas a la defensa y seguridad de la nación.
Durante las situaciones excepcionales y de desastre dirige al país y asume las atribuciones que le corresponden a los órganos del Estado, con excepción de la facultad constituyente.
ARTÍCULO 219.
El Consejo de Defensa Nacional está integrado por el Presidente de la República, que lo preside, quien, a su vez, designa a un Vicepresidente y a los demás miembros que determine la ley.
La ley regula la organización y funcionamiento del Consejo de Defensa Nacional y de sus estructuras a los diferentes niveles.
CAPÍTULO III.- INSTITUCIONES ARMADAS DEL ESTADO
ARTÍCULO 220.
Las instituciones armadas del Estado son las Fuerzas Armadas Revolucionarias y las formaciones armadas del Ministerio del Interior, las que para el cumplimiento de sus funciones cuentan con la participación de personal militar y civil.
La ley regula la organización y funcionamiento de estas instituciones, así como el servicio militar que los ciudadanos deben prestar.
ARTÍCULO 221.
Las instituciones armadas tienen como misión esencial proteger y mantener la independencia y soberanía del Estado, su integridad territorial, su seguridad y la paz.
CAPÍTULO IV.- SITUACIONES EXCEPCIONALES Y DE DESASTRE
ARTÍCULO 222.
En interés de garantizar la defensa y la seguridad nacional, en caso de producirse una agresión militar o ante la inminencia de ella u otras circunstancias que las afecten, pueden decretarse de forma temporal, en todo el país, según corresponda, las situaciones excepcionales del Estado de Guerra o la Guerra, la Movilización General y el Estado de Emergencia, esta última también puede decretarse en una parte del territorio nacional.
La ley regula la forma en que se declaran las situaciones excepcionales, sus efectos y terminación.
ARTÍCULO 223.
Ante la ocurrencia de desastres, cualquiera que sea su naturaleza, en cuyas circunstancias se afecte la población o la infraestructura social y económica, en magnitud tal que supere la capacidad habitual de respuesta y recuperación del país o del territorio afectado, se puede decretar la Situación de Desastre.
La ley regula lo concerniente al establecimiento, efectos y terminación de las situaciones de desastre.
ARTÍCULO 224.
Durante la vigencia de las situaciones excepcionales y de desastre, la ley determina los derechos y deberes reconocidos por la Constitución, cuyo ejercicio debe ser regulado de manera diferente.
ARTÍCULO 225.
El Consejo de Defensa Nacional, una vez restablecida la normalidad en el país, rinde cuenta a la Asamblea Nacional del Poder Popular de sus decisiones y gestión durante ese período.
TÍTULO XI.- REFORMA DE LA CONSTITUCIÓN
ARTÍCULO 226.
Esta Constitución solo puede ser reformada por la Asamblea Nacional del Poder Popular mediante acuerdo adoptado, en votación nominal, por una mayoría no inferior a las dos terceras partes del número total de sus integrantes.
ARTÍCULO 227.
Tienen iniciativa para promover reformas a la Constitución:
a) el Presidente de la República;
b) el Consejo de Estado;
c) el Consejo de Ministros;
d) los diputados a la Asamblea Nacional del Poder Popular, mediante proposición suscrita por no menos de la tercera parte de sus integrantes;
e) el Consejo Nacional de la Central de Trabajadores de Cuba y las direcciones nacionales de las demás organizaciones de masas y sociales, y
f) los ciudadanos, mediante petición dirigida a la Asamblea Nacional del Poder Popular, suscrita ante el Consejo Electoral Nacional, como mínimo por cincuenta mil electores. La ley establece el procedimiento, los requisitos y garantías para su solicitud y realización.
ARTÍCULO 228.
Cuando la reforma se refiera a la integración y funciones de la Asamblea Nacional del Poder Popular o del Consejo de Estado, a las atribuciones o al período de mandato del Presidente de la República, a los derechos, deberes y garantías consagrados en la Constitución, se requiere, además, la ratificación por el voto favorable de la mayoría de los electores en referendo convocado a tales efectos.
ARTÍCULO 229.
En ningún caso resultan reformables los pronunciamientos sobre la irrevocabilidad del sistema socialista establecido en el Artículo 4, y la prohibición de negociar bajo las circunstancias previstas en el inciso a) del Artículo 16.
DISPOSICIONES ESPECIALES
PRIMERA:
Los diputados a la Asamblea Nacional del Poder Popular de la IX Legislatura se mantienen en sus cargos hasta tanto concluya su mandato.
SEGUNDA:
Se extiende el mandato actual de los delegados a las asambleas municipales del Poder Popular hasta cinco años, contados a partir de la fecha de su constitución.
DISPOSICIONES TRANSITORIAS
PRIMERA:
Antes del plazo de seis meses, después de haber entrado en vigor la presente Constitución, la Asamblea Nacional del Poder Popular aprueba una nueva Ley Electoral, en la que regule la elección de los diputados a la Asamblea Nacional, su Presidente, Vicepresidente y Secretario; el Consejo de Estado, el Presidente y Vicepresidente de la República, los miembros del Consejo Electoral Nacional, los gobernadores y vicegobernadores provinciales, los delegados a las asambleas municipales del Poder Popular, su Presidente y Vicepresidente.
SEGUNDA:
Luego de aprobada la Ley Electoral, la Asamblea Nacional del Poder Popular, en el plazo de tres meses, elige de entre sus diputados, a su Presidente, Vicepresidente y Secretario, a los demás miembros del Consejo de Estado, y al Presidente y Vicepresidente de la República.
TERCERA:
Una vez elegido, el Presidente de la República, en el plazo de tres meses, propone a la Asamblea Nacional del Poder Popular la designación del Primer Ministro, Viceprimeros Ministros, el Secretario y demás miembros del Consejo de Ministros.
CUARTA:
Las asambleas provinciales del Poder Popular se mantienen en sus funciones hasta tanto tomen posesión de sus cargos los gobernadores, vicegobernadores y los consejos provinciales.
QUINTA:
El Presidente de la República, una vez elegido y en el plazo de tres meses, propone a las asambleas municipales del Poder Popular respectivas, la elección por sus delegados de los gobernadores y vicegobernadores provinciales.
SEXTA:
Las asambleas municipales del Poder Popular, en el plazo de tres meses, designan con posterioridad a la elección de los gobernadores y vicegobernadores provinciales, a aquellos que van a ocupar los cargos de intendentes.
SÉPTIMA:
La Asamblea Nacional del Poder Popular en el plazo de un año, luego de la entrada en vigor de la Constitución, aprueba su reglamento y el del Consejo de Estado.
OCTAVA:
El Consejo de Ministros en el plazo de dos años de vigencia de la Constitución, presenta a la Asamblea Nacional del Poder Popular el proyecto de nuevo reglamento de ese órgano y el de los gobiernos provinciales.
NOVENA:
La Asamblea Nacional del Poder Popular en el plazo de dos años de vigencia de la Constitución, aprueba el reglamento de las asambleas municipales del Poder Popular y de sus consejos de la administración.
DÉCIMA:
El Consejo de Gobierno del Tribunal Supremo Popular, en el plazo de dieciocho meses de entrada en vigor de la Constitución, presenta a la Asamblea Nacional del Poder Popular el proyecto de nueva Ley de los Tribunales Populares, ajustado a los cambios que en la presente Constitución se establecen, así como las propuestas de modificaciones a la Ley de Procedimiento Penal y a la Ley de Procedimiento Civil, Administrativo, Laboral y Económico, que correspondan.
DECIMOPRIMERA:
Atendiendo a los resultados de la Consulta Popular realizada, la Asamblea Nacional del Poder Popular dispondrá, en el plazo de dos años de vigencia de la Constitución, iniciar el proceso de consulta popular y referendo del proyecto de Código de Familia, en el que debe figurar la forma de constituir el matrimonio.
DECIMOSEGUNDA:
La Asamblea Nacional del Poder Popular, en el plazo de dieciocho meses de entrada en vigor de la Constitución, aprueba las modificaciones legislativas requeridas para hacer efectivo lo previsto en su Artículo 99, referido a la posibilidad de los ciudadanos de acceder a la vía judicial para reclamar sus derechos.
DECIMOTERCERA:
La Asamblea Nacional del Poder Popular aprueba, en el plazo de un año de entrada en vigor de la Constitución, un cronograma legislativo que dé cumplimiento a la elaboración de las leyes que desarrollan los preceptos establecidos en esta Constitución.
DISPOSICIONES FINALES
PRIMERA:
Se deroga la Constitución de la República de Cuba, de 24 de febrero de 1976, tal como quedó redactada por las reformas de 1978, 1992 y 2002.
SEGUNDA:
La presente Constitución entra en vigor, una vez proclamada, a partir de su publicación en la Gaceta Oficial de la República.
24Ene/20
Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales
Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General. («BOE» núm. 60, de 11 de marzo de 2019)
(Texto consolidado con la última modificación de 25 de junio de 2019, por la Sentencia del TC 76/2019, de 22 de mayo, por la que se declara contrario a la Constitución y nulo el apartado 1 del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general).
La recopilación y tratamiento de datos por parte de las organizaciones políticas con fines de comunicación política junto con el uso de técnicas modernas como el big data y la inteligencia artificial han generado un amplio debate y preocupación respecto a los límites que deben aplicarse, entre los que se encuentra el derecho a la protección de datos de carácter personal.
De ahí que ya en la 27 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada en Montreux (Suiza), de 14 al 16 de septiembre de 2005, se aprobara la «Resolución sobre el Uso de Datos Personales para la Comunicación Política». En los últimos años dicha preocupación se ha incrementado, singularmente al hacerse públicos determinados casos de tratamiento ilícito de datos personales para influir en la opinión política de los votantes como el de Cambridge Analytica, lo que ha dado lugar a que diferentes autoridades nacionales de protección de datos hayan emitido sus criterios restrictivos al respecto. El 6 de marzo de 2014, la Autoridad Italiana de Protección de Datos (Garante para la Protezione dei Dati Personali) emitió su documento «Provvedimento in materia de trattamento di dati presso i partiti politici e di esonero dall`informativa per fini di propaganda elettorale». En noviembre de 2016 lo hizo la Autoridad francesa (Commission Nationale de l’Informatique et des Libertés) con, entre otros, el título «Communication politique: quelles sont les règles pour l’utilisation des données issues des réseaux sociaux?».
Y en abril de 2017 la Autoridad británica (Information Commissioner´s Office) aprobó su «Guidance on political campaigning».
Asimismo, el Supervisor Europeo de Protección de Datos emitió el 18 de marzo de 2018 su Opinión 3/2018 sobre «manipulación online y datos personales («EDPS Opinion on online manipulation and personal data») y la Comisión Europea, ante la proximidad de las elecciones al Parlamento Europeo, el pasado 12 de septiembre de 2018 aprobó su guía sobre la aplicación de la normativa europea de protección de datos en el contexto electoral («Commission guidance on the application of Union data protection law in the electoral context»).
Todos estos documentos muestran su preocupación sobre el uso del big data, la inteligencia artificial y la aplicación del microtargeting en los procesos electorales y que pueden llevar a la manipulación de las personas mediante la realización de perfilados exhaustivos y el fenómeno de las «fake-news» o «desinformación online». Por eso coinciden en la necesidad de garantizar la aplicación de la normativa de protección de datos en el contexto electoral.
Por su parte, el legislador español, a través de la disposición final tercera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que entró en vigor el pasado 7 de diciembre, ha modificado la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (LOREG), introduciendo el artículo 58 bis con el fin de regular específicamente la recopilación y tratamiento de opiniones políticas por los partidos políticos así como el envío de propaganda electoral con el siguiente contenido:
«Artículo 58 bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.
1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»
El tratamiento de datos personales por parte de los partidos políticos, así como por el resto de sujetos que pueden presentar candidaturas en los procesos electorales, queda sujeto a la normativa general sobre protección de datos personales, actualmente constituida por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales incluida la modificación que ésta última ha hecho de la LOREG.
El informe del Gabinete Jurídico de esta Agencia de 19 de diciembre de 2018 ya destacaba que dicho precepto debía ser objeto de interpretación restrictiva al tratarse de una excepción al tratamiento de las categorías especiales de datos personales basado en el interés público que se ampararía en la letra g) del artículo 9.2 del RGPD. Además, el interés público actuaría como fundamento pero también como límite. Por tanto, la aplicación del mismo debe interpretarse siempre en el sentido más favorable a la consecución de dicho interés público, por lo que en ningún caso podrá amparar tratamientos, como el microtargeting, que puedan ser contrarios a los principios de transparencia y libre participación que caracterizan a un sistema democrático.
Por otro lado, el legislador español ha hecho uso de la habilitación que concede el artículo 9.2.a) del RGPD disponiendo en el artículo 9.1. de la Ley Orgánica 3/2018 que «el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico». Por consiguiente, si el legislador español ha otorgado mayor protección a los datos relacionados con la ideología y al mismo tiempo ha establecido como única excepción al tratamiento de las opiniones políticas la contemplada en el citado artículo 58 bis de la LOREG, ha de ser objeto de interpretación restrictiva.
Asimismo, dicha interpretación restrictiva vendría avalada por la necesidad de que el artículo 58 bis sea interpretado conforme a lo establecido en la Constitución española y de modo que no conculque derechos fundamentales, como el derecho a la protección de datos de carácter personal reconocido en el artículo 18.4, el derecho a la libertad ideológica del artículo 16, la libertad de expresión e información del artículo 20 o el derecho a la participación política del artículo 23.
Por otro lado, el artículo 9.2.g) del RGPD requiere que se establezcan medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de los afectados. Dichas garantías adquieren una especial relevancia tanto por la importancia de los datos personales objeto de tratamiento como por tratarse de tratamientos a gran escala de categorías especiales de datos que entrañarán un alto riesgo para los derechos y libertades de las personas físicas difícilmente mitigable si no se toman medidas adecuadas.
Precisamente por la existencia de un alto riesgo para los derechos y libertades de las personas físicas dichas garantías, al no haberse establecido por el legislador, deben identificarse por esta Agencia Española de Protección de Datos, en cumplimiento de las funciones de interpretación y aplicación de la normativa de protección de datos que le atribuyen los artículos 57 y 58 del RGPD, entre las que destacan las relativas a la evaluación de impacto, la consulta previa a la AEPD o la adopción de las oportunas medidas de seguridad. Todo ello sin perjuicio de cualquier otra que estime el responsable del tratamiento y las que puedan exigir otros órganos en el ámbito de sus competencias, como la Junta Electoral Central, el Tribunal de Cuentas, el Ministerio del Interior y, en último término, el Tribunal Constitucional.
Con la finalidad de fijar los criterios a los que responderá la actuación de esta autoridad en la aplicación de la normativa sobre protección de datos de carácter personal y de conformidad con lo dispuesto en los artículos 48.1 y 55 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, dispongo:
Artículo 1. Ámbito objetivo.
La presente Circular se aplica al tratamiento de datos personales relativos a opiniones políticas por los partidos políticos al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.
Artículo 2. Sujetos legitimados para realizar el tratamiento.
1. Se encuentran legitimados para el tratamiento de los datos objeto de la presente circular, en el ámbito de la circunscripción que se corresponda con el proceso electoral al que se presenten, los partidos políticos, federaciones, coaliciones y agrupaciones de electores que presenten las correspondientes candidaturas y resulten proclamadas conforme a los artículos 43 y siguientes de la LOREG.
2. Dichos sujetos ostentarán la condición de responsables del tratamiento conforme al artículo 4.7) del RGPD.
3. El tratamiento de los datos podrá encomendarse a otro sujeto en calidad de encargado del tratamiento quien deberá ajustarse estrictamente a las instrucciones del responsable y previa suscripción del contrato previsto en el artículo 28 del RGPD.
4. Dichos datos no podrán ser comunicados ni transferidos a terceros.
Artículo 3. Base jurídica del tratamiento.
Solo será posible el tratamiento de datos personales que se refieran a opiniones políticas por los partidos políticos conforme al artículo 58 bis de la LOREG cuando concurra un interés público esencial conforme al artículo 9.2.b) del RGPD y se adopten las garantías adecuadas previstas en el artículo 7 de esta circular.
Los partidos políticos podrán tratar otro tipo de datos personales siempre que concurra alguna de las bases jurídicas del artículo 6 del RGPD y tratándose de categorías especiales, otra de las excepciones del artículo 9.2 RGPD, salvo el consentimiento del interesado conforme al artículo 9.1 de la Ley Orgánica 3/2018.
Artículo 4. Marco en el que se habilita el tratamiento.
1. El tratamiento de los datos al amparo del artículo 58 bis de la LOREG solo será lícito durante el periodo electoral y respecto de las actividades de propaganda y actos de campaña electoral reguladas en la sección 5.ª del capítulo VI del título I de la LOREG.
2. El responsable deberá determinar la finalidad o finalidades que se persiguen con el tratamiento, que en todo caso deberán guardar relación con su actividad electoral conforme a lo señalado en el apartado anterior.
Artículo 5. Datos personales que pueden ser objeto de tratamiento.
1. Solo podrán ser objeto de recopilación las opiniones políticas de las personas libremente expresadas por éstas en el ejercicio de sus derechos a la libertad ideológica y a la libertad de expresión reconocidos en los artículos 16 y 20 de la Constitución española.
2. En ningún caso podrán ser objeto de tratamiento otro tipo de datos personales a partir de los que, aplicando tecnologías como las de tratamiento masivo de datos o las de inteligencia artificial, se puede llegar a inferir la ideología política de una persona.
3. Las únicas fuentes de las que se pueden obtener los datos personales sobre opiniones políticas son las páginas web y aquellas otras fuentes que sean de acceso público. Se entiende por fuentes de acceso público aquellas cuya consulta puede ser realizada por cualquier persona, quedando excluidas otro tipo de fuentes en las que el acceso está restringido a un círculo determinado de personas.
4. El tratamiento de cualquier otro tipo de datos personales u obtenidos de otras fuentes por los sujetos legitimados deberá ampararse en alguna de las bases legitimadoras del artículo 6 del RGPD y encontrarse en alguna de las excepciones del artículo 9.2 RGPD si se trata de categorías especiales de datos.
Artículo 6. Actividades de tratamiento.
1. Corresponderá al responsable determinar las actividades de tratamiento a realizar conforme al artículo 4.2) del RGPD que, en todo caso, deberán ser proporcionales al objetivo perseguido consistente en garantizar el adecuado funcionamiento de un sistema democrático, sin que sean admisibles tratamientos no proporcionales como el microtargeting ni los que tengan por finalidad forzar o desviar la voluntad de los electores. Tratándose de datos personales relativos a opiniones políticas, estos solo podrán ser objeto de recopilación conforme a lo previsto en el artículo 58 bis de la LOREG y el artículo 1 de esta Circular.
2. Si se pretende la elaboración de perfiles se deberá ser especialmente riguroso con el nivel de detalle y la exhaustividad del mismo, siendo admisible únicamente la elaboración de perfiles generales y por categorías genéricas, pero no la realización de perfiles individuales o realizados atendiendo a categorías muy específicas, de tal manera que sólo se puedan deducir patrones de conducta generales de la población de forma agregada, pero no de titulares de datos personales concretos. 3. En todo caso, resultarán de aplicación al tratamiento todos los principios recogidos en el artículo 5 del RGPD.
Artículo 7. Garantías adecuadas.
1. Conforme a lo previsto en el artículo 9.2.g) del RGPD tendrán la consideración de medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de los afectados, en todo caso, las siguientes, sin perjuicio de cualquier otra que estime el responsable del tratamiento y las que puedan exigir otros órganos en el ámbito de sus competencias:
1.º Atendiendo al principio de responsabilidad desde el diseño y por defecto previsto en el artículo 25 del RGPD, deberán adoptarse, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, e incluso la agregación y anonimización. Además, deberá garantizarse que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento y que no serán accesibles, sin intervención de la persona, a un número indeterminado de personas.
2.º Será obligatorio designar a un delegado de protección de datos conforme a lo previsto en el artículo 37.1.c) del RGPD, al realizarse un tratamiento a gran escala de categorías especiales de datos personales. El delegado de protección de datos desempeñará las funciones que le atribuyen el artículo 39 del RGPD y los artículos 36 y 37 de la LOPDPGDD con especial diligencia atendiendo al alto riesgo asociado a estos tratamientos.
3.º Deberá llevarse un registro de las actividades de tratamiento con el contenido señalado en el artículo 30 del RGPD, debiendo ser precisos y claros, conforme a los principios de lealtad y transparencia, en la descripción de los fines del tratamiento, y de las categorías de interesados y de datos personales objeto de tratamiento. La llevanza de dicho registro resultará en todo caso obligatoria al incluir categorías especiales de datos personales del artículo 9.
4.º Se deberá realizar una evaluación de impacto relativa a la protección de datos al realizarse un tratamiento a gran escala de las categorías especiales de datos conforme a lo dispuesto en el artículo 35.3 del RGPD.
5.º Deberá consultarse a la AEPD antes de proceder al tratamiento conforme al artículo 36.1 del RGPD al tratarse de tratamientos que entrañan un alto riesgo, a no ser que el responsable justifique la adopción de medidas para mitigarlo. En este último caso deberá remitirse a la AEPD el análisis de riesgos y la evaluación de impacto junto a la justificación de las medidas adoptadas, al amparo de lo previsto en el artículo 58.1. a) y e) del RGPD. La solicitud de consulta a la AEPD o, en su defecto, la remisión de la documentación anteriormente indicada, deberá realizarse al menos 14 semanas antes del inicio del periodo electoral.
6.º Deberán adoptarse las medidas de seguridad necesarias conforme a lo previsto en el artículo 32 del RGPD, que deberán ser lo más rigurosas que permita el estado de la técnica teniendo en cuenta que se están tratando datos referentes a las opiniones políticas cuyo tratamiento es excepcional y que suponen un alto riesgo para los derechos y libertades de las personas físicas.
7.º Cuando el tratamiento se vaya a realizar por un encargado del tratamiento, deberá seleccionarse uno que ofrezca garantías suficientes y haberse suscrito un contrato con el contenido del artículo 28 del RGPD, en el que deberá quedar plenamente garantizado que el encargado actuará solo siguiendo instrucciones del responsable, debiendo dichas instrucciones contemplar todas las garantías adecuadas a las que se hace referencia en la presente circular.
8.º Deberá facilitarse, de un modo sencillo y gratuito, el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición, conforme a lo previsto en el artículo 12 del RGPD y, en cuanto al derecho de oposición, conforme a lo previsto en el apartado 5 del artículo 58 bis de la LOREG.
9.º En el caso de que se pretenda obtener los datos de terceros que no actúen como encargados del tratamiento, el responsable deberá comprobar que dichos datos fueron obtenidos de manera lícita y cumpliendo con todos los requisitos del RGPD, especialmente que el tercero tiene una legitimación específica para obtener y tratar dichos datos y que ha informado expresamente a los afectados de la finalidad de cesión a los partidos políticos, cumpliendo de este modo con el principio general de responsabilidad proactiva consagrado en el artículo 5.2 del RGPD, y singularmente para actuar conforme a lo previsto en sus artículos 24 y 25.
10.º El responsable deberá cumplir con lo dispuesto en el artículo 22 del RGPD si los afectados van a ser objeto de decisiones automatizadas, incluida la elaboración de perfiles, siempre que el tipo de tratamiento que prevea, por sus características y teniendo en cuenta de nuevo la naturaleza de los datos tratados, pueda afectar significativamente a los ciudadanos.
2. El responsable del tratamiento y, en su caso, el encargado, deberán ser capaces de acreditar documentalmente la adopción de las anteriores garantías.
Artículo 8. Deber de información.
1. En todo caso deberá cumplirse con el deber de información previsto en los artículos 13 y 14 del RGPD, que deberá realizarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo de acuerdo con el artículo 12 del RGPD, siendo de aplicación lo previsto en el artículo 11 de la Ley Orgánica 3/2018.
2. Cuando se considere que la comunicación individual de dicha información a los afectados resulta imposible o suponga un esfuerzo desproporcionado, deberá facilitarse en forma electrónica en el sitio web del responsable, así como en las cuentas que tenga en redes sociales y servicios equivalentes.
3. Del mismo modo, cuando el responsable pretenda obtener los datos de un tercero, deberá comprobar que dicho tercero ha cumplido con su obligación de informar sobre los mismos extremos a los afectados, al menos de forma electrónica según lo indicado en al apartado anterior.
Artículo 9. Momento en el que deberán adoptarse las garantías adecuadas.
1. Antes del comienzo del periodo electoral los responsables que vayan a presentar las correspondientes candidaturas podrán realizar las actuaciones necesarias para preparar los tratamientos que vayan a desarrollar en el periodo electoral, conforme a las obligaciones señaladas en los artículos anteriores, pero sin poder iniciar los tratamientos. En especial, las relativas al registro de actividades, evaluación de impacto, consulta previa, designación del delegado de protección de datos si no lo hubieran designado con anterioridad y la celebración, en su caso, del contrato de encargado del tratamiento.
2. Durante el periodo electoral podrá iniciarse el tratamiento, debiendo en primer lugar cumplir con la obligación de información conforme al artículo 8 y velar por el cumplimiento de la normativa de protección de datos. En el caso de que los sujetos que hayan presentado candidaturas no resulten proclamados, deberá interrumpirse inmediatamente el tratamiento y procederse a la supresión de los datos conforme al apartado siguiente.
3. Terminado el periodo electoral deberá garantizarse la supresión de los datos personales conforme a lo establecido en la ISO 27001:2013 «Seguridad de la información» y la Norma UNE- EN15713:2010 «Destrucción del Material Confidencial. Código de Buenas Prácticas», o cualquier otra metodología de reconocido prestigio para la destrucción de la información debidamente documentada, procediéndose al bloqueo de los mismos cuando proceda de conformidad con el artículo 32 de la Ley Orgánica 3/2018.
Artículo 10. Violación de la seguridad de los datos personales que se refieran a opiniones políticas.
1. En caso de violación de la seguridad de los datos personales que se refieran a opiniones políticas, el responsable del tratamiento deberá notificarlo, en todo caso, a la Agencia Española de Protección de datos conforme al artículo 33 del RGPD al constituir un riesgo para los derechos y libertades de las personas físicas.
2. Asimismo, deberá comunicarlo a los afectados salvo que se cumpla alguna de las condiciones del artículo 34.3 del RGPD.
Artículo 11. Envío de propaganda electoral por medios electrónicos o sistemas de mensajería y contratación de propaganda electoral en redes sociales o medios equivalentes.
1. Conforme al apartado 3 del artículo 58 bis el envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
2. Los datos personales que vayan a ser utilizados por los partidos políticos, federaciones, coaliciones o agrupaciones de electores para el envío de propaganda electoral tales como números de teléfono, correo electrónico u otros similares deberán haber sido obtenidos lícitamente, amparados en alguna de las bases jurídicas del artículo 6 del RGPD y deberán corresponder a personas que puedan ejercer su derecho al voto en el ámbito de la circunscripción que se corresponda con el proceso electoral al que se presenten
3. En todo caso, en los envíos que se realicen deberá constar su carácter electoral y la identidad del remitente. Asimismo, deberá facilitarse de un modo sencillo y gratuito el ejercicio de los derechos de acceso, rectificación, supresión, limitación del tratamiento y oposición, con especial atención en el caso de este último, conforme al apartado 5 del artículo 58 bis de la LOREG.
En caso de ejercicio del derecho de oposición, los datos personales dejarán de ser tratados para el envío de propaganda electoral mientras el afectado no preste su consentimiento expreso.
Disposición transitoria única. Consulta previa a la AEPD o remisión de la documentación prevista en el artículo 7.1. 5.º en los procesos electorales previstos para el 28 de abril y el 26 de mayo de 2019.
En los procesos electorales previstos para el 28 de abril y el 26 de mayo de 2019 la consulta previa o la remisión de la documentación a la que se refiere el artículo 7. 1. 5.º de la presente Circular deberá realizarse, en su caso, con una antelación mínima de tres semanas al inicio de la campaña electoral, debiendo emitirse el correspondiente informe o adoptarse las medidas oportunas con anterioridad al inicio de la misma.
Disposición final. Entrada en vigor.
La presente Circular entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».
Madrid, 7 de marzo de 2019
La Directora de la Agencia Española de Protección de Datos,
Mar España Martí.
23Ene/20
SENTENCIA DEL TRIBUNAL CONSTITUCIONAL 76/2019, DE 22 DE MAYO DE 2019
Recurso de inconstitucionalidad núm. 1405-2019 interpuesto por el Defensor del Pueblo contra el apartado 1 del art. 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales
El Pleno del Tribunal Constitucional, compuesto por el Magistrado don Juan José González Rivas, Presidente, la Magistrada doña Encarnación Roca Trías, los Magistrados don Andrés Ollero Tassara, don Fernando Valdés Dal-Ré, don Santiago Martínez-Vares García, don Juan Antonio Xiol Ríos, don Pedro José González-Trevijano Sánchez, don Antonio Narváez Rodríguez, don Alfredo Montoya Melgar, don Ricardo Enríquez Sancho, don Cándido Conde-Pumpido Tourón y la Magistrada doña María Luisa Balaguer Callejón, ha pronunciado
EN NOMBRE DEL REY
la siguiente
SENTENCIA
En el recurso de inconstitucionalidad núm. 1405-2019 interpuesto por el Defensor del Pueblo contra el apartado 1 del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Ha comparecido y formulado alegaciones el abogado del Estado. Ha sido ponente el magistrado don Cándido Conde-Pumpido Tourón.
I. Antecedentes
1. Mediante escrito presentado en este Tribunal el 5 de marzo de 2019, el Defensor del Pueblo en funciones interpuso recurso de inconstitucionalidad contra el apartado 1 del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
Los motivos del recurso pueden resumirse como sigue:
a) El Defensor del Pueblo argumenta que el legislador no limita el tratamiento de datos personales que revelen opiniones políticas por parte de los partidos políticos en el marco de sus actividades electorales, y no establece cuáles son las garantías a las que se refiere el precepto impugnado, ni los criterios para determinarlas, ni el vehículo normativo que deba contenerlas, ni la autoridad o poder público que deba establecerlas, y ni siquiera realiza referencia alguna a los derechos de los titulares de los datos ni al modo y condiciones en que estos pueden ejercitarlos. De este modo, cualquier dato personal relativo a opiniones políticas, aun siendo un dato sensible especialmente protegido, puede ser objeto de tratamiento sin que hubiera sido aportado para este fin, o sin que su titular lo consienta, o sin que tenga noticia del tratamiento ni de su finalidad y sin que sepa en qué condiciones puede ejercer sus derechos de oposición y cancelación. Todo es posible, señala el recurso, al no haber precisado el legislador como debía, por mor del artículo 53.1 CE, en qué consisten y cuáles son esas «garantías adecuadas», con lo que los poderes de disposición y control sobre los datos personales que forman parte del contenido esencial del derecho del artículo 18.4 CE quedan en cuestión, propiciándose una situación evidente de inseguridad jurídica contraria a su artículo 9.3 que, en el contexto tecnológico actual, afecta también al derecho a la libertad ideológica del artículo 16 y al derecho a la participación política del artículo 23.1, todos ellos de la Constitución.
b) Argumenta también el recurso que el poder de disposición y control sobre los datos personales (STC 292/2000, FJ 7) adquiere una relevancia extraordinaria cuando los datos concernidos son, como ocurre en este caso, los relativos a las opiniones políticas, los cuales, por su vinculación con otros derechos y libertades, como la ideológica (artículo 16.1 CE) y las de expresión y comunicación [artículo 20.1.a) y d) CE], así como el principio de igualdad (artículo 14 CE), pertenecen a la categoría de datos especialmente protegidos.
Ya el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1981, incluye en las «categorías particulares de datos» a los datos personales «que revelen […] las opiniones políticas» (artículo 6), los cuales «no podrán tratarse a menos que el derecho interno prevea las garantías apropiadas», admitiendo como única excepción a la regla anterior el supuesto de que «constituya una medida necesaria en una sociedad democrática» para la protección de la seguridad del Estado, de la seguridad pública, para los intereses monetarios del Estado, la represión de las infracciones penales o para la protección de la persona concernida y los derechos y libertades de otras personas. En términos similares se pronuncia el artículo 8 del Convenio Europeo de Derechos Humanos, relativo a la garantía de la intimidad individual y familiar, aplicable al tráfico de datos de carácter personal.
Por su parte, el Reglamento (UE) 2016/679, de 27 de abril de 2016, de protección de datos (RGPD), prohíbe el tratamiento de las que denomina categorías especiales de datos personales, entre las que se encuentran las que revelen opiniones políticas (artículo 9.1), prohibición que, no obstante, admite algunas excepciones. Así, el apartado g) del número 1 del mismo precepto autoriza el tratamiento cuando «es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado». Y el apartado a) autoriza el tratamiento en el supuesto de que el interesado hubiera dado su consentimiento explícito para ello, si bien esta excepción puede enervarse «cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado».
El Defensor del Pueblo señala que, precisamente en esta línea limitativa frente el tratamiento de datos sensibles y especialmente protegidos, el artículo 9.1 de la Ley Orgánica 3/2018, de protección de datos personales y garantía de los derechos digitales, dispone que «a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico», aunque en el párrafo segundo admite que «lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679 cuando así proceda».
c) Sin embargo, sostiene el Defensor del Pueblo, esta línea normativa acorde con la regulación internacional y europea se rompe con la tramitación de una enmienda de adición (núm. 331), que incorpora una nueva disposición final tercera que modifica la Ley Orgánica de régimen electoral general (LOREG) y le añade el nuevo artículo 58 bis, cuyo apartado primero, lejos de atender a la protección especial que en el contexto tecnológico actual debe proporcionarse a los datos que revelen opiniones políticas de las personas, abre la puerta a su tratamiento por los partidos políticos. El precepto ampara el tratamiento (la recopilación lo es), en principio prohibido, de datos personales relativos a opiniones políticas. Lo ampara genéricamente en el «interés público», no en un interés público esencial como pide la norma europea. Y para obtener este amparo basta con la oferta de unas inciertas e indeterminadas «garantías adecuadas» que ni el precepto ni la norma en la que se inserta la LOREG concretan en absoluto. Y lo hace a favor de los partidos políticos «en el marco de sus actividades electorales», otro concepto indeterminado que no tiene por qué coincidir con el periodo legalmente previsto en cada proceso de elecciones con la campaña electoral.
La mencionada enmienda se justificó en el contenido del considerando 56 del Reglamento Europeo 2016/679/UE, cuyo tenor literal es el siguiente: «Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas». Sin embargo, el mero valor interpretativo y no normativo del considerando no solo no proporciona amparo al precepto impugnado, sino que confirma las dudas que suscita, ya que la referencia al interés público al que genéricamente alude el artículo 58 bis.1 LOREG se vincula en el considerando citado al que se daría si lo «exige el funcionamiento del sistema democrático» y no cualquier otro.
A juicio del Defensor del Pueblo, la genérica mención al «interés público» sin especificarlo no basta para fundamentar la intromisión que en el derecho a la protección de datos de carácter personal implica el amparo que se otorga al tratamiento de los datos relativos a opiniones políticas a favor de los partidos políticos en el también impreciso marco de sus actividades electorales. Además, la determinación de las «garantías adecuadas» a las que alude el precepto sin concretarlas implica necesariamente la regulación de las facultades atribuidas a los sujetos concernidos, esto es, a los titulares de los datos, así como las posibilidades de actuación que les correspondan, en definitiva, las facultades de disposición y control respecto de esos datos cuya recopilación se autoriza, lo que sin duda es parte integrante del contenido esencial del derecho a la protección de datos del artículo 18.4 CE. Esa regulación debe contenerse en la ley por imperativo del artículo 53.1 CE, sin que quepa derivarla en ningún caso, ni explícita ni implícitamente, como aquí ocurre, a otro poder, operador o instancia, y sin que el legislador pueda abdicar de su deber de regular concreta y pormenorizadamente las restricciones al derecho fundamental que se derivan de la autorización concedida a los partidos políticos para recopilar datos personales relativos a las opiniones políticas. Así pues, de acuerdo con lo afirmado en el fundamento jurídico 10 de la STC 292/2000, el Defensor del Pueblo concluye que la mera mención al interés público y a la garantías adecuadas sin concretar ni cuál es aquel ni cuáles sean estas implica una intromisión directa en el derecho a la protección de datos personales, contraria, por tanto, a los artículos 18.4 y 53.1 CE. Dicho de otro modo, no se respeta el contenido esencial del derecho a la protección de datos cuando se ampara la recopilación de datos relativos a opiniones políticas sin fijar los límites de tal amparo; y no se respeta el principio de reserva de ley cuando el legislador abdica de su deber de concretar las condiciones y requisitos en las que ese tratamiento en principio prohibido deviene en legítimo.
d) La inconcreción de la norma respecto de las garantías que han de rodear la recopilación de datos personales relativos a las opiniones políticas por parte de los partidos políticos también produce una afectación indeseable respecto de la libertad ideológica garantizada por el artículo 16 CE, al que se han referido las SSTC 19/1985, de 13 de febrero, y 20/1990, de 15 de febrero. La redacción del artículo 58 bis.1, en cuanto ampara la recopilación por los partidos políticos de las opiniones políticas expresadas por los ciudadanos siempre que se «ofrezcan garantías adecuadas» pero sin establecer dichas garantías, supone una injerencia indebida en la libertad ideológica, al posibilitar el tratamiento de las opiniones políticas para un fin distinto del que motivó su expresión o manifestación y sin que quepa predecir las consecuencias que puedan derivarse de dicho tratamiento, el cual, además, con la tecnología disponible para el tratamiento combinado y masivo de datos procedentes de fuentes diversas, es potencialmente revelador de la propia ideología y contrario a la garantía del artículo 16.2 CE.
A juicio del Defensor del Pueblo resulta indicativo que la enmienda núm. 331, origen del precepto, incluía un número 2 con las siguientes previsiones: «2. Cuando la difusión de propaganda electoral en redes sociales o medios equivalentes se base en la elaboración sistemática y exhaustiva de perfiles electorales de personas físicas, deberá realizarse una previa evaluación de impacto relativa a la protección de datos personales en los términos previstos en el artículo 35 del Reglamento (UE) 2016/679. Dicha difusión no podrá realizarse cuando se identifique un alto riesgo para los derechos y libertades de las personas y no se adopten las medidas necesarias para impedirlo.–Quedan prohibidas las actividades de propaganda electoral basadas en la elaboración de perfiles electorales en redes sociales o equivalentes cuando no se informe a sus destinatarios sobre su finalidad, la identidad del responsable, o la entidad contratada para su realización y los criterios de selección.» Este punto 2 de la enmienda, que no superó el trámite y no figura en el texto finalmente aprobado, evidencia la preocupación por las consecuencias que sobre los derechos de los electores puede tener la elaboración sistemática y exhaustiva de perfiles electorales. Pese a ello, el legislador, aun siendo consciente del riesgo que las nuevas tecnologías y el tratamiento masivo de datos puede suponer para los derechos y libertades de las personas y, en lo que aquí interesa, para la libertad ideológica y el derecho a no hacer pública la propia, ha abdicado de su deber de incluir detalladamente las garantías adecuadas para la recopilación de datos personales que revelen opiniones políticas. No solo se ampara la recopilación, sino también se autoriza a los partidos políticos, coaliciones y agrupaciones electorales a utilizar datos personales (incluidos los relativos a opiniones políticas) obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el período electoral (artículo 58 bis.2 LOREG). En razón de todo ello, se considera que el artículo 58 bis.1 LOREG resulta contrario al artículo 16 CE.
e) También está comprometido el derecho a la participación política en los asuntos públicos que garantiza el artículo 23 CE. Esta libertad difícilmente puede darse en un entorno tecnológico en el que las modernas técnicas de análisis de la conducta sobre la base del tratamiento masivo de datos y la inteligencia artificial permiten procedimientos complejos orientados a modificar, forzar o desviar la voluntad de los electores y sin que estos sean conscientes de ello. A los poderes públicos les corresponde «promover las condiciones para que la libertad y la igualdad del individuo y de los grupos en que se integra sean reales y efectivas; remover los obstáculos que impidan o dificulten su plenitud y facilitar la participación de todos los ciudadanos en la vida política, económica, cultural y social» (artículo 9 CE). Y si bien el Tribunal Constitucional tiene declarado que «en rigor, en el ámbito de los procesos electorales, solo en casos muy extremos cabrá admitir la posibilidad de que un mensaje tenga capacidad suficiente para forzar o desviar la voluntad de los electores, dado el carácter íntimo de la decisión del voto y los medios legales existentes para garantizar la libertad del sufragio» (STC 136/1999, de 20 de julio, FJ 16), en el contexto actual, muy diferente al de hace dos décadas, la garantía de la libertad de sufragio exigiría una acción positiva del legislador para que la misma no se viera comprometida. Nuevamente aquí la inconcreción del artículo 58 bis.1
LOREG respecto de los límites precisos en los que los partidos políticos pueden recopilar datos personales relativos a opiniones políticas de los ciudadanos y el uso que puedan darle a esa recopilación genera una afectación negativa de la libertad de sufragio, contraria al artículo 23.1 CE.
f) Por último, se fundamenta la vulneración del principio de seguridad jurídica (artículo 9.3 CE). El nuevo artículo 58 bis.1 LOREG declara amparada la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos con una total imprecisión. Un «interés público» genérico, las «actividades electorales» que los partidos pueden realizar en cualquier momento y no solo durante la campaña electoral y unas «garantías adecuadas» que, en el mejor de los casos, un operador jurídico avezado tendría serias dificultades para deducir de la interpretación conjunta de la normativa electoral y de la vigente en materia de protección de datos personales tanto nacional (de aplicación solo supletoria artículo 2.3 de la Ley Orgánica de protección de datos (LOPD), como proveniente del Derecho internacional y europeo derivado.
Hay que fiar al criterio del operador jurídico de turno la determinación de si los sujetos legitimados para realizar la recopilación de datos son exclusivamente los partidos políticos a los que literalmente alude el precepto o si también lo están los restantes sujetos que pueden concurrir al proceso electoral de acuerdo con la LOREG, esto es, federaciones, coaliciones y agrupaciones de electores. También hay que colegir si los datos recopilados pueden ser comunicados o transferidos a terceros, o si hay que entender prohibida tal práctica al tratarse de una habilitación de tratamiento excepcional.
Asimismo, hay que determinar el marco en el que se habilita el tratamiento y la finalidad del mismo, pues las actividades electorales pueden realizarlas los partidos durante el período electoral definido en la LOREG o en cualquier otro momento, y si se circunscriben o no a los actos de propaganda y de campaña, como podría parecer, dada la inserción del precepto en la sección quinta del capítulo VI del título I de la LOREG. También la determinación de las fuentes en las que pueden recogerse los datos personales que pueden ser objeto de tratamiento exige sopesar si estas son las páginas web y otras fuentes accesibles al público a las que hace referencia el número 2 del precepto aquí impugnado, o si pueden ser cualesquiera otras, ya que su tenor no establece límite alguno al respecto.
Finalmente, habrá de determinarse si ese amparo habilita o no a la realización de las restantes operaciones o conjunto de operaciones que a tenor del artículo 4.2 RGPD constituyen el tratamiento. La literalidad del precepto parece apuntar a ello, aunque la mera recopilación de los datos sin una ulterior operación de organización, estructuración, consulta o utilización, entre otras operaciones incluidas en el concepto de tratamiento (artículo 4.2 RGPD), carece de sentido.
Si a estas y otras dificultades habrá de enfrentarse el operador jurídico que aplique la norma o el que supervise su aplicación o el que la enjuicie, mayores serán las que padezca el titular de los datos personales afectados, a quien la norma y el ordenamiento en el que se inserta, el electoral, no proporciona indicación alguna respecto de sus poderes de disposición y control sobre los mismos, ni sobre las condiciones de su ejercicio.
Sin desconocer la doctrina del Tribunal Constitucional sobre la infracción del principio de seguridad jurídica (STC 150/1990, FJ 8), el Defensor del Pueblo entiende que, en el contexto tecnológico actual y frente a los riesgos evidentes que el tratamiento masivo de la información puede suponer para la intimidad personal, la protección de datos personales, la libertad ideológica y la libertad de participación política, resulta inexcusable –en términos propios del Tribunal– el esfuerzo del legislador por alumbrar una normativa abarcable y comprensible para la mayoría de los ciudadanos a los que va dirigida; puesto que una legislación confusa, oscura e incompleta dificulta su aplicación y, además de socavar la certeza del Derecho y la confianza de los ciudadanos en el mismo, puede terminar por empañar el valor de la justicia. En razón de todo ello, se considera que el artículo 58 bis.1 LOREG resulta contrario al artículo 9.3 CE.
2. Por providencia de 12 de marzo de 2019, el Pleno del Tribunal Constitucional, a propuesta de la sección primera, acordó admitir a trámite el recurso de inconstitucionalidad, dar traslado de la demanda y documentos presentados, conforme establece el artículo 34 Ley Orgánica del Tribunal Constitucional (LOTC), al Congreso de los Diputados y al Senado, por conducto de sus presidentes, y al Gobierno, a través del Ministerio de Justicia, al objeto de que en el plazo de quince días pudieran personarse en el proceso y formular las alegaciones que estimaren convenientes. También se ordenó publicar la incoación del recurso en el «Boletín Oficial del Estado», lo que se produjo en su núm. 64, de 15 de marzo de 2019.
3. Por escrito registrado en el Tribunal el 18 de marzo de 2019, el presidente del Senado comunicó el acuerdo de la mesa de la cámara de personarse en el proceso y ofrecer su colaboración a los efectos del artículo 88.1 LOTC. Idéntica comunicación realizó la presidenta del Congreso de los Diputados mediante escrito registrado el día 8 de abril de 2019.
4. Por escrito registrado en el Tribunal el 18 de marzo de 2019, el abogado del Estado, en la representación que legalmente ostenta, se personó en el procedimiento y solicitó prórroga del plazo para formular alegaciones por ocho días más, que le fue concedida por diligencia de ordenación de misma fecha.
5. El 10 de abril de 2019 se registró el escrito de alegaciones del abogado del Estado, que solicitó que se desestimara en su integridad el recurso interpuesto, con arreglo a los siguientes argumentos.
a) Para responder a la demanda altera el orden de las imputaciones de inconstitucionalidad, y comienza por la relativa a la inseguridad jurídica, pues considera que, de no existir esa vulneración, esto es, de cumplirse el requisito de la exigencia de «garantías adecuadas», decaerían las alegaciones sobre la supuesta vulneración de derechos fundamentales.
b) Para determinar las «garantías adecuadas» para la aplicación del precepto impugnado, afirma que debe acudirse a las previsiones del precepto impugnado y de la Ley Orgánica de protección de datos (LOPD), y que así lo ha entendido la Agencia Española de Protección de Datos (AEPD) en dos documentos de indudable trascendencia, que el abogado del Estado manifiesta que hace suyos. Es lógico, se dice, que la reforma de la LOREG, al incluir el apartado impugnado, no desarrolle las garantías adecuadas por la aplicación supletoria de la LOPD en la que se encuentran perfectamente previstas. Para explicar el fundamento de la previsión normativa impugnada es preciso conocer el contexto en que se adopta, que, frente a lo que afirma el Defensor del Pueblo, tiene por finalidad asegurar que la recopilación de este tipo de datos, en procesos electorales, es de indudable interés público y que la ley, al regularla, incrementa las garantías frente a situaciones de hecho en que se proceda a recopilar estos datos contraviniendo los derechos fundamentales implicados.
Las garantías adecuadas constan en la literalidad del precepto, en la fundamentación de la enmienda en el reglamento y, supletoriamente en la
LOPD , como ha entendido la Circular 1/2019, de 7 de marzo, de la AEPD:
– En primer lugar, el precepto impugnado tiene por objeto acabar con la desregulación previa de la recopilación por los partidos políticos de datos relativos a las opiniones políticas. Establece claramente el interés público de esta recopilación, fundamentado en el mejor desarrollo de los procesos electorales, elemento básico en una democracia representativa; limita la posibilidad de recopilación de estos datos a los procesos electorales, es decir, en el estricto periodo electoral; y limita la habilitación a los partidos políticos concurrentes a unas elecciones, pues ninguna otra organización podrá proceder a recopilar este tipo de datos.
– Como se deduce de la motivación de la enmienda, el precepto pretende evitar situaciones como la que causó el caso denominado «Cambridge analytica» en el que se produjo una utilización indebida de datos de los ciudadanos. De la enmienda se deduce también que la base jurídica que determina los límites de recopilación de datos es el considerando 56 del Reglamento (UE) 2016/679 y normativa de desarrollo.
En consecuencia, no es correcta la afirmación de que el precepto legal no establece un mínimo suficiente de garantías adecuadas para poder llevar a cabo la recopilación de datos.
– En tercer lugar, el precepto impugnado no puede ser interpretado ni aplicado aisladamente sino en el ámbito de la LOPD y del Reglamento de protección de datos, dado su carácter expresamente supletorio. Una explicación exhaustiva a esta cuestión se encuentra en el informe elaborado por los servicios jurídicos de la AEPD que, como entidad independiente, tiene por finalidad asegurar que no se produce una vulneración del artículo 19.3 CE (sic). La AEPD ha emitido dos documentos de imprescindible análisis en los que, sin innovar la ley, que le está vedado, lleva a cabo una interpretación conforme de este precepto: el informe de la asesoría jurídica de la agencia núm. 210070/2018, publicado en la página webde la AEPD; y la Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales relativos a opiniones políticas y envío de propaganda electoral por medios electrónicos o sistemas de mensajería por parte de partidos políticos, federaciones, coaliciones y agrupaciones de electores al amparo del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, de régimen electoral general, publicada en el «Boletín Oficial del Estado» núm. 60, de 11 de marzo de 2019, y que reproduce parcialmente en su escrito.
Concluye que, por la aplicación directa del reglamento y supletoria de la LOPD, queda perfectamente concretada, frente a lo que se afirma de contrario, la constitucionalidad del precepto impugnado que, en lo que se refiere a las «garantías adecuadas», debe integrarse con lo expresado en las citadas normas tal y como ha sido interpretado por la AEPD en la circular mencionada. Por ello, no resulta de aplicación el fundamento jurídico 10 de la STC 292/2000. En ningún caso este precepto vulnera, como se afirma en el último fundamento jurídico de la demanda, las exigencias de la seguridad jurídica (artículo 9.3 CE), tal y como han sido interpretadas por el Tribunal, entre otras, en la STC 136/2011, de 13 de septiembre, citada en la demanda. Por el contrario, debe aplicarse la jurisprudencia constitucional que dispone que «cada norma singular no constituye un elemento aislado e incomunicado en el mundo del Derecho», de forma que solo en casos excepcionales de incertidumbre razonablemente insuperable podría concluirse que una norma infringe el principio de seguridad jurídica (STC 150/1990, FJ 8). El operador jurídico que debe aplicar la disposición impugnada puede conocer, mediante la aplicación directa del reglamento y la supletoria de la LOPD, el régimen de «garantías adecuadas» necesario para aplicar este precepto: lo contrario supondría tener que reiterar innecesariamente en la LOREG el contenido de las normas mencionadas, cuando, como ha entendido la AEPD, dichas garantías se encuentran perfectamente determinadas.
c) A la luz de las alegaciones anteriores, se señala que decaen el resto de los argumentos invocados en la demanda:
– El hecho de que las garantías, como concreta la AEPD, se encuentren desarrolladas en el reglamento y la propia LOPD, priva de fundamento a la impugnación según la cual la definición de las garantías adecuadas debe hacerse por ley, de acuerdo con el artículo 18.4 CE en conexión con el artículo 53 CE.
– El precepto en ningún caso vulnera la libertad ideológica (artículo 16 CE), puesto que no se obliga a ciudadano alguno a manifestar su opinión política conforme al fundamento jurídico 12 de la STC 20/1990, y en ningún caso el tratamiento de las opiniones políticas expresadas se podrá utilizar para un fin distinto del que motivó su expresión o manifestación.
– No se acierta a comprender cómo se vulnera el artículo 23 CE, pues la recopilación de datos por parte de los partidos políticos en nada afecta a este derecho, ni se persigue forzar una determinada voluntad. Al contrario, se persigue que sean los partidos políticos, todos ellos, justamente los garantes del pluralismo político, los que puedan llevar a cabo el legítimo fin en una democracia de conocer, exclusivamente en los procesos electorales, la opinión de los electores para conformar su estrategia electoral, lo que redunda en un mejor funcionamiento del sistema democrático.
6. Por providencia de 21 de mayo de 2019 se señaló para deliberación y votación de la presente sentencia el día 22 de mayo de 2019.
II. Fundamentos jurídicos
1. El Defensor del Pueblo ha interpuesto el presente recurso de inconstitucionalidad contra el apartado primero del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. El artículo 58 bis dispone lo siguiente:
«Artículo cincuenta y ocho bis. Utilización de medios tecnológicos y datos personales en las actividades electorales.
1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.»
El recurso interpuesto por el Defensor del Pueblo impugna esa modificación normativa por lo que respecta exclusivamente a su apartado 1, por considerar que vulnera diversos preceptos constitucionales, en concreto los artículos 9.3, 16, 18.4, 23 y 53.1 CE. Por su parte, el abogado del Estado solicita la desestimación integra del recurso.
2. Antes que nada debemos identificar el núcleo de la controversia, pues como correctamente aprecia el abogado del Estado, en la demanda del Defensor del Pueblo late una impugnación central, de las que las demás son más bien complementarias. No obstante, esa impugnación central no es, como afirma el abogado del Estado, la relativa al principio de seguridad jurídica (artículo 9.3 CE), sino la que se refiere al artículo 18.4 CE en conexión con el artículo 53.1 CE .
La disposición legal recurrida autoriza a los partidos políticos a recopilar datos personales relativos a las opiniones políticas de las personas en el marco de sus actividades electorales. Como ha quedado expuesto en los antecedentes, la demanda alega que dicha disposición es inconstitucional por las siguientes razones: (i) no ha determinado por sí misma la finalidad del tratamiento, más allá de la genérica mención al «interés público»; (ii) no ha limitado el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental, indicando por ejemplo las fuentes de las que pueden recogerse los datos personales y las operaciones que pueden realizarse con ellos; y (iii) no ha establecido ella misma las garantías adecuadas para proteger los derechos fundamentales afectados. Debido a esas insuficiencias, el precepto impugnado habría incurrido en una doble y simultánea vulneración, la de los artículos 18.4 y 53.1 CE, por infringir la reserva de ley y por no respetar el contenido esencial del derecho fundamental a la protección de datos personales.
Alrededor de la impugnación referida a la posible vulneración del derecho fundamental a la protección de datos personales (artículo 18.4 en conexión con el artículo 53.1 CE) se articulan en el recurso de inconstitucionalidad otros motivos, unos relativos también a la infracción de otros derechos fundamentales sustantivos, como los derechos a la libertad ideológica (artículo 16 CE) y de participación política (artículo 23 CE), y otro referido al principio general de seguridad jurídica (artículo 9.3 CE).
Por su parte, el abogado del Estado rechaza esa impugnación argumentando en esencia que la finalidad del tratamiento es el mejor funcionamiento del sistema democrático, y que las garantías adecuadas se desprenden de la literalidad del precepto o bien están previstas en el marco regulatorio establecido por el Reglamento (UE) 2016/679, de 27 de abril de 2016, de protección de datos y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, tal como ha concretado la Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos (en adelante, la Circular 1/2019).
El enjuiciamiento constitucional que nos demanda la impugnación central se circunscribe, pues, a resolver si el legislador ha vulnerado la reserva de ley y el contenido esencial del derecho fundamental a la protección de datos personales (artículo 18.4 CE en conexión con el artículo 53.1
CE ), por renunciar a establecer el marco en el que se habilita el tratamiento, la finalidad del mismo y las garantías adecuadas frente al concreto uso de la informática previsto en la norma impugnada.
Podemos asumir, por tanto, ya que no lo controvierten las alegaciones de las partes, que el apartado 1 del artículo 58 bis de la Ley Orgánica del régimen electoral general (LOREG) constituye una injerencia en el derecho fundamental a la protección de datos personales garantizado por el artículo 18.4 CE. Lo que está en discusión es si la citada disposición legal cumple con las exigencias que derivan de la Constitución y de nuestra doctrina constitucional.
3. En apoyo de su alegato, el Defensor del Pueblo cita nuestra jurisprudencia sobre el derecho fundamental a la protección de datos personales, y en concreto el pronunciamiento específico sobre las garantías adecuadas que a este respecto se contiene en el fundamento jurídico 10 de la STC 292/2000, de 30 de noviembre; el artículo 8 del Convenio Europeo para la protección de los Derechos Humanos y las Libertades Fundamentales, hecho en Roma el 14 de noviembre de 1950; el artículo 6 del Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981 y, por último, el «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)», y en especial los apartados 1 y 2 del artículo 9.
Los diversos instrumentos jurídico-internacionales que alega el Defensor del Pueblo, si bien «no constituyen canon para el enjuiciamiento de la adecuación a la Constitución de normas dotadas de rango legal» (por todas, STC 140/2018, de 20 de diciembre, FJ 6), pueden tener relevancia a la hora de interpretar las disposiciones que sí integran el parámetro de constitucionalidad. Como hemos declarado reiteradamente a lo largo de nuestra jurisprudencia, las disposiciones de los acuerdos internacionales sobre derechos humanos válidamente celebrados y publicados oficialmente en España constituyen, a tenor del artículo 10.2 CE, valiosos criterios hermenéuticos del sentido y alcance mínimo de los derechos y libertades que la Constitución reconoce. De suerte que los mencionados instrumentos normativos pueden ser tenidos en cuenta, y lo serán más adelante, para corroborar el sentido y alcance del específico derecho fundamental que ha reconocido nuestra Constitución en orden a la protección de los datos personales.
Por lo que respecta al Reglamento (UE) 2016/679, que entró en vigor el 25 de mayo de 2018 y al que ya se ha referido la STC 58/2018, de 4 de junio, FJ 5, debemos señalar que si bien tiene también valor interpretativo a los efectos del artículo 10.2 CE, de la misma forma que en el pasado se lo atribuimos a la Directiva 95/46/CE que ha sido sustituida por aquel (SSTC 94/1998, de 4 de mayo, FJ 4; 144/1999, de 22 de julio, FJ 8; 202/1999, de 8 de noviembre, FJ 5; 70/2009, de 23 de marzo, FJ 2, y 29/2013, de 11 de febrero, FJ 5). No obstante, la eficacia jurídica del Reglamento (UE) 2016/679 que alega el Defensor del Pueblo no se agota, desde luego, en el valor hermenéutico que despliega a los efectos del artículo 10.2 CE, esto es, en el plano de la constitucionalidad, pues en el seno de nuestro ordenamiento jurídico representa sobre todo un acto jurídico «obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro», como luce al final del texto, con las características inherentes al Derecho de la Unión Europea.
A este Tribunal le corresponde aplicar la Constitución. Cuando, como ocurre en este proceso, se le demanda el enjuiciamiento constitucional del desarrollo legislativo de un derecho fundamental que se halla en la actualidad parcialmente determinado por el Derecho de la Unión Europea, como es la protección de datos personales, «[l]as exigencias derivadas del Derecho de la Unión no pueden ser irrelevantes a la hora de establecer los márgenes constitucionalmente admisibles de libertad de apreciación política» (STC 1/2012, de 13 de enero, FJ 9). Sin que ello implique de forma alguna que el análisis de constitucionalidad pueda o deba incluir un examen sobre la compatibilidad entre el reglamento europeo y la ley interna, ni que un eventual juicio de incompatibilidad pueda derivar en la declaración de inconstitucionalidad de una ley interna por oposición a una disposición de Derecho de la Unión, pues cualquier análisis de compatibilidad entre el Derecho de la Unión Europea y la Ley Orgánica 3/2018 se dirimirá en términos de legalidad ordinaria y selección del derecho aplicable en un primer término, y no en clave de contradicción con la Constitución de la norma interna eventualmente contraria al Derecho de la Unión («mutatis mutandis», STC 140/2018, FJ 6).
4. Para un correcto enjuiciamiento constitucional de la impugnación central, antes de formular en el fundamento jurídico siguiente el parámetro de constitucionalidad aplicable, debemos exponer sucintamente el régimen jurídico del tratamiento de datos personales relativos a las opiniones políticas de las personas. Ello implica aludir al contenido tanto del Reglamento (UE) 2016/679 o Reglamento general de protección de datos (en adelante, RGPD) como de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en adelante, LOPDyGDD), pues en la actualidad ambas fuentes configuran conjuntamente, de forma directa o supletoria, el desarrollo del derecho fundamental a la protección de datos de carácter personal que exigen los artículos 18.4 y 81.1 CE, dado que el artículo 2.3 LOPDyGDD declara la supletoriedad del reglamento general y de la Ley Orgánica 3/2018, a falta de legislación específica, también para los tratamientos a los que el reglamento general no resulte directamente aplicable por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea.
De acuerdo con el apartado 1 del artículo 9 RGPD, está prohibido el tratamiento de datos personales que revelen las opiniones políticas, del mismo modo que lo está el tratamiento de datos personales que revelen el origen étnico o racial, las convicciones religiosas o filosóficas o la afiliación sindical y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. No obstante, el apartado 2 del mismo precepto autoriza el tratamiento de todos esos datos cuando concurra alguna de las diez circunstancias allí previstas [letras a) a j)]. Algunas de esas circunstancias tienen un ámbito de aplicación acotado (laboral, social, asociativo, sanitario, judicial, etc.) o responden a una finalidad determinada, por lo que, en sí mismas, delimitan los tratamientos específicos que autorizan como excepción a la regla general. Además, la eficacia habilitante de varios de los supuestos allí previstos está condicionada a que el Derecho de la Unión o el de los Estados miembros los prevean y regulen expresamente en su ámbito de competencias: es el caso de las circunstancias recogidas en las letras a), b), g), h), i) y j).
El tratamiento de las categorías especiales de datos personales es uno de los ámbitos en los que de manera expresa el Reglamento general de protección de datos ha reconocido a los Estados miembros «margen de maniobra» a la hora de «especificar sus normas», tal como lo califica su considerando 10. Este margen de configuración legislativa se extiende tanto a la determinación de las causas habilitantes para el tratamiento de datos personales especialmente protegidos –es decir, a la identificación de los fines de interés público esencial y la apreciación de la proporcionalidad del tratamiento al fin perseguido, respetando en lo esencial el derecho a la protección de datos– como al establecimiento de «medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado» [artículo 9.2.g) RGPD]. El reglamento contiene, por tanto, una obligación concreta de los Estados miembros de establecer tales garantías, en el caso de que habiliten para tratar los datos personales especialmente protegidos.
Así, la primera circunstancia habilitante para el tratamiento de los datos personales especialmente protegidos, recogida en la letra a) del apartado 2 del artículo 9 RGPD, consiste en el consentimiento explícito del interesado: cuando «el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado». Sin embargo, el legislador español ha optado por excluir plenamente la eficacia habilitante del consentimiento del afectado. Con arreglo al artículo 9.1 LOPDyGDD, «el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico».
Y para «los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español», el artículo 9.2 LOPDyGDD señala que «deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad».
El Reglamento general de protección de datos no excluye de antemano que los Estados miembros puedan autorizar la recopilación de datos personales sobre las opiniones políticas en el marco de actividades electorales, si bien esa autorización está expresamente condicionada al establecimiento de «garantías adecuadas», como se desprende de su considerando 56: «Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas».
Finalmente, debe mencionarse que la finalidad de proteger la integridad del proceso democrático europeo ha llevado a las instituciones de la Unión Europea a establecer sanciones financieras para afrontar las situaciones en las que los partidos políticos europeos o las fundaciones políticas europeas, que se financian con cargo al presupuesto general de la Unión, se aprovechen de infracciones de las normas de protección de datos personales con el fin de influir en el resultado de las elecciones al Parlamento Europeo. El Reglamento (UE, Euratom) 2019/493 del Parlamento Europeo y del Consejo, de 25 de marzo de 2019, establece a tal fin un procedimiento de verificación relativo a las infracciones de las normas de protección de los datos personales en el contexto de las elecciones al Parlamento Europeo.
En suma, el artículo 58 bis LOREG, cuyo apartado 1 es el objeto del presente recurso de inconstitucionalidad, contiene una modificación normativa introducida por el legislador orgánico para hacer posible un tratamiento de datos que, de no existir dicha habilitación, estaría prohibido tanto por el Derecho de la Unión como por nuestro ordenamiento jurídico, tal como se refleja en los artículos 9.1 RGPD y 9.2 LOPDyGDD.
5. La impugnación tiene por objeto un precepto legal, cuya doble singularidad estriba en el destinatario y el objeto de la habilitación. Por un lado, los sujetos habilitados para recopilar los datos personales no pueden considerarse «meras personas jurídico-privadas titulares del derecho de asociación contemplado en el artículo 22 CE» (STC 226/2016, de 22 de diciembre, FJ 6), pues son instrumento fundamental para la participación política (artículo 6 CE) y ejercen «cierta función pública» (STC 3/1981, de 2 de febrero, FJ 2) en su condición de «organizaciones sociales de relevancia constitucional» (STC 18/1984, de 7 de febrero, FJ 3). Por ello, este Tribunal debe velar por que, en este como en otros ámbitos, la actuación de los partidos políticos tenga bajo sus pies un suelo firme de Estado de Derecho, ajeno a la incertidumbre y la arbitrariedad. Por otro lado, los datos personales que pueden recopilarse integran una categoría especial de datos, que, como la información relativa a la salud (STC 70/2009, FJ 2), son especialmente sensibles y, por tanto, dignos de especial protección para la garantía de los derechos fundamentales.
Teniendo presente tanto la especial sensibilidad de los datos personales afectados como la especial posición constitucional de los sujetos autorizados a recopilarlos, debemos precisar a continuación los parámetros de enjuiciamiento que permitan resolver el contenido central de la impugnación: la vulneración por el legislador de la reserva de ley y el contenido esencial del derecho fundamental a la protección de datos personales (artículo 18.4 CE en conexión con el artículo 53.1 CE).
a) Como ya se indicó, en la presente impugnación no está en discusión cuál es el derecho fundamental principalmente afectado, el derecho fundamental a la protección de datos personales; ni tampoco lo están la definición de su contenido, su alcance o sus límites, aspectos que fueron abordados en detalle en los fundamentos jurídicos 5 a 9 de la ya citada STC 292/2000, a los que ahora nos remitimos íntegramente.
A los efectos del presente proceso bastará recordar que «el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso», y que estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos, «se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular». A su vez, «ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables, por un lado, la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo, y, por otro lado, el poder oponerse a esa posesión y usos», «exigiendo del titular del fichero que le informe de qué datos posee sobre su persona, accediendo a sus oportunos registros y asientos, y qué destino han tenido, lo que alcanza también a posibles cesionarios; y, en su caso, requerirle para que los rectifique o los cancele» (STC 292/2000, FJ 7).
b) El artículo 18.4 CE no solo «consagra un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona» (SSTC 11/1998, de 13 de enero, FJ 5; 96/2012, FJ 6, y 151/2014, de 25 de septiembre, FJ 7), sino también, como se desprende de su último inciso («para garantizar […] el pleno ejercicio de sus derechos»), un derecho instrumental ordenado a la protección de otros derechos fundamentales, esto es, «un instituto de garantía de los derechos a la intimidad y al honor y del pleno disfrute de los restantes derechos de los ciudadanos» (STC 292/2000, de 30 de septiembre, FJ 5). Así, hemos afirmado el carácter instrumental del derecho fundamental reconocido en el artículo 18.4 CE para la garantía de la libertad sindical (SSTC 11/1998, de 13 de enero, FJ 5; 60/1998, de 16 de marzo, FJ 1; 124/1998, de 15 de junio, FJ 2; y 126/1998, de 15 de junio, FJ 2), y así también debemos entenderlo, desde luego, con respecto a la libertad ideológica.
Por tanto, el derecho fundamental afectado es el de protección de datos personales, desde una doble perspectiva, como derecho fundamental autónomo dirigido a controlar el flujo de informaciones que concierne a cada persona, y como derecho fundamental instrumental ordenado a la protección del también derecho fundamental a la libertad ideológica.
c) La libertad ideológica consagrada en el artículo 16 CE tiene una dimensión positiva, pues se protege «sin más limitación, en sus manifestaciones, que la necesaria para el mantenimiento del orden público protegido por la ley» (apartado 1), y también una dimensión negativa, pues incluye el derecho de toda persona a no «ser obligado a declarar sobre su ideología» (apartado 2).
En síntesis, la libertad ideológica comprende «la proclamación de ideas o posiciones políticas propias o adhesión a las ajenas» (STC 235/2007, de 7 de noviembre, FJ 9), tanto individual como colectivamente, así como la posibilidad de abandonarlas o cambiarlas por otras en todo momento, pero también el secreto o silencio sobre las ideas o posiciones políticas propias, sin ser objeto de coacción o perturbación alguna antes o después de su proclamación o modificación, ni derivada del silencio libremente elegido.
Este Tribunal ha tenido ocasión de destacar la importancia del derecho consagrado en el artículo 16.1 CE. Como afirmamos en la STC 20/1990, de 20 de febrero, FJ 3: «sin la libertad ideológica consagrada en el artículo 16.1 CE, no serían posibles los valores superiores de nuestro ordenamiento jurídico que se propugnan en el artículo 1.1 de la misma para constituir el Estado social y democrático de derecho que en dicho precepto se instaura».
Asimismo, en la STC 120/1992, de 27 de junio, FJ 8, aludimos a la faceta externa de ese derecho en los siguientes términos: «la libertad ideológica […] no se agota en una dimensión interna del derecho a adoptar una determinada posición intelectual ante la vida y cuanto le concierne y a representar o enjuiciar la realidad según personales convicciones. Comprende, además, una dimensión externa de agere licere, con arreglo a las propias ideas sin sufrir por ello sanción o demérito ni padecer la compulsión o la injerencia de los poderes públicos».
d) Como los demás derechos, el derecho fundamental a la protección de datos personales no tiene carácter absoluto. Puede ser restringido por medio de la ley, siempre que ello responda a un fin de interés general, y los requisitos y el alcance de la restricción estén suficientemente precisados en la ley y respeten el principio de proporcionalidad. A los efectos del presente proceso deben destacarse dos requisitos de esos límites:
– En primer lugar, toda injerencia estatal en el ámbito de los derechos fundamentales y las libertades públicas debe responder a un fin constitucionalmente legítimo o encaminarse a la protección o la salvaguarda de un bien constitucionalmente relevante, pues «si bien este Tribunal ha declarado que la Constitución no impide al Estado proteger derechos o bienes jurídicos a costa del sacrificio de otros igualmente reconocidos y, por tanto, que el legislador pueda imponer limitaciones al contenido de los derechos fundamentales o a su ejercicio, también hemos precisado que, en tales supuestos, esas limitaciones han de estar justificadas en la protección de otros derechos o bienes constitucionales (SSTC 104/2000, de 13 de abril, FJ 8 y las allí citadas) y, además, han de ser proporcionadas al fin perseguido con ellas (SSTC 11/1981, FJ 5, y 196/1987, FJ 6)» (STC 292/2000, FJ 15).
– En segundo lugar, por mandato expreso de la Constitución, toda injerencia estatal en el ámbito de los derechos fundamentales y las libertades públicas, ora incida directamente sobre su desarrollo (artículo 81.1 CE), ora limite o condicione su ejercicio (artículo 53.1 CE), precisa una habilitación legal (por todas, STC 49/1999, de 5 de abril, FJ 4). En la STC 49/1999, FJ 4, definimos la función constitucional de esa reserva de ley en los siguientes términos:
«Esa reserva de ley a que, con carácter general, somete la Constitución española la regulación de los derechos fundamentales y libertades públicas reconocidos en su Título I, desempeña una doble función, a saber: de una parte, asegura que los derechos que la Constitución atribuye a los ciudadanos no se vean afectados por ninguna injerencia estatal no autorizada por sus representantes; y, de otra, en un Ordenamiento jurídico como el nuestro en el que los Jueces y Magistrados se hallan sometidos “únicamente al imperio de la Ley” y no existe, en puridad, la vinculación al precedente (SSTC 8/1981, 34/1995, 47/1995 y 96/1996) constituye, en definitiva, el único modo efectivo de garantizar las exigencias de seguridad jurídica en el ámbito de los derechos fundamentales y las libertades públicas. Por eso, en lo que a nuestro Ordenamiento se refiere, hemos caracterizado la seguridad jurídica como una suma de legalidad y certeza del Derecho (STC 27/1981, fundamento jurídico 10).»
Esta doble función de la reserva de ley se traduce en una doble exigencia: por un lado, la necesaria intervención de la ley para habilitar la injerencia; y, por otro lado, esa norma legal «ha de reunir todas aquellas características indispensables como garantía de la seguridad jurídica», esto es, «ha de expresar todos y cada uno de los presupuestos y condiciones de la intervención» (STC 49/1999, FJ 4). En otras palabras, «no sólo excluye apoderamientos a favor de las normas reglamentarias […], sino que también implica otras exigencias respecto al contenido de la Ley que establece tales límites» (STC 292/2000, FJ 15).
La segunda exigencia mencionada constituye la dimensión cualitativa de la reserva de ley, y se concreta en las exigencias de previsibilidad y certeza de las medidas restrictivas en el ámbito de los derechos fundamentales. En la STC 292/2000, FJ 15, señalamos que, aun teniendo un fundamento constitucional, las limitaciones del derecho fundamental establecidas por una ley «pueden vulnerar la Constitución si adolecen de falta de certeza y previsibilidad en los propios límites que imponen y su modo de aplicación», pues «la falta de precisión de la ley en los presupuestos materiales de la limitación de un derecho fundamental es susceptible de generar una indeterminación sobre los casos a los que se aplica tal restricción»; «al producirse este resultado, más allá de toda interpretación razonable, la ley ya no cumple su función de garantía del propio derecho fundamental que restringe, pues deja que en su lugar opere simplemente la voluntad de quien ha de aplicarla». En la misma sentencia y fundamento jurídico precisamos también el tipo de vulneración que acarrea la falta de certeza y previsibilidad en los propios límites: «no sólo lesionaría el principio de seguridad jurídica (artículo 9.3 CE), concebida como certeza sobre el ordenamiento aplicable y expectativa razonablemente fundada de la persona sobre cuál ha de ser la actuación del poder aplicando el Derecho (STC 104/2000, FJ 7, por todas), sino que al mismo tiempo dicha ley estaría lesionando el contenido esencial del derecho fundamental así restringido, dado que la forma en que se han fijado sus límites lo hacen irreconocible e imposibilitan, en la práctica, su ejercicio (SSTC 11/1981, FJ 15; 142/1993, de 22 de abril, FJ 4, y 341/1993, de 18 de noviembre, FJ 7)».
6. A la vista de los potenciales efectos intrusivos en el derecho fundamental afectado que resultan del tratamiento de datos personales, la jurisprudencia de este Tribunal le exige al legislador que, además de cumplir los requisitos anteriormente mencionados, también establezca garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos, pues solo así se puede procurar el respeto del contenido esencial del propio derecho fundamental. En este fundamento jurídico precisaremos la naturaleza y el alcance de este específico requisito constitucional.
a) La necesidad de establecer las garantías adecuadas para procurar el respeto del contenido esencial del derecho fundamental a la protección de datos personales fue señalada específicamente en el fundamento jurídico 10 de la STC 292/2000, que ha sido correctamente invocado por el Defensor del Pueblo. Del mencionado fundamento jurídico se extraen las siguientes conclusiones:
– La previsión legal y la legitimidad del fin perseguido son requisitos necesarios pero no suficientes para fundamentar la validez constitucional de una regulación del tratamiento de datos personales, pues para ello se requieren también «garantías adecuadas frente al uso potencialmente invasor de la vida privada del ciudadano a través de su tratamiento informático».
– Esas garantías son necesarias «para el reconocimiento e identidad constitucionales del derecho fundamental a la protección de datos» y «para que los intereses jurídicamente protegibles, que constituyen la razón de ser del aludido derecho fundamental, resulten real, concreta y efectivamente protegidos».
– La mera inexistencia de «garantías adecuadas» o de las «mínimas exigibles a la Ley» constituye de por sí una injerencia en el derecho fundamental, de gravedad similar a la que causarían intromisiones directas en su contenido nuclear.
– La exigencia de «garantías adecuadas» se fundamenta, por tanto, en el respeto del contenido esencial del derecho fundamental.
Asimismo, del examen conjunto de los fundamentos jurídicos 7 y 10 de la STC 292/2000 se deduce que las «garantías adecuadas» o «garantías mínimas exigibles a una ley sometida al insoslayable respeto al contenido esencial del derecho fundamental cuyo ejercicio regula» deben diferenciarse también del «haz de facultades que componen el contenido del derecho fundamental a la protección de datos de carácter personal», que, como se indicó antes, son aquellas que otorgan al titular del derecho fundamental «un poder de disposición y de control sobre los datos personales».
b) Esta doctrina sobre las garantías adecuadas es también la que sigue la jurisprudencia del Tribunal de Justicia de la Unión Europea. En la sentencia de la Gran Sala de 8 de abril de 2014, asuntos acumulados C-293/12 y C-594/12, Digital Rights Ireland Ltd, apartado 54, el Tribunal de Justicia señaló lo siguiente: «la normativa de la Unión de que se trate debe establecer reglas claras y precisas que regulen el alcance y la aplicación de la medida en cuestión y establezcan unas exigencias mínimas de modo que las personas cuyos datos se hayan conservado dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos de carácter personal contra los riesgos de abuso y contra cualquier acceso o utilización ilícitos respecto de tales datos (véanse, por analogía, en lo que respecta al artículo 8 del Convenio Europeo de Derechos Humanos, las sentencias del Tribunal Europeo de Derechos Humanos, Liberty y otros c. Reino Unido de 1 de julio de 2008, núm. 58243/00, §§62 y 63; Rotaru c. Rumanía, antes citada, §§ 57 a 59, y S y Marper c. Reino Unido, antes citada, §99).»
En la citada sentencia, la constatación de la carencia de, por un lado, reglas claras y precisas que regulasen el alcance de la injerencia en los derechos fundamentales reconocidos en los artículos 7 y 8 de la Carta de derechos fundamentales y de, por otro lado, garantías suficientes que permitieran una protección eficaz de los datos conservados fundamentó la declaración de invalidez de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE.
c) La necesidad de disponer de garantías adecuadas es especialmente importante cuando el tratamiento afecta a categorías especiales de datos, también llamados datos sensibles, pues el uso de estos últimos es susceptible de comprometer más directamente la dignidad, la libertad y el libre desarrollo de la personalidad.
La exigencia de especial protección de esta categoría de datos está prevista en el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1981 (instrumento de ratificación publicado en el «Boletín Oficial del Estado» núm. 274, de 15 de noviembre de 1985), cuyo artículo 6 establece lo siguiente: «Los datos de carácter personal que revelen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los datos de carácter personal relativos a la salud o a la vida sexual, no podrán tratarse automáticamente a menos que el derecho interno prevea garantías apropiadas. […].» Esa exigencia ha sido igualmente afirmada por la Agencia Española de Protección de Datos. De acuerdo con el preámbulo de su Circular 1/2019, esas garantías adecuadas y específicas para proteger los intereses y derechos fundamentales de los afectados «adquieren una especial relevancia tanto por la importancia de los datos personales objeto de tratamiento como por tratarse de tratamientos a gran escala de categorías especiales que entrañarán un alto riesgo para los derechos y libertades de las personas físicas difícilmente mitigable si no se toman medidas adecuadas». Asimismo, como ya se indicó en el fundamento jurídico 4 de esta sentencia, el Reglamento (UE) 2016/679 reitera la exigencia de que el legislador que regule el tratamiento de datos personales relativos a las opiniones políticas establezca dichas garantías adecuadas [artículo 9.2.g) y considerando 56].
Las garantías adecuadas deben velar por que el tratamiento de datos se realice en condiciones que aseguren la transparencia, la supervisión y la tutela judicial efectiva, y deben procurar que los datos no se recojan de forma desproporcionada y no se utilicen para fines distintos de los que justificaron su obtención. La naturaleza y el alcance de las garantías que resulten constitucionalmente exigibles en cada caso dependerán de tres factores esencialmente: el tipo de tratamiento de datos que se pretende llevar a cabo; la naturaleza de los datos; y la probabilidad y la gravedad de los riesgos de abuso y de utilización ilícita que, a su vez, están vinculadas al tipo de tratamiento y a la categoría de datos de que se trate. Así, no plantean los mismos problemas una recogida de datos con fines estadísticos que una recogida de datos con un fin concreto. Tampoco supone el mismo grado de injerencia la recopilación y el procesamiento de datos anónimos que la recopilación y el procesamiento de datos personales que se toman individualmente y no se anonimizan, como no es lo mismo el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, la salud, la vida sexual o la orientación sexual de una persona física, que el tratamiento de otro tipo de datos.
El nivel y la naturaleza de las garantías adecuadas no se pueden determinar de una vez para todas, pues, por un lado, deben revisarse y actualizarse cuando sea necesario y, por otro lado, el principio de proporcionalidad obliga a verificar si, con el desarrollo de la tecnología, aparecen posibilidades de tratamiento que resultan menos intrusivas o potencialmente menos peligrosas para los derechos fundamentales.
d) En conclusión, las opiniones políticas son datos personales sensibles cuya necesidad de protección es, en esa medida, superior a la de otros datos personales. Una protección adecuada y específica frente a su tratamiento constituye, en suma, una exigencia constitucional, sin perjuicio de que, como se ha visto, también represente una exigencia derivada del Derecho de la Unión Europea. Por tanto, el legislador está constitucionalmente obligado a adecuar la protección que dispensa a dichos datos personales, en su caso, imponiendo mayores exigencias a fin de que puedan ser objeto de tratamiento y previendo garantías específicas en su tratamiento, además de las que puedan ser comunes o generales.
7. Sentado lo anterior, estamos en situación de enjuiciar los tres elementos que aglutina la impugnación central del recurso de inconstitucionalidad y que confluyen en una doble vulneración de los artículos 18.4 y 53.1 CE: (i) que la disposición legal recurrida no haya determinado por sí misma la finalidad del tratamiento de datos personales que revelen opiniones políticas, más allá de la genérica mención al «interés público»; (ii) que no haya limitado el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental; y (iii) que no haya establecido ella misma las garantías adecuadas para proteger los derechos fundamentales afectados.
a) La primera tacha de inconstitucionalidad que se dirige a la disposición legal impugnada es que no especifica el interés público esencial que fundamenta la restricción del derecho fundamental.
Constituye una constatación elemental la de que la disposición legal impugnada no identifica en ningún momento ese interés público esencial. Presupone que ha de existir, pero no llega a especificarlo («se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas»).
Tampoco se especifica en la justificación de la enmienda de la que la disposición legal trae causa. La enmienda de adición núm. 331 firmada por el grupo parlamentario socialista («Boletín Oficial de las Cortes Generales. Congreso de los Diputados», serie A, núm. 13-2, de 18 de abril de 2018, pág. 209) ofrece como motivación la siguiente escueta referencia: «Adecuar el Reglamento a las especificidades nacionales y establecer salvaguardas para impedir casos como el que vincula a Cambridge Analytica con el uso ilícito de datos de 50 millones de usuarios de facebook para mercadotecnia electoral».
Y, como ya se indicó, tampoco lo identifica el Reglamento general de protección de datos, pues su considerando 56 –que reproducimos en el fundamento jurídico 4– se limita a prever la posibilidad de que en algún Estado miembro se aprecie una finalidad legítima en la recogida de datos personales relativos a las opiniones personales de las personas, sin identificarla por sí misma para el conjunto de los Estados miembros.
Por su parte, el abogado del Estado, al final de su escrito, arguye que la habilitación que contiene el precepto legal impugnado persigue que los partidos políticos puedan llevar a cabo el legítimo fin en una democracia de conocer, exclusivamente en los procesos electorales, la opinión de los electores para conformar su estrategia electoral, lo que redundaría en un mejor funcionamiento del sistema democrático.
En la ya citada STC 292/2000, en la que también se enjuició una injerencia legislativa en el derecho a la protección de datos personales, rechazamos que la identificación de los fines legítimos de la restricción pudiera realizarse mediante conceptos genéricos o fórmulas vagas:
«16. […] De igual modo, respecto al derecho a la protección de datos personales cabe estimar que la legitimidad constitucional de la restricción de este derecho no puede estar basada, por sí sola, en la actividad de la Administración Pública. Ni es suficiente que la Ley apodere a ésta para que precise en cada caso sus límites, limitándose a indicar que deberá hacer tal precisión cuando concurra algún derecho o bien constitucionalmente protegido. Es el legislador quien debe determinar cuándo concurre ese bien o derecho que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse y, además, es él quien debe hacerlo mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias. Pues en otro caso el legislador habría trasladado a la administración el desempeño de una función que sólo a él compete en materia de derechos fundamentales en virtud de la reserva de Ley del artículo 53.1 CE, esto es, establecer claramente el límite y su regulación.
17. En el caso presente, el empleo por la LOPD en su artículo 24.1 de la expresión “funciones de control y verificación”, abre un espacio de incertidumbre tan amplio que provoca una doble y perversa consecuencia. De un lado, al habilitar la LOPD a la administración para que restrinja derechos fundamentales invocando semejante expresión está renunciando a fijar ella misma los límites, apoderando a la administración para hacerlo. Y de un modo tal que, como señala el Defensor del Pueblo, permite reconducir a las mismas prácticamente toda actividad administrativa, ya que toda actividad administrativa que implique entablar una relación jurídica con un administrado, que así será prácticamente en todos los casos en los que la administración necesite de datos personales de alguien, conllevará de ordinario la potestad de la administración de verificar y controlar que ese administrado ha actuado conforme al régimen jurídico administrativo de la relación jurídica entablada con la administración. Lo que, a la vista del motivo de restricción del derecho a ser informado del artículo 5 LOPD, deja en la más absoluta incertidumbre al ciudadano sobre en qué casos concurrirá esa circunstancia (si no en todos) y sume en la ineficacia cualquier mecanismo de tutela jurisdiccional que deba enjuiciar semejante supuesto de restricción de derechos fundamentales sin otro criterio complementario que venga en ayuda de su control de la actuación administrativa en esta materia.
Iguales reproches merece, asimismo, el empleo en el artículo 24.2 LOPD de la expresión “interés público” como fundamento de la imposición de límites a los derechos fundamentales del artículo 18.1 y 4 CE, pues encierra un grado de incertidumbre aún mayor. Basta reparar en que toda actividad administrativa, en último término, persigue la salvaguardia de intereses generales, cuya consecución constituye la finalidad a la que debe servir con objetividad la administración con arreglo al artículo 103.1 CE.»
Esta argumentación es plenamente trasladable al presente enjuiciamiento. De igual modo, por tanto, debemos concluir que la legitimidad constitucional de la restricción del derecho fundamental a la protección de datos personales no puede estar basada, por sí sola, en la invocación genérica de un indeterminado «interés público». Pues en otro caso el legislador habría trasladado a los partidos políticos –a quienes la disposición impugnada habilita para recopilar datos personales relativos a las opiniones políticas de las personas en el marco de sus actividades electorales– el desempeño de una función que solo a él compete en materia de derechos fundamentales en virtud de la reserva de ley del artículo 53.1 CE, esto es, establecer claramente sus límites y su regulación.
Tampoco puede aceptarse, por igualmente imprecisa, la finalidad aducida por el abogado del Estado, que se refiere al funcionamiento del sistema democrático, pues también encierra un grado elevado de incertidumbre y puede suponer un razonamiento circular. Por un lado, los partidos políticos son de por sí «cauces necesarios para el funcionamiento del sistema democrático» (por todas, STC 48/2003, de 12 de marzo, FJ 5); y, por otro lado, todo el funcionamiento del sistema democrático persigue, en último término, la salvaguardia de los fines, valores y bienes constitucionales, pero ello no alcanza a identificar la razón por la cual haya de restringirse el derecho fundamental afectado.
Finalmente, debe precisarse que no es necesario que se pueda sospechar, con mayor o menor fundamento, que la restricción persiga una finalidad inconstitucional, o que los datos que se recopilen y procesen resultarán lesivos para la esfera privada y el ejercicio de los derechos de los particulares. Es suficiente con constatar que, al no poderse identificar con la suficiente precisión la finalidad del tratamiento de datos, tampoco puede enjuiciarse el carácter constitucionalmente legítimo de esa finalidad, ni, en su caso, la proporcionalidad de la medida prevista de acuerdo con los principios de idoneidad, necesidad y proporcionalidad en sentido estricto.
b) La segunda tacha de inconstitucionalidad que se dirige a la disposición legal impugnada es que no limita el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental. La disposición legal impugnada solo recoge una condición limitativa del tratamiento de datos que autoriza: la recopilación de datos personales relativos a las opiniones políticas de las personas solo podrá llevarse a cabo «en el marco de sus actividades electorales». Se trata de una condición que apenas contribuye a constreñir el uso de la habilitación conferida. De una parte, el desarrollo de las actividades electorales no tiene por qué contraerse al proceso electoral, expresión que, en cambio, es la utilizada en el apartado 2 del artículo 58 bis LOREG. De otra, los procesos electorales son relativamente frecuentes en nuestro sistema político. Más allá de la citada condición («en el marco de sus actividades electorales»), la disposición legal impugnada carece de reglas sobre el alcance y contenido de los tratamientos de datos que autoriza.
En definitiva, desde las exigencias de certeza que han de presidir cualquier injerencia en un derecho fundamental, es también patente que el apartado 1 del artículo 58 bis LOREG, al no hacer referencia alguna a los presupuestos y condiciones del tratamiento de datos personales relativos a las opiniones políticas, resulta insuficiente para determinar si las operaciones que puedan llevar a cabo los partidos políticos serán o no «el fruto previsible de la razonable aplicación de lo decidido por el legislador» (SSTC 49/1999, de 5 de abril, FJ 4; y 154/2014, de 22 de septiembre, FJ 7).
En realidad, las dos primeras tachas de inconstitucionalidad dirigidas contra el precepto impugnado están íntimamente relacionadas. La falta de reglas precisas y claras sobre los presupuestos y condiciones del tratamiento de datos personales relativos a las opiniones políticas tampoco contribuye a identificar la finalidad de la restricción del derecho fundamental que se reconoce a los partidos políticos, y viceversa.
Por todo ello, debemos concluir que el legislador no ha precisado qué finalidad o bien constitucional justifica la restricción del derecho a la protección de datos personales ni ha determinado en qué supuestos y condiciones puede limitarse, mediante reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias.
8. El tercer aspecto de la impugnación central, sobre el que versa la mayor parte de las alegaciones de las partes, gira en torno a la cuestión de si la norma impugnada ha previsto garantías adecuadas frente a la recopilación de datos personales que autoriza. El Defensor del Pueblo sostiene que no es el caso, argumentando que la propia ley habilitante debe prever tales garantías adecuadas, mientras que el abogado del Estado defiende lo contrario y sostiene que tales garantías adecuadas se deducen por una triple vía: la literalidad del precepto impugnado, el sentido de la enmienda de adición de la que trae causa el precepto impugnado, así como las dos normas que regulan la protección de datos personales en España, el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018.
Por tanto, la resolución de la presente impugnación exige que aclaremos una duda suscitada con respecto al alcance de nuestra doctrina sobre las garantías adecuadas, que consiste en determinar si las garantías adecuadas frente al uso de la informática deben contenerse en la propia ley que autoriza y regula ese uso o pueden encontrarse también en otras fuentes normativas.
La cuestión solo puede tener una respuesta constitucional. La previsión de las garantías adecuadas no puede deferirse a un momento posterior a la regulación legal del tratamiento de datos personales de que se trate. Las garantías adecuadas deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado. Solo ese entendimiento es compatible con la doble exigencia que dimana del artículo 53.1 CE para el legislador de los derechos fundamentales: la reserva de ley para la regulación del ejercicio de los derechos fundamentales reconocidos en el capítulo segundo del título primero de la Constitución y el respeto del contenido esencial de dichos derechos fundamentales.
Según reiterada doctrina constitucional, la reserva de ley no se limita a exigir que una ley habilite la medida restrictiva de derechos fundamentales, sino que también es preciso, conforme tanto a exigencias denominadas –unas veces– de predeterminación normativa y –otras– de calidad de la ley como al respeto al contenido esencial del derecho, que en esa regulación el legislador, que viene obligado de forma primaria a ponderar los derechos o intereses en pugna, predetermine los supuestos, las condiciones y las garantías en que procede la adopción de medidas restrictivas de derechos fundamentales. Ese mandato de predeterminación respecto de elementos esenciales, vinculados también en último término al juicio de proporcionalidad de la limitación del derecho fundamental, no puede quedar deferido a un ulterior desarrollo legal o reglamentario, ni tampoco se puede dejar en manos de los propios particulares.
El análisis realizado hasta ahora apoya la impugnación presentada por el Defensor del Pueblo, pero no la resuelve por completo, pues el abogado del Estado rechaza la tercera queja mencionada argumentando que las garantías adecuadas sí existen, y se deducen por una triple vía: en concreto, de la literalidad del precepto impugnado, del sentido de la enmienda de adición de la que trae causa el precepto impugnado, así como de las dos normas que regulan la protección de datos personales en España, la LOPDyGDD y el RGPD, tal como las ha concretado la Circular 1/2019. Debemos, pues, dar contestación a cada uno de esos argumentos.
Ninguna de las tres interpretaciones puede ser compartida, como se razona a continuación:
a) La lectura del apartado impugnado o del precepto legal en su totalidad, reproducido en el fundamento jurídico primero, permite descartar la primera de las interpretaciones, pues su redacción literal ni contiene ni especifica en forma alguna las imprescindibles garantías y se limita a reconocer que deben ofrecerse «garantías adecuadas», sin más precisiones. Esa falta de regulación por el legislador se erige, de hecho, en el presupuesto, y en la razón de ser, de la aprobación de la Circular 1/2019, de 7 de marzo, de la Agencia Española de Protección de Datos, pues, como se indica en su preámbulo, «[p]recisamente por la existencia de un alto riesgo para los derechos y libertades de las personas físicas dichas garantías, al no haberse establecido por el legislador, deben identificarse por esta Agencia Española de Protección de Datos».
b) Tampoco se puede acoger la segunda interpretación avanzada por el abogado del Estado, pues convertiría el contenido o la justificación de las enmiendas de las que traen causa las disposiciones legales en parte integrante de su programa normativo a pesar de que ese contenido o esa justificación no se hubiera incorporado a su tenor literal.
El contenido y la justificación de las enmiendas presentadas, debatidas y, en su caso, aprobadas total o parcialmente durante la elaboración de un texto legislativo (SSTC 110/2017, de 19 de octubre, FJ 3; y 63/2018, de 7 de junio, FJ 9, por todas) constituyen, como los demás trabajos y debates parlamentarios (SSTC 108/1986, de 29 de julio, FJ 13; 109/1988, de 29 de mayo, FJ 2; 15/2000, de 20 de enero, FJ 7; y 90/2009, de 20 de abril, FJ 6, por todas), importante elemento hermenéutico para desentrañar el alcance y el sentido de las normas, pero no pueden suplir o sanar las insuficiencias constitucionales de que adolezcan estas últimas.
Por lo demás, el examen de la concreta enmienda núm. 331 de la que trae causa la disposición incorporada al ordenamiento jurídico como artículo 58 bis LOREG permite constatar, sin duda, que ofrece aspectos importantes para la interpretación del precepto. Pero su formulación y su justificación estaban desprovistas de indicación alguna sobre el contenido, la naturaleza y la extensión de las eventuales garantías adecuadas necesarias para respetar el contenido esencial del derecho fundamental.
La referencia que la propia enmienda realizaba al considerando 56 del Reglamento (UE) 2016/679, lejos de definir o aludir a las garantías adecuadas, perseguía poner de manifiesto su adecuación al marco normativo europeo. Cabe reiterar que el considerando 56 se limita a prever que «[s]i, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas». Ello es insuficiente desde el punto de vista del cumplimiento de las exigencias derivadas del marco constitucional que este Tribunal debe salvaguardar, que es de lo que aquí se trata.
c) Las garantías adecuadas frente a la recopilación de datos personales relativos a las opiniones políticas de las personas tampoco se encuentran establecidas en el doble marco normativo que resulta aplicable, el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018; garantías que, según el abogado del Estado, la Circular 1/2019 solo habría codificado, sin innovarlas en ningún momento.
Las premisas lógicas para esta interpretación son el entendimiento de que el artículo 58 bis LOREG suple la exigencia constitucional de establecer ella misma las garantías adecuadas, en primer lugar, con una remisión implícita a fuentes normativas externas, dado que resulta evidente que el precepto impugnado no contiene una cláusula de remisión expresa; y, en segundo lugar, que el citado precepto legal identifica implícitamente las normas a las que se remite, y tales normas son justamente el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018. Sin embargo, ambas premisas no pueden admitirse a la vista de los términos en los que está redactado el precepto impugnado. En cualquier caso, incluso de aceptar a efectos dialécticos las referidas premisas lógicas, su consecuencia, esto es, la interpretación de que el precepto impugnado contiene una remisión implícita al Reglamento (UE) 2016/679 y a la Ley Orgánica 3/2018 e integra su regulación incompleta con las garantías allí previstas, no sería compatible con nuestra doctrina constitucional sobre la reserva de ley que dimana del artículo 53.1 CE. En efecto, como expondremos a continuación, la insuficiencia de la ley no puede ser colmada por vía interpretativa a partir de las pautas e indicaciones que se puedan extraer de los citados textos normativos (i). Tampoco puede ser colmada por el titular de una potestad normativa limitada como es la Agencia Española de Protección de Datos (ii) o mediante una interpretación conforme (iii). Finalmente, una remisión implícita como la pretendida tampoco resultaría coherente con el marco regulador europeo (iv), perspectiva que, como se dijo, no puede ser irrelevante para nuestro enjuiciamiento constitucional.
(i) Es evidente que si la norma incluyera una remisión para la integración de la ley con las garantías adecuadas establecidas en normas de rango inferior a la ley, sería considerada como una deslegalización que sacrifica la reserva de ley ex artículo 53.1 CE, y, por este solo motivo, debería ser declarada inconstitucional y nula. La norma dispondría de una remisión en blanco para la determinación de un elemento, consistente en el nivel adecuado de garantías, que es imprescindible para mantener indemne el contenido esencial del derecho fundamental afectado y poder así controlar el respeto del principio de proporcionalidad.
Pero lo mismo ocurre si, como sostiene el abogado del Estado, la norma incluye una remisión para la integración de la ley con las garantías adecuadas establecidas en dos textos normativos sin mayores precisiones, esto es, sin reglas claras y precisas que delimiten efectiva y eficazmente las garantías adecuadas que se consideran aplicables; más aún, cuando tales textos normativos, por un lado, se componen de noventa y nueve artículos (el RGPD) y noventa y siete artículos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria única y dieciséis disposiciones finales (la LOPDyGDD), y, por otro lado, ninguna de ellas se refiere específicamente a las garantías adecuadas para la protección de la categoría especial de datos que son los relativos a las opiniones políticas de las personas. Eso dejaría la decisión en manos, no del legislador, sino exclusivamente a disposición de la determinación reglamentaria del Gobierno o bien, en ausencia de este último, del aplicador del derecho, el cual tendría que deducir por su cuenta cuáles de las garantías previstas en ambas normas de remisión resultan aplicables al tratamiento en cuestión. Todo ello supondría una insuficiencia manifiesta en el contenido mínimo exigible, en condiciones de certeza y previsibilidad, a la configuración legal del derecho fundamental a la protección de datos personales.
(ii) La insuficiencia legal que venimos analizando tampoco puede ser colmada, en ejercicio de sus potestades, por la Agencia Española de Protección de Datos. La agencia es la autoridad administrativa independiente a la que se encomienda la interpretación y aplicación de la normativa de protección de datos (arts. 57 y 58 RGPD y 44 y sigs. LOPDyGDD), y su potestad normativa, mediante la aprobación de circulares, está circunscrita al dictado de «disposiciones que fijen los criterios a que responderá la actuación de esta autoridad» en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 y en la Ley Orgánica 3/2018 (artículo 55.1 LOPDyGDD). Por tanto, la circunstancia de que, con posterioridad a la interposición del presente recurso contra la ley, la presidencia de la Agencia Española de Protección de Datos haya aprobado la Circular 1/2019, de 7 de marzo, para abordar esa laguna, tal como se indicó anteriormente, no puede subsanar la insuficiencia constitucional de la que adolece el artículo 58 bis LOREG introducido por la Ley Orgánica 3/2018 por lo que se refiere a la recopilación de datos personales relativos a las opiniones políticas en el marco de actividades electorales. Una interpretación distinta vaciaría de contenido el principio de reserva legal que consagra la Constitución y que de forma reiterada ha invocado nuestra jurisprudencia previa en materia de protección de datos personales.
(iii) La falta de previsión legal de un elemento cuya previsión es necesaria para que se pueda considerar que se respeta el contenido esencial, tampoco se puede superar con la técnica de la interpretación conforme, pues esta técnica, que viene impuesta por el principio de conservación de la ley, se aplica cuanto existen «varias interpretaciones posibles igualmente razonables» y permite descartar aquella o aquellas que darían lugar a que el precepto incurriera en inconstitucionalidad [SSTC 168/2016, de 6 de octubre, FJ 4.b); y 97/2018, de 19 de septiembre, FJ 7, por todas]. En el presente caso no estamos ante «varias interpretaciones posibles igualmente razonables», sino ante la insuficiencia de regulación detectada en una norma de desarrollo de un derecho fundamental.
(iv) Por último, debemos recordar que el Reglamento general de protección de datos establece las garantías mínimas, comunes o generales para el tratamiento de datos personales que no son especiales. En cambio, no establece por sí mismo el régimen jurídico aplicable a los tratamientos de datos personales especiales, ni en el ámbito de los Estados miembros ni para el Derecho de la Unión. Por ende, tampoco fija las garantías que deben observar los diversos tratamientos posibles de datos sensibles, adecuadas a los riesgos de diversa probabilidad y gravedad que existan en cada caso; tratamientos y categorías especiales de datos que son, o pueden ser, muy diversos entre sí. El reglamento se limita a contemplar la posibilidad de que el legislador de la Unión Europea o el de los Estados miembros, cada uno en su ámbito de competencias, prevean y regulen tales tratamientos, y a indicar las pautas que deben observar en su regulación. Una de esas pautas es que el Derecho del Estado miembro establezca «medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado» [artículo 9.2.g) RGPD] y que «se ofrezcan garantías adecuadas» (considerando 56 RGPD). Es patente que ese establecimiento de medidas adecuadas y específicas solo puede ser expreso. Si la norma interna que regula el tratamiento de datos personales relativos a opiniones políticas, no prevé esas garantías adecuadas, sino que, todo lo más, se remite implícitamente a las garantías generales contenidas en el Reglamento general de protección de datos, no puede considerarse que haya llevado a cabo la tarea normativa que aquel le exige.
9. De lo anterior se concluye que la ley no ha identificado la finalidad de la injerencia para cuya realización se habilita a los partidos políticos, ni ha delimitado los presupuestos ni las condiciones de esa injerencia, ni ha establecido las garantías adecuadas que para la debida protección del derecho fundamental a la protección de datos personales reclama nuestra doctrina, por lo que se refiere a la recopilación de datos personales relativos a las opiniones políticas por los partidos políticos en el marco de sus actividades electorales.
De esta forma, se han producido tres vulneraciones del artículo 18.4 CE en conexión con el artículo 53.1 CE, autónomas e independientes entre sí, todas ellas vinculadas a la insuficiencia de la ley y que solo el legislador puede remediar, y redundando las tres en la infracción del mandato de preservación del contenido esencial del derecho fundamental que impone el artículo 53.1 CE, en la medida en que, por una parte, la insuficiente adecuación de la norma legal impugnada a los requerimientos de certeza crea, para todos aquellos a los que recopilación de datos personales pudiera aplicarse, un peligro, en el que reside precisamente dicha vulneración y, por otra parte, la indeterminación de la finalidad del tratamiento y la inexistencia de «garantías adecuadas» o las «mínimas exigibles a la Ley» constituyen en sí mismas injerencias en el derecho fundamental de gravedad similar a la que causaría una intromisión directa en su contenido nuclear.
La estimación del presente recurso por este motivo hace innecesario que nos pronunciemos sobre los demás motivos de impugnación.
10. La necesidad de delimitar el objeto de nuestro pronunciamiento y su alcance nos impone precisar finalmente el contenido de nuestro fallo estimatorio del presente recurso de inconstitucionalidad, por cuanto las tachas formuladas por el Defensor del Pueblo se han limitado al apartado 1 del artículo 58 bis LOREG.
La declaración de inconstitucionalidad y nulidad se basa, como se ha dicho en el fundamento jurídico anterior, en que la Ley Orgánica 3/2018 no ha fijado por sí misma, como le impone el artículo 53.1 CE, las garantías adecuadas por lo que respecta específicamente a la recopilación de datos personales relativos a las opiniones políticas por los partidos políticos en el marco de sus actividades electorales. Ello constituye una injerencia en el derecho fundamental a la protección de datos personales de gravedad similar a la que causaría una intromisión directa en su contenido nuclear. Por lo que en coherencia con este fundamento, y con plena coincidencia con el suplico del recurso de inconstitucionalidad, la declaración de inconstitucionalidad y nulidad debe extenderse a la totalidad del apartado 1 del artículo 58 bis LOREG, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
FALLO
En atención a todo lo expuesto, el Tribunal Constitucional, POR LA AUTORIDAD QUE LE CONFIERE LA CONSTITUCIÓN DE LA NACIÓN ESPAÑOLA,
Ha decidido
Estimar el presente recurso de inconstitucionalidad y, en consecuencia, declarar contrario a la Constitución y nulo el apartado 1 del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del régimen electoral general, incorporado a esta por la disposición final tercera, apartado dos, de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.
Publíquese esta sentencia en el «Boletín Oficial del Estado».
Dada en Madrid, a veintidós de mayo de dos mil diecinueve.
Juan José González Rivas.
Encarnación Roca Trías.
Andrés Ollero Tassara.
Fernando Valdés Dal-Ré.
Santiago Martínez-Vares García.
Juan Antonio Xiol Ríos.
Pedro José González-Trevijano Sánchez.
Antonio Narváez Rodríguez.
Alfredo Montoya Melgar.
Ricardo Enríquez Sancho.
Cándido Conde-Pumpido Tourón
María Luisa Balaguer Callejón.
Instrucción nº 1/2019, de 20 de diciembre de 2019, sobre la protección de datos en el ámbito del Ministerio Fiscal : el responsable y el Delegado de Protección de Datos.
- 1. Introducción
El derecho a la protección de datos personales es un derecho fundamental
implícitamente reconocido en el art. 18.4 de la Constitución Española y
consagrado en el art. 8 de la Carta de los Derechos Fundamentales de la
Unión Europea (en adelante, UE) y en el art. 16.1 del Tratado de
Funcionamiento de la UE. Parte de su contenido reside en la facultad de
disposición y control sobre los datos personales, poderes que se concretan
jurídicamente en “la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular” (STC 76/2019, de 22 de mayo). Asimismo, los datos han de tratarse de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Este derecho “impone a los poderes públicos la prohibición de que se conviertan en fuentes de información sin las debidas garantías, así como el deber de prevenir los riesgos que puedan derivarse del acceso o divulgación indebidas de dicha información” (STC 292/2000, de 30 de noviembre).
La actuación cotidiana del Ministerio Fiscal (en adelante, MF) implica el
necesario tratamiento de datos personales, ejecutando acciones sobre los
mismos que deben respetar la normativa aplicable a la materia. Esta actuación se desarrolla fundamentalmente en el contexto de la actividad jurisdiccional o cuasijurisdiccional correspondiente al cumplimiento de su misión de promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la ley, de oficio o a petición de los interesados, así como velar por la independencia de los Tribunales, y procurar ante éstos la satisfacción del interés social (arts. 124 CE y 2 EOMF). Junto a ello, el MF efectúa tratamientos de datos personales en los expedientes de naturaleza gubernativa, por ejemplo, al tramitar y/o gestionar las situaciones administrativas derivadas de las relaciones funcionariales o laborales de las personas destinadas en las fiscalías.
En ambos casos, la actuación del MF está sujeta a la normativa de protección de datos, materia de cierta complejidad y que actualmente está en desarrollo, en la que confluye la normativa europea y la propia de los Estados miembros.
Resulta preciso un cuidadoso análisis de la legislación aplicable, teniendo en cuenta la naturaleza y funciones del MF, órgano de relevancia constitucional con personalidad jurídica propia, integrado con autonomía funcional en el Poder Judicial (art. 2.1 EOMF).
La regulación vigente se basa en el principio de responsabilidad proactiva, que supone la obligación de aplicar medidas técnicas y organizativas apropiadas, acordes con la naturaleza, ámbito y fines del tratamiento, a fin de garantizar y poder demostrar que el mismo es conforme a la normativa, e implica la necesidad de identificar a los responsables del tratamiento. Y, por otro lado, contempla la figura del Delegado de Protección de Datos (en adelante, DPD), con funciones de asesoramiento y supervisión sobre esta materia, previsión que requiere su concreción en el ámbito específico del MF.
La acomodación de la actuación del MF a la normativa de protección de datos plantea la necesidad de precisar estos aspectos, teniendo en cuenta su misión, estructura, organización y funcionamiento, a la luz de la nueva regulación y sin perjuicio de las adaptaciones que resulten precisas, en su caso, derivadas de la ulterior trasposición de la Directiva (UE) 2016/680 que se reseñará más adelante.
Esta instrucción se ha elaborado con el asesoramiento del Delegado de
Protección de Datos del MF (en adelante, DPD del MF) y ha sido sometida a
informe del Consejo Fiscal, de acuerdo con el art. 14. cuatro EOMF.
- 2. Normativa general de protección de datos
Desde la UE se ha pretendido proporcionar un enfoque coherente de la
protección de datos, armonizando, en la medida de lo posible, la normativa
sobre la materia aplicable a los sectores público y privado de los Estados
miembros y el propio tratamiento por las instituciones, órganos y organismos de la Unión.
En primer lugar, y con el fin de garantizar una protección eficaz, completa y homogénea de las personas físicas en lo que respecta al tratamiento de datos personales y las normas relativas a la libre circulación de tales datos e
identificar a los sujetos que están obligados a adoptar medidas, se aprobó el
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de
abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), aplicable desde el pasado 25 de mayo de 2018, de alcance general, obligatorio y directamente aplicable en cada Estado miembro; y para el “ámbito penal” la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales y a la libre circulación de dichos datos (en adelante, Directiva 2016/680), norma esta última pendiente aún de trasposición a nuestro ordenamiento.
Las anteriores normas contienen disposiciones referidas tanto al sector público como al sector privado de los Estados miembros. Para el tratamiento efectuado por las instituciones, órganos y organismos de la Unión, se aplica el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE.
En nuestro ordenamiento interno, y con carácter general, la Ley Orgánica
3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en adelante, LOPDGDD) se dictó con el objetivo de
adaptar nuestro ordenamiento jurídico al RGPD, manteniendo la vigencia de la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) exclusivamente para los tratamientos sometidos a la mencionada Directiva 2016/680, en tanto no entre en vigor la norma que trasponga al derecho español lo dispuesto en la misma.
La normativa citada presenta una nueva configuración de la protección de
datos que, superado el concepto de los ficheros, se centra en el tratamiento de datos y en las obligaciones que corresponden al responsable del mismo. Para ello, parte de la definición del tratamiento como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción” (art. 4.2 RGPD). E identifica al responsable del tratamiento o responsable como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”, añadiendo que “si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá́ establecerlos el Derecho de la Unión o de los Estados miembros” (art. 4.7 RGPD).
- 3. La protección de datos en el ámbito de la administración de Justicia
Como hemos indicado, la normativa europea mencionada pretende armonizar y unificar la protección de datos en los sectores público y privado. Sin embargo, y a pesar de este planteamiento común, la especial naturaleza de ciertos tratamientos, efectuados con determinados fines, y la necesidad de salvaguardar otros intereses que también exigen una especial protección, ha requerido una mención específica en la normativa y la previsión de ciertas especialidades.
Este es el caso del tratamiento efectuado con ocasión de la actividad de los
tribunales y otras autoridades judiciales (considerandos 20 y 97 del RGPD) a los que se aplica el Reglamento – salvo en el ámbito penal citado en el que rige la directiva y en el futuro su norma de trasposición (aún no aprobada)–, con ciertas especialidades. Estas peculiaridades, aplicables a las operaciones de tratamiento efectuadas en el ejercicio de la función judicial, son la admisión del tratamiento de datos especialmente sensibles (art. 9.2.f en relación al 9.1 RGPD); exención del nombramiento obligatorio de un delegado de protección de datos (art. 37.1.a RGPD) y exclusión del ámbito de actuación de las autoridades de control (art. 55.3 RGPD).
Este tratamiento singular también se advierte en la Directiva 2016/680 -que
como hemos indicado se aplica al tratamiento efectuado por parte de las
autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública (art. 1.1)-. La directiva incluye en su ámbito el tratamiento efectuado con los fines que enumera por toda autoridad competente, incluyendo a “cualquier otro órgano o entidad a quien el Derecho del Estado miembro haya confiado el ejercicio de la autoridad pública y las competencias públicas” con esos fines. Sin embargo, también contiene especialidades cuando las operaciones sobre los datos se han efectuado por los tribunales y otras autoridades judiciales independientes cuando actúen en ejercicio de sus competencias judiciales [posibilidad de exención de la designación del delegado de protección de datos (art. 32.1 Directiva 2016/680) y delimitación del ámbito de actuación de la autoridad de control (art. 45 Directiva 2016/680)].
En este sentido, resulta igualmente significativo que el Reglamento 2018/1725 aplicable a las instituciones, órganos y organismos de la Unión, prevea una supervisión independiente del Tribunal de Justicia cuando actúe en ejercicio de su función judicial, manteniéndolo fuera del ámbito de competencia del Supervisor Europeo de Protección de Datos (art. 51.1); que se excluya de la aplicación del Reglamento a la Fiscalía Europea hasta que su Reglamento (1) se adapte (art. 2.3); que se exceptúe de la prohibición de tratamiento de los datos especialmente sensibles el realizado cuando sea necesario “para la formulación, el ejercicio o la defensa de reclamaciones o cuando el Tribunal de Justicia actúe en ejercicio de su función judicial” (art. 10.1 y 2.f ; o que admita ciertas limitaciones para la protección de la independencia judicial y de los procedimientos judiciales (arts. 25.1.e y 83).
A nivel nacional, la LOPDGDD en su ámbito de aplicación excluye las materias propias de la directiva -el tratamiento efectuado por parte de autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención- y menciona expresamente el tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la oficina judicial, que “se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables” (art. 2.4). Más adelante, al regular el ámbito de la Agencia Española de Protección de Datos (en adelante, AEPD), deja claro que “cuando se trate de órganos judiciales u oficinas judiciales el ejercicio de las facultades de inspección se efectuará a través y por mediación del CGPJ” (art. 53.3).
Esta remisión se refiere al Capítulo I Bis del Título III del Libro III de la LOPJ
(arts. 236 bis a 236 decies), dedicado a la “protección de datos de carácter
personal en el ámbito de la Administración de Justicia” (2) que distingue entre el tratamiento de datos con fines jurisdiccionales o no jurisdiccionales. En el primer caso, el tratamiento se limitará a los datos en tanto se encuentren incorporados a los procesos de que conozcan y su finalidad se relacione directamente con el ejercicio de la potestad jurisdiccional (art. 236 ter). La diferenciación es relevante, pues afecta a ciertos aspectos, como las medidas para su supresión y cesión (art. 236 quinquies); su responsable (art. 236 sexies); las normas sobre el ejercicio de los derechos de los interesados de acceso, rectificación, cancelación u oposición (art. 236 octies) o la competencia de la autoridad de control (art 236 nonies).
- 4. La consideración del Ministerio Fiscal en la normativa de protección de datos
Como hemos visto, el RGPD no se refiere expresamente al tratamiento de
datos personales realizados por el MF; tampoco, en el ámbito nacional, la
parcialmente derogada LOPD ni la actual LOPDGDD mencionan al MF.
No obstante, resulta evidente que se encuentra sujeto a la normativa de
protección de datos, ya que el derecho a la protección de datos constituye,
sobre la base del art. 18.4 CE, un derecho fundamental autónomo y específico, razón por la que vincula al MF, al igual que a otros poderes públicos (art 53 CE).
Por otro lado, debe partirse de su condición de “autoridad judicial
independiente” (considerandos 20 y 97 RGPD) a la vista de la naturaleza del
MF y de las funciones que constitucional y estatutariamente tiene
encomendadas.
Así, en el marco de la UE no ofrece dudas la consideración del MF como
“autoridad judicial”. Como ejemplos pueden citarse la consideración de quienes integran el MF como autoridad judicial en el Convenio Europeo de Asistencia Judicial en Materia Penal de 1959 o la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea. La propia Directiva 41/2014 del Parlamento Europeo y del Consejo de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal, fija un concepto único de autoridad judicial que se define en el art. 2 c.i como: Juez, órgano jurisdiccional, juez de instrucción competente o fiscal competente en el asunto de que se trate (3).
Resulta también expresivo que la Directiva 2016/680 identifica a esas
autoridades judiciales con el MF al establecer que los Estados miembros
pueden disponer que la competencia de la autoridad de control no abarque el tratamiento de datos personales realizado por otras autoridades judiciales independientes en el ejercicio de su función jurisdiccional, por ejemplo, la fiscalía (considerando 80 y art. 45.2).
En el mismo sentido, la LO 18/2011, de 5 de julio, reguladora del uso de las
tecnologías de la información y la comunicación en la Administración de
Justicia, incluyó una disposición adicional novena sobre la “aplicación de la Ley al Ministerio Fiscal” indicando que “las referencias contenidas en el texto y articulado de la presente Ley a las oficinas judiciales, actividad judicial, juzgados y tribunales, sede judicial electrónica, órganos judiciales, expediente judicial electrónico, documento judicial electrónico, registro judicial electrónico y procedimiento judicial, serán de aplicación equivalente y se entenderán referidas igualmente a las oficinas fiscales, actividad fiscal, fiscalías, sedes fiscales electrónicas, expedientes fiscales electrónicos, registros fiscales electrónicos y procedimientos de cualquier tipo que se realicen y tramiten por el Ministerio Fiscal”.
Por tanto, al examinar el tratamiento de datos que efectúa el MF debe partirse de una diferenciación entre el tratamiento que se realiza en el ejercicio de su función jurisdiccional o cuasijurisdiccional y el que se lleva a cabo al margen de la anterior.
El tratamiento de datos con fines jurisdiccionales o cuasijurisdiccionales por parte del MF, previsto en la normativa orgánica y procesal, está orientado al cumplimiento de las funciones que el EOMF asigna al MF y se corresponde con su intervención en los correspondientes procesos incoados por los órganos judiciales en las distintas jurisdicciones, así como el ejercicio de determinadas funciones propias del MF y previstas en el EOMF.
Dentro de los tratamientos con fines jurisdiccionales o cuasijurisdiccionales
debemos distinguir las actuaciones que se realizan con fines de investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, que incluyen la intervención del MF en los procedimientos judiciales penales incoados, las diligencias de investigación o la tramitación del procedimiento previsto en la Ley 5/2000, de 12 de enero, reguladora de la responsabilidad penal de los menores. Todas estas actuaciones encontrarían su marco en la Directiva (UE) 2016/680 y, hasta que no entre en vigor la norma que trasponga al derecho español la citada directiva, continúan rigiéndose por la LOPD, y en particular el art. 22, y sus disposiciones de desarrollo (D.A.4ª LOPDGDD).
Todas las demás actuaciones de naturaleza jurisdiccional no comprendidas en el párrafo anterior como, por ejemplo, la gestión procesal en los órdenes
jurisdiccionales civil, social o contencioso-administrativo; las actuaciones
preprocesales civiles, así como, en su caso, las actuaciones de naturaleza
tuitiva (listados de internos en centros y residencias de personas mayores y
personas con capacidad disminuida; registro de menores extranjeros no
acompañados, control y seguimiento de solicitudes de internamientos en CIEs, etc.), se desarrollan en el marco del RGPD y la LOPDGDD.
El tratamiento de datos con fines no jurisdiccionales que se efectúa en las
fiscalías se corresponde con la actuación derivada de expedientes
gubernativos, la gestión de personal relativa a la situación administrativa,
laboral y económica de fiscales y funcionarios, la agenda de la fiscalía, el
registro y control de visitas, etc. Este tratamiento de datos se somete a la
regulación del RGPD y la LOPDGDD.
La diferenciación es relevante, pues afecta a cuestiones como la autoridad de control (4) o las normas que rigen los derechos de los interesados (por ejemplo, el acceso o la cancelación de los datos).
- 5. Consideraciones generales sobre el responsable de protección de
datos
Como hemos mencionado, el responsable del tratamiento es un concepto
esencial en la actual normativa de protección de datos. Y ello, porque es
preciso asignar quién debe asumir la responsabilidad del cumplimiento de las normas sobre protección de datos y cómo se debe facilitar a los interesados el ejercicio de sus derechos. La definición del responsable permite además en ocasiones determinar el alcance del tratamiento, pues el art. 6 RGPD establece que este último sólo será lícito si el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento o una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (art. 6.1.c y e RGPD). Desde la perspectiva de los objetivos de la regulación de la protección de datos, resulta imprescindible que se defina con claridad la responsabilidad del tratamiento para que la normativa se pueda aplicar de forma eficaz y efectiva.
5.1. El responsable del tratamiento de datos personales en la normativa
comunitaria.
El RGPD indica que el responsable del tratamiento es la persona física o
jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento (art. 4.7 RGPD). Y añade que “si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”. Referencias similares se contienen en la Directiva 2016/680 y Reglamento 2018/1725 (art. 3.8 de ambas normas).
El Grupo de Trabajo del art. 29 sobre Protección de Datos (5) (en adelante, GT 29), interpretando (6) la definición similar que se contenía en la derogada Directiva 95/46/CE (7), considera que el concepto de responsable del tratamiento es un concepto funcional, destinado a asignar responsabilidades en función de la capacidad de influencia de hecho y, por tanto, está basado en un análisis de hecho más que formal. Para los casos de duda, este GT 29 indica otros elementos que pueden ser de utilidad, como el grado de control real ejercido, la imagen dada a los interesados o las expectativas razonables de los interesados sobre la base de esta visibilidad. En definitiva, indica el GT, lo esencial es que el organismo designado tenga el control efectivo sobre las operaciones de tratamiento.
5.2. El responsable en la LOPDGDD
La LOPDGDD dispone: “Los responsables y encargados (8), teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable” (art. 28.1). Además, la LOPDGDD contiene algunas disposiciones que serían aplicables al MF como órgano de relevancia constitucional, como la publicación de un inventario de sus actividades de tratamiento (art. 31.2) o el régimen sancionador aplicable (art. 77).
- 6. La identificación del responsable del tratamiento de datos en el ámbito del Ministerio Fiscal
La normativa de protección de datos enumera los principios relativos al
tratamiento de datos personales, disponiendo que los mismos deberán ser
tratados de manera lícita, leal y transparente con el interesado; recogidos con fines determinados, explícitos y legítimos; adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados; exactos y, si fuera necesario, actualizados; mantenidos de forma que se permita la identificación de los interesados únicamente durante el tiempo necesario para los fines del tratamiento de datos personales; y tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas -integridad y confidencialidad de los datos- (art. 5 RGPD). Y añade que el responsable del tratamiento será responsable del cumplimiento de los anteriores principios y capaz de demostrarlo (responsabilidad proactiva).
En el ámbito del MF, resulta preciso identificar al responsable del tratamiento de forma clara y unívoca, con el fin de que el cumplimiento de las normas de protección de datos y el ejercicio de dicho derecho se vea suficientemente garantizado; debiendo la aplicación de dichas normas, por otro lado, tener en cuenta la naturaleza y estructura del MF.
En nuestra legislación, no hay una asignación explícita de la responsabilidad del tratamiento al MF; sin embargo, esta puede deducirse siguiendo varios criterios.
Como hemos indicado, el RGPD indica que el responsable del tratamiento es el que determina los fines y medios del tratamiento.
En el caso del MF, los fines del tratamiento, es decir, por qué se realiza el
mismo, vienen determinados por las misiones constitucional y legalmente
asignadas (definidas en el art. 124 CE y en el EOMF) o por las obligaciones
que debe cumplimentar por el ejercicio de su actuación (por ejemplo, mantener un registro de los miembros del MF). Precisamente, de esta realidad se deriva que el fundamento del tratamiento que realiza el MF es “el cumplimiento de una función realizada en interés público o en el ejercicio de potestades públicas conferidas a las instituciones y organismos de la Unión” o el “cumplimiento de una obligación legal aplicable al responsable del tratamiento” (arts. 6 RGPD y 8.1 LOPDGDD).
La determinación de los medios supone, siguiendo las consideraciones del GT 29, decidir cómo se realizan las actividades de tratamiento. Los medios “no sólo se refieren a los medios técnicos para tratar los datos personales, sino también al “cómo” del tratamiento, que incluye preguntas como ¿qué datos deben tratarse?, ¿qué terceros deben tener acceso a estos datos? ¿cuándo deben borrarse los datos?, etc.”. En la determinación de los medios se incluyen, por tanto, preguntas técnicas y organizativas.
Sin embargo, la determinación de los medios no exige que el responsable
asuma la definición de todos los aspectos relativos a los mismos. Es posible
que varios agentes participen en ciertos aspectos, manteniendo el responsable su capacidad de organizar e influir en la forma en la que se tratan los datos personales. Ciertas cuestiones pueden delegarse por ejemplo en los encargados del tratamiento, reservándose a la determinación del responsable los aspectos esenciales.
Estas circunstancias están presentes en la actividad del MF, pues la
determinación de sus medios está condicionada al corresponder al Ministerio de Justicia o comunidades autónomas (en adelante, CCAA) el suministro de los medios materiales necesarios para su actividad. Además, aunque en la definición de las aplicaciones informáticas y en el diseño y configuración de las mismas (y, por tanto, en la determinación de ciertos aspectos sobre el tratamiento que a través de ellas se realiza) participa la Fiscalía General del Estado, a través de la Unidad de Apoyo, también interviene en la actualidad el Comité Técnico Estatal de la Administración Electrónica (CTEAJE) (9) y está supeditado al mencionado desarrollo y suministro de medios que deben efectuar el Ministerio de Justicia o las CCAA con competencias asumidas en materia de la administración de Justicia. Actualmente, doce CCAA han asumido las competencias en este ámbito.
Como criterio adicional para la identificación del responsable, ya se ha
mencionado que el RGPD dispone que “si el Derecho de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”.
Conviene por ello examinar la normativa actual y los antecedentes en materia de determinación de los responsables de protección de datos en el ámbito del MF para identificar quién tiene capacidad de organizar el tratamiento que se efectúa en el ámbito del MF, examinando si la actual normativa indica las personas y/u organismos que deben asumir las responsabilidades, enfocando la cuestión desde el concepto funcional del responsable elaborado por el GT
- Y en este punto es imprescindible partir de la CE y el EOMF.
Como ya se ha indicado, el derecho a la protección de datos constituye, sobre la base del art. 18.4 CE, un derecho fundamental autónomo y específico, que vincula al MF, al igual que a otros poderes públicos (art 53 CE), al tratarse de un órgano de relevancia constitucional con personalidad jurídica propia y que es único para todo el Estado, correspondiendo a la/el Fiscal General del Estado la jefatura superior, “impartiendo las órdenes e instrucciones convenientes al servicio y al orden interno de la institución y, en general, la dirección e inspección del Ministerio Fiscal” (art. 22.2 EOMF).
Esta capacidad organizativa incide tanto en las operaciones de tratamiento que se efectúan en las fiscalías mediante la confección de carpetillas o expedientes en papel, como en aquellas que se llevan a cabo utilizando determinadas aplicaciones informáticas y el soporte de las nuevas tecnologías.
En sus funciones de dirección y organización, la Fiscalía General imparte
instrucciones y circulares indicando pautas de obligado cumplimiento sobre el tratamiento de datos personales necesario para el ejercicio de determinadas funciones del MF. Basta citar como ejemplos la Instrucción 1/2012, de 29 de marzo, sobre la coordinación del registro de menores extranjeros no acompañados, que se refiere a los datos imprescindibles para poder dar de alta a un menor en el registro; la Circular 9/2011, de 16 de noviembre, sobre criterios para la unidad de actuación especializada del Ministerio Fiscal en materia de reforma de menores, que se refiere a la necesidad de consignar con claridad los datos relativos al menor o menores imputados en el parte de incoación del expediente que el fiscal remite al juzgado de menores; al deber de incorporar al expedir requisitorias los datos previstos en los modelos utilizados al efecto o a la prohibición de proporcionar a los medios ningún dato que permita reconocer al menor; la Instrucción 4/2008, de 30 de julio, sobre el control y vigilancia por el Ministerio Fiscal de las tutelas de personas discapaces, que para cumplimentar los deberes específicos de vigilancia y comprobación del estado personal y patrimonial de los tutelados recordaba la necesidad de creación de un sistema informático de almacenamiento de datos, y disponía los datos que se debían registrar en el sistema informático de cada fiscalía al incoar las diligencias preprocesales, observándose lo dispuesto en la legislación sobre protección de datos de carácter personal; la Instrucción 4/2005, de 15 de abril, sobre motivación por el Ministerio Fiscal de las peticiones solicitando la medida cautelar de prisión provisional o su modificación, que recordaba el deber de los fiscales de llevar en todo momento un registro personal de las causas con preso preventivo que les corresponda, así como de mantener las fiscalías un actualizado sistema de control de estas causas, al que se incorporan los datos de presos preventivos; la Instrucción 3/2005, de 7 de abril, sobre las relaciones del Ministerio Fiscal con los medios de comunicación que incide sobre el especial deber de vigilancia en la protección de los datos que permitan la identificación de menores; la Instrucción 1/2003, de 7 de abril, sobre aspectos organizativos de las Fiscalías y sus adscripciones con motivo de la reforma parcial de la Ley de Enjuiciamiento Criminal que recoge los datos que deben registrarse; o la Instrucción 2/2000, de 27 de diciembre, sobre aspectos organizativos de las secciones de menores de las Fiscalías ante la entrada en vigor de la LO 5/2000, de 12 de enero de Responsabilidad Penal de los Menores que indica los datos que deben constar en la carátula de las diligencias preliminares o del expediente.
Por otro lado, y en el ámbito del tratamiento que se realiza a través de las
nuevas tecnologías, el art. 230.1 LOPJ, después de disponer la obligación de las fiscalías de utilizar cualesquiera medios técnicos, electrónicos, informáticos y telemáticos, puestos a su disposición para el desarrollo de su actividad y ejercicio de sus funciones (…), añade que las instrucciones generales o singulares de uso de las nuevas tecnologías que (…) la Fiscalía General del Estado dirijan a (…) los fiscales, respectivamente, determinando su utilización, serán de obligado cumplimiento. Una disposición similar se recoge en la Ley 18/2011, de 5 de julio, reguladora del uso de las tecnologías de la información y la comunicación en la Administración de Justicia. Esta Ley dispone en su art. 8 que: “Los sistemas informáticos puestos al servicio de la Administración de Justicia serán de uso obligatorio en el desarrollo de la actividad de (…) las Fiscalías por parte de todos los integrantes de las mismas, conforme a los criterios e instrucciones de uso que dicten, en el ámbito de sus competencias, (…) la Fiscalía General del Estado (…)”.
Los antecedentes en el sector de las nuevas tecnologías también conducen a
la identificación del MF como responsable. Referida únicamente a ficheros
automatizados, la Instrucción 6/2001, de 21 de diciembre, sobre ficheros
automatizados de datos personales gestionados por el Ministerio Fiscal,
estableció los ficheros de datos personales de los que se servirían los
correspondientes órganos y fiscalías que constituyen el MF para el
cumplimiento de sus funciones, y respecto al responsable indicaba “el MF, a través de las Fiscalías mencionadas en el Anexo II”. El Anexo II indicaba los ficheros que gestionaban cada una de las fiscalías, mencionando la Fiscalía General del Estado (en la que se incluía la Fiscalía del Tribunal Supremo); Fiscalía ante el Tribunal Constitucional; Fiscalía Especial contra la Corrupción y la Criminalidad Organizada; Fiscalía Especial Antidroga; Fiscalía de la AN; Fiscalías Territoriales.
De nuevo para el sector concreto de las nuevas tecnologías, la DA 2ª EOMF,
según redacción de la Ley Orgánica 19/2003 (10), dispone que el sistema de
información y la red integrada de comunicaciones electrónicas, plenamente integrados con el fin de asegurar su unidad de actuación, del MF “serán definidos y gestionados por los órganos competentes de la Fiscalía General del Estado” que “a estos efectos contarán con el soporte administrativo y tecnológico del Ministerio de Justicia”.
Y el Real Decreto 93/2006, de 3 de febrero, por el que se regula el sistema de
información del Ministerio Fiscal, indica como responsable de aquel a la/el
Fiscal General del Estado y a cada fiscalía respecto del sistema de gestión
procesal.
Se identificaba así en esta normativa sectorial al MF como responsable de los ficheros, identificando a los órganos a través de los cuales actúa (“a través de las fiscalías”), de acuerdo con el art. 2 EOMF.
Se desprende así de los preceptos citados y estos antecedentes, que
corresponde al MF, como órgano con relevancia constitucional, la organización del tratamiento que se efectúa, siempre dentro de su ámbito de actuación y competencias, y sin perjuicio de que otros agentes intervengan en algunos aspectos. Esta asignación de la responsabilidad al organismo, que resulta del análisis de las competencias que al mismo corresponden, es además conforme con los criterios del Dictamen del GT 29, que parte de que en principio un organismo público es responsable de las actividades de tratamiento que tengan lugar dentro de sus actividades y riesgos. Esta determinación proporciona además a los interesados un ente de referencia estable para el ejercicio de sus derechos. Y es además coherente con el EOMF, que dispone que los miembros del MF actuarán siempre en representación de la Institución (art. 23 EOMF).
Por otro lado, la identificación del responsable de tratamiento está
interrelacionado con las normas que establecen la atribución de
responsabilidades o sanciones a que pueden estar sujetas las personas físicas o jurídicas.
Quien debe responder de la infracción de la protección de datos es siempre el responsable del tratamiento, y en este punto es ilustrativo que el MF está sujeto al régimen sancionatorio especial previsto en el art. 77 LOPDGDD, aplicable a los órganos constitucionales o con relevancia constitucional, que prevé que cuando estos responsables cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 LOPDGDD, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento, diferenciando así entre el responsable del tratamiento (en nuestro caso, el MF) que podría recibir el apercibimiento, el infractor de la normativa de protección de datos, y el cargo responsable, que podría ser amonestado, como más adelante se indica.
- 7. Las obligaciones del Ministerio Fiscal en materia de protección de
datos
7.1. Las obligaciones del Ministerio Fiscal como responsable del
tratamiento de datos personales.
Tal y como antes se ha apuntado, el art. 18.4 CE reconoce, como derecho
fundamental autónomo y específico, el derecho a la protección de datos
personales lo que, al igual que a otros poderes públicos, vincula al MF como órgano de relevancia constitucional con personalidad jurídica propia. El principio de responsabilidad proactiva implica que el MF, como responsable del tratamiento de datos, debe aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD (arts. 5.2 y 24 RGPD).
En consecuencia, el MF, en el estricto ámbito de sus competencias y
actuación, estará obligado a tratar los datos personales de las personas físicas de acuerdo con los principios que a continuación se exponen (art. 5, apartados 1 y 2 RGPD) y en condiciones de poder demostrar que se actúa conforme a ellos:
- Licitud, lealtad y transparencia en relación con el interesado.
- Limitación de la finalidad, lo que supone que deberán ser tratados con
fines determinados, explícitos y legítimos, y que no podrán ser objeto de un tratamiento ulterior que sea incompatible con dichos fines. - Minimización de datos, lo que supone que serán tratados de manera
adecuada, pertinente y limitada a lo necesario en relación con los fines del tratamiento. - Exactitud, lo que supone que, exclusivamente en el marco de las
competencias propias del MF y en la medida de lo posible, se adopten
las medidas razonables para que los datos personales tratados se
mantengan actualizados, suprimiendo o rectificando aquellos datos que sean inexactos con respecto a los fines para los que se tratan. - Limitación del plazo de conservación, lo que supone que,
exclusivamente en el marco de las competencias propias del MF y en la medida de lo posible, se adopten medidas razonables para que los datos personales sean mantenidos de forma que se permita la identificación de los interesados durante el tiempo estrictamente necesario para los fines del tratamiento. - Integridad y confidencialidad, lo que supone, exclusivamente en el marco de las competencias propias del MF, la adopción de medidas técnicas y organizativas apropiadas para garantizar una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento y acceso no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
7.2 Obligaciones de la Fiscalía General del Estado.
Para el cumplimiento de las obligaciones que dichos principios imponen al MF, la/el Fiscal General del Estado, al ostentar su jefatura superior y la máxima representación del MF (art. 13.1 y 22.2 EOMF), a través de los órganos y unidades competentes de la Fiscalía General del Estado, esencialmente deberá:
a) Adoptar las medidas técnicas y organizativas apropiadas a fin de
garantizar y poder demostrar que el tratamiento es conforme con el
RGPD; dichas medidas deberán ser revisadas y actualizadas cuando
sea necesario (art 24.1 RGPD).
b) Adoptar las medidas técnicas y organizativas apropiadas a fin de
proteger los derechos de los interesados (art. 25.1 RGPD).
c) Establecer los mecanismos y procedimientos necesarios para facilitar a
los interesados el ejercicio de sus derechos proporcionando a los
mismos información concisa, transparente, inteligible y de fácil acceso,
para lo cual se elaborarán los correspondientes modelos o guías que se
pondrán a disposición de las fiscalías y del resto de órganos y unidades
del MF (art. 12 RGPD).
d) Promover, en el marco de las competencias del MF y en el ámbito de las
TIC, la implementación de las medidas técnicas precisas para la
protección de datos personales desde el diseño y por defecto, tanto en
el momento de determinar los medios de tratamiento como durante el
propio tratamiento (art. 25.1 RGPD).
e) Designar y cesar en los supuestos previstos al DPD del MF (art. 37.1
RGPD) así como comunicar su nombramiento y cese a la autoridad de
control (art. 37.7 RGPD).
f) Adoptar las medidas precisas para que el DPD pueda ejercer sus
funciones, y en concreto, facilitar y garantizar (art. 38 RGPD):
- Su participación de forma adecuada y en tiempo oportuno en todas
las cuestiones relativas a la protección de datos personales. - Los recursos necesarios para el desempeño de dichas funciones y el
acceso a los datos personales y a las operaciones de tratamiento, no
pudiendo oponerse la existencia de deber de confidencialidad o
secreto. - Los recursos precisos para el mantenimiento de sus conocimientos
especializados. - La ausencia de conflicto de intereses en el supuesto de realizar otras
funciones. - Que no reciba ninguna instrucción de las fiscalías u órganos fiscales
en lo que respecta al ejercicio de sus funciones. - Que no sea destituido ni sancionado por desempeñar sus funciones,
salvo en caso de dolo o negligencia grave. - La rendición de cuentas ante la/el Fiscal General del Estado, a cuyo
fin el DPD del MF deberá presentar un plan anual de supervisión de
fiscalías y órganos fiscales, de cuyo resultado el DPD habrá de darle
oportuna cuenta.
g) Identificar las actividades de tratamiento, así como su finalidad y base
jurídica (art. 30 RGPD y art. 31.1 LOPDGDD) para lo cual se elaborarán
los correspondientes modelos o guías que se pondrán a disposición de
la fiscalías y órganos fiscales.
h) Mantener el registro de actividades de tratamiento del MF; remitirlo al
DPD del MF (art. 31.1 LOPDGDD); ponerlo a disposición de la autoridad
de control cuando esta lo solicite (art. 30.4 RGPD); y hacer público un
inventario de estas actividades accesible por medios electrónicos (art.
31.2 LOPDGDD).
i) Aplicar una política de protección de datos cuando resulte proporcionada
en relación con las actividades de tratamiento (art. 24.2 RGPD).
j) En relación al tratamiento que se efectúa a través de las nuevas
tecnologías, encomendar al encargado o encargados en el ámbito de
sus competencias del tratamiento la realización del correspondiente
análisis de riesgo de las actividades de tratamiento del MF y cooperar
con los mismos con la finalidad de establecer e implementar un nivel de
seguridad adecuado al riesgo (art. 32.1 RGPD).
k) Proceder, antes de realizar un nuevo tratamiento de datos, en particular
si utiliza nuevas tecnologías, que, por su naturaleza, alcance, contexto o
fines, sea probable que entrañe un alto riesgo para los derechos y
libertades de las personas físicas, a realizar una evaluación del impacto
de las operaciones de tratamiento en la protección de datos personales
o encomendar su realización (art. 35.1 RGPD).
l) Reclamar al encargado o encargados de tratamiento, cuando lo estime
oportuno, la información necesaria para comprobar el cumplimiento de
las obligaciones que les impone el RGPD, así como, a esos efectos,
realizar auditorías, incluidas inspecciones (art. 28 h) RGPD).
m) Recibir la información sobre presuntos incidentes de violación de
seguridad, valorar y, en su caso, proceder a comunicar el incidente a la
autoridad de control y al interesado (arts. 33.1 y 34.3 RGPD).
n) Cooperar con la autoridad de control en el desempeño de sus funciones
(art. 31 RGPD).
o) Documentar en el correspondiente o correspondientes expedientes
gubernativos de los órganos o unidades competentes de la Fiscalía
General del Estado las medidas y actuaciones realizadas (24.1 RGPD).
p) Promover la concienciación y formación de funcionarios y fiscales en
materia de protección de datos personales.
Corresponde a cada una de las unidades y órganos de la Fiscalía General del
Estado el cumplimiento de estas obligaciones, de acuerdo con sus propias
competencias.
Como consecuencia de las especificas funciones que, en virtud del art. 13.4
EOMF, tiene asignada la Unidad de Apoyo de la Fiscalía General del Estado,
de entre las anteriormente mencionadas, particularmente le corresponderá:
a) Promover y participar, en el marco de las competencias del MF, a través
de su participación en el Comité Técnico Estatal de la Administración
Judicial Electrónica (CTEAJE) y de acuerdo con las previsiones de la
Ley 18/2011 y la normativa correspondiente en el ámbito de las TIC, en
la implementación de las medidas técnicas precisas para la protección
de datos personales desde el diseño y por defecto, tanto en el momento
de determinar los medios como en el momento del propio tratamiento
(art. 25.1 RGPD).
b) Participar en la adopción de las medidas técnicas apropiadas a fin de
proteger los derechos de los interesados (art. 25.1 RGPD).
c) Convenir con el encargado o encargados del tratamiento la adopción de
mecanismos visibles accesibles y sencillos, incluidos los electrónicos,
para facilitar a los interesados el ejercicio de sus derechos (art. 12
RGPD).
d) Proporcionar a las fiscalías y órganos fiscales los correspondientes
modelos o guías de información de derechos a los interesados.
e) Recabar las actividades de tratamiento realizadas por distintas fiscalías y
órganos fiscales con el fin de identificar las actividades de tratamiento
del MF, facilitando previamente, y a esos efectos, los correspondientes
modelos o guías que hayan sido establecidos por la Fiscalía General del
Estado.
f) Elaborar e identificar, con asesoramiento del DPD del MF, el registro de
actividades de tratamiento del MF, así como su finalidad y base jurídica
y remitir al mismo cualquier adición, modificación o exclusión (art. 31.1
LOPDGDD).
g) Mantener actualizado el registro de actividades de tratamiento del MF y
ponerlo a disposición de la autoridad de control cuando esta lo solicite
(art. 30.4 RGPD).
h) Hacer público por medios electrónicos el inventario de actividades de
tratamiento (art. 31.2 LOPDGDD).
i) En el ámbito de las nuevas tecnologías, encomendar al encargado o
encargados del tratamiento la realización del correspondiente análisis de
riesgo de las actividades de tratamiento del MF y cooperar con los
mismos con la finalidad de establecer e implementar un nivel de
seguridad adecuado al riesgo (art. 32.1 RGPD).
Para dicha actuación se deberá contar con la participación de la jefatura
de la fiscalía u órgano fiscal o un representante del mismo y, en su caso
y de afectar a una fiscalía territorial, con la participación de los fiscales
responsables del Servicio de Información del Ministerio Fiscal (SIMF) y
del fiscal superior de la respectiva comunidad autónoma, comunicando
todas las actuaciones al DPD o al adjunto territorialmente competente.
j) Proceder, antes de realizar un nuevo tratamiento de datos, en particular
si utiliza nuevas tecnologías, que, por su naturaleza, alcance, contexto o
fines, sea probable que entrañe un alto riesgo para los derechos y
libertades de las personas físicas, a realizar una evaluación del impacto
de las operaciones de tratamiento en la protección de datos personales
o encomendar su realización (art. 35.1 RGPD).
k) Reclamar al encargado o encargados de tratamiento, cuando lo estime
oportuno, la información necesaria para comprobar el cumplimiento de
las obligaciones que les impone el RGPD respecto de los responsables,
así como, a esos efectos, realizar auditorías (art. 28.3.h RGPD) para lo
cual se deberá recabar, en su caso y de afectar a una fiscalía territorial,
la colaboración de los fiscales del SIMF y del fiscal superior de la
respectiva comunidad autónoma.
l) Recibir la información sobre presuntos incidentes de violación de
seguridad y comunicar los mismos a la autoridad de control, así como al
interesado, en el supuesto de que por la/el Fiscal General del Estado así
haya sido decidido (arts. 33.1 y 34.3 RGPD).
m) Comunicar a la autoridad de control el nombramiento y cese del DPD del
MF (art. 37.7 RGPD y 34.3 LOPDGDD).
n) Cooperar, en el ámbito de sus funciones, con la autoridad de control (art.
31 RGPD).
o) Adoptar las medidas precisas para que el DPD pueda ejercer sus
funciones, y en concreto, facilitar y garantizar (art. 38 RGPD):
- Su participación de forma adecuada y en tiempo oportuno en todas
las cuestiones relativas a la protección de datos personales. - Los recursos necesarios para el desempeño de dichas funciones y el
acceso a los datos personales y a las operaciones de tratamiento no
pudiendo oponerse la existencia de deber de confidencialidad o
secreto. - Divulgar en el ámbito del MF el conocimiento de la figura del DPD
del MF, posición y funciones.
7.3. Obligaciones de las fiscalías, unidades y de los demás órganos del
Ministerio Fiscal.
La determinación del MF como responsable del tratamiento supone que las
obligaciones que le impone la normativa de protección de datos se ejercen
también a través de las jefaturas de los órganos fiscales, unidades y fiscalías que llevan a cabo actividades de tratamiento (ya sean comunes a todos los órganos y fiscalías o especificas por la especial función que desarrollan) puesto que su dirección y organización se ejerce en representación del MF (arts. 2.1 y 22 EOMF).
Por tanto, estas obligaciones incumben a las unidades que integran la Fiscalía General del Estado (Unidad de Apoyo, Secretaría Técnica, Inspección Fiscal y Unidades Especializadas), a la Fiscalía del Tribunal Supremo, a la Fiscalía ante el Tribunal Constitucional, a la Fiscalía de la Audiencia Nacional, a las Fiscalías Especiales (Fiscalía Antidroga y Fiscalía contra la Corrupción y la Criminalidad Organizada), a la Fiscalía del Tribunal de Cuentas, a la Fiscalía Jurídico Militar, a las Fiscalías de las CCAA, a las Fiscalías Provinciales y a las Fiscalías de Área.
En virtud de ello, corresponde a las jefaturas de las referidas unidades, órganos y fiscalías, dentro del exclusivo ámbito de sus competencias organizativas y de dirección, adoptar las medidas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD, así como la adecuada protección de los derechos de los interesados y de su ejercicio por parte de los mismos, para lo cual podrán contar con el asesoramiento del DPD del MF o el adjunto del DPD que corresponda, debiendo:
a) Documentar en el correspondiente expediente gubernativo todas las
actuaciones que se realicen para la implementación de la normativa de
protección de datos.
Dicho expediente se iniciará con el correspondiente decreto y al mismo
se habrán de incorporar las instrucciones y comunicaciones remitidas
por la Fiscalía General del Estado en materia de protección de datos; la
descripción de las actividades de tratamiento realizadas por el
correspondiente órgano fiscal o fiscalía, así como sus sucesivas
modificaciones; las actuaciones acordadas; notas de servicio dirigidas a
fiscales y plantilla de funcionarios; comunicaciones al Ministerio de
Justicia o a los órganos de las CCAA con competencias transferidas en
materia de justicia sobre medios materiales o tecnológicos para
salvaguardar la protección de datos; comunicaciones dirigidas a la
Fiscalía General del Estado; incidencias y la constancia de las
reclamaciones de los interesados, que serán tramitadas en expedientes
individualizados y separados; etc.
b) Colaborar en la elaboración del registro de actividades de tratamiento del
MF de conformidad con lo dispuesto en el RGPD y siguiendo las pautas
marcadas por la Fiscalía General del Estado.
c) Mantener actualizado la descripción del registro de actividades de
tratamiento propio del correspondiente órgano fiscal o fiscalía y ponerlo
a disposición de la autoridad de control cuando esta lo solicite.
d) Identificar los medios materiales y/o tecnológicos que, en su caso,
resulten necesarios para salvaguardar el derecho a la protección de
datos (necesidad de armarios con llave, solicitud de memorias USB
encriptadas, etc.) y solicitarlos, bien directamente en el caso de las
jefaturas territoriales, bien a través de la Unidad de Apoyo de la Fiscalía
General del Estado en el caso del resto de unidades y órganos.
e) Comunicar a la plantilla de fiscales y funcionarios las pautas de
seguridad que los correspondientes encargados de tratamiento, como
proveedores de los medios y aplicaciones informáticas, hayan
establecido para su utilización.
f) Dictar instrucciones dirigidas a los fiscales y a la plantilla de funcionarios
con el fin de concienciar en la cultura de protección de datos y de instar
a su cumplimiento, así como promover medidas básicas a ese fin, entre
las que se encuentran las siguientes:
- Utilización en los equipos informáticos de usuario y contraseña de
uso personal y no compartido. - Cerciorarse del bloqueo o cierre de sesión en el equipo informático
antes de abandonar el puesto de trabajo. - Encriptación de los dispositivos de memoria USB que se utilicen.
- No abrir archivos o enlaces adjuntos que puedan acompañar a
correos electrónicos remitidos por fuentes desconocidas. - Cumplimiento de las indicaciones establecidas para el teletrabajo por
medio de VPN (Red Privada Virtual). - Exigencia de la debida custodia de documentos, carpetillas,
procedimientos y expedientes. - Implantación de actuaciones y adopción de medidas dirigidas a
impedir que queden a la vista o a disposición de personal no
autorizado documentos que contengan datos personales. - Destrucción de forma segura de documentos y dispositivos en
desuso utilizando, para la documentación en soporte papel, las
destructoras o contenedores cerrados previstos al efecto. - Obligación de comunicar a sus superiores jerárquicos cualquier
incidente de seguridad con riesgo para datos personales del que
hayan tenido conocimiento o hayan sido protagonistas (pérdida de
documentación, móviles, memorias USB, ordenador, etc.).
g) Cuando los datos personales hayan sido obtenidos del propio interesado
se deberá facilitar el ejercicio de sus derechos proporcionando a los
mismos información concisa, transparente, inteligible y de fácil acceso,
utilizando el correspondiente impreso que haya sido proporcionado por
la Fiscalía General del Estado en el que además de los generales se
incluyan los datos singulares de la fiscalía u órgano del MF. Ese impreso
podría ser colocado en un lugar visible o, de realizarse en la página web
de atención al ciudadano de la Fiscalía General del Estado, mediante un
enlace que dé acceso al mismo o, en caso de recibirse por correo
electrónico, mediante un pie de firma en el acuse de recibo.
h) Cuando el interesado presente una solicitud para el ejercicio de sus
derechos en virtud de la normativa de protección de datos, deberán
informar al interesado sobre las actuaciones derivadas de su petición en
el plazo de un mes a partir de la recepción de la solicitud (en el caso de
solicitudes especialmente complejas, este plazo puede extenderse dos
meses más, notificando esta ampliación dentro del primer mes). Cuando
el interesado presente la solicitud por medios electrónicos, la
información se facilitará por medios electrónicos cuando sea posible, a
menos que el interesado solicite que se le facilite de otro modo.
En este aspecto resulta relevante señalar, por un lado, que para el
ejercicio de dichos derechos resulta indispensable que el solicitante
acredite su identidad, pudiendo utilizarse todas las medidas razonables
para verificar la misma, en particular en el contexto de los servicios en
línea (considerando 64 RGPD).
Por otro lado, en el supuesto de que se trate de solicitudes de derechos
relativos a datos derivados de procedimientos judiciales, estas
solicitudes se tramitarán conforme a las normas que resulten de
aplicación al correspondiente proceso judicial en el que fueron
recabados, razón por la que habrá de indicarse a los interesados que se
carece de competencia para ello e informar a los mismos que podrán
efectuar la solicitud ante los correspondientes órganos judiciales (art.
236 octies 1 LOPJ). La normativa sobre los procedimientos judiciales se
aplicará, por analogía, en el caso de que los datos sean tratados en
expedientes o diligencias preprocesales tramitadas por el MF en cuyo
seno deberán ejercerse los correspondientes derechos relativos a la
protección de datos personales.
Las resoluciones relativas a las solicitudes que se formulen deberán
estar siempre debidamente motivadas, debiendo indicarse al interesado,
en caso de no dar curso a la misma, que podrá dirigirse al DPD del MF,
antes de formular reclamación ante la autoridad de control o de ejercitar
acciones judiciales.
i) En caso de que se produzca, en el estricto ámbito de competencias de la
jefatura del órgano fiscal o fiscalía, cualquier incidente que ocasione la
destrucción, pérdida o alteración accidental o ilícita de los datos
personales transmitidos, conservados o tratados de otra forma, o la
comunicación o acceso no autorizado a dichos datos, debe notificarlo sin
dilación al DPD del MF o adjunto del DPD y a la Fiscalía General del
Estado.
j) Respetar las funciones del DPD del MF y de los adjuntos del DPD del
MF garantizando su participación de forma adecuada y en tiempo
oportuno en todas las cuestiones relativas a la protección de datos
personales; facilitando los medios necesarios para el desempeño de
dichas funciones y el acceso a los datos personales y a las operaciones
de tratamiento no pudiendo oponerse la existencia de deber de
confidencialidad o secreto, y absteniéndose de dar instrucciones al DPD
del MF y a los adjuntos del DPD del MF en el ejercicio de sus funciones.
k) Cooperar con la autoridad de control en el desempeño de sus funciones.
7.4. Obligaciones de todos/as los/las fiscales
Las exigencias que impone la normativa de protección de datos se extienden tanto a quienes integran el MF como a la plantilla de funcionarios que prestan servicio en las distintas fiscalías y órganos fiscales. En consecuencia, para evitar posibles riesgos y brechas que puedan generar incidentes de seguridad, todos ellos están obligados a conocer y cumplir las normas, procedimientos, e instrucciones impartidas en materia de protección de datos.
Entre estas obligaciones destacan, además de las medidas básicas ya
indicadas en la letra f) del apartado anterior, el deber de respetar la
confidencialidad de los datos personales tratados, el cumplimiento de la
normativa e instrucciones sobre protección de datos recibidas (art. 29 RGPD) y su participación en actividades formativas.
7.5. Régimen sancionador
Como hemos indicado, el MF, como órgano responsable del tratamiento de
datos personales, está sujeto al régimen sancionador especial previsto en el
art. 77 LOPDGDD, aplicable a los órganos constitucionales o con relevancia
constitucional.
Según dispone este artículo, cuando estos responsables cometiesen alguna de las infracciones a las que se refieren los arts. 72 a 74 LOPDGDD, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. Y ello, sin perjuicio de que “la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello (…) y cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda”.
Se parte así de una diferenciación importante entre el responsable del
tratamiento (en nuestro caso, el MF) que podría recibir la sanción prevista en la LOPDGDD (el apercibimiento); el infractor de la normativa de protección de datos, sobre el que se podrían iniciar actuaciones disciplinarias; y la autoridad y directivo que, como cargo responsable, cuando las infracciones le sean imputables por la desatención de los informes técnicos o recomendaciones para el tratamiento, podría recibir una amonestación que se publicaría en el BOE o autonómico que corresponda.
Ello sin perjuicio de la aplicación de la normativa general de responsabilidad civil, penal y disciplinaria, prevista en el Capítulo VII del Título III del EOMF.
- 8. La figura del Delegado de Protección de Datos
8.1. Consideraciones generales
La actual normativa de protección de datos dedica una especial atención al
Delegado de Protección de Datos (DPD) (11), figura que articula con la función de supervisar y asesorar al responsable y empleados; supervisar el cumplimiento del RGPD; actuar como punto de contacto de la autoridad de control y cooperar con ella.
En relación a su designación, el RGPD dispone la obligación del responsable
de designar un DPD, siempre que el tratamiento de datos de carácter personal lo lleve a cabo una autoridad u organismo público, “excepto los tribunales que actúen en el ejercicio de su función judicial” (art. 37.1). En este último caso, se puede designar un DPD o se deberá designar si lo exige el derecho de la Unión o de los Estados miembros. Sobre su nombramiento, el art. 37.3 indica que cuando el responsable es una autoridad u organismo público, se puede designar un único DPD para varias autoridades, teniendo en cuenta su organización y tamaño.
Según el art. 32 de la Directiva 2016/680 (aún no transpuesta): “Los Estados
miembros dispondrán que el responsable del tratamiento designe un delegado de protección de datos. Los Estados miembros podrán eximir de esa obligación a los tribunales y demás autoridades judiciales independientes cuando actúen en ejercicio de sus competencias judiciales.
2. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para desempeñar las funciones contempladas en el artículo 34. 3. Podrá designarse a un único delegado de protección de datos para varias autoridades competentes teniendo en cuenta la estructura organizativa y tamaño de estas. (…)”.
La LOPDGDD permite que el DPD sea tanto una persona física como una
persona jurídica (art. 35 LOPDGDD) y dispone que los responsables deben
designar un DPD en los supuestos previstos en el art. 37.1 RGPD, sin incluir al MF ni a los Tribunales cuando actúan en el ejercicio de su función judicial entre las entidades que, en todo caso, deben designar un DPD (art. 34.1 LOPDGDD); y dispone que el resto de entidades no mencionadas podrá
designar de manera voluntaria un DPD (art. 34.2 LOPDGDD).
El nombramiento del DPD debe efectuarse en atención a sus conocimientos
(art. 37.5 RGPD). El DPD puede formar parte de la plantilla del responsable,
aunque no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento. Lo que resulta fundamental es que en todo caso el DPD tenga asegurada su independencia respecto del responsable.
A propósito de este artículo, las Directrices sobre los delegados de protección de datos (DPD) del GT 29 (12) indican que se podrá designar un único DPD para varias autoridades y organismos públicos, teniendo en cuenta su estructura organizativa y tamaño y con la ayuda de un equipo si fuera necesario, bajo la responsabilidad de un contacto principal y siempre que se distribuyan de manera clara las tareas dentro del equipo del DPD externo y se asigne una única persona como contacto principal. Por otro lado, y comentando las posibilidades de destitución o sanción por el desempeño de las funciones del DPD, las Directrices valoran positivamente que “cuanto más estable sea el contrato del DPD y más garantías existan contra el despido improcedente, más probabilidades habrá de que el DPD pueda actuar con independencia”.
8.2. El Delegado de Protección de Datos en el ámbito del Ministerio Fiscal
Las anteriores previsiones deben ser examinadas a la luz de las funciones del MF, su organización, su estructura jerarquizada, y los distintos ámbitos en los que se desenvuelve su actividad. En este contexto se plantea la necesidad de una reflexión detenida sobre la mejor forma de articulación de la figura del DPD en el ámbito del MF.
8.2.1. Ámbito de actuación
La primera cuestión que se plantea es la definición de su ámbito de actuación.
De acuerdo con la legislación, únicamente resultaría obligatorio el
nombramiento del DPD para el tratamiento de datos efectuado en el ámbito del MF con fines no jurisdiccionales.
Sin embargo, la mayor parte de la actuación del MF se efectúa en el ámbito
jurisdiccional o cuasijurisdiccional, por lo que los principios de unidad de
actuación y dependencia jerárquica que rigen la actuación del MF, apuntan a la conveniencia de que el DPD en el ámbito del MF incluya en su actuación sus funciones de asesoramiento y supervisión en el ámbito de las funciones jurisdiccionales o cuasijurisdiccionales. Ello permitirá asegurar el mejor asesoramiento en materia de protección de datos en la actividad cotidiana del MF y en las cuestiones que surjan sobre la materia, lo que sin duda redundará en el mejor cumplimiento por el MF de sus obligaciones.
Este planteamiento permitirá, por otro lado, que los afectados puedan, con
carácter previo a presentar una reclamación ante la autoridad de control,
dirigirse al DPD del MF en relación a todos los tratamientos que efectúa el MF (art. 37.1 LOPDGDD). Y en el caso de que un afectado presente una
reclamación ante la autoridad de control, el DPD del MF podrá formular
alegaciones si se le da traslado de la misma (art. 37.2 LOPDGDD).
8.2.2. Estructura
En segundo lugar, conviene analizar las distintas opciones sobre su
articulación, cuestión que debe abordarse desde la perspectiva de las
funciones asignadas, que han de ser ejercidas garantizando su independencia: supervisar y asesorar sobre el cumplimiento de la normativa de protección de datos y actuar como punto de contacto de la autoridad de control y cooperar con ella, entre otras competencias.
En este contexto se plantea si resultaría conveniente el nombramiento de un solo DPD para todo el MF, una estructura de varios delegados de protección de datos con ámbitos de actuación específicos y diferenciados, o un único DPD para todo el MF asistido de una red de adjuntos del DPD.
Esta última opción resulta la más conveniente a fin de asegurar los principios que rigen la actuación del MF, unidad de actuación y dependencia jerárquica, al mismo tiempo que permite atender con mayor facilidad las singularidades y necesidades de las distintas fiscalías.
Esta configuración resulta además necesaria, porque la unidad de actuación del MF y la debida articulación de sus relaciones con otras entidades exige la definición de una estructura que permita el ejercicio de las funciones del DPD en el ámbito del MF, salvaguardando en todo caso su debida independencia y de acuerdo con la normativa.
Debe tenerse en cuenta que en otras administraciones puede plantearse una distribución del ámbito de actuación entre distintos DPD nombrados, de forma que cada uno de ellos asesore y supervise a distintos responsables que llevan a cabo distintos tratamientos de datos. Sin embargo, en el ámbito del MF, las fiscalías territoriales realizan diversas operaciones que forman parte del tratamiento de datos del MF, por lo que carecería de sentido que distintos DPD pudiesen informar de manera distinta un mismo tratamiento de datos personales.
A ello se une que si el DPD “rinde cuentas directamente al más alto nivel
jerárquico del responsable” (art. 38.3 RGPD), tiene entre sus funciones
“supervisar el cumplimiento de la normativa de protección de datos y políticas del responsable en materia de protección de datos” (art. 39.1.b) RGPD), y “cuando aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable del tratamiento” (art. 36.1 LOPDGDD), resulta razonable una configuración que sitúe un DPD del MF “general” para toda la actuación del MF y que rinda cuentas ante el/la Fiscal General del Estado, quien ostenta la jefatura del MF, y ello sin perjuicio de configurar un equipo de apoyo al mismo.
Por otro lado, el DPD actúa como interlocutor del responsable ante la autoridad de control (art. 39.1.e RGPD), por lo que resulta conveniente mantener un único punto de contacto ante la misma.
Teniendo en cuenta todo lo anterior, la estructura del MF, su organización, la necesidad de una actuación uniforme (adaptada a las circunstancias de cada fiscalía) y la movilidad entre fiscalías de los miembros de la carrera fiscal, se estima conveniente la designación de un DPD del MF, que ejercerá sus funciones en relación a la actuación del MF.
No obstante, el DPD del MF deberá estar asistido por una red de adjuntos del DPD del MF que, bajo el principio de jerarquía, colaboren con las funciones asignadas al DPD del MF en su correspondiente ámbito. Con el fin de facilitar el cumplimiento de sus funciones, se designará un adjunto territorial del DPD en el ámbito de cada una de las CCAA.
8.2.3. El Delegado de Protección de Datos del Ministerio Fiscal
8.2.3.1. Ámbito de actuación
Las funciones del DPD del MF se extenderán a todo el ámbito de actuación del MF que implique tratamiento de datos personales, tanto en el ejercicio de funciones jurisdiccionales o cuasijurisdiccionales, como gubernativas.
8.2.3.2. Requisitos
De acuerdo con el RGPD, el DPD debe ser designado atendiendo a sus
cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones previstas en el RGPD (art. 37.5 RGPD).
En relación al nivel de conocimientos requerido, el GT 29 subraya que el mismo no está definido estrictamente, pero debe ser acorde con la sensibilidad, complejidad y cantidad de los datos que una organización trata. Seguidamente añade que, aunque el artículo 37.5 RGPD no especifica las cualidades profesionales que se deben tener en cuenta a la hora de designar al DPD, hay ciertos factores importantes a valorar: que tenga conocimientos sobre la legislación y prácticas nacionales y europeas en materia de protección de datos y una profunda comprensión del RGPD; conocimiento de la organización del responsable del tratamiento; buen conocimiento de las operaciones de tratamiento que se llevan a cabo, así como de los sistemas de información y de las necesidades de seguridad y protección de datos del responsable del tratamiento; y, en el caso de autoridades u organismos públicos, un conocimiento sólido de las normas y procedimientos administrativos de la organización.
El DPD puede formar parte de la plantilla del responsable (art. 37.5 RGPD),
pero no puede ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento y debe evitarse el conflicto de intereses (art. 36.2 LOPDGDD).
Es preciso determinar qué cargos en la organización del MF podrían presentar un conflicto de intereses, al participar, en el ámbito de sus competencias, en la organización del tratamiento de datos que se realiza en cada fiscalía, siempre por cuenta del MF como institución. Resulta sobre este aspecto ilustrativo que el documento elaborado por la AEPD sobre el “DPD en las Administraciones Públicas” indica que, si el DPD compagina sus funciones con otras, “debe tenerse en cuenta la necesidad de evitar conflictos de intereses entre las diversas ocupaciones. El DPD actúa como asesor y supervisor interno, por lo que ese puesto no puede ser ocupado por personas que, a la vez, tengan tareas que impliquen decisiones sobre la existencia de tratamientos de datos o sobre el modo en que van a ser tratados los datos (p.ej.: responsables de ITC, o responsables de seguridad de la información)”.
Teniendo en cuenta sus funciones de dirección, no podrán presentarse a la
convocatoria los/as fiscales jefes. Tampoco podrán ser candidatos los/as
tenientes fiscales, a quienes corresponde “asumir las funciones de dirección o coordinación que le delegue el Fiscal Jefe, y sustituir a éste en caso de ausencia, vacante o imposibilidad” (art. 22.6 EOMF). En el caso de otros fiscales que desempeñen funciones organizativas por delegación de la jefatura, deberá examinarse el contenido concreto de la delegación para determinar si podría existir un conflicto de intereses que impediría su nombramiento.
Tampoco podrán presentarse a la convocatoria los fiscales destinados en la
Secretaría Técnica o en la Unidad de Apoyo de la Fiscalía General del Estado, teniendo en cuenta respectivamente las funciones de estas unidades en el asesoramiento a la/al Fiscal General del Estado y en la organización del tratamiento de datos, especialmente en el que se efectúa a través de las
nuevas tecnologías.
Resultará asimismo incompatible el ejercicio de las funciones de DPD del MF por los miembros del Consejo Fiscal, ante la posibilidad de conflicto de
intereses con el desempeño de las funciones previstas en el art. 14.cuatro
EOMF.
Tampoco resulta compatible el desempeño de las funciones del DPD del MF
por los fiscales responsables SIMF dadas sus atribuciones de control y fomento del buen uso y aprovechamiento de las aplicaciones de gestión procesal y los sistemas de información y comunicaciones electrónicas, impulsando su utilización, transmitiendo a la Unidad de Apoyo las necesidades de formación y posibles deficiencias que detecten o incidencias que se produzcan (13). Por ello, con el fin de salvaguardar la independencia requerida al DPD, y en el caso de que un fiscal SIMF sea designado para desempeñar las funciones del DPD del MF, deberá, con carácter previo a su nombramiento por el/la Fiscal General del Estado, ser relevado de sus funciones SIMF.
En todo caso y con carácter general, con carácter previo al nombramiento del DPD del MF deberán examinarse qué concretas funciones desempeña como fiscal el candidato, las cuales, en su caso, deberá compatibilizar con el
cumplimiento de sus atribuciones, a fin de evitar todo posible conflicto de
intereses.
8.2.3.3. Convocatoria, procedimiento de selección y nombramiento
Para la cobertura del DPD del MF, el/la Fiscal General del Estado dirigirá una convocatoria a todos los fiscales de la plantilla, mencionando las
incompatibilidades descritas en el apartado anterior.
Los aspirantes deberán presentar en el plazo fijado en la convocatoria su
curriculum vitae, indicando sus conocimientos y experiencia en protección de datos y acreditando la relación de méritos alegados.
La respectiva jefatura de cada uno de los candidatos emitirá un informe con la relación de funciones asignadas al aspirante, indicando la relevación de las mismas que procedería en caso de que fuese nombrado DPD del MF, a fin de asegurar su dedicación y evitar los posibles conflictos de intereses.
El DPD del MF será nombrado y, en su caso, relevado mediante decreto de
la/el Fiscal General del Estado, oído el Consejo Fiscal (art. 14.cuatro EOMF). El nombramiento deberá ser comunicado a la autoridad de control.
El nombramiento del DPD del MF se efectuará por el/la Fiscal General del
Estado, que ostenta la jefatura del MF (art. 22.2 EOMF); designación que
además resulta coherente con la rendición de cuentas directa del DPD al más alto nivel jerárquico (art. 38.3 RGPD).
8.2.3.4. Funciones del Delegado de Protección de Datos del Ministerio
Fiscal
Son funciones del DPD del MF las previstas en el RGPD y en el resto de
normativa que resulte de aplicación, entre las que cabe destacar en particular:
- Informar y asesorar a los órganos y unidades del MF y a los fiscales que realicen operaciones de tratamiento de datos personales de las
obligaciones que les incumben en materia de protección de datos. En
concreto, corresponde al DPD para el MF el asesoramiento y
supervisión directos de las unidades de la Fiscalía General del Estado
(Inspección Fiscal, Secretaría Técnica, Unidad de Apoyo y Unidades
Especializadas), la Fiscalía del Tribunal Supremo, la Fiscalía ante el
Tribunal Constitucional, la Fiscalía de la Audiencia Nacional, las
Fiscalías especiales (Fiscalía contra la Corrupción y la Criminalidad
Organizada y Fiscalía Antidroga), la Fiscalía del Tribunal de Cuentas y la Fiscalía Jurídico Militar. Ello sin perjuicio de la posibilidad de su
asesoramiento y supervisión a las fiscalías territoriales, si resulta
necesario. - Supervisar el cumplimiento de la normativa de protección de datos y de las políticas del MF, incluida la asignación de responsabilidades, la
concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes. - Ofrecer el asesoramiento que se le solicite acerca de las evaluaciones
de impacto relativas a la protección de datos y supervisar su aplicación. - Cooperar con la autoridad de control (art. 39.1.d) RGPD).
- Supervisar los procedimientos o expedientes relacionados con la
protección de datos y emitir recomendaciones en el ámbito de sus
competencias. - Rendir cuentas ante la/el Fiscal General del Estado (art. 38.3 RGPD).
Además, cuando el DPD del MF aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y comunicará inmediatamente a la/al Fiscal General del Estado (art. 36.4 LOPDGDD). - Intervenir en caso de reclamación (art. 37 LOPDGDD).
- Constituir el punto de contacto del MF en cuestiones relativas al
tratamiento de datos personales con respecto a los interesados y
terceros. - Actuar como interlocutor del MF ante la autoridad de control, tanto para las reclamaciones como para la posible formulación de consultas por terceros.
- Coordinar la actuación de los adjuntos del DPD del MF, estableciendo
los criterios e instrucciones que considere necesarios para la actuación homogénea y coordinada de los distintos adjuntos del DPD, asegurando la unidad de criterio y dando cuenta a la/al Fiscal General del Estado. - El DPD podrá dictar las recomendaciones sobre la actuación del MF en
sus distintos ámbitos que considere precisas para el debido
cumplimiento de las funciones que tiene encomendadas por la normativa de protección de datos. - Mantener una relación actualizada de los adjuntos del DPD del MF.
- Realizar consultas a la autoridad de control (art. 39.1.e RGPD).
- Informar las candidaturas de los adjuntos del DPD y, en su caso, el cese de los mismos (salvo cuando el cese se produzca por el transcurso del plazo de duración del nombramiento o el cambio de destino).
- Acordar las sustituciones en el ejercicio de las funciones de los adjuntos del DPD, cuando resulte necesario por razones de ausencia, vacante o enfermedad.
- Informar el inventario de actividades antes de su publicación.
Asimismo, el DPD del MF podrá llevar a cabo aquellas otras actividades de
información, coordinación, supervisión, formación o consulta que, en materia de protección de datos, considere procedentes para el debido cumplimiento de esta normativa en el ámbito del MF.
En todas sus actuaciones, el DPD está obligado a mantener el secreto o la
confidencialidad (art. 38.5 RGPD).
8.2.3.5. Desempeño de sus funciones
El MF, como responsable del tratamiento de datos personales debe garantizar que el DPD “participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos” (artículo 38.1 RGPD), pudiendo establecer la dedicación completa o a tiempo parcial del delegado en función del volumen de los tratamientos, entre otros criterios (art. 34.5 LOPDGDD).
Por ello, el nombramiento del DPD del MF no supone necesariamente
exclusividad. En todo caso, deberá garantizarse la posibilidad efectiva de
dedicación para el cumplimiento de sus funciones y contará con los recursos necesarios para el desarrollo de las mismas, el acceso a los datos personales y a las operaciones de tratamiento y el mantenimiento de sus conocimientos especializados.
A fin de garantizar la independencia en el desempeño de sus funciones, la
designación del DPD del MF será por un periodo de 5 años. Transcurrido el
plazo de duración, o en el caso de cese anticipado por alguna de las causas
previstas, se efectuará una nueva convocatoria. El fiscal previamente
designado podrá optar a sucesivos nombramientos sin límite de convocatorias.
8.2.3.6. Causas de cese
De acuerdo con la LOPDGDD, cuando se trate de una persona física integrada en la organización del responsable del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable por desempeñar sus funciones, salvo que incurriera en dolo o negligencia grave en su ejercicio (art. 36.2 LOPDGDD).
La introducción de causas objetivas de cese constituye la garantía de
independencia de los DPD. Son causas de cese del DPD del MF:
- La apreciación de dolo o negligencia grave en el ejercicio de sus
funciones. - El nombramiento para un cargo incompatible con el desempeño de las
funciones del DPD del MF, por la posible concurrencia de un conflicto de intereses. - La renuncia voluntaria presentada por el interesado y aceptada por el/la Fiscal General del Estado.
- El transcurso del plazo de nombramiento, salvo que sea designado para un nuevo periodo. En todo caso, deberá permanecer en funciones hasta la renovación o designación de un nuevo DPD del MF.
En el caso de que concurra una causa de cese, el DPD del MF será relevado
mediante resolución de la/el Fiscal General del Estado. En todo caso, se
garantizará la audiencia del interesado cuyo relevo vaya a ser propuesto.
8.2.3.7. Régimen transitorio
En el plazo de 3 meses desde la aprobación de esta instrucción deberá
procederse a la convocatoria y designación del DPD del MF.
Hasta el nombramiento del DPD del MF por el/la Fiscal General del Estado de acuerdo con la presente instrucción, el actual DPD del MF seguirá ejerciendo sus funciones.
8.2.4. Adjuntos del Delegado de Protección de Datos del MF
Los adjuntos del DPD del MF actuarán bajo la dirección y coordinación del DPD del MF, dentro del ámbito de competencias que a este último atribuye el RGPD.
8.2.4.1. Ámbito de actuación
Los adjuntos del DPD desempeñarán sus funciones en relación a la actuación del MF que implique tratamiento de datos personales, tanto en el ejercicio de funciones jurisdiccionales o cuasijurisdiccionales, como gubernativas, en el ámbito de la comunidad autónoma en la que estén destinados, sin perjuicio de la posibilidad de sustituirse entre ellos en los casos de vacante, ausencia o enfermedad y de acuerdo con las instrucciones del DPD del MF.
8.2.4.2. Requisitos
De forma similar al DPD del MF, los adjuntos del DPD del MF (art. 37.5 RGPD) serán designados atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones (art. 37.5 RGPD). Resultan lógicamente aquí aplicables las consideraciones del GT29 sobre los conocimientos a valorar mencionados en el apartado correspondiente al DPD del MF.
Para evitar la posibilidad de conflicto de intereses (art. 36.2 LOPDGDD), los
adjuntos del DPD del MF no pueden ocupar un cargo en la organización que le lleve a determinar los fines y medios del tratamiento.
Por ello, no podrán presentarse a las convocatorias quienes ostenten una
jefatura, ni los/las tenientes fiscales, ni los miembros del Consejo Fiscal. En el caso de otros fiscales que desempeñen funciones por delegación de quien
ostente la jefatura deberá examinarse el contenido concreto de la delegación para determinar si podría existir un conflicto de intereses que impediría su nombramiento.
De acuerdo con las consideraciones expuestas en relación al DPD del MF,
tampoco resultan compatibles el desempeño de funciones de un responsable SIMF y las correspondientes al adjunto del DPD. Por ello, con el fin de salvaguardar la independencia requerida a los adjuntos del DPD, y en el caso de que un fiscal SIMF sea designado para desempeñar las funciones de adjunto del DPD del MF, deberá, con carácter previo a su nombramiento por el/la Fiscal General del Estado, ser relevado de sus funciones SIMF.
En todo caso, con carácter previo al nombramiento de los adjuntos del DPD del MF deberán examinarse las concretas funciones del candidato que deberá compatibilizar con el cumplimiento de sus atribuciones, a fin de evitar todo posible conflicto de intereses.
8.2.4.3. Convocatoria, procedimiento de selección y nombramiento
Teniendo en cuenta su ámbito de actuación en las CCAA, y con el fin de
facilitar el cumplimiento de sus funciones y la compatibilidad con el desempeño de otras tareas, para el nombramiento del adjunto del DPD del MF correspondiente a cada comunidad autónoma, el/la Fiscal General del Estado dirigirá una convocatoria a los fiscales de la plantilla destinados en la comunidad autónoma correspondiente (en la Fiscalía de la Comunidad
Autónoma, Provincial, o de Área). Debido a la vocación de estabilidad en el
desempeño de las funciones, no podrán presentarse los fiscales que estén en comisión de servicio, salvo que su plaza en propiedad se corresponda con la misma comunidad autónoma.
Los aspirantes deberán presentar en el plazo fijado en la convocatoria su
curriculum vitae, indicando sus conocimientos y experiencia en protección de datos y acreditando la relación de méritos alegados.
La respectiva jefatura de cada uno de los candidatos emitirá un informe con la relación de funciones asignadas al aspirante, indicando la relevación de las mismas que procedería en caso de que fuese nombrado Adjunto del DPD del MF, a fin de asegurar su dedicación y evitar los posibles conflictos de intereses.
Cada Fiscal Superior emitirá un informe sobre las candidaturas que remitirá a la Fiscalía General del Estado junto con todas las solicitudes y la relación de méritos presentadas en su ámbito territorial.
Los adjuntos del DPD del MF serán nombrados y, en su caso, relevados
mediante decreto de la/del Fiscal General del Estado, previo informe del DPD sobre las candidaturas presentadas y oído el Consejo Fiscal (art. 14.cuatro EOMF).
El nombramiento de los adjuntos del DPD del MF, que forman parte de su
equipo, se efectuará por el Fiscal General del Estado (art. 22.2 EOMF).
8.2.4.4. Funciones de los Adjuntos del DPD del MF
Los adjuntos del DPD del MF ejercerán, en su ámbito, bajo la dirección y en
coordinación con el DPD del MF, las siguientes funciones de información,
asesoramiento y supervisión:
- Informar y asesorar a los órganos del MF y a los fiscales que realicen
operaciones de tratamiento de datos personales de las obligaciones que les incumben en materia de protección de datos. Los adjuntos del DPD del MF desempeñarán sus funciones en relación a las fiscalías
territoriales de su ámbito de actuación. - Supervisar el cumplimiento de la normativa de protección de datos y de las políticas del MF en materia de protección de datos personales, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- Seguir los criterios e instrucciones impartidos por el DPD para una
actuación homogénea y coordinada. - Comunicar al DPD del MF las vulneraciones en materia de protección de datos que aprecien (art. 36.4 LOPDGDD).
- Comunicar al DPD del MF las incidencias que se produzcan en su
ámbito territorial. - Dar cuenta al DPD del MF de las actuaciones que lleven a cabo en
relación con el cumplimiento de sus funciones, remitiendo al DPD del
MF, con carácter previo a su emisión, las recomendaciones que
elaboren.
En caso de que el DPD del MF estuviese disconforme con la
recomendación del adjunto del DPD, aquél emitirá las instrucciones o
indicaciones que resulten precisas para garantizar la actuación
homogénea y coordinada de los distintos adjuntos del DPD y asegurar la
unidad de criterio.
- Sustituir al DPD del MF en caso de ausencia, vacante o enfermedad, si
así es acordado por el/la Fiscal General del Estado. - Sustituirse entre los adjuntos en caso de ausencia, vacante o
enfermedad, siguiendo instrucciones del DPD del MF.
En todas sus actuaciones, los adjuntos del DPD del MF están obligados a
mantener el secreto o la confidencialidad (art. 38.5 RGPD).
8.2.4.5. Desempeño de sus funciones
El MF, como responsable del tratamiento de datos personales, debe garantizar que el DPD “participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos” (artículo 38.1 RGPD), pudiendo establecer la dedicación completa o a tiempo parcial del delegado en función del volumen de los tratamientos, entre otros criterios (art. 34.5 LOPDGDD).
Esta previsión normativa es aplicable a los adjuntos del DPD del MF. Por lo
tanto, el ejercicio de sus funciones deberá compatibilizarse con el desempeño de los cometidos correspondientes al puesto de destino. En todo caso, deberá garantizarse la posibilidad del desarrollo de sus funciones.
La designación de los adjuntos del DPD del MF será por un periodo de 5 años.
Transcurrido este plazo, o en el caso de cese anticipado por alguna de las
causas de cese previstas, se efectuará una nueva convocatoria, sin perjuicio de la posibilidad de concurrir de los previamente designados, sin límite de
convocatorias.
8.2.4.6 Causas de cese
De acuerdo con la LOPDGDD, cuando se trate de una persona física integrada en la organización del responsable, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable por desempeñar sus funciones, salvo que incurriera en dolo o negligencia grave en su ejercicio (art. 36.2 LOPDGDD).
La introducción de causas objetivas de cese constituye la garantía de
independencia de los adjuntos del DPD. Constituyen causas de cese de los
adjuntos del DPD del MF:
- La apreciación de dolo o negligencia grave en el ejercicio de sus
funciones. - El nombramiento para un cargo incompatible con el desempeño de las
funciones de adjunto del DPD del MF o para un destino en otra
comunidad autónoma. - La renuncia voluntaria presentada por el interesado y aceptada por el/la FGE.
- El transcurso del plazo de nombramiento, salvo que sea nuevamente
nombrado.
En el caso de que concurra una causa de cese, los adjuntos del DPD del MF
serán relevados mediante resolución de la/el Fiscal General del Estado. En
todo caso, se garantizará la audiencia del interesado cuyo relevo vaya a ser
propuesto.
8.2.4.7. Régimen transitorio
Una vez nombrado el DPD del MF de acuerdo con lo previsto en esta
instrucción, en el plazo de 2 meses deberá procederse a la convocatoria y
designación de los adjuntos del DPD del MF.
Hasta el nombramiento por el FGE de los adjuntos del DPD del MF con arreglo a esta instrucción, los fiscales hasta ahora designados para ejercer funciones en materia de protección de datos en el ámbito de las CCAA seguirán desempeñando las mismas.
- 9. Cláusula de vigencia
La presente instrucción deroga la Instrucción 6/2001, de 21 de diciembre, sobre Ficheros automatizados de Datos Personales Gestionados por el Ministerio Fiscal.
- 10. Conclusiones
Primera. El derecho a la protección de datos personales es un derecho
fundamental implícitamente reconocido en el art. 18.4 CE y consagrado en el art. 8 de la Carta de los Derechos Fundamentales de la UE y en el art. 16.1 del Tratado de Funcionamiento de la UE.
Segunda. La actuación cotidiana del MF implica el tratamiento de datos
personales. Este tratamiento se efectúa en el contexto de la actividad
jurisdiccional o cuasijurisdiccional -correspondiente al cumplimiento de su
misión de promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y del interés público tutelado por la ley, de oficio o a petición de los interesados, así como velar por la independencia de los Tribunales, y procurar ante éstos la satisfacción del interés social (arts. 124 CE y art. 2 EOMF)- y en la tramitación de los expedientes de naturaleza administrativa o gubernativa.
Tercera. Toda la actuación del MF se encuentra sujeta a la normativa de
protección de datos, pues el derecho a la protección de datos vincula al MF al igual que a todos los poderes públicos (art 53 CE).
Cuarta. El responsable del tratamiento es un concepto esencial en la actual
normativa de protección de datos que identifica quién debe asumir la
responsabilidad del cumplimiento de las normas sobre protección de datos y cómo se debe facilitar a los interesados el ejercicio de sus derechos. La
definición del responsable permite además en ocasiones determinar el alcance del tratamiento (art. 6 RGPD).
Quinta. En nuestra legislación, no hay una asignación explícita de la
responsabilidad del tratamiento al MF; sin embargo, puede deducirse que
corresponde al Ministerio Fiscal, como órgano con relevancia constitucional, la organización del tratamiento que se efectúa, siempre dentro de su ámbito de actuación y competencias, y sin perjuicio de que otros agentes intervengan en algunos aspectos.
Sexta. El principio de responsabilidad proactiva supone que se deben aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD (arts. 5.2 y 24 RGPD).
La determinación del MF como responsable del tratamiento implica que las
obligaciones que le incumben deben ser asumidas necesariamente por las
fiscalías, las unidades y los órganos a través de los cuales ejerce su misión
(art. 2.1 EOMF). En todas las fiscalías y unidades organizativas fiscales debe
adecuarse el trabajo implementando la normativa de protección de datos.
Además, corresponde a todos los fiscales, de acuerdo con sus respectivas
competencias, el cumplimiento de determinadas obligaciones en materia de protección de datos en las concretas operaciones de tratamiento que efectúan en nombre del MF. Entre estas obligaciones destacan el deber de respetar la confidencialidad de los datos personales tratados y el cumplimiento de las instrucciones sobre protección de datos recibidas (art. 29 RGPD).
Séptima. El MF, como órgano responsable del tratamiento de datos personales, está sujeto al régimen sancionatorio especial previsto en el art. 77 LOPDGDD, aplicable a los órganos constitucionales o con relevancia constitucional. Ello sin perjuicio de la aplicación de la normativa general de responsabilidad civil, penal y disciplinaria, prevista en el Capítulo VII del Título III del EOMF.
Octava. El DPD del MF estará asistido en sus funciones por una red de
adjuntos del DPD del MF que, bajo el principio de jerarquía, colaborarán con las funciones asignadas al DPD del MF en su correspondiente ámbito. Con el fin de facilitar el cumplimiento de sus funciones, se designará un adjunto del DPD del MF en el ámbito de cada una de las CCAA.
Novena. Las funciones del DPD del MF y su equipo de adjuntos del DPD se
extenderán a todo el ámbito de actuación del MF que implique tratamiento de datos personales, tanto en el ejercicio de funciones jurisdiccionales o
cuasijurisdiccionales, como gubernativas.
Décima. El nombramiento y régimen de actuación del DPD del MF y los
adjuntos del DPD del MF se ajustarán a lo dispuesto en la presente instrucción.
En razón de todo lo expuesto, los/las Sres./Sras. Fiscales se atendrán en lo
sucesivo a las prescripciones de la presente instrucción.
Madrid, a 20 de diciembre de 2019
LA FISCAL GENERAL DEL ESTADO
María José Segarra Crespo
EXCMOS. /AS. SRES./AS. FISCALES DE SALA Y FISCALES SUPERIORES,
ILMOS. /AS. SRES./AS. FISCALES JEFES PROVINCIALES Y DE ÁREA,
ILMOS. /AS. SRES./AS. FISCALES
(1) Reglamento (UE) 2017/1939 del Consejo, de 12 de octubre de 2017, por el que se establece una cooperación reforzada para la creación de la Fiscalía Europea.
(2) En concreto se refiere al “tratamiento de datos llevado a cabo con ocasión de la tramitación por los Tribunales de los procesos de los que sean competentes, así como realizado dentro de la Oficina judicial”
(art. 236 bis LOPJ).
(3) En esta línea la Ley 3/2018, de 11 de junio, por la que se modifica la Ley 23/2014, de 20 de noviembre, de reconocimiento mutuo de resoluciones penales en la Unión Europea, para regular la Orden Europea de
Investigación se refiere al fiscal como autoridad de emisión y ejecución (art. 187).
(4) Cuando el tratamiento se ha efectuado en el ejercicio de funciones no jurisdiccionales, se encuentra sometido al control de la Agencia Española de Protección de Datos (AEPD). Para el tratamiento realizado por el MF en cumplimiento de las funciones jurisdiccionales o cuasi jurisdiccionales, actualmente se contempla la posibilidad de creación de un organismo específico en el MF que asuma esta función.
(5) El Grupo del art. 29 sobre Protección de Datos se creó en virtud del artículo 29 de la Directiva 95/46/CE.
Se trataba de un órgano consultivo europeo independiente en materia de protección de datos y derecho a la intimidad. Sus cometidos se describían en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE. Aunque el citado informe fue emitido en relación a la Directiva 95/46/CE, sus observaciones siguen siendo plenamente válidas a efectos del RGPD.
(6) Dictamen 1/2010 sobre los conceptos de “responsable del tratamiento” y “encargado” del tratamiento, adoptado el 16 de febrero de 2010 [Doc. 264/10/ES WP 169].
(7) Directiva 95 /46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
(8) Encargado del tratamiento o encargado es “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento” (art. 4.8 RGPD).
(9) El CTEAJE está integrado por una representación del Ministerio de Justicia y de cada una de las CCAA con competencias en la materia y por dos representantes designados por el CGPJ y la FGE (art. 44 de la Ley 18/2011).
(10) LO 19/2003, de 23 de diciembre, de modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial. En desarrollo de esta previsión legal se dictó el Real Decreto 93/2006, de 3 de febrero, por el que se regula el sistema de información del Ministerio Fiscal.
(11) RGPD: arts. 37 a 39; LOPDPGDD: arts. 34 a 37; Directiva 2016/680: arts. 32 a 34.
(12) Directrices del GT 29 sobre los delegados de protección de datos (DPD), adoptadas el 13 de diciembre de 2016 y revisadas por última vez y adoptadas el 5 de abril de 2017 [doc. WP 243 rev.01], ratificadas por el European Data Protection Board (EDPB) en su primera sesión plenaria.
(13) También puede resultar de orientación la consulta de la AEPD 170/2018 que examina la posible compatibilidad de la figura del DPD del RGPD y el responsable de seguridad de la información del Esquema Nacional de Seguridad (RSEG), y concluye que hay una diferenciación sustantiva y
competencial entre los dos ámbitos: el RSEG actúa con el fin de garantizar la seguridad de la información con relación a los riesgos de las tecnologías de la información y las comunicaciones, y las funciones del DPD deben encaminarse a garantizar los derechos y libertades de las personas en los tratamientos que lleva a cabo el responsable. Este paralelismo competencial resulta aplicable al aspecto que examinamos (las funciones del SIMF y del DPD) y permite concluir que la protección de datos personales tiene un
ámbito mucho más extenso que el apoyo a la jefatura que efectúan los SIMF en la organización, buen uso y aprovechamiento de los sistemas de información y comunicaciones electrónicas. Sin duda, ambos cometidos requieren una formación específica. Sin embargo, debe distinguirse la formación en las TIC precisa para las funciones de los SIMF y el conocimiento jurídico en materia de protección de datos que se requiere a los DPD.
01Ene/20
Número 22, segundo semestre de 2019
- ISSN 1989-5852Título clave: Revista informática jurídicaTít. abreviado: Rev. inform. jurid.
- Introducción
- Almaguel Guerra, Adrián
- Álvarez Izaquirre, Luis Alejandro
- Castro Dieguez, Fidel Enrique
- Guerra González, Orestes
- Llamas Covarrubias, Jersain Zadamig
- Medel Viltres, Yamira
- Reinaldo Filho, Demócrito
- Riascos Gómez, Libardo Orlando
- Vila Suárez, Yannys Vainelys
ISSN 1989-5852
Título clave: Revista informática jurídica
Tít. abreviado: Rev. inform. jurid.
Introducción
En este vigésimo segundo número de la Revista, aparecen artículos de colaboradores por orden alfabético.
Un agradecimiento especial a los 9 colaboradores que han aportado sus artículos para hacer posible la publicación semestral de esta revista, que ya lleva 11 años.
Quisiera aprovechar esta ocasión para desearos tanto a los que participan con sus artículos como a nuestros lectores un feliz 2020.
Un cordial saludo para todos y gracias por vuestra colaboración.
José Cuervo Álvarez
Almaguel Guerra, Adrián
Profesor Asistente de la Universidad de Granma sede “Blás Roca Calderío”.
Software educativo para apoyar el aprendizaje de operaciones con matrices en los estudiantes de ingeniería (16.12.2019)
Álvarez Izaquirre, Luis Alejandro
Sistema de gestión de la información para el cálculo de la estimulación y la evaluación del desempeño de los trabajadores en el Empresa Eléctrica de Granma (10.08.2019) (Trabajo en colaboración con M.Sc. Yamira Medel Viltres, M.Sc. Fidel Enrique Castro Dieguez, e Ing. Yannys Vianelys Vila Suárez)
Castro Dieguez, Fidel Enrique
Sistema de gestión de la información para el cálculo de la estimulación y la evaluación del desempeño de los trabajadores en el Empresa Eléctrica de Granma (10.08.2019) (Trabajo en colaboración con M.Sc. Yamira Medel Viltres, Ing. Luis Alejandro Álvarez Izaquirre, e Ing. Yannys Vianelys Vila Suárez)
Sistema de gestión de la información comercial de la Empresa Eléctrica UEB Guisa (10.08.2019) (Trabajo en colaboración con Ing. Orestes Guerra González y M.Sc. Yamira Medel Viltres)
Guerra González, Orestes
Sistema de gestión de la información comercial de la Empresa Eléctrica UEB Guisa (10.08.2019) (Trabajo en colaboración con M.Sc. Fidel Enrique Castro Diequez y M.Sc. Yamira Medel Viltres)
Llamas Covarrubias, Jersain Zadamig
Derechos Humanos, Transhumanismo y Posthumanismo (21.12.2019)
Medel Viltres, Yamira
Sistema de gestión de la información para el cálculo de la estimulación y la evaluación del desempeño de los trabajadores en el Empresa Eléctrica de Granma (10.08.2019) (Trabajo en colaboración con Ing. Luis Alejandro Álvarez Izaquirre, M.Sc. Fidel Enrique Castro Dieguez, e Ing. Yannys Vianelys Vila Suárez)
Sistema de gestión de la información comercial de la Empresa Eléctrica UEB Guisa (10.08.2019) (Trabajo en colaboración con Ing. Orestes Guerra González y M.Sc. Fidel Enrique Castro Dieguez)
Reinaldo Filho, Demócrito
Desembargador do TJPE
A figura do juiz das garantias e as novas exigências para a decretação da prisão preventiva. Avanços ou retrocessos? (30.01.2019)
Riascos Gómez, Libardo Orlando
Doctor en Derecho Público. Universidad Navarra (1986) España. Universidd de Lleida (1999) España. Docente TC, Titular UDENAR
El derecho de petición por medios electrónicos para la protección y defensa de los Derechos Humanos (07.11.2019)
Vila Suárez, Yannys Vainelys
Sistema de gestión de la información para el cálculo de la estimulación y la evaluación del desempeño de los trabajadores en el Empresa Eléctrica de Granma (10.08.2019) (Trabajo en colaboración con M.Sc. Yamira Medel Viltres, M.Sc. Fidel Enrique Castro Dieguez, e Ing. Luis Alejandro Álvarez Izquirre)
11Dic/19
NOMOΣ ΥΠ’ ΑΡΙΘΜ. 4624
ΕΦΗΜΕΡΙ∆Α ΤΗΣ ΚΥΒΕΡΝΗΣΕΩΣ
ΗΣ ΕΛΛΗΝΙΚΗΣ ∆ΗΜΟΚΡΑΤΙΑ
29 Αυγούστου 2019
NOMOΣ ΥΠ’ ΑΡΙΘΜ. 4624
Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις.
Ο ΠΡΟΕΔΡΟΣ ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ
Εκδίδομε τον ακόλουθο νόμο που ψήφισε η Βουλή:
ΚΕΦΑΛΑΙΟ Α΄ ΓΕΝΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 1.- Σκοπός του νόμου
Σκοπός του παρόντος νόμου είναι:
α) η αντικατάσταση του νομοθετικού πλαισίου που ρυθμίζει τη συγκρότηση και λειτουργία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα,
β) η λήψη μέτρων εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της Οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων, εφεξής: ΓΚΠΔ),
γ) η ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης – πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου.
Άρθρο 2.- Ουσιαστικό πεδίο εφαρμογής
Οι διατάξεις του παρόντος εφαρμόζονται στην, εν όλω ή εν μέρει, αυτοματοποιημένη επεξεργασία δεδομένων Προσωπικού Χαρακτήρα, καθώς και στη μη αυτοματοποιημένη επεξεργασία τέτοιων δεδομένων, τα οποία περιλαμβάνονται ή πρόκειται να περιληφθούν σε σύστημα αρχειοθέτησης από:
α) δημόσιους φορείς ή
β) ιδιωτικούς φορείς, εκτός και εάν η επεξεργασία πραγματοποιείται από φυσικό πρόσωπο στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας.
Άρθρο 3.- Εδαφικό πεδίο εφαρμογής
Οι διατάξεις του παρόντος εφαρμόζονται στους δημόσιους φορείς. Στους ιδιωτικούς φορείς εφαρμόζονται, εφόσον:
α) ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία επεξεργάζεται δεδομένα προσωπικού χαρακτήρα εντός της Ελληνικής Επικράτειας,
β) τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο των δραστηριοτήτων μιας εγκατάστασης του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία εντός της Ελληνικής Επικράτειας, ή εφόσον
γ) μολονότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν έχει εγκατάσταση σε κράτος – μέλος της Ευρωπαϊκής Ένωσης ή σε άλλο συμβαλλόμενο κράτος του Ευρωπαϊκού Οικονομικού Χώρου, εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ.
Άρθρο 4.- Ορισμοί
Για τους σκοπούς του παρόντος νοούνται:
α) «δημόσιος φορέας»: οι δημόσιες αρχές, οι ανεξάρτητες και ρυθμιστικές διοικητικές αρχές, τα νομικά πρόσωπα δημοσίου δικαίου, οι οργανισμοί τοπικής αυτοδιοίκησης πρώτου και δεύτερου βαθμού και τα νομικά πρόσωπα και οι επιχειρήσεις αυτών, οι κρατικές ή δημόσιες επιχειρήσεις και οργανισμοί, τα νομικά πρόσωπα ιδιωτικού δικαίου που ανήκουν στο κράτος ή επιχορηγούνται κατά 50% τουλάχιστον του ετήσιου προϋπολογισμού τους ή η διοίκησή τους ορίζεται από αυτό,
β) «ιδιωτικός φορέας»: το φυσικό ή νομικό πρόσωπο ή η ένωση προσώπων χωρίς νομική προσωπικότητα, που δεν εμπίπτει στην έννοια του «δημόσιου φορέα»,
γ) «αρμόδια εποπτική αρχή»: η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (εφεξής: Αρχή).
Άρθρο 5.- Νομική βάση επεξεργασίας δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς
Οι δημόσιοι φορείς επιτρέπεται να επεξεργάζονται δεδομένα προσωπικού χαρακτήρα, όταν η επεξεργασία είναι απαραίτητη για την εκπλήρωση καθήκοντος που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί στον υπεύθυνο επεξεργασίας.
Άρθρο 6.- Ορισμός του υπεύθυνου προστασίας δεδομένων σε δημόσιους φορείς
1. Οι δημόσιοι φορείς ορίζουν υπεύθυνο προστασίας δεδομένων (εφεξής: ΥΠΔ).
2. Μπορεί να ορίζεται ένας μόνο ΥΠΔ για περισσότερους δημόσιους φορείς, λαμβάνοντας υπόψη την οργανωτική δομή και το μέγεθός τους.
3. Ο ΥΠΔ επιλέγεται βάσει επαγγελματικών προσόντων και, ιδίως βάσει των εξειδικευμένων γνώσεών του στο δίκαιο της προστασίας δεδομένων προσωπικού χαρακτήρα και των πρακτικών περί προστασίας δεδομένων προσωπικού χαρακτήρα, καθώς και βάσει των ικανοτήτων του να εκπληρώσει τα καθήκοντα του άρθρου 8.
4. Ο ΥΠΔ μπορεί να είναι υπάλληλος του δημόσιου φορέα με οποιαδήποτε σχέση εργασίας ή να εκπληρώνει τα καθήκοντά του βάσει σύμβασης παροχής υπηρεσιών.
5. Ο δημόσιος φορέας δημοσιοποιεί τα στοιχεία επικοινωνίας του ΥΠΔ και τα ανακοινώνει στην Αρχή, εκτός και εάν αυτό δεν επιτρέπεται για λόγους εθνικής ασφάλειας ή λόγω τήρησης του καθήκοντος εχεμύθειας (εμπιστευτικότητα), που προβλέπεται από τον νόμο.
Άρθρο 7.- Θέση του ΥΠΔ σε δημόσιους φορείς
1. Ο δημόσιος φορέας διασφαλίζει ότι ο ΥΠΔ μετέχει δεόντως και έγκαιρα σε όλα τα ζητήματα σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα.
2. Ο δημόσιος φορέας υποστηρίζει τον ΥΠΔ κατά την εκτέλεση των καθηκόντων που αναφέρονται στο άρθρο 8, παρέχοντάς του τους απαραίτητους πόρους για την εκτέλεση των καθηκόντων αυτών και την πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργασίας, και για τη διατήρηση των ειδικών γνώσεών του.
3. Ο δημόσιος φορέας διασφαλίζει ότι ο ΥΠΔ δεν λαμβάνει εντολές κατά την άσκηση των καθηκόντων του, αναφέρεται απευθείας στο ανώτατο ιεραρχικά προϊστάμενο όργανο του δημόσιου φορέα, δεν απολύεται ούτε υφίσταται κυρώσεις από τον υπεύθυνο επεξεργασίας επειδή επιτέλεσε τα καθήκοντά του.
4. Η καταγγελία της σύμβασης εργασίας του ΥΠΔ ή η ανάκληση της ανάθεσης των καθηκόντων του, στην περίπτωση που αυτός είναι και υπάλληλος του δημόσιου φορέα, επιτρέπεται μόνον για σπουδαίο λόγο. Μετά τη λήξη της σύμβασης εργασίας του ως ΥΠΔ, δεν μπορεί να απολυθεί για ένα (1) έτος, εκτός εάν ο δημόσιος φορέας έχει σπουδαίο λόγο να προβεί στην καταγγελία της σύμβασής του.
5. Τα υποκείμενα των δεδομένων μπορούν να συμβουλεύονται τον ΥΠΔ για κάθε θέμα σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την άσκηση των δικαιωμάτων τους βάσει του ΓΚΠΔ, του παρόντος και άλλης νομοθεσίας για την προστασία των δεδομένων προσωπικού χαρακτήρα. Ο ΥΠΔ είναι υποχρεωμένος να διατηρεί εμπιστευτικότητα ως προς την ταυτότητα των υποκειμένων των δεδομένων και σχετικά με τις περιστάσεις που επιτρέπουν την εξαγωγή συμπερασμάτων ως προς το υποκείμενο των δεδομένων, εκτός αν η ταυτότητα του υποκειμένου αποκαλύπτεται από αυτό.
6. Εάν ο ΥΠΔ λάβει γνώση δεδομένων Προσωπικού Χαρακτήρα κατά την άσκηση του έργου του, για τα οποία ο επικεφαλής του δημόσιου φορέα έχει το δικαίωμα να αρνηθεί να καταθέσει ως μάρτυρας για επαγγελματικούς λόγους, το δικαίωμα αυτό ισχύει και για τον ΥΠΔ και τους βοηθούς του.
Άρθρο 8.- Καθήκοντα του ΥΠΔ σε δημόσιους φορείς
1. Επιπλέον των καθηκόντων του σύμφωνα με τον ΓΚΠΔ, ο ΥΠΔ έχει τουλάχιστον τα ακόλουθα καθήκοντα:
α) να ενημερώνει και συμβουλεύει τον δημόσιο φορέα και τους εργαζομένους που διενεργούν την επεξεργασία σχετικά με τις υποχρεώσεις τους σύμφωνα με τις διατάξεις του παρόντος και κάθε άλλη νομοθεσία για την προστασία δεδομένων προσωπικού χαρακτήρα·
β) να παρακολουθεί την τήρηση των διατάξεων του παρόντος και κάθε άλλης νομοθεσίας για την προστασία δεδομένων προσωπικού χαρακτήρα, και των πολιτικών του δημόσιου φορέα σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων της λογοδοσίας, καθώς και των σχετικών ελέγχων·
γ) να παρέχει συμβουλές όσον αφορά την εκτίμηση αντικτύπου για την προστασία των δεδομένων προσωπικού χαρακτήρα και παρακολουθεί την εφαρμογή της σύμφωνα με το άρθρο 65·
δ) να συνεργάζεται με την Αρχή·
ε) να ενεργεί ως σημείο επαφής με την Αρχή σε θέματα που αφορούν την επεξεργασία, συμπεριλαμβανομένης της προηγούμενης διαβούλευσης που αναφέρεται στο άρθρο 67, και τη συμβουλεύεται, κατά περίπτωση, σχετικά με οποιοδήποτε άλλο θέμα.
2. Τα καθήκοντα του ΥΠΔ ο οποίος τυχόν ορίζεται από δικαστικές και εισαγγελικές αρχές δεν αφορούν τις πράξεις επεξεργασίας που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων.
3. Ο ΥΠΔ μπορεί να εκτελεί και άλλα καθήκοντα. Ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία διασφαλίζουν ότι η άσκηση των καθηκόντων αυτών δεν οδηγεί σε σύγκρουση συμφερόντων.
4. Ο ΥΠΔ κατά την εκτέλεση των καθηκόντων του λαμβάνει δεόντως υπόψη τον κίνδυνο που συνδέεται με την επεξεργασία, τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.
ΚΕΦΑΛΑΙΟ Β΄.- ΕΠΟΠΤΙΚΗ ΑΡΧΗ
Άρθρο 9.- Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα
Η εποπτεία της εφαρμογής των διατάξεων του ΓΚΠΔ, του παρόντος και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα στην Ελληνική Επικράτεια ασκείται από την Αρχή που έχει συσταθεί με τον ν. 2472/1997 (Α΄ 50). Η Αρχή αποτελεί ανεξάρτητη δημόσια αρχή κατά το άρθρο 9Α του Συντάγματος και εδρεύει στην Αθήνα.
Άρθρο 10.- Αρμοδιότητα
1. Η Αρχή συνεργάζεται με τις εποπτικές αρχές κρατών – μελών της Ευρωπαϊκής Ένωσης και με την Ευρωπαϊκή Επιτροπή.
2. H Αρχή εκπροσωπεί την Ελλάδα στο Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (the ΄Board΄, εφεξής: ΕΣΠΔ) και σε άλλες επιτροπές ή όργανα με αντικείμενο την προστασία δεδομένων προσωπικού χαρακτήρα στα οποία προβλέπεται η συμμετοχή εθνικής εποπτικής αρχής.
3. Η Αρχή συνεργάζεται με αντίστοιχες αρχές τρίτων χωρών και διεθνείς οργανισμούς για την εκπλήρωση των σκοπών του άρθρου 50 του ΓΚΠΔ.
4. Στις περιπτώσεις που σε διεθνείς ή διακρατικές συμβάσεις ή στο δίκαιο της Ευρωπαϊκής Ένωσης ή στην εθνική νομοθεσία προβλέπεται ανεξάρτητος έλεγχος ή εποπτεία, η Αρχή ασκεί τις αντίστοιχες αρμοδιότητες και εξουσίες.
5. Η Αρχή δεν είναι αρμόδια να ελέγχει πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που διενεργούνται από τις δικαστικές και εισαγγελικές αρχές στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών τους καθηκόντων, καθώς και πράξεις επεξεργασίας διαβαθμισμένων δεδομένων προσωπικού χαρακτήρα που διενεργούνται για τις δραστηριότητες που αφορούν την εθνική ασφάλεια.
Άρθρο 11.- Λειτουργική Ανεξαρτησία
1. Η Αρχή συγκροτείται από τον Πρόεδρο και έξι (6) μέλη, οι οποίοι ορίζονται με αντίστοιχους αναπληρωτές. Η θητεία τους είναι εξαετής και δεν μπορεί να ανανεωθεί.
2. Ως μέλη, τακτικά και αναπληρωματικά, επιλέγονται πρόσωπα εγνωσμένου κύρους, τα οποία διακρίνονται για την επιστημονική τους κατάρτιση και την επαγγελματική τους εμπειρία σε τομείς που έχουν σχέση με την αποστολή και τις αρμοδιότητες της Αρχής. Προϋπόθεση επιλογής σε θέση μέλους της Αρχής είναι η ελληνική ιθαγένεια.
3. Η επιλογή και ο διορισμός του Προέδρου, των μελών της Αρχής και των αναπληρωτών τους ενεργείται κατά τα οριζόμενα στο άρθρο 101Α του Συντάγματος.
4. Τα μέλη της Αρχής είναι ανώτατοι κρατικοί λειτουργοί. Aπολαύουν προσωπικής και λειτουργικής ανεξαρτησίας και δεν υπόκεινται σε ιεραρχικό έλεγχο ή διοικητικό έλεγχο. Ασκούν τα καθήκοντα και τις εξουσίες τους χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, και δεν ζητούν ούτε λαμβάνουν οδηγίες από κανέναν.
5. Ο Πρόεδρος και ο Αναπληρωτής Πρόεδρος έχουν αποκλειστική απασχόληση στην Αρχή. Η ιδιότητά τους αυτή συνεπάγεται την αναστολή οποιουδήποτε δημόσιου λειτουργήματος και επαγγελματικής δραστηριότητας.
6. Τα μέλη της Αρχής δεν υπέχουν αστική ευθύνη έναντι οποιουδήποτε τρίτου για πράξεις ή παραλείψεις τους κατά την άσκηση των καθηκόντων τους. Δεν απαλλάσσονται από την ευθύνη τους έναντι του Ελληνικού Δημοσίου για πράξεις ή παραλείψεις από δόλο ή βαρεία αμέλεια. Τα μέλη της Αρχής δεν διώκονται για την έκφραση γνώμης και για πράξη ή παράλειψη που τέλεσαν κατά την άσκηση των καθηκόντων τους, εκτός αν ενήργησαν με δόλο ή βαρεία αμέλεια. Η Αρχή μπορεί να αναλάβει τη δαπάνη για τη δικαστική υπεράσπιση των μελών της σε περίπτωση άσκησης εναντίον τους αγωγής ή άσκησης σε βάρος τους ποινικής δίωξης για πράξεις ή παραλείψεις που ανάγονται αποκλειστικά στην εκτέλεση των υπηρεσιακών καθηκόντων τους.
Άρθρο 12.- Κωλύματα – ασυμβίβαστα μελών της Αρχής
1. Δεν επιτρέπεται να διοριστεί Πρόεδρος, Αναπληρωτής Πρόεδρος ή μέλος της Αρχής: α) υπουργός, υφυπουργός, γενικός ή ειδικός γραμματέας υπουργείου ή αυτοτελούς γενικής ή ειδικής γραμματείας και βουλευτής, και β) όποιος είναι διευθυντικό στέλεχος ή μέλος οργάνου διοίκησης επιχείρησης, η οποία παρέχει υπηρεσίες σχετικές με την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή συνδέεται με σύμβαση έργου αντίστοιχου περιεχομένου.
2. Είναι ασυμβίβαστη με την ιδιότητα του μέλους της Αρχής οποιαδήποτε επαγγελματική ή άλλη δραστηριότητα, η οποία σχετίζεται με τις αρμοδιότητες της Αρχής, με εξαίρεση την επιστημονική και ερευνητική δραστηριότητα. Μέλη της Αρχής δεν επιτρέπεται να παρίστανται ενώπιον της Αρχής για δύο (2) έτη μετά τη λήξη της θητείας τους.
3. Στα μέλη της Αρχής επιτρέπεται η άσκηση καθηκόντων διδακτικού προσωπικού Α.Ε.Ι. με καθεστώς πλήρους ή μερικής απασχόλησης.
4. Εκπίπτει αυτοδικαίως από την ιδιότητα του Προέδρου, του Αναπληρωτή Προέδρου ή μέλους της Αρχής όποιος, μετά τον διορισμό του:
α) Αποκτά μία από τις ιδιότητες που συνιστούν κώλυμα διορισμού, σύμφωνα με την παράγραφο 1.
β) Προβαίνει σε πράξεις ή αναλαμβάνει οποιαδήποτε εργασία ή έργο ή αποκτά άλλη ιδιότητα που, κατά την κρίση της Αρχής, δεν συμβιβάζονται με τα καθήκοντά του ως μέλους της Αρχής.
5. Στη διαπίστωση των ασυμβίβαστων της προηγούμενης παραγράφου προβαίνει η Αρχή, χωρίς συμμετοχή του μέλους της, στο πρόσωπο του οποίου ενδέχεται να συντρέχει το ασυμβίβαστο. Η Αρχή αποφασίζει ύστερα από ακρόαση του εν λόγω μέλους. Τη διαδικασία κινεί είτε ο Πρόεδρος της Αρχής, είτε ο Πρόεδρος της Βουλής.
Άρθρο 13.- Καθήκοντα της Αρχής
1. Επιπλέον των καθηκόντων της δυνάμει του άρθρου 57 του ΓΚΠΔ, η Αρχή:
α) είναι αρμόδια για την παρακολούθηση και την εφαρμογή του παρόντος και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα,
β) προωθεί με πρόσφορο τρόπο την ευαισθητοποίηση του κοινού και την κατανόηση των κινδύνων, των εγγυήσεων και των δικαιωμάτων που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα,
γ) παρέχει γνώμη για κάθε ρύθμιση που πρόκειται να περιληφθεί σε νόμο ή σε κανονιστική πράξη, η οποία αφορά επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Η διαβούλευση πραγματοποιείται κατά το στάδιο εκπόνησης της ρύθμισης σε χρόνο και με τρόπο που καθιστά εφικτή την έγκαιρη διατύπωση γνώμης από την Αρχή και τη σχετική διαβούλευση επί του περιεχομένου του σχεδίου ρύθμισης,
δ) εκδίδει Οδηγίες και απευθύνει συστάσεις για κάθε θέμα που αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, με την επιφύλαξη των καθηκόντων του ΕΣΠΔ σύμφωνα με το άρθρο 70 του ΓΚΠΔ,
ε) κατόπιν υποβολής ειδικού αιτήματος, ενημερώνει το υποκείμενο των δεδομένων Προσωπικού Χαρακτήρα για την άσκηση των δικαιωμάτων του, σύμφωνα με τον παρόντα νόμο και άλλων ρυθμίσεων για την προστασία του ατόμου έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Για τον σκοπό αυτό συνεργάζεται με εποπτικές αρχές άλλων κρατών – μελών της Ευρωπαϊκής Ένωσης,
στ) εκδίδει πρότυπα έγγραφα και έντυπα υποβολής καταγγελίας,
ζ) εξετάζει τις καταγγελίες που υποβάλλονται από το υποκείμενο των δεδομένων ή από φορέα ή οργάνωση ή ένωση και ενημερώνει τον καταγγέλλοντα για την πρόοδο και την έκβαση της έρευνας ή ελέγχου εντός εύλογου χρονικού διαστήματος,
η) διενεργεί αυτεπαγγέλτως ή κατόπιν καταγγελίας έρευνες ή ελέγχους για την εφαρμογή του παρόντος νόμου και άλλων ρυθμίσεων που αφορούν την προστασία του ατόμου έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, μεταξύ άλλων και βάσει πληροφοριών από άλλη δημόσια αρχή,
θ) παρακολουθεί τις σχετικές εξελίξεις στο βαθμό που έχουν επιπτώσεις στην προστασία των δεδομένων Προσωπικού Χαρακτήρα, ιδίως για τις εξελίξεις των τεχνολογιών των πληροφοριών, των επικοινωνιών και των εμπορικών πρακτικών,
ι) συμβάλλει στις δραστηριότητες του ΕΣΠΔ.
2. Κατά την άσκηση των αρμοδιοτήτων της η Αρχή θέτει στο αρχείο αιτήσεις, ερωτήματα ή καταγγελίες που κρίνονται προδήλως αόριστα, αβάσιμα ή υποβάλλονται καταχρηστικώς ή ανωνύμως. Η Αρχή ενημερώνει τα υποκείμενα των δεδομένων και τους αιτούντες για τις ενέργειές της. Με την επιφύλαξη των προθεσμιών που ορίζονται στον ΓΚΠΔ, η προτεραιότητα εξέτασης των αιτήσεων, ερωτημάτων και καταγγελιών εκτιμάται από την Αρχή με κριτήριο τη σπουδαιότητα και το γενικότερο ενδιαφέρον του θέματος.
Άρθρο 14.- Έκθεση δραστηριότητας
Η Αρχή συντάσσει κάθε χρόνο έκθεση για την εκτέλεση της αποστολής της κατά το προηγούμενο ημερολογιακό έτος. Η έκθεση υποβάλλεται από τον Πρόεδρο της Αρχής στον Πρόεδρο της Βουλής και τον Πρωθυπουργό και δημοσιεύεται στην Εφημερίδα της Κυβερνήσεως με ευθύνη της Αρχής, η οποία μπορεί να δώσει και άλλου είδους δημοσιότητα στην έκθεση.
Άρθρο 15.- Ερευνητικές και διορθωτικές εξουσίες
1. Εκτός των προβλεπομένων στο άρθρο 58 του ΓΚΠΔ εξουσιών, η Αρχή διενεργεί αυτεπαγγέλτως ή κατόπιν καταγγελίας έρευνες και ελέγχους ως προς τη συμμόρφωση με τον παρόντα νόμο στο πλαίσιο των οποίων ελέγχονται η τεχνολογική υποδομή και άλλα, αυτοματοποιημένα ή μη μέσα, που υποστηρίζουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Κατά τη διενέργεια των ερευνών και ελέγχων η Αρχή έχει την εξουσία να αποκτά από τον υπεύθυνο επεξεργασίας και τον εκτελούντα την επεξεργασία, πρόσβαση σε όλα τα δεδομένα προσωπικού χαρακτήρα που αποτελούν αντικείμενο επεξεργασίας και όλες τις πληροφορίες που απαιτούνται για τους σκοπούς του σχετικού ελέγχου και την εκτέλεση των καθηκόντων της, χωρίς να μπορεί να της αντιταχθεί κανενός είδους απόρρητο. Κατ’ εξαίρεση, η Αρχή δεν έχει πρόσβαση στα στοιχεία ταυτότητας συνεργατών ή υπαλλήλων οντοτήτων που περιέχονται σε αρχεία που τηρούνται για λόγους εθνικής ασφάλειας ή για τη διακρίβωση ιδιαίτερα σοβαρών εγκλημάτων.
2. Οι έλεγχοι διενεργούνται από μέλος ή μέλη της Αρχής ή υπαλλήλους του τμήματος ειδικού επιστημονικού προσωπικού της Γραμματείας, ειδικά εντεταλμένους προς τούτο από τον Πρόεδρο της Αρχής. Ο Πρόεδρος και τα μέλη της Αρχής, καθώς και οι ειδικά εντεταλμένοι υπάλληλοι της Γραμματείας, είναι ειδικοί ανακριτικοί υπάλληλοι και έχουν όλα τα δικαιώματα που προβλέπει σχετικά ο Κώδικας Ποινικής Δικονομίας. Μπορούν να διενεργούν προανάκριση και χωρίς εισαγγελική παραγγελία, όταν πρόκειται για αυτόφωρο κακούργημα ή πλημμέλημα ή υπάρχει κίνδυνος από την αναβολή. Οι δημόσιες αρχές παρέχουν τη συνδρομή τους στην Αρχή για τη διενέργεια του ελέγχου.
3. Ο Πρόεδρος της Αρχής δύναται να απονέμει εξουσία διενέργειας ελέγχων σε μέλη και υπαλλήλους εποπτικής αρχής άλλου κράτους – μέλους της Ευρωπαϊκής Ένωσης («εποπτική αρχή απόσπασης») στο πλαίσιο κοινών επιχειρήσεων που διενεργούνται δυνάμει του άρθρου 62 του ΓΚΠΔ και του άρθρου 79 του παρόντος.
4. Η Αρχή για τις ανάγκες του παρόντος:
α) απευθύνει προειδοποιήσεις στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ότι οι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβιάζουν τις διατάξεις του παρόντος·
β) δίνει εντολή στον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία να συμμορφωθεί με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας με τις διατάξεις του παρόντος, ιδίως μέσω εντολής διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα·
γ) δίνει εντολή και επιβάλλει προσωρινό ή οριστικό περιορισμό ή και απαγόρευση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·
δ) δίνει εντολή και επιβάλλει την παράδοση σε αυτήν εγγράφων, συστημάτων αρχειοθέτησης, εξοπλισμού ή μέσου επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και του περιεχομένου αυτών στην περίπτωση του εδαφίου γ’ τις παρούσας παραγράφου·
ε) προβαίνει στην κατάσχεση εγγράφων, πληροφοριών, συστημάτων αρχειοθέτησης κάθε εξοπλισμού και μέσου παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και του περιεχομένου αυτών που υποπίπτει στην αντίληψή της κατά την άσκηση των εξουσιών ελέγχου και ορίζεται μεσεγγυούχος αυτών μέχρι να αποφανθούν οι αρμόδιες δικαστικές και εισαγγελικές αρχές.
5. Εκτός των προβλεπομένων στο άρθρο 58 παράγραφος 2 του ΓΚΠΔ διορθωτικών εξουσιών, η Αρχή δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία ή σε αποδέκτη ή σε τρίτον να διακόψει την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή να προβεί σε επιστροφή ή κλείδωμα (δέσμευση) των σχετικών δεδομένων ή να προβεί στην καταστροφή συστήματος αρχειοθέτησης ή σχετικών δεδομένων.
6. Η Αρχή επιβάλλει τις διοικητικές κυρώσεις που προβλέπονται στο άρθρο 83 του ΓΚΠΔ και στο άρθρο 39 του παρόντος.
7. Η Αρχή επιβάλλει τις διοικητικές κυρώσεις το άρθρου 82.
8. Όταν η προστασία του ατόμου έναντι της επεξεργασίας δεδομένων προσωπικοί χαρακτήρα που το αφορούν επιβάλλει την άμεση λήψη απόφασης, ο Πρόεδρος μπορεί, ύστερα από αίτηση του ενδιαφερομένου ή και αυτεπαγγέλτως, να εκδώσει προσωρινή διαταγή για άμεσο ολικό ή μερικό, προσωρινό περιορισμό της επεξεργασίας ή της λειτουργίας του αρχείου. Η διαταγή ισχύει μέχρι την έκδοση της οριστικής απόφασής της Αρχής.
9. Για την εξασφάλιση της συμμόρφωσης με τις διατάξεις του ΓΚΠΔ, του παρόντος και άλλων ρυθμίσεων που αφορούν την προστασία του υποκειμένου έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, η Αρχή, με την επιφύλαξη του Κεφαλαίου VII του ΓΚΠΔ, εκδίδει κανονιστικές διοικητικές πράξεις για τη ρύθμιση ειδικών, τεχνικών και λεπτομερειακών θεμάτων, στα οποία αυτές αναφέρονται.
10. Οι κανονιστικές πράξεις της Αρχής, για τις οποίες δεν προβλέπεται δημοσίευσή τους στην Εφημερίδα της Κυβερνήσεως, δημοσιεύονται στην ιστοσελίδα της Αρχής.
Άρθρο 16.- Υποχρεώσεις και δικαιώματα μελών της Αρχής
1. Κατά την άσκηση των καθηκόντων τους ο Πρόεδρος και τα μέλη της Αρχής υπακούουν στη συνείδησή τους και τον νόμο και υπόκεινται στο καθήκον εχεμύθειας. Ως μάρτυρες ή πραγματογνώμονες μπορούν να καταθέτουν στοιχεία που αφορούν αποκλειστικά και μόνο την τήρηση των διατάξεων του ΓΚΠΔ και του παρόντος. Το καθήκον εχεμύθειας υφίσταται και μετά την με οποιονδήποτε τρόπο αποχώρηση του Προέδρου και των μελών της Αρχής.
2. Για χρονικό διάστημα δύο (2) ετών από τη λήξη της θητείας τους, εφόσον συμμετείχαν με οποιονδήποτε τρόπο στον σχετικό έλεγχο ο Πρόεδρος και τα μέλη της Αρχής δεν επιτρέπεται να είναι εταίροι, μέτοχοι, μέλη διοικητικού συμβουλίου, τεχνικοί ή άλλοι σύμβουλοι ή να απασχολούνται με ή χωρίς αμοιβή με έμμισθη εντολή ή με οποιαδήποτε έννομη σχέση, σε εταιρεία ή επιχείρηση, των οποίων οι δραστηριότητες υπήχθησαν, άμεσα ή έμμεσα, στον έλεγχο της Αρχής κατά τη διάρκεια της θητείας τους. Η ίδια απαγόρευση ισχύει και για την περίπτωση όσων υποβάλλουν καταγγελίες.
3. Ως προς την πειθαρχική ευθύνη του Προέδρου και των μελών της Αρχής εφαρμόζεται η παράγραφος 3 του άρθρου 18 του ν. 2472/1997.
4. Πρόεδρος ή μέλος της Αρχής που, κατά παράβαση του παρόντος νόμου, γνωστοποιεί με οποιονδήποτε τρόπο δεδομένα προσωπικού χαρακτήρα που είναι προσιτά σε αυτούς λόγω της υπηρεσίας τους ή αφήνει άλλον να λάβει γνώση αυτών, τιμωρείται με φυλάκιση μέχρι δύο (2) ετών και με χρηματική ποινή. Αν όμως τέλεσε την πράξη με σκοπό να προσπορίσει στον εαυτό του ή σε άλλον αθέμιτο όφελος ή να βλάψει άλλον, τιμωρείται με φυλάκιση τουλάχιστον (2) ετών και με χρηματική ποινή.
Άρθρο 17.- Λειτουργία της Αρχής
1. Η Αρχή δύναται να λειτουργεί και ως μονοπρόσωπο όργανο (Πρόεδρος) ή και να συνεδριάζει σε τμήματα, συντιθέμενα από τρία (3) τουλάχιστον τακτικά ή αναπληρωματικά μέλη και προεδρευόμενα από τον Πρόεδρο της Αρχής ή τον αναπληρωτή του. Στις συνεδριάσεις και στις διασκέψεις της Ολομέλειας και των Τμημάτων επιτρέπεται να παρίστανται για τις υποθέσεις, στις οποίες έχουν οριστεί βοηθοί εισηγητές, υπάλληλοι του Κλάδου Ελεγκτών.
2. Η Αρχή καταρτίζει κανονισμό λειτουργίας με τον οποίο ρυθμίζεται ιδίως η λειτουργία της σε ολομέλεια και τμήματα, η κατανομή των αρμοδιοτήτων μεταξύ ολομέλειας και τμημάτων, οι αρμοδιότητες του μονοπρόσωπου οργάνου, και η διαδικασία ανάθεσης από τον Πρόεδρο στον Αναπληρωτή Πρόεδρο και σε μέλη, τακτικά και αναπληρωματικά, των αρμοδιοτήτων αυτών, η διαδικασία σύγκλησης, συνεδρίασης και λήψης απόφασης, η προηγούμενη ακρόαση των ενδιαφερομένων, η διαδικασία επεξεργασίας και διεκπεραίωσης των υποθέσεων, ο τρόπος διεξαγωγής των ελέγχων και θέματα πειθαρχικής διαδικασίας. Ο κανονισμός λειτουργίας δημοσιεύεται στην Εφημερίδα της Κυβερνήσεως. Μέχρι την έκδοση νέου κανονισμού της Αρχής διατηρείται σε ισχύ ο υφιστάμενος κανονισμός λειτουργίας της (209/6.3.2000 (Β΄ 336) απόφαση του Προέδρου της Αρχής, όπως τροποποιήθηκε και ισχύει).
3. Με απόφαση της Ολομέλειας της Αρχής εγκρίνεται κώδικας δεοντολογίας των μελών και του προσωπικού της.
4. Η Αρχή δύναται να συνάπτει μνημόνια συνεργασίας με ανώτατα εκπαιδευτικά ιδρύματα, άλλους δημόσιους φορείς και Ο.Τ.Α. με σκοπό την αμοιβαία ανταλλαγή πληροφοριών και την αμοιβαία συνδρομή για θέματα αρμοδιότητάς της. Η αμοιβαία συνδρομή περιλαμβάνει ιδίως την ενημέρωση και την πραγματοποίηση ερευνών και μελετών, τη συνδρομή σε έρευνες και ελέγχους, και τη διενέργεια αυτοψιών με βάση ερωτήματα που καταρτίζει η Αρχή.
5. Είναι δυνατή η πραγματοποίηση στην Αρχή αμειβόμενης πρακτικής άσκησης φοιτητών και αποφοίτων ανώτατων σχολών, των οποίων το περιεχόμενο σπουδών είναι σχετικό με τις αρμοδιότητες της Αρχής. Με απόφαση της Αρχής καθορίζονται οι όροι και οι προϋποθέσεις επιλογής των ασκουμένων, πραγματοποίησης της άσκησης και ορίζονται οι όροι και το ύψος της αμοιβής, η οποία βαρύνει τον προϋπολογισμό της Αρχής.
Άρθρο 18.- Γραμματεία της Αρχής
1. Το προσωπικό της Αρχής διορίζεται με σχέση δημοσίου ή ιδιωτικού δικαίου αορίστου χρόνου σε θέσεις που προβλέπονται στον Οργανισμό της και επιλέγεται σύμφωνα με τα οριζόμενα στο άρθρο 4 παράγραφος 1 του ν. 3051/2002 (Α΄ 220).
2. Υπάλληλοι του Κλάδου Ελεγκτών δεν επιτρέπεται να παρίστανται ενώπιον της Αρχής επί δύο (2) έτη μετά τη λύση της υπηρεσιακής τους σχέσης με την Αρχή.
3. Με προεδρικό διάταγμα που εκδίδεται με πρόταση του Υπουργού Δικαιοσύνης και του Υπουργού Εσωτερικών, ύστερα από γνώμη της Αρχής, εγκρίνεται ο Οργανισμός της, με τον οποίο καθορίζονται το επίπεδο λειτουργίας της Γραμματείας, η διάρθρωση των οργανικών μονάδων σε Διευθύνσεις, Τμήματα και Γραφεία, τα προσόντα του προσωπικού, ο αριθμός των θέσεων του προσωπικού, η κατανομή αυτών σε Κλάδους και Ειδικότητες, η σύσταση νέων θέσεων και κάθε άλλο σχετικό ζήτημα. Με τον Οργανισμό επίσης καθορίζονται οι προϋποθέσεις, τα όργανα και η διαδικασία επιλογής του Προϊσταμένου Γραμματείας και των προϊσταμένων των οργανικών μονάδων της Αρχής. Με τον Οργανισμό επιτρέπεται να προβλέπονται αποκλίσεις από τις ισχύουσες διατάξεις προκειμένου οι σχετικές ρυθμίσεις να είναι σύμφωνες με τον ΓΚΠΔ. Για κάθε τροποποίηση του ως άνω προεδρικού διατάγματος απαιτείται προηγούμενη γνώμη της Αρχής. Μέχρι την έκδοση του προεδρικού διατάγματος του προηγούμενου εδαφίου, ισχύει το π.δ. 207/1998 «Οργάνωση της Γραμματείας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και σύσταση οργανικών θέσεων» (Α’ 164).
4. Με την επιφύλαξη των ειδικών ρυθμίσεων του παρόντος, του Οργανισμού της Αρχής και του Κανονισμού Λειτουργίας της, η υπηρεσιακή κατάσταση του προσωπικού της Αρχής, διέπεται από τα οριζόμενα στις παραγράφους 2 έως και 7 του άρθρου 4 του ν. 3051/2002, όπως ισχύει, ανεξαρτήτως κατηγορίας, κλάδου και επιστημονικής ειδίκευσης.
5. Στο προσωπικό της Αρχής εφαρμόζεται αναλόγως η παράγραφος 6 του άρθρου 11.
6. Για την κάλυψη έκτακτων υπηρεσιακών αναγκών της Γραμματείας της Αρχής, επιτρέπεται η διενέργεια αποσπάσεων μόνιμων ή με σύμβαση εργασίας ιδιωτικού δικαίου αορίστου χρόνου υπαλλήλων από φορείς της Κεντρικής Διοίκησης, όπως ορίζεται στην περίπτωση στ΄ της παραγράφου 1 του άρθρου 14 του ν. 4270/2014 (Α΄ 143), κατά παρέκκλιση των κείμενων διατάξεων. Η διάρκεια των αποσπάσεων ανέρχεται σε ένα (1) έτος με δυνατότητα ισόχρονης ανανέωσης για μία (1) φορά. Η απόσπαση διενεργείται με κοινή απόφαση του κατά περίπτωση αρμόδιου Υπουργού και του Προέδρου της Αρχής, χωρίς να απαιτείται γνώμη των οικείων Υπηρεσιακών Συμβουλίων. Ειδικά για τις αποσπάσεις υπαλλήλων Ο.Τ.Α. α΄ και β΄ βαθμού απαιτείται η προηγούμενη σύμφωνη γνώμη των αρμοδίων, για τον διορισμό οργάνων των φορέων αυτών.
7. Είναι δυνατή η απόσπαση προσωπικού της Γραμματείας για διάστημα έως έξι (6) μηνών, με απόφαση της Αρχής, σε εποπτικές αρχές κρατών – μελών ή της ΜΕΑ ή αρχών τρίτων χωρών ή διεθνών οργανισμών με εφαρμογή των διατάξεων που ισχύουν για τις αποσπάσεις σε όργανα της Ε.Ε.. Επίσης, είναι δυνατή η υποδοχή από την Αρχή προσωπικού ομόλογων αρχών ως αποσπασμένων για διάστημα έως έξι (6) μηνών.
8. Οι οργανικές θέσεις πανεπιστημιακής εκπαίδευσης (ΠΕ) του κλάδου επικοινωνίας της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα μετατρέπονται σε αντίστοιχες θέσεις ειδικού επιστημονικού προσωπικού με σχέση ιδιωτικού δικαίου αορίστου χρόνου. Οι ήδη υπηρετούντες, οι οποίοι κατέχουν τα απαιτούμενα κατά το π.δ. 50/2001 (Α΄39) «Καθορισμός των προσόντων διορισμού σε θέσεις φορέων του δημοσίου τομέα» και την εν γένει νομοθεσία τυπικά προσόντα για την πλήρωση θέσης ειδικού επιστημονικού προσωπικού με σχέση εργασίας ιδιωτικού δικαίου, δηλώνουν εντός μηνός από την έναρξη ισχύος του παρόντος νόμου εάν αποδέχονται να υπηρετήσουν στη θέση αυτή. Οι αποδεχόμενοι να υπηρετήσουν με σχέση ιδιωτικού δικαίου, οι οποίοι καταλαμβάνουν μία από τις μετατρεπόμενες θέσεις, διατηρούν το ασφαλιστικό καθεστώς στο οποίο υπάγονται και προσμετρούν για τη βαθμολογική και μισθολογική κατάταξη και τον χρόνο προηγούμενης σχετικής απασχόλησης σύμφωνα με τις διατάξεις της παραγράφου 4 του άρθρου 11 του ν. 4354/2015 (Α΄ 176). Σε περίπτωση αρνητικής δήλωσης ή παράλειψης υποβολής δήλωσης, ο υπάλληλος εξακολουθεί να υπηρετεί ως μόνιμος υπάλληλος σε προσωποπαγή θέση κατηγορίας ΠΕ Επικοινωνίας. Κατά το χρονικό διάστημα, κατά το οποίο οι υπάλληλοι υπηρετούν σε προσωποπαγείς θέσεις σύμφωνα με το προηγούμενο εδάφιο, δεν καλύπτονται αντίστοιχες θέσεις ειδικού επιστημονικού προσωπικού με σχέση ιδιωτικού δικαίου αορίστου χρόνου.
Άρθρο 19.- Προϋπολογισμός και Οικονομική Διαχείριση
1. Η Αρχή καταρτίζει δικό της προϋπολογισμό που συντάσσεται με ευθύνη του Προέδρου της. Κατά την εκτέλεση του προϋπολογισμού της διαθέτει πλήρη αυτοτέλεια και δεν απαιτείται σύμπραξη άλλου οργάνου. Διατάκτης είναι ο Πρόεδρος της Αρχής.
2. Ο προϋπολογισμός καταρτίζεται σε ετήσια βάση και υποβάλλεται απευθείας στο Γενικό Λογιστήριο του Κράτους, σύμφωνα με τη διαδικασία που προβλέπεται στο Δημόσιο Λογιστικό.
3. Η εκτέλεση του προϋπολογισμού της Αρχής ανήκει αποκλειστικά σε αυτήν, στο πλαίσιο της πλήρους αυτοτέλειάς της. Επιτρέπεται η μεταφορά πιστώσεων από έναν λογαριασμό σε άλλον και μεταξύ διαφορετικών μειζόνων κατηγοριών, σύμφωνα με τις ανάγκες της Αρχής, με απόφαση του Υπουργού Οικονομικών εφόσον δεν τροποποιείται το συνολικό ύψος του προϋπολογισμού που έχει αρχικώς εγκριθεί από τη Βουλή. Οι δαπάνες της Αρχής διενεργούνται σύμφωνα με τις εκάστοτε ισχύουσες διατάξεις της ανάληψης υποχρεώσεων από τους διατάκτες, καθώς και του δημοσίου λογιστικού. Η μεταφορά πιστώσεων γίνεται με απόφαση της Αρχής και κοινοποιείται στο Γενικό Λογιστήριο του Κράτους.
4. Ο προϋπολογισμός της Αρχής μπορεί να τροποποιείται με απόφαση του Υπουργού Οικονομικών, κατόπιν εισήγησης της Αρχής, που υποβάλλεται στο Γενικό Λογιστήριο του Κράτους.
5. Η Αρχή μπορεί να μετέχει σε εθνικά, ευρωπαϊκά ή συγχρηματοδοτούμενα ερευνητικά ή άλλα προγράμματα. Για τον σκοπό αυτόν η Αρχή, με απόφαση του Προέδρου της, μπορεί να ανοίγει απλό τραπεζικό λογαριασμό υπό την ομάδα λογαριασμών 260 – Ταμειακή Διαχείριση στην Τράπεζα της Ελλάδος, στον οποίο θα μεταφέρονται οι πιστώσεις από τα προγράμματα αυτά και από άλλους πόρους από την άσκηση των αρμοδιοτήτων της που προβλέπονται από τον ΓΚΠΔ ή τον νόμο. Η διαχείριση και ο έλεγχος του ανωτέρω ειδικού λογαριασμού ρυθμίζονται από τον ειδικό κανονισμό του άρθρου 2 παράγραφος 3 του ν. 3051/2002. Η Αρχή έχει πλήρη αυτοτέλεια στη διαχείριση του λογαριασμού αυτού. Τα έσοδα της Αρχής αποτελούν έσοδα του Κρατικού Προϋπολογισμού.
6. Για τη συμμετοχή των μελών και του προσωπικού της Αρχής σε συλλογικά όργανα που συγκροτούνται στο πλαίσιο πραγματοποίησης έργων χρηματοδοτούμενων από Ευρωπαϊκά Διαρθρωτικά και Επενδυτικά Ταμεία ή από το Πρόγραμμα Δημοσίων Επενδύσεων, εφαρμόζονται αναλόγως οι διατάξεις των παραγράφων 2, 3 και 5 του άρθρου 21 του ν. 4354/2015 (Α΄ 176), υπό την προϋπόθεση ότι οι σχετικές δαπάνες βαρύνουν τις ως άνω πηγές χρηματοδότησης και δεν προκαλούν επιβάρυνση στον Κρατικό Προϋπολογισμό.
7. Η άσκηση του οικονομικού ελέγχου της Αρχής διεξάγεται με τρόπο που να μην παρεμποδίζει τη λειτουργία της και να μην επηρεάζει την ανεξαρτησία της.
Άρθρο 20.- Δικαστική προστασία κατά της Αρχής
1. Οι κανονιστικές αποφάσεις και οι ατομικές διοικητικές πράξεις της Αρχής, συμπεριλαμβανομένων των αποφάσεων με τις οποίες επιβάλλονται κυρώσεις, προσβάλλονται με αίτηση ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας.
2. Η προθεσμία για την άσκηση της αίτησης ακυρώσεως δεν αναστέλλει την εκτέλεση της προσβαλλόμενης πράξης. Το δικαστήριο μπορεί, μετά από αίτηση του αιτούντος, να αναστείλει εν όλω ή εν μέρει την εκτέλεση της πράξης, κατά τις ισχύουσες διατάξεις.
3. Αίτηση ακυρώσεως κατά των αποφάσεων και πράξεων της Αρχής μπορεί να ασκεί και ο αρμόδιος Υπουργός.
4. Η Αρχή εκπροσωπείται δικαστικώς και εξωδίκως από τον Πρόεδρό της. Η Αρχή παρίσταται αυτοτελώς σε κάθε είδους δίκες με μέλη της που έχουν την ιδιότητα του δικηγόρου ή με τη νομική της υπηρεσία, εφόσον συσταθεί. Η νομική υπηρεσία της Αρχής στελεχώνεται με δικηγόρους με σχέση έμμισθης εντολής, οι οποίοι προσλαμβάνονται σύμφωνα με τις διατάξεις του Κώδικα Δικηγόρων. Η Αρχή μπορεί να εκπροσωπείται κατά περίπτωση και από δικηγόρους, εξειδικευμένους στο αντικείμενό τους, με αιτιολογημένη απόφαση με την οποία παρέχεται η σχετική πληρεξουσιότητα.
ΚΕΦΑΛΑΙΟ Γ΄.- ΣΥΜΠΛΗΡΩΜΑΤΙΚΑ ΜΕΤΡΑ ΕΦΑΡΜΟΓΗΣ ΤΟΥ ΓΚΠΔ ΓΙΑ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ
Άρθρο 21.- Συγκατάθεση ανηλίκου
1. Όταν εφαρμόζεται το άρθρο 6 παράγραφος 1 στοιχείο α) του ΓΚΠΔ, η επεξεργασία δεδομένων προσωπικού χαρακτήρα ανηλίκου, κατά την προσφορά υπηρεσιών της κοινωνίας των πληροφοριών απευθείας σε αυτόν, είναι σύννομη, εφόσον ο ανήλικος έχει συμπληρώσει το 15ο έτος της ηλικίας του και παρέχει τη συγκατάθεσή του.
2. Εάν ο ανήλικος είναι κάτω των 15 ετών η επεξεργασία της παραγράφου 1 είναι σύννομη μόνο μετά την παροχή συγκατάθεσης του νομίμου αντιπροσώπου του.
Άρθρο 22.- Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα
1. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ από δημόσιους και ιδιωτικούς φορείς επιτρέπεται, εφόσον είναι απαραίτητη:
α) για την άσκηση δικαιωμάτων που απορρέουν από το δικαίωμα κοινωνικής ασφάλισης και κοινωνικής προστασίας και για την εκπλήρωση των συναφών υποχρεώσεων·
β) για λόγους προληπτικής ιατρικής, για την εκτίμηση της ικανότητας προς εργασία του εργαζομένου, για ιατρική διάγνωση, για την παροχή υγείας ή κοινωνικής περίθαλψης ή για τη διαχείριση των συστημάτων και υπηρεσιών υγείας ή κοινωνικής περίθαλψης ή δυνάμει σύμβασης με επαγγελματία του τομέα υγείας ή άλλου προσώπου που δεσμεύεται από το επαγγελματικό απόρρητο ή είναι υπό την εποπτεία του·ή
γ) για λόγους δημοσίου συμφέροντος στον τομέα της δημόσιας υγείας, όπως σοβαρών διασυνοριακών απειλών κατά της υγείας ή για την εξασφάλιση υψηλών προδιαγραφών ποιότητας και ασφάλειας της υγειονομικής περίθαλψης και των φαρμάκων ή των ιατροτεχνολογικών προϊόντων, επιπλέον των μέτρων που αναφέρονται στο δεύτερο εδάφιο της παραγράφου 3, πρέπει να τηρούνται ιδίως οι διατάξεις που εξασφαλίζουν το επαγγελματικό απόρρητο που προβλέπει νόμος ή κώδικας δεοντολογίας.
2. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ από δημόσιους φορείς επιτρέπεται, εφόσον είναι:
α) απολύτως απαραίτητη για λόγους ουσιώδους δημοσίου συμφέροντος·
β) απαραίτητη για την αποτροπή σημαντικής απειλής για την εθνική ασφάλεια ή τη δημόσια ασφάλεια· ή γ) είναι απαραίτητη για τη λήψη ανθρωπιστικών μέτρων, και στις περιπτώσεις αυτές το συμφέρον για την επεξεργασία είναι υπέρτερο του συμφέροντος του υποκειμένου των δεδομένων.
3. Στις περιπτώσεις των προηγούμενων παραγράφων, λαμβάνονται όλα τα κατάλληλα και ειδικά μέτρα για τη διαφύλαξη των συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα. Λαμβάνοντας υπόψη την κατάσταση της τεχνολογίας, το κόστος εφαρμογής και τη φύση, την έκταση, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους που θέτει, ανάλογα με τη σοβαρότητά τους στα δικαιώματα και στις ελευθερίες των φυσικών προσώπων η επεξεργασία αυτή, στα μέτρα αυτά μπορούν να περιλαμβάνονται ιδίως:
α) τεχνικά και οργανωτικά μέτρα που διασφαλίζουν ότι η επεξεργασία είναι σύμφωνη με τον ΓΚΠΔ·
β) μέτρα για να διασφαλιστεί ότι είναι δυνατή η εκ των υστέρων επαλήθευση και ο προσδιορισμός του εάν και από ποιον έχουν εισαχθεί, τροποποιηθεί ή αφαιρεθεί τα προσωπικά δεδομένα·
γ) μέτρα για την ενδυνάμωση της ευαισθητοποίησης του προσωπικού που ασχολείται με την επεξεργασία·
δ) περιορισμοί πρόσβασης από τους υπεύθυνους επεξεργασίας και εκτελούντες την επεξεργασία·
ε) η ψευδωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα·
στ) η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα·
ζ) μέτρα για τη διασφάλιση της ικανότητας, της εμπιστευτικότητας, της ακεραιότητας, της διαθεσιμότητας και της ανθεκτικότητας των συστημάτων και υπηρεσιών επεξεργασίας που σχετίζονται με την επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της δυνατότητας ταχείας αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε περίπτωση φυσικού ή τεχνικού συμβάντος·
η) διαδικασίες για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας·
θ) ειδικοί κανόνες διασφάλισης της συμμόρφωσης με τον παρόντα νόμο και τον ΓΚΠΔ σε περίπτωση διαβίβασης ή επεξεργασίας για άλλους σκοπούς·
ι) ο ορισμός ΥΠΔ.
Άρθρο 23.- Επεξεργασία γενετικών δεδομένων
Κατ’ εφαρμογή της παραγράφου 4 του άρθρου 9 του ΓΚΠΔ απαγορεύεται η επεξεργασία γενετικών δεδομένων για σκοπούς ασφάλισης υγείας και ζωής.
Άρθρο 24.- Επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από δημόσιους φορείς
1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται όταν η επεξεργασία αυτή είναι αναγκαία για την εκπλήρωση των καθηκόντων που τους έχουν ανατεθεί και εφόσον είναι:
α) απαραίτητο να ελεγχθούν οι πληροφορίες που παρέχονται από το υποκείμενο των δεδομένων, διότι υπάρχουν βάσιμες ενδείξεις ότι οι πληροφορίες αυτές είναι εσφαλμένες·
β) αναγκαία για την αποτροπή κινδύνων για την εθνική ασφάλεια, εθνική άμυνα ή δημόσια ασφάλεια ή για τη διασφάλιση φορολογικών και τελωνειακών εσόδων·
γ) αναγκαία για τη δίωξη ποινικών αδικημάτων·
δ) αναγκαία για την αποτροπή σοβαρής βλάβης στα δικαιώματα άλλου προσώπου·
ε) απαραίτητη για την παραγωγή των επίσημων στατιστικών.
2. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως αυτά αναφέρονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ, για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται, εφόσον πληρούνται οι προϋποθέσεις της προηγούμενης παραγράφου και εφαρμόζεται μία από τις προβλεπόμενες στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ εξαιρέσεις ή το άρθρο 22 του παρόντος.
Άρθρο 25.- Επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλους σκοπούς από ιδιωτικούς φορείς
1. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα από ιδιωτικούς φορείς για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται, εφόσον είναι απαραίτητη:
α) για την αποτροπή απειλών κατά της εθνικής ασφάλειας ή της δημόσιας ασφάλειας κατόπιν αιτήματος δημόσιου φορέα· ή
β) για τη δίωξη ποινικών αδικημάτων· ή
γ) για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων, εκτός και εάν υπερτερεί το συμφέρον του υποκειμένου των δεδομένων να μην τύχουν επεξεργασίας τα δεδομένα αυτά.
2. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, όπως αυτά αναφέρονται στο άρθρο 9 παράγραφος 1 του ΓΚΠΔ, για σκοπό διαφορετικό από αυτόν για τον οποίο έχουν συλλεχθεί, επιτρέπεται, εφόσον πληρούνται οι προϋποθέσεις της προηγούμενης παραγράφου και εφαρμόζεται μία από τις προβλεπόμενες στο άρθρο 9 παράγραφος 2 του ΓΚΠΔ εξαιρέσεις ή το άρθρο 22 του παρόντος.
Άρθρο 26.- Διαβίβαση δεδομένων προσωπικού χαρακτήρα από δημόσιους φορείς
1. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα από δημόσιο φορέα σε δημόσιο φορέα επιτρέπεται, εφόσον είναι απαραίτητο για την εκτέλεση των καθηκόντων του φορέα που διαβιβάζει ή του τρίτου στον οποίο διαβιβάζονται τα δεδομένα και εφόσον πληρούνται οι προϋποθέσεις που επιτρέπουν την επεξεργασία σύμφωνα με το άρθρο 24. Ο τρίτος στον οποίο διαβιβάζονται τα δεδομένα επεξεργάζεται αυτά μόνο για τον σκοπό για τον οποίο διαβιβάσθηκαν. Η επεξεργασία για άλλους σκοπούς επιτρέπεται μόνον εφόσον πληρούνται οι προϋποθέσεις του άρθρου 24.
2. Οι δημόσιοι φορείς επιτρέπεται να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα σε ιδιωτικούς φορείς εφόσον:
α) η διαβίβαση είναι απαραίτητη για την εκτέλεση των καθηκόντων του φορέα που διαβιβάζει και πληρούνται περαιτέρω και οι προϋποθέσεις του άρθρου 24·
β) ο τρίτος στον οποίο διαβιβάζονται έχει έννομο συμφέρον να είναι σε γνώση της διαβίβασης και το υποκείμενο των δεδομένων δεν έχει έννομο συμφέρον να μην διαβιβασθούν τα δεδομένα που το αφορούν· ή
γ) η επεξεργασία είναι απαραίτητη για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων και ο τρίτος δεσμεύθηκε έναντι του δημόσιου φορέα που του διαβίβασε τα δεδομένα ότι θα τα επεξεργαστεί μόνο για τον σκοπό για τον οποίο διαβιβάσθηκαν. Η επεξεργασία για άλλους σκοπούς επιτρέπεται, εάν επιτρέπεται η διαβίβαση σύμφωνα με την παράγραφο 1 και ο φορέας διαβίβασης έχει παράσχει τη συγκατάθεσή του για τη διαβίβαση.
3. Η διαβίβαση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ, επιτρέπεται εφόσον πληρούνται οι προϋποθέσεις της παραγράφου 1 ή της παραγράφου 2 και εφαρμόζεται μία από τις εξαιρέσεις του άρθρου 9 παράγραφος 2 του ΓΚΠΔ ή σύμφωνα με το άρθρο 22 του παρόντος.
Άρθρο 27.- Επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των σχέσεων απασχόλησης
1. Δεδομένα προσωπικού χαρακτήρα των εργαζομένων μπορούν να υποβάλλονται σε επεξεργασία για σκοπούς της σύμβασης εργασίας, εφόσον είναι απολύτως απαραίτητο για την απόφαση σύναψης σύμβασης εργασίας ή μετά τη σύναψη της σύμβασης εργασίας για την εκτέλεσή της.
2. Στην περίπτωση που η επεξεργασία δεδομένων προσωπικού χαρακτήρα εργαζομένου έχει κατ’ εξαίρεση ως νομική βάση τη συγκατάθεσή του, για την κρίση ότι αυτή ήταν αποτέλεσμα ελεύθερης επιλογής, πρέπει να λαμβάνονται υπόψη κυρίως:
α) η υφιστάμενη στη σύμβαση εργασίας εξάρτηση του εργαζομένου και
β) οι περιστάσεις κάτω από τις οποίες χορηγήθηκε η συγκατάθεση. Η συγκατάθεση παρέχεται είτε σε έγγραφη είτε σε ηλεκτρονική μορφή και πρέπει να διακρίνεται σαφώς από τη σύμβαση εργασίας. Ο εργοδότης πρέπει να ενημερώνει τον εργαζόμενο είτε σε έγγραφη είτε σε ηλεκτρονική μορφή σχετικά με τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και το δικαίωμά του να ανακαλέσει τη συγκατάθεση σύμφωνα με το άρθρο 7 παράγραφος 3 του ΓΚΠΔ.
3. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα με την έννοια του άρθρου 9 παράγραφος 1 του ΓΚΠΔ για τους σκοπούς της σύμβασης εργασίας επιτρέπεται, εάν είναι απαραίτητη για την άσκηση των δικαιωμάτων ή την εκπλήρωση νόμιμων υποχρεώσεων που απορρέουν από το εργατικό δίκαιο, το δίκαιο της κοινωνικής ασφάλισης και της κοινωνικής προστασίας και δεν υπάρχει κανένας λόγος να θεωρηθεί ότι το έννομο συμφέρον του υποκειμένου των δεδομένων σε σχέση με την επεξεργασία υπερτερεί. Η παράγραφος 2 ισχύει επίσης για τη συγκατάθεση στην επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Η συγκατάθεση πρέπει να αναφέρεται ρητά στα δεδομένα αυτά. Το άρθρο 22 παράγραφος 3 εδάφιο β΄ εφαρμόζεται ανάλογα.
4. Επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων Προσωπικού Χαρακτήρα των εργαζομένων για τους σκοπούς της σύμβασης εργασίας βάσει συλλογικών συμβάσεων εργασίας. Τα διαπραγματευόμενα μέρη συμμορφώνονται με το άρθρο 88 παράγραφος 2 του ΓΚΠΔ.
5. Ο υπεύθυνος επεξεργασίας λαμβάνει τα ενδεδειγμένα μέτρα για να εξασφαλίσει ότι τηρούνται ιδίως οι αρχές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ορίζονται στο άρθρο 5 του ΓΚΠΔ.
6. Οι παράγραφοι 1 έως 5 εφαρμόζονται επίσης, όταν δεδομένα προσωπικού χαρακτήρα, συμπεριλαμβανομένων των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα των εργαζομένων, υπόκεινται σε επεξεργασία, χωρίς αυτά να αποθηκεύονται ή να προορίζονται να αποθηκευτούν σε ένα σύστημα αρχειοθέτησης.
7. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας, είτε είναι δημοσίως προσβάσιμοι είτε μη, επιτρέπεται μόνο εάν είναι απαραίτητη για την προστασία προσώπων και αγαθών. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος οπτικής καταγραφής δεν επιτρέπεται να χρησιμοποιηθούν ως κριτήριο για την αξιολόγηση της αποδοτικότητας των εργαζομένων. Οι εργαζόμενοι ενημερώνονται εγγράφως, είτε σε γραπτή είτε σε ηλεκτρονική μορφή για την εγκατάσταση και λειτουργία κλειστού κυκλώματος οπτικής καταγραφής εντός των χώρων εργασίας.
8. Για τους σκοπούς του παρόντος νόμου ως εργαζόμενοι νοούνται οι απασχολούμενοι με οποιαδήποτε σχέση εργασίας ή σύμβαση έργου ή παροχής υπηρεσιών στο δημόσιο και στον ιδιωτικό φορέα, ανεξαρτήτως του κύρους της σύμβασης, οι υποψήφιοι για εργασία και οι πρώην απασχολούμενοι.
Άρθρο 28.- Επεξεργασία και ελευθερία έκφρασης και πληροφόρησης
1. Στον βαθμό που είναι αναγκαίο να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς και για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης, η επεξεργασία δεδομένων προσωπικού χαρακτήρα επιτρέπεται όταν:
α) το υποκείμενο των δεδομένων έχει παράσχει τη ρητή συγκατάθεσή του,
β) αφορά δεδομένα προσωπικού χαρακτήρα που έχουν προδήλως δημοσιοποιηθεί από το ίδιο το υποκείμενο, γ) υπερέχει το δικαίωμα στην ελευθερία της έκφρασης και το δικαίωμα της πληροφόρησης έναντι του δικαιώματος προστασίας των δεδομένων προσωπικού χαρακτήρα του υποκειμένου, ιδίως για θέματα γενικότερου ενδιαφέροντος ή όταν αφορά δεδομένα προσωπικού χαρακτήρα δημοσίων προσώπων και δ) όταν περιορίζεται στο αναγκαίο μέτρο για την εξασφάλιση της ελευθερίας της έκφρασης και του δικαιώματος ενημέρωσης, ιδίως όταν αφορά ειδικών κατηγοριών δεδομένα Προσωπικού Χαρακτήρα, καθώς και ποινικές διώξεις, καταδίκες και τα σχετικά με αυτές μέτρα ασφαλείας, λαμβάνοντας υπόψη το δικαίωμα του υποκειμένου στην ιδιωτική και οικογενειακή του ζωή.
2. Στον βαθμό που είναι αναγκαίο να συμβιβαστεί το δικαίωμα στην προστασία των δεδομένων προσωπικού χαρακτήρα με το δικαίωμα στην ελευθερία της έκφρασης και πληροφόρησης, συμπεριλαμβανομένης της επεξεργασίας για δημοσιογραφικούς σκοπούς, και για σκοπούς ακαδημαϊκής, καλλιτεχνικής ή λογοτεχνικής έκφρασης δεν εφαρμόζεται:
α) το Κεφάλαιο ΙΙ του ΓΚΠΔ «Αρχές», εκτός από το άρθρο 5,
β) το Κεφάλαιο ΙΙΙ του ΓΚΠΔ «Δικαιώματα του Υποκειμένου»,
γ) το Κεφάλαιο ΙV του ΓΚΠΔ «Υπεύθυνος επεξεργασίας και εκτελών την επεξεργασία», εκτός από τα άρθρα 28, 29 και 32,
δ) το Κεφάλαιο V του ΓΚΠΔ «Διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες ή διεθνείς οργανισμούς»,
ε) το Κεφάλαιο VII του ΓΚΠΔ «Συνεργασία και συνεκτικότητα και
στ) το Κεφάλαιο IX του ΓΚΠΔ «Διατάξεις που αφορούν ειδικές περιπτώσεις επεξεργασίας».
Άρθρο 29.- Επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον
1. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, με την έννοια της παραγράφου 1 του άρθρου 9 του ΓΚΠΔ, επιτρέπεται όταν είναι απαραίτητη για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον. Ο υπεύθυνος επεξεργασίας υποχρεούται να λαμβάνει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων. Στα μέτρα αυτά μπορούν να περιλαμβάνονται, στο πλαίσιο του εφικτού, ιδίως:
α) περιορισμοί πρόσβασης από τους υπεύθυνους επεξεργασίας και εκτελούντες την πεξεργασία·
β) ψευδωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα·
γ) κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα·
δ) ορισμός ΥΠΔ.
2. Κατά παρέκκλιση από το άρθρο 15 του ΓΚΠΔ, το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων σε δεδομένα που το αφορούν μπορεί να περιοριστεί, εφόσον η άσκησή του είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την επίτευξη των σκοπών της παραγράφου 1, και η άσκηση του δικαιώματος θα απαιτούσε δυσανάλογη προσπάθεια.
3. Κατά παρέκκλιση από το άρθρο 16 του ΓΚΠΔ, το υποκείμενο των δεδομένων δεν έχει δικαίωμα διόρθωσης των δεδομένων προσωπικού Χαρακτήρα που το αφορούν, εφόσον η άσκησή του είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την επίτευξη των σκοπών της παραγράφου 1 ή την άσκηση δικαιωμάτων τρίτων.
4. Κατά παρέκκλιση των οριζόμενων στα άρθρα 18 παράγραφος 1 εδάφια α΄, β΄ και δ΄ και στα άρθρα 20 και 21 του ΓΚΠΔ, τα δικαιώματα του υποκειμένου των δεδομένων περιορίζονται, εφόσον η άσκησή τους είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την εκπλήρωση των σκοπών της παραγράφου 1 και εφόσον οι περιορισμοί αυτοί κρίνονται απαραίτητοι για την επίτευξη των σκοπών αυτών.
Άρθρο 30.- Επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων
1. Κατά παρέκκλιση από το άρθρο 9 παράγραφος 1 του ΓΚΠΔ η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, με την έννοια της παραγράφου 1 του άρθρου 9 του ΓΚΠΔ, επιτρέπεται χωρίς τη συγκατάθεση του υποκειμένου, όταν η επεξεργασία είναι απαραίτητη για σκοπούς επιστημονικής ή ιστορικής έρευνας ή συλλογής και τήρησης στατιστικών στοιχείων και το συμφέρον του υπεύθυνου επεξεργασίας είναι υπέρτερο του συμφέροντος του υποκειμένου να μην τύχουν επεξεργασίας τα δεδομένα προσωπικού του χαρακτήρα. Ο υπεύθυνος επεξεργασίας υποχρεούται να λαμβάνει κατάλληλα και συγκεκριμένα μέτρα για την προστασία των εννόμων συμφερόντων του υποκειμένου των δεδομένων. Στα μέτρα αυτά μπορούν να περιλαμβάνονται ιδίως:
α) περιορισμοί πρόσβασης των υπεύθυνων επεξεργασίας και εκτελούντων την επεξεργασία·
β) ψευδωνυμοποίηση των δεδομένων προσωπικού Χαρακτήρα·
γ) κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα·
δ) ορισμός ΥΠΔ.
2. Κατά παρέκκλιση των οριζόμενων στα άρθρα 15, 16, 18 και 21 του ΓΚΠΔ, τα δικαιώματα του υποκειμένου των δεδομένων προσωπικού χαρακτήρα περιορίζονται, εφόσον η άσκησή τους είναι πιθανό να καταστήσει αδύνατη ή να παρακωλύσει σοβαρά την εκπλήρωση των σκοπών της παραγράφου 1 και εφόσον οι περιορισμοί αυτοί κρίνονται απαραίτητοι για την εκπλήρωσή τους. Για τον ίδιο λόγο δεν εφαρμόζεται και το προβλεπόμενο στο άρθρο 15 του ΓΚΠΔ δικαίωμα πρόσβασης του υποκειμένου, όταν τα δεδομένα προσωπικού χαρακτήρα είναι απαραίτητα για επιστημονικούς σκοπούς και η παροχή πληροφοριών απαιτεί δυσανάλογη προσπάθεια.
3. Εκτός από όσα ορίζονται στην παράγραφο 1 οι ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα όταν υποβάλλονται σε επεξεργασία για τους σκοπούς της παραγράφου 1, θα πρέπει να ανωνυμοποιούνται αμέσως μόλις το επιτρέψουν οι επιστημονικοί ή στατιστικοί σκοποί, εκτός εάν αυτό είναι αντίθετο προς το έννομο συμφέρον του υποκειμένου των δεδομένων. Μέχρι τότε, τα χαρακτηριστικά που μπορούν να χρησιμοποιηθούν για την αντιστοίχιση μεμονωμένων λεπτομερειών σχετικά με προσωπικές ή πραγματικές καταστάσεις ενός ταυτοποιημένου ή ταυτοποιήσιμου προσώπου πρέπει να αποθηκευτούν χωριστά. Τα χαρακτηριστικά αυτά μπορεί να συνδυαστούν με τις μεμονωμένες λεπτομέρειες, μόνο εάν το απαιτεί η έρευνα ή ο στατιστικός σκοπός.
4. Ο υπεύθυνος επεξεργασίας μπορεί να δημοσιεύει δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται στο πλαίσιο της έρευνας, εφόσον τα υποκείμενα των δεδομένων έχουν συγκατατεθεί εγγράφως ή η δημοσίευση είναι απαραίτητη για την παρουσίαση των αποτελεσμάτων της έρευνας. Στην τελευταία αυτή περίπτωση η δημοσίευση γίνεται με ψευδωνυμοποίηση.
Άρθρο 31.- Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα συλλέγονται από το υποκείμενο των δεδομένων
1. Η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 13 παράγραφος 3 του ΓΚΠΔ δεν υφίσταται εκτός από την αναφερόμενη στο άρθρο 13 παράγραφος 4 του ΓΚΠΔ εξαίρεση, όταν η παροχή των πληροφοριών σχετικά με την περαιτέρω επεξεργασία:
α) αφορά μια περαιτέρω επεξεργασία αποθηκευμένων σε γραπτή μορφή δεδομένων, στην οποία ο υπεύθυνος επεξεργασίας απευθύνεται άμεσα στο υποκείμενο των δεδομένων, ο σκοπός είναι συμβατός με τον αρχικό σκοπό συλλογής σύμφωνα με το ΓΚΠΔ, η επικοινωνία με το υποκείμενο των δεδομένων δεν γίνεται σε ψηφιακή μορφή και το ενδιαφέρον του υποκειμένου των δεδομένων για την παροχή πληροφοριών κατά τις περιστάσεις της συγκεκριμένης περίπτωσης, ιδίως όσον αφορά το πλαίσιο εντός του οποίου συλλέχθηκαν τα δεδομένα θεωρείται ότι δεν είναι υψηλό·
β) στην περίπτωση του δημόσιου φορέα, θα έθετε σε κίνδυνο την ορθή εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας με την έννοια του άρθρου 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ, και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει τις πληροφορίες, υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων·
γ) θα έθετε σε κίνδυνο την εθνική ή τη δημόσια ασφάλεια και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει τις πληροφορίες υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων·
δ) θα παρεμπόδιζε τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων και το συμφέρον του υπεύθυνου επεξεργασίας να μην παράσχει πληροφορίες υπερτερεί του συμφέροντος του υποκειμένου των δεδομένων·
ε) θα έθετε σε κίνδυνο την εμπιστευτική διαβίβαση δεδομένων σε δημόσιους φορείς.
2. Εφόσον δεν παρέχονται πληροφορίες στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων, συμπεριλαμβανομένης της παροχής στο κοινό των πληροφοριών που αναφέρονται στο άρθρο 13 παράγραφοι 1 και 2 του ΓΚΠΔ σε ακριβή, διαφανή, κατανοητή και ευχερώς προσβάσιμη μορφή, σε σαφή και απλή γλώσσα. Ο υπεύθυνος επεξεργασίας δηλώνει γραπτώς τους λόγους για τους οποίους απέφυγε να παράσχει πληροφορίες. Τα ανωτέρω εδάφια δεν εφαρμόζονται στις περιπτώσεις δ΄ και ε΄ της προηγούμενης παραγράφου.
3. Εφόσον δεν παρέχεται γνωστοποίηση στις περιπτώσεις της παραγράφου 1 λόγω ύπαρξης προσωρινού εμποδίου, ο υπεύθυνος επεξεργασίας, λαμβανομένων υπόψη των ειδικών συνθηκών της επεξεργασίας, πρέπει να συμμορφώνεται στην υποχρέωση πληροφόρησης εντός εύλογης προθεσμίας μετά την απομάκρυνση του εμποδίου, αλλά όχι αργότερα από το χρονικό διάστημα των δύο (2) εβδομάδων.
4. Αν κατά την έναρξη της εντολής ή στο πλαίσιο σχέσης εντολής διαβιβάσθηκαν από τον πελάτη σε έναν φορέα επαγγελματικού απορρήτου δεδομένα τρίτων, ο διαβιβάζων αυτός φορέας δεν έχει υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 13 παράγραφος 3 του ΓΚΠΔ, εκτός εάν το συμφέρον του υποκειμένου των δεδομένων για την παροχή πληροφοριών είναι υπέρτερο.
Άρθρο 32.- Πληροφορίες που παρέχονται εάν τα δεδομένα προσωπικού χαρακτήρα δεν έχουν συλλεγεί από το υποκείμενο των δεδομένων
1. Η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 14 παράγραφοι 1, 2 και 4 του ΓΚΠΔ δεν υφίσταται, όταν η παροχή των πληροφοριών:
α) στην περίπτωση δημόσιων φορέων:
αα) θα έθετε σε κίνδυνο την ορθή εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας, με την έννοια του άρθρου 23 παράγραφος 1 στοιχεία α) έως ε) του ΓΚΠΔ, ή
ββ) θα έθετε σε κίνδυνο την εθνική ασφάλεια ή τη δημόσια ασφάλεια·
και συνεπώς, το συμφέρον του υποκειμένου των δεδομένων για τη χορήγηση των πληροφοριών υποχωρεί,
β) στην περίπτωση ιδιωτικών φορέων:
αα) θα έβλαπτε τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων ή η επεξεργασία περιλαμβάνει δεδομένα προσωπικού χαρακτήρα από συμβάσεις που έχουν καταρτιστεί κατά το ιδιωτικό δίκαιο και αποσκοπεί στην πρόληψη ζημιών από την τέλεση ποινικών αδικημάτων, εκτός εάν το υποκείμενο των δεδομένων έχει υπέρτερο έννομο συμφέρον για την παροχή πληροφοριών· ή
ββ) ο αρμόδιος δημόσιος φορέας έχει προσδιορίσει στον υπεύθυνο επεξεργασίας, ότι η δημοσιοποίηση των δεδομένων θα έθετε σε κίνδυνο την εθνική άμυνα, την εθνική ασφάλεια και τη δημόσια ασφάλεια, στην περίπτωση της επεξεργασίας δεδομένων για σκοπούς επιβολής του νόμου, δεν απαιτείται προσδιορισμός σύμφωνα με το πρώτο εδάφιο.
2. Εφόσον δεν παρέχονται πληροφορίες στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1, ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για την προστασία των έννομων συμφερόντων του υποκειμένου των δεδομένων, συμπεριλαμβανομένης της παροχής στο κοινό των πληροφοριών που αναφέρονται στο άρθρο 14 παράγραφοι 1 και 2 του ΓΚΠΔ σε ακριβή, διαφανή, κατανοητή και ευχερώς προσβάσιμη μορφή, σε σαφή και απλή γλώσσα. Ο υπεύθυνος επεξεργασίας δηλώνει γραπτώς τους λόγους για τους οποίους απέφυγε να παράσχει πληροφορίες.
3. Η υποχρέωση ενημέρωσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 14 παράγραφοι 1 έως 4 του ΓΚΠΔ, εκτός από τις αναφερόμενες στο άρθρο 14 παράγραφος 5 του ΓΚΠΔ εξαιρέσεις, δεν ισχύει στον βαθμό που μέσω της εκπλήρωσής της θα αποκαλύπτονταν πληροφορίες, οι οποίες λόγω της φύσης τους, ιδίως λόγω των υπέρτερων έννομων συμφερόντων τρίτου, πρέπει να παραμείνουν απόρρητες.
Άρθρο 33.- Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων/Ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων
1. Εκτός των εξαιρέσεων που προβλέπονται στην παράγραφο 2 του άρθρου 29 και στην παράγραφο 2 του άρθρου 30, δεν ισχύει το δικαίωμα πρόσβασης του υποκειμένου των δεδομένων, σύμφωνα με το άρθρο 15 του ΓΚΠΔ, όταν:
α) το υποκείμενο των δεδομένων δεν ενημερώνεται σύμφωνα με το στοιχείο ββ΄ των περιπτώσεων α΄ και β΄ της παραγράφου 1 του προηγούμενου άρθρου· ή
β) τα δεδομένα,
αα) καταγράφηκαν μόνο επειδή δεν μπορούν να διαγραφούν λόγω νομικών ή κανονιστικών διατάξεων υποχρέωσης διατήρησής τους, ή
ββ) εξυπηρετούν αποκλειστικά σκοπούς προστασίας ή ελέγχου των δεδομένων, και η παροχή πληροφοριών θα απαιτούσε δυσανάλογη προσπάθεια και τα απαραίτητα τεχνικά και οργανωτικά μέτρα καθιστούν αδύνατη την επεξεργασία για άλλους σκοπούς.
2. Οι λόγοι άρνησης της παροχής πληροφοριών στο υποκείμενο των δεδομένων πρέπει να τεκμηριώνονται.
Η άρνηση της παροχής πληροφοριών πρέπει να αιτιολογείται στο υποκείμενο των δεδομένων, εκτός εάν μέσω της γνωστοποίησης των πραγματικών και νομικών λόγων στους οποίους βασίζεται η άρνηση θα ετίθετο σε κίνδυνο ο σκοπός που επιδιώκεται με την άρνηση παροχής των πληροφοριών. Τα δεδομένα που αποθηκεύονται με σκοπό την παροχή πληροφοριών στο υποκείμενο των δεδομένων και για την προετοιμασία αυτής της παροχής μπορούν να υποβληθούν σε επεξεργασία μόνο για τοv σκοπό αυτόν και για σκοπούς της προστασίας των δεδομένων προσωπικού χαρακτήρα, η επεξεργασία για άλλους σκοπούς περιορίζεται σύμφωνα με το άρθρο 18 του ΓΚΠΔ.
3. Το δικαίωμα του υποκειμένου των δεδομένων να αποκτά πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, τα οποία δεν υποβάλλονται ούτε σε αυτοματοποιημένη ούτε σε μη αυτοματοποιημένη επεξεργασία από δημόσια αρχή, και αποθηκεύονται σε σύστημα αρχειοθέτησης, υφίσταται μόνο, εάν το υποκείμενο των δεδομένων παρέχει πληροφορίες που επιτρέπουν την ανάκτηση των δεδομένων και η προσπάθεια που απαιτείται για την παροχή των πληροφοριών δεν είναι δυσανάλογη προς το συμφέρον του υποκειμένου των δεδομένων για ενημέρωση.
4. Το δικαίωμα ενημέρωσης του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το άρθρο 15 του ΓΚΠΔ δεν ισχύει, στον βαθμό που μέσω της ενημέρωσης θα αποκαλύπτονταν πληροφορίες, οι οποίες σύμφωνα με διάταξη νόμου ή λόγω της φύσης τους, ιδίως λόγω των υπέρτερων έννομων συμφερόντων τρίτου, πρέπει να παραμείνουν απόρρητες.
5. Η υποχρέωση γνωστοποίησης σύμφωνα με το άρθρο 34 του ΓΚΠΔ, εκτός από την αναφερόμενη στην παράγραφο 3 του άρθρου 34 του ΓΚΠΔ εξαίρεση, δεν ισχύει στον βαθμό που μέσω της γνωστοποίησης θα αποκαλύπτονταν πληροφορίες, οι οποίες σύμφωνα με διάταξη νόμου ή λόγω της φύσης τους, ιδίως λόγω των υπέρτερων έννομων συμφερόντων τρίτου, πρέπει να παραμείνουν απόρρητες. Κατά παρέκκλιση από τo προηγούμενο εδάφιο το υποκείμενο των δεδομένων προσωπικού χαρακτήρα πρέπει σύμφωνα με το άρθρο 34 του ΓΚΠΔ να ενημερώνεται, όταν τα συμφέροντά του, λαμβάνοντας ιδίως υπόψη τις επαπειλούμενες ζημιές, υπερτερούν του συμφέροντος διατήρησης του απορρήτου.
Άρθρο 34.- Δικαίωμα διαγραφής
1. Αν η διαγραφή σε περίπτωση μη αυτοματοποιημένης επεξεργασίας λόγω της ιδιαίτερης φύσης της αποθήκευσης δεν είναι δυνατή ή είναι δυνατή μόνο με δυσανάλογα μεγάλη προσπάθεια και το συμφέρον του υποκειμένου των δεδομένων για τη διαγραφή δεν θεωρείται σημαντικό, δεν υφίσταται το δικαίωμα του υποκειμένου και η υποχρέωση του υπεύθυνου επεξεργασίας να διαγράψει τα δεδομένα προσωπικού χαρακτήρα σύμφωνα με το άρθρο 17 παράγραφος 1 του ΓΚΠΔ, εκτός των εξαιρέσεων που αναφέρονται στο άρθρο 17 παράγραφος 3 του ΓΚΠΔ. Στην περίπτωση αυτή, η διαγραφή αντικαθίσταται από τον περιορισμό της επεξεργασίας σύμφωνα με το άρθρο 18 του ΓΚΠΔ. Τα ανωτέρω εδάφια δεν εφαρμόζονται, εάν τα δεδομένα προσωπικού χαρακτήρα έχουν υποστεί παράνομη επεξεργασία.
2. Εκτός από το άρθρο 18 παράγραφος 1 στοιχεία β) και γ) του ΓΚΠΔ, το πρώτο και δεύτερο εδάφιο της προηγούμενης παραγράφου εφαρμόζονται αναλόγως στην περίπτωση του άρθρου 17 παράγραφος 1 στοιχεία α) και δ) του ΓΚΠΔ, στον βαθμό που ο υπεύθυνος επεξεργασίας έχει λόγους να πιστεύει ότι η διαγραφή θα ήταν επιζήμια για τα έννομα συμφέροντα του υποκειμένου των δεδομένων προσωπικού χαρακτήρα. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων σχετικά με τον περιορισμό της επεξεργασίας, εάν η ενημέρωση αυτή δεν είναι αδύνατη ή δεν συνεπάγεται δυσανάλογη προσπάθεια.
3. Εκτός από το άρθρο 17 παράγραφος 3 στοιχείο β) του ΓΚΠΔ, η παράγραφος 1 εφαρμόζεται αναλόγως στην περίπτωση του άρθρου 17 παράγραφος 1 στοιχείο α) του ΓΚΠΔ, εάν η διαγραφή θα ερχόταν σε σύγκρουση με τις νόμιμες ή συμβατικές περιόδους διατήρησης.
Άρθρο 35.- Δικαίωμα εναντίωσης
Το δικαίωμα εναντίωσης σύμφωνα με το άρθρο 21 παράγραφος 1 του ΓΚΠΔ δεν εφαρμόζεται έναντι δημόσιου φορέα, εάν υπάρχει επιτακτικό δημόσιο συμφέρον για την επεξεργασία, το οποίο υπερτερεί των συμφερόντων του υποκειμένου των δεδομένων ή διάταξη νόμου υποχρεώνει τη διενέργεια της επεξεργασίας.
Άρθρο 36.- Διασφάλιση της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για λόγους εθνικής ασφάλειας
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα του προσωπικού της ΕΥΠ που πραγματοποιείται από δημόσιους και ιδιωτικούς φορείς στο πλαίσιο των καθηκόντων τους ή των αρμοδιοτήτων τους διενεργείται από ειδικά εξουσιοδοτημένους για αυτό υπαλλήλους, για τα ονόματα των οποίων ενημερώνεται η ΕΥΠ.
Κάθε περαιτέρω διαβίβαση των ανωτέρω δεδομένων προσωπικού χαρακτήρα διενεργείται μόνο μετά από έγκριση της ΕΥΠ.
Άρθρο 37.- Διαπίστευση φορέων πιστοποίησης και πιστοποίηση
1. Η διαπίστευση των φορέων που χορηγούν πιστοποιήσεις σύμφωνα με το άρθρο 42 του ΓΚΠΔ πραγματοποιείται από το Εθνικό Σύστημα Διαπίστευσης (Ε.ΣΥ.Δ.) με βάση το πρότυπο EN-ISO/IEC17065:2012 και σύμφωνα με συμπληρωματικές απαιτήσεις που έχουν οριστεί από την Αρχή.
2. Το Ε.ΣΥ.Δ. ανακαλεί διαπίστευση αν ενημερωθεί από την Αρχή ότι δεν πληρούνται πλέον οι απαιτήσεις διαπίστευσης ή ο φορέας πιστοποίησης παραβαίνει τον ΓΚΠΔ και τις διατάξεις του παρόντος.
Άρθρο 38.- Ποινικές κυρώσεις
1. Όποιος, χωρίς δικαίωμα: α) επεμβαίνει με οποιονδήποτε τρόπο σε σύστημα αρχειοθέτησης δεδομένων προσωπικού χαρακτήρα, και με την πράξη του αυτή λαμβάνει γνώση των δεδομένων αυτών· β) τα αντιγράφει, αφαιρεί, αλλοιώνει, βλάπτει, συλλέγει, καταχωρεί, οργανώνει, διαρθρώνει, αποθηκεύει, προσαρμόζει, μεταβάλλει, ανακτά, αναζητεί πληροφορίες, συσχετίζει, συνδυάζει, περιορίζει, διαγράφει, καταστρέφει, τιμωρείται με φυλάκιση μέχρι ενός (1) έτους, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
2. Όποιος χρησιμοποιεί, μεταδίδει, διαδίδει, κοινολογεί με διαβίβαση, διαθέτει, ανακοινώνει ή καθιστά προσιτά σε μη δικαιούμενα πρόσωπα δεδομένα προσωπικού χαρακτήρα, τα οποία απέκτησε σύμφωνα με την περίπτωση α΄ της παραγράφου 1 ή επιτρέπει σε μη δικαιούμενα πρόσωπα να λάβουν γνώση των δεδομένων αυτών, τιμωρείται με φυλάκιση, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
3. Εάν η πράξη της παραγράφου 2 αφορά ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα του άρθρου 9 παράγραφος 1 του ΓΚΠΔ ή δεδομένα που αφορούν ποινικές καταδίκες και αδικήματα ή τα σχετικά με αυτά μέτρα ασφαλείας του άρθρου 10 του ΓΚΠΔ, ο υπαίτιος τιμωρείται με φυλάκιση τουλάχιστον ενός (1) έτους και χρηματική ποινή έως εκατό χιλιάδες (100.000) ευρώ, εάν η πράξη δεν τιμωρείται βαρύτερα με άλλη διάταξη.
4. Με κάθειρξη μέχρι δέκα (10) ετών τιμωρείται ο υπαίτιος των πράξεων των προηγούμενων παραγράφων, εάν είχε σκοπό να προσπορίσει στον εαυτό του ή σε άλλον παράνομο περιουσιακό όφελος ή να προκαλέσει περιουσιακή ζημία σε άλλον ή να βλάψει άλλον και το συνολικό όφελος ή η συνολική ζημία υπερβαίνει το ποσό των εκατόν είκοσι χιλιάδων (120.000) ευρώ.
5. Εάν από τις πράξεις των παραγράφων 1 έως και 3 προκλήθηκε κίνδυνος για την ελεύθερη λειτουργία του δημοκρατικού πολιτεύματος ή για την εθνική ασφάλεια, επιβάλλεται κάθειρξη και χρηματική ποινή έως τριακόσιες χιλιάδες (300.000) ευρώ.
6. Τα κακουργήματα που προβλέπονται στο παρόν άρθρο υπάγονται στην αρμοδιότητα του Τριμελούς Εφετείου Κακουργημάτων.
Άρθρο 39.- Διοικητικές κυρώσεις
1. Με την επιφύλαξη των διορθωτικών εξουσιών της Αρχής σύμφωνα με το άρθρο 58 παράγραφος 2 του ΓΚΠΔ, η Αρχή με ειδικά αιτιολογημένη απόφασή της και ύστερα από προηγούμενη κλήση για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει στους φορείς του δημόσιου τομέα, όπως αυτός οριοθετείται στην περίπτωση α΄ της παραγράφου 1 του άρθρου 14 του ν. 4270/2014 (Α΄143), εξαιρουμένων των δημοσίων επιχειρήσεων και των οργανισμών του Κεφαλαίου Α΄ του ν. 3429/2005 (Α΄ 314), υπό την ιδιότητά τους ως υπεύθυνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα, για τις παραβάσεις:
α) της περίπτωσης α) της παραγράφου 4 του άρθρου 83 του ΓΚΠΔ, εκτός των άρθρων 8, 27, 29, 42, 43 του ΓΚΠΔ, β) των παραγράφων 5 και 6 του άρθρου 83 του ΓΚΠΔ, εκτός των άρθρων 17, 20, 47, 90 και 91 του ΓΚΠΔ, γ) των άρθρων 5, 6, 7, 22, 24, 26, 27 (πλην της παραγράφου 7 αυτού), 28 έως και 31, και των άρθρων 32 παράγραφος 1 περίπτωση α΄, 33 έως και 35 του παρόντος, διοικητικό πρόστιμο έως δέκα εκατομμύρια (10.000.000) ευρώ.
2. Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και για τον καθορισμό του ύψους αυτού, για κάθε εξατομικευμένη περίπτωση λαμβάνονται υπόψη τα ακόλουθα:
α) η φύση, η βαρύτητα, η διάρκεια της παράβασης, η έκταση ή ο σκοπός της σχετικής επεξεργασίας, καθώς και ο αριθμός των υποκειμένων των δεδομένων προσωπικού χαρακτήρα που έθιξε η παράβαση και το μέγεθος της ζημίας που αυτά υπέστησαν,
β) οποιεσδήποτε ενέργειες στις οποίες προέβη o φορέας του δημόσιου τομέα, για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα,
γ) τυχόν σχετικές προηγούμενες παραβάσεις του φορέα του δημόσιου τομέα,
δ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που θίγει η παράβαση,
ε) ο τρόπος με τον οποίο η Αρχή πληροφορήθηκε την παράβαση, ειδικότερα αν και κατά πόσο ο φορέας του δημόσιου τομέα κοινοποίησε την παράβαση και
στ) εάν έχουν ήδη διαταχθεί σε βάρος του φορέα του δημόσιου τομέα, για την ίδια παράβαση, τα μέτρα που αναφέρονται στο άρθρο 58 παράγραφος 2 του ΓΚΠΔ, ο βαθμός συμμόρφωσής του με αυτά.
3. Σε περίπτωση που ο φορέας του δημόσιου τομέα για τις ίδιες ή για συνδεδεμένες πράξεις επεξεργασίας, παραβιάζει περισσότερες διατάξεις του ΓΚΠΔ ή του παρόντος, το συνολικό ύψος του διοικητικού προστίμου δεν υπερβαίνει το ποσό που ορίζεται για τη βαρύτερη παράβαση.
Άρθρο 40.- Δικαστική προστασία κατά υπεύθυνου επεξεργασίας ή εκτελούντος την επεξεργασία
1. Οι αγωγές του υποκειμένου των δεδομένων κατά του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία λόγω παραβίασης των διατάξεων για την προστασία των δεδομένων εντός του πεδίου εφαρμογής του ΓΚΠΔ ή των δικαιωμάτων του υποκειμένου που περιέχονται σε αυτόν εισάγονται στο πολιτικό δικαστήριο στην περιφέρεια του οποίου ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει την εγκατάστασή του. Οι αγωγές του προηγούμενου εδαφίου μπορούν να εισαχθούν και στο πολιτικό δικαστήριο, στην περιφέρεια του οποίου, το υποκείμενο των δεδομένων έχει τη συνήθη διαμονή του.
2. Η προηγούμενη παράγραφος δεν εφαρμόζεται στις αγωγές κατά δημοσίων αρχών, όταν οι αρχές αυτές ασκούν κυριαρχική δημόσια εξουσία που τους έχει ανατεθεί.
3. Εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία έχει ορίσει εκπρόσωπο, σύμφωνα με το άρθρο 27 παράγραφος 1 του ΓΚΠΔ, ο εν λόγω εκπρόσωπος θεωρείται αντίκλητος για όλες τις επιδόσεις που γίνονται στο πλαίσιο της πολιτικής δίκης σύμφωνα με την παράγραφο 1.
Άρθρο 41.- Εκπροσώπηση υποκειμένου των δεδομένων
1. Όταν το υποκείμενο των δεδομένων θεωρεί ότι η επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορά παραβιάζει τις διατάξεις του ΓΚΠΔ ή του Κεφαλαίου Γ΄ του παρόντος νόμου έχει το δικαίωμα να αναθέσει σε μη κερδοσκοπικό φορέα, οργανισμό, οργάνωση ή σωματείο ή ένωση προσώπων χωρίς νομική προσωπικότητα μη κερδοσκοπικού χαρακτήρα που έχει συσταθεί και λειτουργεί νομίμως στην Ελληνική Επικράτεια, οι στόχοι του είναι προς το δημόσιο συμφέρον και δραστηριοποιείται στον τομέα προστασίας των δικαιωμάτων και των ελευθεριών των υποκειμένων των δεδομένων σε σχέση με την προστασία των δεδομένων προσωπικού χαρακτήρα, να υποβάλει στο όνομά του ενώπιον της Αρχής καταγγελία σύμφωνα με το άρθρο 77 του ΓΚΠΔ και να ασκήσει στο όνομά του τα δικαιώματα που αναφέρονται στο άρθρο 78 του ΓΚΠΔ και του άρθρου 20 του παρόντος νόμου.
2. Η ανάθεση της εκπροσώπησης κατά την παράγραφο 1 γίνεται με ειδική έγγραφη εξουσιοδότηση, η οποία φέρει το γνήσιο της υπογραφής του αναθέτοντος σύμφωνα με το άρθρο 11 παράγραφος 1 εδάφιο α’ του Κώδικα Διοικητικής Διαδικασίας (ν. 2690/1999, Α’ 45). Η ανάκληση της ανάθεσης αυτής δύναται να γίνει οποτεδήποτε, εν όλω ή εν μέρει.
Άρθρο 42.- Πρόσβαση του κοινού σε έγγραφα
1. Η εφαρμογή των διατάξεων του άρθρου 5 του Κώδικα Διοικητικής Διαδικασίας που αφορούν στη χορήγηση εγγράφων από φορείς του δημόσιου τομέα που εμπίπτουν στο πεδίο εφαρμογής του άρθρου 1 του ανωτέρω Κώδικα, καθώς και των λοιπών διατάξεων που αφορούν στη χορήγηση εγγράφων από τον εκάστοτε φορέα ή αρχή ή υπηρεσία παραμένει ανεπηρέαστη, όταν περιεχόμενο των εγγράφων αυτών αποτελούν δεδομένα προσωπικού χαρακτήρα.
2. Η εφαρμογή των διατάξεων του άρθρου 22 του Κώδικα Οργανισμού Δικαστηρίων και Κατάστασης Δικαστικών Λειτουργών (ν. 1756/1988,Α΄35) παραμένει ανεπηρέαστη.
ΚΕΦΑΛΑΙΟ Δ΄.- ΕΝΣΩΜΑΤΩΣΗ ΣΤΗΝ ΕΘΝΙΚΗ ΝΟΜΟΘΕΣΙΑ ΤΗΣ ΟΔΗΓΙΑΣ (2016/680)
ΤΜΗΜΑ I.- ΠΕΔΙΟ ΕΦΑΡΜΟΓΗΣ – ΓΕΝΙΚΕΣ ΑΡΧΕΣ
Άρθρο 43.- Πεδίο εφαρμογής (άρθρα 1 και 2 της Οδηγίας)
Οι διατάξεις του παρόντος Κεφαλαίου εφαρμόζονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από δημόσιες αρχές που είναι αρμόδιες για την πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων ή την εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους. Στις ως άνω περιπτώσεις οι δημόσιες αρχές θεωρούνται πάντοτε ως υπεύθυνοι επεξεργασίας. Όπου στο παρόν Κεφάλαιο περιλαμβάνονται διατάξεις για τους εκτελούντες την επεξεργασία, οι διατάξεις του εφαρμόζονται και σε αυτούς.
Άρθρο 44.- Ορισμοί (άρθρο 3 της Οδηγίας)
1. Για τους σκοπούς του παρόντος Κεφαλαίου νοούνται ως:
α) «δεδομένα προσωπικού χαρακτήρα»: κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο («υποκείμενο των δεδομένων»), το ταυτοποιήσιμο φυσικό πρόσωπο είναι εκείνο του οποίου η ταυτότητα μπορεί να εξακριβωθεί, άμεσα ή έμμεσα, ιδίως μέσω αναφοράς σε αναγνωριστικό στοιχείο ταυτότητας, όπως σε όνομα, σε αριθμό ταυτότητας, σε δεδομένα θέσης, σε επιγραμμικό αναγνωριστικό ταυτότητας ή σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του εν λόγω φυσικού προσώπου·
β) «επεξεργασία»: κάθε πράξη ή σειρά πράξεων που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα προσωπικού χαρακτήρα ή σε σύνολα δεδομένων προσωπικού χαρακτήρα, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή·
γ) «περιορισμός της επεξεργασίας»: η επισήμανση αποθηκευμένων δεδομένων προσωπικού χαρακτήρα με στόχο τον περιορισμό της επεξεργασίας τους στο μέλλον·
δ) «κατάρτιση προφίλ»: οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, στην οικονομική κατάσταση, στην υγεία, στις προσωπικές προτιμήσεις, στα ενδιαφέροντα, στην αξιοπιστία, στη συμπεριφορά, στη θέση ή στις μετακινήσεις τού εν λόγω φυσικού προσώπου·
ε) «ψευδωνυμοποίηση»: η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τρόπο ώστε τα δεδομένα προσωπικού χαρακτήρα να μην μπορούν πλέον να αποδοθούν σε συγκεκριμένο υποκείμενο των δεδομένων χωρίς τη χρήση συμπληρωματικών πληροφοριών, εφόσον οι εν λόγω συμπληρωματικές πληροφορίες διατηρούνται χωριστά και υπόκεινται σε τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλιστεί ότι τα δεδομένα Προσωπικού Χαρακτήρα δεν μπορούν να αποδοθούν σε ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο·
στ) «σύστημα αρχειοθέτησης»: κάθε διαρθρωμένο σύνολο δεδομένων προσωπικού χαρακτήρα τα οποία είναι προσβάσιμα με γνώμονα συγκεκριμένα κριτήρια, είτε το σύνολο αυτό είναι συγκεντρωμένο είτε αποκεντρωμένο είτε κατανεμημένο σε λειτουργική ή γεωγραφική βάση·
ζ) «υπεύθυνος επεξεργασίας»: η δημόσια αρχή η οποία, μόνη ή από κοινού με άλλους, καθορίζει τους σκοπούς και τον τρόπο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·
η) «εκτελών την επεξεργασία»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή ή άλλος φορέας που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπεύθυνου επεξεργασίας·
θ) «αποδέκτης»: το φυσικό ή νομικό πρόσωπο, η δημόσια αρχή, η υπηρεσία ή άλλος φορέας, προς τα οποία κοινολογούνται τα δεδομένα προσωπικού χαρακτήρα, είτε πρόκειται για τρίτον είτε όχι. Ωστόσο, οι δημόσιες αρχές που ενδέχεται να λάβουν δεδομένα προσωπικού χαρακτήρα στο πλαίσιο συγκεκριμένης έρευνας σύμφωνα με το ενωσιακό ή άλλο δίκαιο δεν θεωρούνται ως αποδέκτες· η επεξεργασία των δεδομένων αυτών από τις εν λόγω δημόσιες αρχές πραγματοποιείται σύμφωνα με τους ισχύοντες κανόνες προστασίας δεδομένων ανάλογα με τους σκοπούς της επεξεργασίας·
ι) «παραβίαση δεδομένων προσωπικού χαρακτήρα»: η παραβίαση της ασφάλειας που οδηγεί σε τυχαία ή παράνομη καταστροφή, απώλεια, μεταβολή, άνευ άδειας κοινολόγηση ή πρόσβαση δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία·
ια) «γενετικά δεδομένα»: τα δεδομένα προσωπικού χαρακτήρα που αφορούν στα γενετικά χαρακτηριστικά φυσικού προσώπου που κληρονομήθηκαν ή αποκτήθηκαν, όπως προκύπτουν, ιδίως, από ανάλυση βιολογικού δείγματος του εν λόγω φυσικού προσώπου και τα οποία παρέχουν μοναδικές πληροφορίες σχετικά με τη φυσιολογία ή την υγεία του εν λόγω φυσικού προσώπου·
ιβ) «βιομετρικά δεδομένα»: δεδομένα προσωπικού χαρακτήρα τα οποία προκύπτουν από ειδική τεχνική επεξεργασία συνδεόμενη με φυσικά, βιολογικά ή συμπεριφορικά χαρακτηριστικά φυσικού προσώπου, και τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση του εν λόγω φυσικού προσώπου, όπως εικόνες προσώπου ή δακτυλοσκοπικά δεδομένα·
ιγ) «δεδομένα που αφορούν στην υγεία»: δεδομένα προσωπικού χαρακτήρα τα οποία σχετίζονται με τη σωματική ή ψυχική υγεία ενός φυσικού προσώπου, περιλαμβανομένης της παροχής υπηρεσιών υγειονομικής φροντίδας, και τα οποία αποκαλύπτουν πληροφορίες σχετικά με την κατάσταση της υγείας του·
ιδ) «ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα»: δεδομένα Προσωπικού Χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση, γενετικά δεδομένα, βιομετρικά δεδομένα για την αδιαμφισβήτητη ταυτοποίηση ενός φυσικού προσώπου, δεδομένα που αφορούν την υγεία, δεδομένα που αφορούν τη σεξουαλική ζωή ή τον σεξουαλικό προσανατολισμό φυσικού προσώπου·
ιε) «εποπτική αρχή»: Ανεξάρτητη διοικητική αρχή, η οποία έχει συσταθεί από το κράτος-μέλος σύμφωνα με το άρθρο 41 της Οδηγίας (ΕΕ) 2016/680·
ιστ) «διεθνής οργανισμός»: οργανισμός και οι υπαγόμενοι σε αυτόν φορείς που διέπονται από το δημόσιο διεθνές δίκαιο ή οποιοσδήποτε άλλος φορέας που έχει ιδρυθεί δυνάμει ή επί τη βάση συμφωνίας μεταξύ δύο ή περισσότερων χωρών·
ιζ) «συγκατάθεση»: κάθε οικειοθελής, για τις ανάγκες της συγκεκριμένης περίστασης, αδιαμφισβήτητη και μετά από ενημέρωση του υποκειμένου σαφής ένδειξη της επιθυμίας του με την οποία εκδηλώνει με δήλωση ή σαφή θετική ενέργεια ότι συμφωνεί να αποτελέσουν αντικείμενο επεξεργασίας τα δεδομένα προσωπικού χαρακτήρα που το αφορούν.
Άρθρο 45.- Γενικές Αρχές (άρθρο 4 της Οδηγίας)
1. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να:
α) υποβάλλονται σε σύννομη και δίκαιη επεξεργασία·
β) συλλέγονται για καθορισμένους, σαφείς και νόμιμους σκοπούς και δεν υποβάλλονται σε επεξεργασία κατά τρόπο ασύμβατο προς τους σκοπούς αυτούς·
γ) είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία·
δ) είναι ακριβή και, όταν απαιτείται, επικαιροποιούνται, λαμβάνονται όλα τα εύλογα μέτρα που προβλέπονται από τις κείμενες διατάξεις, τα οποία διασφαλίζουν τη χωρίς καθυστέρηση διαγραφή ή διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα, λαμβανομένων υπόψη των σκοπών της επεξεργασίας·
ε) διατηρούνται σε μορφή που επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων των δεδομένων για χρονικό διάστημα όχι μεγαλύτερο από αυτό που είναι αναγκαίο για την επίτευξη των σκοπών για τους οποίους υποβάλλονται σε επεξεργασία·
στ) υποβάλλονται σε επεξεργασία, κατά τρόπο που να εγγυάται τη δέουσα ασφάλειά τους, μεταξύ άλλων την προστασία από μη εγκεκριμένη ή παράνομη επεξεργασία ή τυχαία απώλεια, καταστροφή ή φθορά, με χρήση κατάλληλων τεχνικών ή οργανωτικών μέτρων.
2. Ο υπεύθυνος επεξεργασίας, οφείλει να είναι σε θέση να αποδείξει την τήρηση των υποχρεώσεών του, σύμφωνα με την προηγούμενη παράγραφο.
ΤΜΗΜΑ II.- ΝΟΜΙΚΕΣ ΒΑΣΕΙΣ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ
Άρθρο 46.- Επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα (άρθρο 10 της Οδηγίας)
1. Η επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα επιτρέπεται μόνο όταν είναι απολύτως αναγκαία για την ενάσκηση των καθηκόντων του υπεύθυνου επεξεργασίας.
2. Όταν υποβάλλονται σε επεξεργασία ειδικών κατηγοριών δεδομένα προσωπικού χαρακτήρα, εφαρμόζονται οι κατάλληλες διασφαλίσεις για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων. Οι κατάλληλες διασφαλίσεις μπορεί να είναι ιδίως:
α) ειδικές απαιτήσεις για την ασφάλεια των δεδομένων ή την παρακολούθηση της προστασίας των δεδομένων·
β) ειδικές προθεσμίες εντός των οποίων τα δεδομένα πρέπει να επανεξετάζονται για διαγραφή·
γ) μέτρα για την ενδυνάμωση της ευαισθητοποίησης του προσωπικού που συμμετέχει στις εργασίες επεξεργασίας·
δ) περιορισμοί στην πρόσβαση σε δεδομένα προσωπικού χαρακτήρα στο πλαίσιο του υπεύθυνου επεξεργασίας (του αρμόδιου φορέα) ·
ε) επεξεργασία των δεδομένων αυτών με χωροταξικό και οργανωτικό διαχωρισμό·
στ) η ψευδωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα·
ζ) η κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα· ή
η) ειδικοί κώδικες δεοντολογίας για τη διασφάλιση της νόμιμης επεξεργασίας σε περίπτωση διαβίβασης ή επεξεργασίας για άλλους σκοπούς.
Άρθρο 47.- Επεξεργασία για άλλους σκοπούς (άρθρο 4 της Οδηγίας)
Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπό διαφορετικό από εκείνον για τον οποίο έχουν συλλεγεί, επιτρέπεται εάν ο άλλος σκοπός είναι ένας από τους σκοπούς που αναφέρονται στο άρθρο 43, ο υπεύθυνος επεξεργασίας είναι εξουσιοδοτημένος να επεξεργάζεται δεδομένα για το σκοπό αυτό και η επεξεργασία που διενεργείται είναι απαραίτητη και ανάλογη προς τον σκοπό αυτό. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα για άλλο σκοπό, που δεν αναφέρεται στο άρθρο 43, επιτρέπεται εφόσον προβλέπεται ρητώς στον νόμο.
Άρθρο 48.- Επεξεργασία για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς (άρθρο 4 της Οδηγίας)
Τα δεδομένα προσωπικού χαρακτήρα μπορούν να υποβάλλονται σε επεξεργασία στο πλαίσιο των σκοπών που αναφέρονται στο άρθρο 43 για σκοπούς αρχειοθέτησης προς το δημόσιο συμφέρον ή σκοπούς επιστημονικής ή ιστορικής έρευνας ή στατιστικούς σκοπούς, εάν αυτό είναι προς το δημόσιο συμφέρον και εφαρμόζονται οι κατάλληλες διασφαλίσεις για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων. Οι εν λόγω διασφαλίσεις μπορούν να συνίστανται στην ανωνυμοποίηση των δεδομένων προσωπικού χαρακτήρα το ταχύτερο δυνατόν, τη λήψη μέτρων για την αποτροπή μη εξουσιοδοτημένης πρόσβασης τρίτων ή την επεξεργασία τους με χωροταξικό και οργανωτικό διαχωρισμό από άλλα εξειδικευμένα καθήκοντα.
Άρθρο 49.- Συγκατάθεση
1. Στον βαθμό που η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να γίνει, σύμφωνα με τον νόμο, βάσει συγκατάθεσης, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει την παροχή συγκατάθεσης του υποκειμένου των δεδομένων.
2. Σε περίπτωση που η συγκατάθεση του υποκειμένου των δεδομένων παρέχεται στο πλαίσιο γραπτής δήλωσης η οποία αφορά και άλλα θέματα, η αίτηση για λήψη της συγκατάθεσης πρέπει να παρουσιάζεται κατά τρόπο διακριτό από τα άλλα θέματα, σε μία εύληπτη και ευχερώς προσβάσιμη μορφή και με χρήση απλής και κατανοητής γλώσσας.
3. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ανακαλέσει τη συγκατάθεσή του ανά πάσα στιγμή. Η ανάκληση της συγκατάθεσης δεν θίγει τη νομιμότητα της επεξεργασίας με βάση τη συγκατάθεση που παρασχέθηκε πριν από την ανάκλησή της. Το υποκείμενο των δεδομένων ενημερώνεται για αυτό το δικαίωμά του πριν από την παροχή της συγκατάθεσής του.
4. Η συγκατάθεση παράγει τα έννομα αποτελέσματά της μόνο όταν βασίζεται στην ελεύθερη βούληση του υποκειμένου των δεδομένων. Κατά την αξιολόγηση εάν η συγκατάθεση παρεσχέθη ελεύθερα, πρέπει να λαμβάνονται υπόψη οι περιστάσεις υπό τις οποίες αυτή παρεσχέθη. Το υποκείμενο των δεδομένων ενημερώνεται για τον επιδιωκόμενο σκοπό της επεξεργασίας. Εάν είναι απαραίτητο σύμφωνα με τις περιστάσεις της συγκεκριμένης υπόθεσης ή κατόπιν αιτήματος, το υποκείμενο των δεδομένων ενημερώνεται επίσης για τις συνέπειες της άρνησης της συγκατάθεσης.
5. Σε περίπτωση ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα, η συγκατάθεση πρέπει να αναφέρεται ρητώς στα δεδομένα αυτά.
Άρθρο 50.- Επεξεργασία υπό την εποπτεία του υπεύθυνου επεξεργασίας (άρθρο 23 της Οδηγίας)
Κάθε πρόσωπο που ενεργεί υπό την εποπτεία του υπεύθυνου επεξεργασίας ή του εκτελούντος την επεξεργασία, ο οποίος έχει πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, επεξεργάζεται τα δεδομένα αυτά σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας, εκτός εάν ο νόμος ορίζει άλλως.
Άρθρο 51.- Εμπιστευτικότητα
Όλα τα πρόσωπα που απασχολούνται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα τα επεξεργάζονται μετά από άδεια και υποχρεούνται κατά την ανάληψη των καθηκόντων τους στη διατήρηση της εμπιστευτικότητας. Η υποχρέωση τήρησης εμπιστευτικότητας συνεχίζεται μετά τη λήξη της απασχόλησής τους.
Άρθρο 52.- Αυτοματοποιημένη ατομική λήψη αποφάσεων (άρθρο 11 της Οδηγίας)
1. Η λήψη απόφασης που βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία, η οποία παράγει δυσμενή έννομα αποτελέσματα στο υποκείμενο των δεδομένων ή το επηρεάζει σημαντικά, επιτρέπεται μόνον εφόσον προβλέπεται από τον νόμο.
2. Οι αποφάσεις που αναφέρονται στην προηγούμενη παράγραφο δεν εφαρμόζονται σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, εκτός εάν υφίστανται κατάλληλα μέτρα για τη διαφύλαξη των έννομων συμφερόντων του υποκειμένου των δεδομένων.
3. Απαγορεύεται η κατάρτιση προφίλ που οδηγεί σε διακρίσεις σε βάρος φυσικών προσώπων βάσει ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.
ΤΜΗΜΑ ΙΙΙ.- ΔΙΚΑΙΩΜΑΤΑ ΤΟΥ ΥΠΟΚΕΙΜΕΝΟΥ ΤΩΝ ΔΕΔΟΜΕΝΩΝ
Άρθρο 53.- Γενικές πληροφορίες σχετικά με την επεξεργασία δεδομένων (άρθρα 12 και 13 της Οδηγίας)
Ο υπεύθυνος επεξεργασίας παρέχει γενικές και ευχερώς προσβάσιμες στο κοινό πληροφορίες σε απλή και κατανοητή γλώσσα και μέσω του διαδικτυακού τόπου της δημόσιας αρχής αναφορικά με:
α) τους σκοπούς της επεξεργασίας,
β) το δικαίωμα του υποκειμένου να ζητήσει από τον υπεύθυνο επεξεργασίας πρόσβαση, διόρθωση, διαγραφή ή περιορισμό της επεξεργασίας,
γ) την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και του ΥΠΔ,
δ) το δικαίωμα υποβολής καταγγελίας στην Αρχή, και
ε) τα στοιχεία επικοινωνίας της Αρχής.
Άρθρο 54.- Δικαίωμα ενημέρωσης του υποκειμένου (άρθρο 13 της Οδηγίας)
1. Σε ειδικές περιπτώσεις και ιδίως όταν η συλλογή των δεδομένων του υποκειμένου πραγματοποιήθηκε υπό συνθήκες μυστικότητας, και προκειμένου να καταστεί δυνατή η άσκηση των δικαιωμάτων του, το υποκείμενο θα πρέπει, επιπλέον των πληροφοριών του προηγούμενου άρθρου, τουλάχιστον να ενημερώνεται για:
α) τη νομική βάση της επεξεργασίας·
β) την περίοδο για την οποία θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, εάν αυτό δεν είναι δυνατόν, τα κριτήρια που χρησιμοποιήθηκαν για τον καθορισμό της εν λόγω περιόδου·
γ) τους αποδέκτες των δεδομένων προσωπικού χαρακτήρα, εάν υπάρχουν·
δ) όταν είναι απαραίτητο, να του παρέχονται επιπλέον πληροφορίες, ιδίως όταν τα δεδομένα προσωπικού χαρακτήρα συλλέχθηκαν εν αγνοία του.
2. Στις περιπτώσεις της προηγούμενης παραγράφου, ο υπεύθυνος επεξεργασίας μπορεί να καθυστερήσει, να περιορίσει ή να παραλείψει την ενημέρωση του υποκειμένου εφ’ όσον αυτό είναι αναγκαίο:
α) για την εκτέλεση των καθηκόντων των αρμοδίων αρχών, όπως αυτά περιγράφονται στο άρθρο 43,
β) για την εθνική ασφάλεια ή τη δημόσια ασφάλεια, ή
γ) για την προστασία των έννομων συμφερόντων τρίτων, τα οποία θα απειλούνταν διαφορετικά, εάν το συμφέρον για την αποφυγή αυτών των απειλών υπερισχύει έναντι του συμφέροντος του υποκειμένου των δεδομένων να τύχει ενημέρωσης.
3. Οι διατάξεις της παραγράφου 7 του επόμενου άρθρου εφαρμόζονται και για τους περιορισμούς της προηγούμενης παραγράφου.
Άρθρο 55.- Δικαίωμα πρόσβασης (άρθρα 14 και 15 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας ενημερώνει, κατόπιν αιτήσεώς του, το υποκείμενο των δεδομένων για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που το αφορούν. Το υποκείμενο των δεδομένων ενημερώνεται, επίσης, για:
α) τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία και τις κατηγορίες στις οποίες ανήκουν·
β) τις διαθέσιμες πληροφορίες σχετικά με την προέλευση των δεδομένων·
γ) τους σκοπούς και τη νομική βάση για την επεξεργασία·
δ) τους αποδέκτες ή τις κατηγορίες αποδεκτών στους οποίους κοινοποιήθηκαν τα δεδομένα, ιδίως τους αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς·
ε) την περίοδο για την οποία θα αποθηκευτούν τα δεδομένα προσωπικού χαρακτήρα ή, εάν αυτό δεν είναι δυνατόν, τα κριτήρια που χρησιμοποιήθηκαν για τον καθορισμό της εν λόγω περιόδου·
στ) τη δυνατότητα άσκησης του δικαιώματος διόρθωσης ή διαγραφής ή περιορισμού της επεξεργασίας δεδομένων προσωπικού χαρακτήρα·
ζ) το δικαίωμα κατ’ εφαρμογή του άρθρου 58 να υποβάλει καταγγελία στην Αρχή· και
η) τα στοιχεία επικοινωνίας της Αρχής.
2. Η προηγούμενη παράγραφος δεν εφαρμόζεται στα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία μόνο επειδή δεν μπορούν να διαγραφούν λόγω νομικών απαιτήσεων διατήρησης ή εξυπηρετούν αποκλειστικά σκοπούς ασφάλειας των δεδομένων ή ελέγχων προστασίας των δεδομένων, εάν η παροχή πληροφοριών απαιτεί δυσανάλογη προσπάθεια και η επεξεργασία για άλλους σκοπούς μέσω ενδεδειγμένων τεχνικών και οργανωτικών μέτρων αποκλείεται.
3. Δεν παρέχονται πληροφορίες, εάν το υποκείμενο των δεδομένων δεν παρέχει πληροφορίες που να επιτρέπουν ανεύρεση των δεδομένων του και, κατά συνέπεια, η απαιτούμενη προσπάθεια είναι δυσανάλογη έναντι του συμφέροντος του υποκειμένου των δεδομένων για παροχή πληροφοριών.
4. Στις περιπτώσεις της παραγράφου 2 του προηγούμενου άρθρου, ο υπεύθυνος επεξεργασίας μπορεί να αρνηθεί την παροχή πληροφοριών σύμφωνα με το πρώτο εδάφιο της παραγράφου 1 ή να περιορίσει, εν όλω ή εν μέρει, την ενημέρωση σύμφωνα με το δεύτερο εδάφιο της παραγράφου 1.
5. Δεν γνωστοποιείται στο υποκείμενο των δεδομένων η ταυτότητα των φυσικών προσώπων από τα οποία προήλθαν τα δεδομένα προσωπικού χαρακτήρα, όταν η πληροφόρηση αυτή μπορεί να θέσει σε κίνδυνο τη ζωή ή τη σωματική ακεραιότητα και τις θεμελιώδεις ελευθερίες τους, καθώς και όταν πρόκειται για προστατευόμενους μάρτυρες ή πληροφοριοδότες.
6. Ο υπεύθυνος επεξεργασίας γνωστοποιεί εγγράφως και χωρίς καθυστέρηση στο υποκείμενο των δεδομένων την απόφασή του με την οποία αρνείται ή περιορίζει την πρόσβαση. Η ανωτέρω υποχρέωση γνωστοποίησης του υπεύθυνου επεξεργασίας δεν ισχύει όταν η παροχή των εν λόγω πληροφοριών συνεπάγεται κίνδυνο σύμφωνα με την παράγραφο 2 του προηγούμενου άρθρου. Η ανωτέρω γνωστοποίηση περιλαμβάνει τους πραγματικούς ή νομικούς λόγους στους οποίους βασίζεται η άρνηση ή ο περιορισμός, εκτός εάν η ανωτέρω αιτιολόγηση θα έβλαπτε τον επιδιωκόμενο σκοπό της άρνησης ή του περιορισμού της πρόσβασης.
7. Το υποκείμενο των δεδομένων σε περίπτωση άρνησης ή περιορισμού της πρόσβασης, σύμφωνα με την προηγούμενη παράγραφο, ενημερώνεται για τη δυνατότητα άσκησης του δικαιώματος πρόσβασης μέσω της Αρχής και ειδικότερα για την σύμφωνα με το άρθρο 58 δυνατότητα υποβολής καταγγελίας στην Αρχή και την άσκηση αιτήσεως ακυρώσεως κατά της απορριπτικής απόφασης της Αρχής, ενώπιον του Συμβουλίου της Επικρατείας. Η απόφαση του υπεύθυνου επεξεργασίας διαβιβάζεται στην Αρχή, εκτός και εάν αυτός επικαλεσθεί λόγους εθνικής ασφάλειας. Στην περίπτωση της καταγγελίας ενώπιον της Αρχής, η τελευταία ερευνά τη συνδρομή των προϋποθέσεων του περιορισμού του δικαιώματος και ενημερώνει το υποκείμενο, τουλάχιστον ότι έλαβαν χώρα όλες οι αναγκαίες επαληθεύσεις ή η επανεξέταση από αυτή, καθώς και εάν παραβιάσθηκαν οι διατάξεις σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα.
8. Ο υπεύθυνος επεξεργασίας τεκμηριώνει τους πραγματικούς και νομικούς λόγους στους οποίους βασίζεται η απόφασή του.
Άρθρο 56.- Δικαίωμα διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα και περιορισμοί ως προς την επεξεργασία (άρθρο 16 της Οδηγίας)
1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητήσει από τον υπεύθυνο επεξεργασίας τη χωρίς καθυστέρηση διόρθωση ανακριβών δεδομένων προσωπικού χαρακτήρα που το αφορούν. Ειδικότερα, στην περίπτωση δηλώσεων ή αποφάσεων, το ζήτημα της ακρίβειας δεν έχει σημασία για το περιεχόμενο της δήλωσης ή της απόφασης. Εάν η ακρίβεια ή η ανακρίβεια των δεδομένων προσωπικού χαρακτήρα δεν μπορεί να διαπιστωθεί, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία αντί να διαγράψει τα δεδομένα. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων πριν προβεί ξανά στον περιορισμό. Το υποκείμενο των δεδομένων μπορεί επίσης να ζητήσει τη συμπλήρωση ελλιπών δεδομένων προσωπικού χαρακτήρα, εάν αυτό, λαμβάνοντας υπόψη τους σκοπούς της επεξεργασίας, είναι εύλογο.
2. Το υποκείμενο των δεδομένων έχει το δικαίωμα να ζητά χωρίς καθυστέρηση από τον υπεύθυνο επεξεργασίας τη διαγραφή δεδομένων προσωπικού χαρακτήρα που το αφορούν, όταν η επεξεργασία τους παραβιάζει τις διατάξεις του παρόντος Κεφαλαίου, η γνώση των δεδομένων αυτών δεν είναι πλέον απαραίτητη για την εκτέλεση καθηκόντων ή τα δεδομένα αυτά πρέπει να έχουν διαγραφεί, προκειμένου ο υπεύθυνος επεξεργασίας να εκπληρώσει νόμιμη υποχρέωσή του.
3. Αντί της διαγραφής, ο υπεύθυνος επεξεργασίας περιορίζει την επεξεργασία, όταν:
α) υπάρχει λόγος να υποτεθεί ότι η διαγραφή θα έβλαπτε τα έννομα συμφέροντα του υποκειμένου των δεδομένων,
β) τα δεδομένα προσωπικού χαρακτήρα επιβάλλεται να διατηρηθούν, εφόσον χρησιμεύουν ως αποδεικτικά μέσα για τους σκοπούς του άρθρου 43, ή
γ) η διαγραφή θα ήταν αδύνατη ή θα συνεπαγόταν δυσανάλογη προσπάθεια λόγω του ειδικού τρόπου αποθήκευσης.
Τα δεδομένα προσωπικού χαρακτήρα που υπόκεινται στην περιορισμένη επεξεργασία κατά τα ανωτέρω μπορούν να υποβληθούν σε επεξεργασία μόνο για τον σκοπό που εμπόδισε τη διαγραφή τους.
4. Στα συστήματα αυτοματοποιημένης αρχειοθέτησης, τεχνικά μέτρα πρέπει να εξασφαλίζουν ότι ο περιορισμός της επεξεργασίας είναι ευδιάκριτος και ότι η επεξεργασία για άλλους σκοπούς δεν είναι δυνατή χωρίς περαιτέρω εξέταση.
5. Όταν ο υπεύθυνος επεξεργασίας έχει διορθώσει ανακριβή δεδομένα προσωπικού χαρακτήρα κοινοποιεί τη διόρθωση στον φορέα από τον οποίο τα έλαβε. Σε περίπτωση διόρθωσης, διαγραφής ή περιορισμού της επεξεργασίας σύμφωνα με τις παραγράφους 1 έως και 3, ο υπεύθυνος επεξεργασίας ενημερώνει τους αποδέκτες στους οποίους διαβιβάσθηκαν τα δεδομένα προσωπικού χαρακτήρα σχετικά με τα μέτρα αυτά. Ο αποδέκτης διορθώνει ή διαγράφει τα δεδομένα προσωπικού χαρακτήρα ή περιορίζει την επεξεργασία τους.
6. Ο υπεύθυνος επεξεργασίας ενημερώνει εγγράφως το υποκείμενο των δεδομένων για οποιαδήποτε άρνηση διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας τους. Αυτό δεν ισχύει όταν η παροχή των εν λόγω πληροφοριών συνεπάγεται κίνδυνο σύμφωνα με την παράγραφο 2 του άρθρου 54. Οι πληροφορίες που προβλέπονται στο προηγούμενο εδάφιο περιλαμβάνουν τους λόγους της άρνησης, εκτός εάν οι λόγοι αυτοί θέτουν σε κίνδυνο τον επιδιωκόμενο σκοπό της άρνησης.
7. Κατά τα λοιπά εφαρμόζονται αναλόγως οι παράγραφοι 7 και 8 του προηγούμενου άρθρου.
Άρθρο 57.- Τρόπος άσκησης των δικαιωμάτων του υποκειμένου των δεδομένων (άρθρο 12 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας επικοινωνεί με το υποκείμενο των δεδομένων σε συνοπτική, κατανοητή και ευχερώς προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση, ιδίως όταν απευθύνεται σε ανηλίκους. Οι πληροφορίες, επιφυλασσομένων ειδικών διατάξεων, παρέχονται με κάθε κατάλληλο μέσο, συμπεριλαμβανομένων και των ηλεκτρονικών μέσων. Ο υπεύθυνος επεξεργασίας οφείλει να παρέχει τις πληροφορίες στη μορφή που υποβλήθηκε το αίτημα.
2. Με την επιφύλαξη της παραγράφου 5 του άρθρου 55 και της παραγράφου 6 του άρθρου 56 ο υπεύθυνος επεξεργασίας ενημερώνει χωρίς καθυστέρηση το υποκείμενο των δεδομένων για την πορεία της αίτησής του.
3. Οι πληροφορίες που παρέχονται σύμφωνα με το άρθρο 53, κάθε επικοινωνία που πραγματοποιείται σύμφωνα με τα άρθρα 54 και 64, καθώς και οι αιτήσεις που υποβάλλονται σε επεξεργασία σύμφωνα με τα άρθρα 55 και 56, δεν υπόκεινται σε τέλος. Όταν μια αίτηση σύμφωνα με τα άρθρα 55 και 56 είναι προδήλως αβάσιμη ή ασκείται καταχρηστικά, ο υπεύθυνος επεξεργασίας μπορεί να επιβάλει ένα εύλογο τέλος βάσει των διοικητικών του εξόδων ή μπορεί να αρνηθεί να ενεργήσει βάσει του αιτήματος. Στην περίπτωση αυτή, ο υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει τον προδήλως αβάσιμο ή καταχρηστικό χαρακτήρα της αίτησης.
4. Όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του υποκειμένου των δεδομένων που υποβάλλει την αίτηση σύμφωνα με τα άρθρα 55 και 56, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή συμπληρωματικών πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου.
Άρθρο 58.- Δικαίωμα υποβολής καταγγελίας στην Αρχή (άρθρο 17 της Οδηγίας)
1. Το υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στην Αρχή, εάν πιστεύει ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν από δημόσιες αρχές για τους σκοπούς που αναφέρονται στο άρθρο 43 παραβιάζει τα δικαιώματά του. Αυτό δεν ισχύει για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις δικαστικές και εισαγγελικές αρχές, όταν επεξεργάζονται τα δεδομένα αυτά στο πλαίσιο της δικαστικής λειτουργίας και των δικαστικών καθηκόντων τους. Η Αρχή ενημερώνει το υποκείμενο των δεδομένων για την πρόοδο και το αποτέλεσμα της καταγγελίας και για τη δυνατότητα άσκησης αιτήσεως ακυρώσεως ενώπιον του Συμβουλίου της Επικρατείας κατά της απόφασης επί της καταγγελίας του, σύμφωνα με το άρθρο 20.
2. Σε περίπτωση υποβολής καταγγελίας σχετικά με την επεξεργασία ενώπιον της Αρχής, αντί της αρμόδιας εποπτικής αρχής άλλου κράτους – μέλους της Ευρωπαϊκής Ένωσης, η Αρχή πρέπει να διαβιβάσει, χωρίς καθυστέρηση, στην εποπτική αρχή του άλλου κράτους – μέλους της Ευρωπαϊκής Ένωσης, την καταγγελία που εμπίπτει στην αρμοδιότητά της. Στην περίπτωση αυτή, η Αρχή ενημερώνει το υποκείμενο των δεδομένων σχετικά με τη διαβίβαση της καταγγελίας του και του παρέχει κατόπιν αιτήματός του οποιαδήποτε βοήθεια.
Άρθρο 59.- Δικαιώματα του υποκειμένου των δεδομένων σε ποινικές έρευνες και διαδικασίες (άρθρο 18 της Οδηγίας)
Στο πλαίσιο ποινικής έρευνας και διαδικασίας, τα δικαιώματα ενημέρωσης για την πεξεργασία, πρόσβασης, διόρθωσης ή διαγραφής και περιορισμού των δεδομένων προσωπικού χαρακτήρα, κατά τις διατάξεις των άρθρων 54 έως και 56, ασκούνται σύμφωνα με όσα ορίζουν οι διατάξεις του Κώδικα Ποινικής Δικονομίας, ειδικές δικονομικές διατάξεις και ο Κώδικας Οργανισμού Δικαστηρίων και Κατάστασης Δικαστικών Λειτουργών (ΚΟΔΚΔΛ),όπως κάθε φορά ισχύουν.
ΤΜΗΜΑ ΙV.- ΥΠΟΧΡΕΩΣΕΙΣ ΕΚΤΕΛΟΥΝΤΟΣ ΤΗΝ ΕΠΕΞΕΡΓΑΣΙΑ ΚΑΙ ΥΠΕΥΘΥΝΟΥ ΕΠΕΞΕΡΓΑΣΙΑΣ
Άρθρο 60.- Εκτελών την επεξεργασία (άρθρα 22 και 23 της Οδηγίας)
1. Όταν η επεξεργασία διενεργείται για λογαριασμό υπεύθυνου επεξεργασίας, αυτός μεριμνά για την τήρηση των υποχρεώσεων που απορρέουν από τον παρόντα νόμο και από άλλες διατάξεις σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα. Το δικαίωμα του υποκειμένου για ενημέρωση, διόρθωση, διαγραφή και περιορισμό της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, καθώς και η αξίωση αποζημίωσης στην περίπτωση αυτή ασκούνται έναντι του υπεύθυνου επεξεργασίας.
2. Ο υπεύθυνος επεξεργασίας επιτρέπεται να αναθέσει την επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνο σε εκτελούντες την επεξεργασία, οι οποίοι εξασφαλίζουν με κατάλληλα τεχνικά και οργανωτικά μέτρα ότι η επεξεργασία διενεργείται σύμφωνα με τον νόμο και ότι διασφαλίζεται η προστασία των δικαιωμάτων των υποκειμένων επεξεργασίας.
3. Η επεξεργασία μέσω εκτελούντος την επεξεργασία πρέπει να βασίζεται σε σύμβαση ή άλλη νομική πράξη που συνδέει τον εκτελούντα την επεξεργασία με τον υπεύθυνο επεξεργασίας, η οποία καθορίζει το αντικείμενο, τη διάρκεια, τη φύση και το σκοπό της επεξεργασίας, τη φύση των δεδομένων προσωπικού χαρακτήρα, τις κατηγορίες των υποκειμένων και τα δικαιώματα και τις υποχρεώσεις του υπεύθυνου προσώπου. Η σύμβαση ή άλλη νομική πράξη προβλέπει ιδίως ότι ο εκτελών την επεξεργασία:
α) ενεργεί μόνο κατ’ εντολή και σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας, εάν ο εκτελών την επεξεργασία θεωρεί ότι μια εντολή είναι παράνομη, πρέπει να ενημερώσει τον υπεύθυνο επεξεργασίας χωρίς καθυστέρηση·
β) εγγυάται ότι τα πρόσωπα που είναι εξουσιοδοτημένα να επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα είναι υποχρεωμένα να τηρούν την εμπιστευτικότητα, στο μέτρο που αυτά δεν υπόκεινται σε καμία εύλογη νομική υποχρέωση διατήρησης του απορρήτου·
γ) βοηθά με τα κατάλληλα μέσα τον υπεύθυνο επεξεργασίας για τη διασφάλιση των δικαιωμάτων του υποκειμένου των δεδομένων·
δ) μετά την ολοκλήρωση της παροχής των υπηρεσιών επεξεργασίας κατά την κρίση του υπεύθυνου επεξεργασίας επιστρέφει ή διαγράφει όλα τα προσωπικά δεδομένα και καταστρέφει τα υπάρχοντα αντίγραφα, εκτός εάν υπάρχει νομική υποχρέωση αποθήκευσης των δεδομένων·
ε) παρέχει στον υπεύθυνο επεξεργασίας όλες τις απαραίτητες πληροφορίες, ιδίως τις δημιουργηθείσες καταχωρίσεις σύμφωνα με το άρθρο 74, ως απόδειξη συμμόρφωσης με τις υποχρεώσεις του·
στ) επιτρέπει και συμβάλλει στη διενέργεια ελέγχων που διενεργεί ο υπεύθυνος επεξεργασίας ή ο εξουσιοδοτημένος από αυτόν ελεγκτής·
ζ) λαμβάνει όλα τα αναγκαία μέτρα σύμφωνα με το άρθρο 62·
η) λαμβανομένης υπόψη της φύσης της επεξεργασίας και των πληροφοριών που έχει στη διάθεσή του, βοηθά τον υπεύθυνο επεξεργασίας για την τήρηση των υποχρεώσεων που ορίζονται στα άρθρα 62 έως 65 και 67.
4. Σε περίπτωση που ο εκτελών την επεξεργασία αναθέτει σε άλλον εκτελούντα την επεξεργασία, πρέπει να του επιβάλει τις ίδιες υποχρεώσεις σύμφωνα με τη σύμβασή του με τον υπεύθυνο επεξεργασίας, σύμφωνα με την παράγραφο 3, η οποία ισχύει και για τον ίδιο, εκτός εάν οι υποχρεώσεις αυτές δεσμεύουν ήδη τον άλλον εκτελούντα την επεξεργασία βάσει άλλων διατάξεων.
5. Ο εκτελών την επεξεργασία δύναται να αναθέσει την επεξεργασία σε άλλον, μόνο κατόπιν προηγούμενης έγγραφης άδειας του υπεύθυνου επεξεργασίας. Εάν ο υπεύθυνος επεξεργασίας έχει χορηγήσει στον εκτελούντα την επεξεργασία γενική άδεια για τη συμμετοχή και άλλου εκτελούντος την επεξεργασία, ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας για τυχόν αλλαγές, στις οποίες σκοπεύει να προβεί και που αφορούν την ενδεχόμενη συμπλήρωση ή αντικατάσταση άλλων εκτελούντων την επεξεργασία. Ο υπεύθυνος επεξεργασίας δύναται στην περίπτωση αυτή να αρνηθεί αυτές τις αλλαγές.
6. Η σύμβαση που αναφέρεται στην παράγραφο 3 πρέπει να είναι έγγραφη ή ηλεκτρονική.
7. Ο εκτελών την επεξεργασία που καθορίζει τους σκοπούς και τα μέσα επεξεργασίας κατά παράβαση του παρόντος άρθρου θεωρείται υπεύθυνος επεξεργασίας.
Άρθρο 61.- Από κοινού υπεύθυνοι επεξεργασίας (άρθρο 21 της Οδηγίας)
1. Σε περίπτωση που δύο ή περισσότεροι υπεύθυνοι επεξεργασίας καθορίζουν από κοινού τους σκοπούς και τα μέσα της επεξεργασίας, καθίστανται από κοινού υπεύθυνοι επεξεργασίας. Τα καθήκοντα και οι ευθύνες καθενός εκ των από κοινού υπεύθυνων επεξεργασίας ορίζονται με διαφανή τρόπο, με έγγραφη συμφωνία στο βαθμό που τα καθήκοντα και οι ευθύνες τους δεν καθορίζονται από τον νόμο. Συγκεκριμένα, η συμφωνία πρέπει να καθορίζει ποιος πρέπει να εκπληρώσει τις υποχρεώσεις πληροφόρησης και ενώπιον τίνος τα πρόσωπα στα οποία αναφέρονται τα δεδομένα προσωπικού χαρακτήρα μπορούν να ασκήσουν τα δικαιώματά τους.
2. Η ύπαρξη συμφωνίας της προηγούμενης παραγράφου δεν εμποδίζει το υποκείμενο των δεδομένων να ασκήσει τα δικαιώματά του έναντι καθενός εκ των από κοινού υπεύθυνων επεξεργασίας.
Άρθρο 62.- Ασφάλεια επεξεργασίας (άρθρα 19 και 29 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, λαμβανομένων υπόψη της διαθέσιμης τεχνολογίας, του κόστους υλοποίησης, της φύσης, του πεδίου εφαρμογής, των περιστάσεων και των σκοπών της επεξεργασίας, καθώς και της πιθανότητας και σοβαρότητας των κινδύνων επεξεργασίας για τα υποκείμενα των δεδομένων, λαμβάνουν τα απαραίτητα τεχνικά και οργανωτικά μέτρα για να διασφαλίσουν ένα επίπεδο ασφάλειας κατάλληλο για τον κίνδυνο κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ιδίως όσον αφορά την επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα.
2. Τα μέτρα που αναφέρονται στην προηγούμενη παράγραφο μπορεί να περιλαμβάνουν μεταξύ άλλων την ψευδωνυμοποίηση και την κρυπτογράφηση των δεδομένων προσωπικού χαρακτήρα, εφόσον τα εν λόγω μέσα είναι δυνατά για τους σκοπούς της επεξεργασίας. Τα μέτρα σύμφωνα με την παράγραφο 1 πρέπει να διασφαλίζουν:
α) την εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα και ανθεκτικότητα των συστημάτων και υπηρεσιών που σχετίζονται με την επεξεργασία· και
β) τη δυνατότητα να αποκατασταθεί έγκαιρα η διαθεσιμότητα και η πρόσβαση στα δεδομένα προσωπικού χαρακτήρα σε περίπτωση φυσικού ή τεχνικού συμβάντος.
3. Σε σχέση με την αυτοματοποιημένη επεξεργασία, ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, μετά από αξιολόγηση των κινδύνων, εφαρμόζουν μέτρα που έχουν ως σκοπό:
α) την απαγόρευση της πρόσβασης μη εξουσιοδοτημένων προσώπων σε εξοπλισμό που χρησιμοποιείται για την επεξεργασία (έλεγχος πρόσβασης σε εξοπλισμό)·
β) την αποτροπή της μη εξουσιοδοτημένης ανάγνωσης, αντιγραφής, τροποποίησης ή αφαίρεσης μέσων αποθήκευσης (έλεγχος μέσων αποθήκευσης)·
γ) την αποτροπή της μη εξουσιοδοτημένης εισαγωγής δεδομένων προσωπικού χαρακτήρα και του μη εξουσιοδοτημένου ελέγχου, τροποποίησης ή διαγραφής αποθηκευμένων δεδομένων προσωπικού χαρακτήρα (έλεγχος αποθήκευσης)·
δ) την αποτροπή της χρήσης συστημάτων αυτοματοποιημένης επεξεργασίας από μη εξουσιοδοτημένα πρόσωπα που χρησιμοποιούν εξοπλισμό επικοινωνίας δεδομένων (έλεγχος χρηστών)·
ε) την εξασφάλιση ότι πρόσωπα που είναι εξουσιοδοτημένα να χρησιμοποιούν ένα σύστημα αυτοματοποιημένης επεξεργασίας έχουν πρόσβαση μόνο σε δεδομένα προσωπικού χαρακτήρα που καλύπτει η εξουσιοδότησή τους (έλεγχος πρόσβασης στα δεδομένα)·
στ) την εξασφάλιση ότι είναι δυνατόν να επαληθευτεί και εξακριβωθεί σε ποιους φορείς διαβιβάστηκαν ή διατέθηκαν ή ενδέχεται να διαβιβαστούν ή να διατεθούν δεδομένα προσωπικού χαρακτήρα με τη χρήση εξοπλισμού επικοινωνίας δεδομένων (έλεγχος επικοινωνίας)·
ζ) την εξασφάλιση ότι είναι δυνατόν να επαληθευτεί και να εξακριβωθεί εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα εισήχθησαν σε συστήματα αυτοματοποιημένης επεξεργασίας, καθώς και πότε και από ποιόν (έλεγχος εισαγωγής)·
η) την αποτροπή τής μη εξουσιοδοτημένης ανάγνωσης, αντιγραφής, τροποποίησης ή διαγραφής δεδομένων προσωπικού χαρακτήρα κατά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ή κατά τη μεταφορά μέσων αποθήκευσης δεδομένων (έλεγχος διαβίβασης)·
θ) την εξασφάλιση ότι η λειτουργία των εγκαταστημένων συστημάτων μπορεί να αποκατασταθεί σε περίπτωση διακοπής της (αποκατάσταση)·
ι) την εξασφάλιση ότι οι λειτουργίες του συστήματος εκτελούνται, ότι η εμφάνιση σφαλμάτων στις λειτουργίες αναφέρεται χωρίς υπαίτια καθυστέρηση (αξιοπιστία) και ότι τα αποθηκευμένα δεδομένα προσωπικού χαρακτήρα παραμένουν αναλλοίωτα σε περίπτωση δυσλειτουργίας του συστήματος (ακεραιότητα)·
ια) την εξασφάλιση ότι τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για λογαριασμό του υπεύθυνου επεξεργασίας μπορούν να υποβληθούν σε επεξεργασία μόνο σύμφωνα με τις οδηγίες του υπεύθυνου επεξεργασίας (έλεγχος επεξεργασίας)·
ιβ) την εξασφάλιση ότι τα δεδομένα προσωπικού χαρακτήρα προστατεύονται από απώλεια και καταστροφή (έλεγχος της διαθεσιμότητας)·
ιγ) την εξασφάλιση ότι τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται για διαφορετικούς σκοπούς μπορούν να υποβληθούν σε επεξεργασία με οργανωτικό ή χωροταξικό διαχωρισμό (δυνατότητα διαχωρισμού).
Ο σκοπός του πρώτου εδαφίου στις περιπτώσεις β΄ έως και ε΄ μπορεί να επιτευχθεί ιδίως με τη χρήση τεχνολογίας κρυπτογράφησης.
Άρθρο 63.- Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στην Αρχή (άρθρο 30 της Οδηγίας)
1. Σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας γνωστοποιεί στην Αρχή την παραβίαση χωρίς καθυστέρηση και, εφόσον είναι δυνατόν, εντός εβδομήντα δύο (72) ωρών από τότε που έλαβε γνώση της παραβίασης, εκτός εάν αιτιολογημένα κρίνει ότι η παραβίαση δεν είναι πιθανό να θέσει σε κίνδυνο τα προστατευόμενα έννομα συμφέροντα φυσικού προσώπου. Η γνωστοποίηση της παραβίασης στην Αρχή μετά την πάροδο των εβδομήντα δύο (72) ωρών θα πρέπει να αιτιολογείται ειδικώς ως προς τους λόγους της καθυστέρησης.
2. Ο εκτελών την επεξεργασία ενημερώνει τον υπεύθυνο επεξεργασίας χωρίς καθυστέρηση, μόλις αντιληφθεί παραβίαση δεδομένων προσωπικού χαρακτήρα.
3. Η γνωστοποίηση που αναφέρεται στην παράγραφο 1, περιέχει τουλάχιστον τις ακόλουθες πληροφορίες:
α) τη φύση της παραβίασης δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένων, εφόσον είναι δυνατόν, των κατηγοριών, του αριθμού των ενδιαφερόμενων υποκειμένων των δεδομένων, καθώς και των κατηγοριών και του αριθμού των σχετικών αρχείων δεδομένων προσωπικού χαρακτήρα·
β) το ονοματεπώνυμο και τα στοιχεία επικοινωνίας του υπεύθυνου προστασίας δεδομένων ή άλλου σημείου επικοινωνίας, από το οποίο μπορούν να αντληθούν περισσότερες πληροφορίες·
γ) περιγραφή των συνεπειών που ενδέχεται να έχει η παραβίαση των δεδομένων προσωπικού χαρακτήρα· και
δ) περιγραφή των μέτρων που λαμβάνονται ή προτείνεται να ληφθούν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των δεδομένων προσωπικού χαρακτήρα, καθώς και για την άμβλυνση ενδεχόμενων δυσμενών συνεπειών της.
4. Σε περίπτωση που δεν είναι δυνατόν να παρασχεθούν οι πληροφορίες της προηγούμενης παραγράφου ταυτόχρονα με τη γνωστοποίηση της παραβίασης, ο υπεύθυνος επεξεργασίας μπορεί να τις παράσχει σταδιακά από τη στιγμή που αυτές είναι διαθέσιμες, χωρίς περαιτέρω καθυστέρηση.
5. Ο υπεύθυνος επεξεργασίας τεκμηριώνει κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα αναφέροντας τα πραγματικά περιστατικά που αφορούν την παραβίαση, τις συνέπειές της και τα ληφθέντα επανορθωτικά μέτρα.
6. Σε περίπτωση που η παραβίαση δεδομένων αφορά δεδομένα προσωπικού χαρακτήρα που διαβιβάστηκαν από ή προς τον υπεύθυνο επεξεργασίας άλλου κράτους – μέλους, οι πληροφορίες που αναφέρονται στην παράγραφο 3 γνωστοποιούνται στον υπεύθυνο επεξεργασίας του εν λόγω κράτους – μέλους χωρίς καθυστέρηση.
7. Περαιτέρω υποχρεώσεις του υπεύθυνου επεξεργασίας σχετικά με την κοινοποίηση των παραβιάσεων δεδομένων προσωπικού χαρακτήρα παραμένουν ανεπηρέαστες.
Άρθρο 64.- Γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων (άρθρο 31 της Οδηγίας)
1. Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να προκαλέσει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα φυσικού προ-σώπου, ο υπεύθυνος επεξεργασίας γνωστοποιεί αμέσως στο υποκείμενο των δεδομένων το περιστατικό.
2. Κατά τη γνωστοποίηση στο υποκείμενο των δεδομένων, σύμφωνα με την παράγραφο 1 περιγράφεται κατά τρόπο εύληπτο και σαφή η φύση της παραβίασης και αναφέρεται τουλάχιστον το περιεχόμενο των περιπτώσεων β΄, γ΄ και δ΄ της παραγράφου 3 του προηγούμενου άρθρου.
3. Γνωστοποίηση στο υποκείμενο των δεδομένων δεν απαιτείται, εφόσον πληρούται οποιοσδήποτε από τους παρακάτω όρους:
α) ο υπεύθυνος επεξεργασίας έχει λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφαλείας και έχει εφαρμόσει τα μέτρα αυτά στα δεδομένα προσωπικού χαρακτήρα που θίγονται από την παραβίαση αυτό ισχύει ιδιαίτερα για τα μέτρα, όπως η κρυπτογράφηση, μέσω της οποίας τα δεδομένα καθίσταται απρόσιτα σε μη εξουσιοδοτημένα πρόσωπα·
β) ο υπεύθυνος επεξεργασίας έλαβε εκ των υστέρων μέτρα που διασφαλίζουν την προστασία έναντι της παραβίασης των δεδομένων προσωπικού χαρακτήρα· ή
γ) απαιτούνται δυσανάλογες προσπάθειες. Στην περίπτωση αυτή, πρέπει να γίνεται δημόσια γνωστοποίηση ή να λαμβάνονται παρόμοια μέτρα, ώστε το υποκείμενο των δεδομένων να ενημερώνεται με εξίσου αποτελεσματικό τρόπο.
4. Εάν ο υπεύθυνος επεξεργασίας δεν έχει ενημερώσει το υποκείμενο των δεδομένων για τυχόν παραβίαση δεδομένων προσωπικού χαρακτήρα, η Αρχή μπορεί να δηλώσει επισήμως ότι θεωρεί ότι δεν πληρούνται οι προϋποθέσεις της παραγράφου 3. Με τον τρόπο αυτό, πρέπει να λάβει υπόψη την πιθανότητα ότι η ζημία θα οδηγήσει σε σημαντικό κίνδυνο κατά την έννοια της παραγράφου 1.
5. Η κοινοποίηση στο υποκείμενο των δεδομένων σύμφωνα με την παράγραφο 1 μπορεί να αναβληθεί, να περιοριστεί ή να παραλειφθεί υπό τους όρους που ορίζονται στο άρθρο 54 παράγραφος 2, εκτός εάν τα συμφέροντα του υποκειμένου των δεδομένων υπερτερούν του σημαντικού κινδύνου της παραβίασης κατά την έννοια της παραγράφου 1.
Άρθρο 65.- Εκτίμηση αντικτύπου της επεξεργασίας στην προστασία των δεδομένων προσωπικού χαρακτήρα (άρθρο 27 της Οδηγίας)
1. Εάν μια μορφή επεξεργασίας, ιδίως όταν χρησιμοποιούνται νέες τεχνολογίες, ενδέχεται να δημιουργήσει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα των ενδιαφερομένων λόγω της φύσης, του πεδίου εφαρμογής, των συνθηκών και των σκοπών της επεξεργασίας, ο υπεύθυνος επεξεργασίας αξιολογεί πρώτα τις συνέπειες της εκτέλεσης της επεξεργασίας για τα υποκείμενα των δεδομένων.
2. Για τη διερεύνηση παρόμοιων πράξεων επεξεργασίας με παρόμοιες δυνατότητες σημαντικού κινδύνου, μπορεί να διεξαχθεί κοινή εκτίμηση αντίκτυπου για την προστασία των δεδομένων προσωπικού χαρακτήρα.
3. Η εκτίμηση αντικτύπου λαμβάνει υπόψη τα δικαιώματα του υποκειμένου που επηρεάζονται από την επεξεργασία και πρέπει να περιέχει τουλάχιστον τα ακόλουθα:
α) συστηματική περιγραφή των προβλεπόμενων πράξεων και σκοπών της επεξεργασίας·
β) εκτίμηση της αναγκαιότητας και αναλογικότητας των πράξεων επεξεργασίας σε συνάρτηση με τους επιδιωκόμενους σκοπούς·
γ) εκτίμηση των κινδύνων για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων· και
δ) τα μέτρα που πρέπει να ληφθούν για την αντιμετώπιση των υφιστάμενων κινδύνων, συμπεριλαμβανομένων των εγγυήσεων, των διασφαλίσεων και των διαδικασιών για την εξασφάλιση της προστασίας των δεδομένων προσωπικού χαρακτήρα και για την απόδειξη της συμμόρφωσης με τις νομικές απαιτήσεις.
4. Όταν κρίνεται απαραίτητο, ο υπεύθυνος επεξεργασίας ελέγχει κατά πόσον η επεξεργασία ακολουθεί τις απαιτήσεις που προέκυψαν από την εκτίμηση αντικτύπου.
Άρθρο 66.- Συνεργασία με την Αρχή (άρθρο 26 της Οδηγίας)
Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία συνεργάζονται με την Αρχή κατά την εκτέλεση των καθηκόντων της.
Άρθρο 67.- Προηγούμενη διαβούλευση με την Αρχή (άρθρο 28 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας διαβουλεύεται με την Αρχή πριν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα, τα οποία θα περιληφθούν σε νέο σύστημα αρχειοθέτησης που πρόκειται να δημιουργηθεί, εφόσον:
α) προκύπτει από την εκτίμηση του άρθρου 65 ότι η επεξεργασία θα προκαλέσει σημαντικό κίνδυνο στα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων εάν ο υπεύθυνος επεξεργασίας δεν λάβει μέτρα για τον μετριασμό του· ή
β) ο τύπος επεξεργασίας, ιδίως λόγω της χρήσης νέων τεχνολογιών, μηχανισμών ή διαδικασιών, ενέχει σημαντικό κίνδυνο για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων.
2. Κατά την εκπόνηση σχεδίων νόμου ή κανονιστικών πράξεων, τα οποία αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές, για τους σκοπούς του άρθρου 43 ή συνδέονται με αυτή ζητείται εγκαίρως η γνώμη της Αρχής.
3. Η Αρχή μπορεί να καταρτίζει κατάλογο πράξεων επεξεργασίας, οι οποίες υπόκεινται σε προηγούμενη διαβούλευση σύμφωνα με την παράγραφο 1. Η Αρχή κοινοποιεί τον εν λόγω κατάλογο στον υπεύθυνο επεξεργασίας.
4. Κατά τη διενέργεια της προηγούμενης διαβούλευσης υποβάλλονται στην Αρχή:
α) η εκτίμηση αντικτύπου για την προστασία των δεδομένων που διενεργείται σύμφωνα με το άρθρο 65·
β) κατά περίπτωση, πληροφορίες σχετικά με τις αρμοδιότητες του υπεύθυνου επεξεργασίας, των από κοινού υπεύθυνων επεξεργασίας και των εμπλεκομένων εκτελούντων την επεξεργασία·
γ) πληροφορίες σχετικά με τους σκοπούς και τα μέσα της σχεδιαζόμενης επεξεργασίας·
δ) πληροφορίες σχετικά με τα μέτρα και τις διασφαλίσεις που αποσκοπούν στην προστασία των έννομων συμφερόντων των υποκειμένων των δεδομένων· και
ε) το όνομα και τα στοιχεία επικοινωνίας του ΥΠΔ.
Κατόπιν αιτήματος, η Αρχή λαμβάνει κάθε άλλη πληροφορία που απαιτείται για να εκτιμήσει τη νομιμότητα της επεξεργασίας και, ιδίως, τους υφιστάμενους κινδύνους για την προστασία των δεδομένων προσωπικού χαρακτήρα των υποκειμένων των δεδομένων και τις σχετικές διασφαλίσεις.
5. Εάν η Αρχή πιστεύει ότι η προβλεπόμενη επεξεργασία θα παραβίαζε το νόμο, ιδίως επειδή ο υπεύθυνος επεξεργασίας δεν έχει προσδιορίσει επαρκώς τον κίνδυνο ή δεν έχει λάβει επαρκή μέτρα για τον μετριασμό του κινδύνου, μπορεί να παράσχει, εντός προθεσμίας έξι (6) εβδομάδων από την λήψη της αίτησης διαβούλευσης, έγγραφες συστάσεις στον υπεύθυνο επεξεργασίας, και κατά περίπτωση, στον εκτελούντα την επεξεργασία, όσον αφορά τα πρόσθετα μέτρα που πρέπει να ληφθούν. Η Αρχή μπορεί να παρατείνει την προθεσμία αυτή κατά ένα (1) μήνα εάν η προγραμματισμένη επεξεργασία είναι ιδιαίτερα περίπλοκη. Στην περίπτωση αυτή η Αρχή ενημερώνει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για την παράταση αυτή.
6. Εάν η επιχειρούμενη επεξεργασία είναι απαραίτητη για την εκτέλεση των καθηκόντων του υπεύθυνου επεξεργασίας και, ως εκ τούτου, είναι ιδιαίτερα επείγουσα, ο υπεύθυνος επεξεργασίας μπορεί να κινήσει την επεξεργασία μετά την έναρξη της διαβούλευσης, αλλά πριν από τη λήξη της προθεσμίας του πρώτου εδαφίου της προηγούμενης παραγράφου. Στην περίπτωση αυτή, οι συστάσεις πρέπει να λαμβάνονται υπόψη εκ των υστέρων και ο τρόπος επεξεργασίας προσαρμόζεται αναλόγως.
Άρθρο 68.- Αρχεία των δραστηριοτήτων επεξεργασίας (άρθρο 24 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας πρέπει να τηρεί αρχείο για όλες τις κατηγορίες δραστηριοτήτων επεξεργασίας που εμπίπτουν στην αρμοδιότητά του. Το αρχείο περιλαμβάνει τις ακόλουθες πληροφορίες:
α) το ονοματεπώνυμο ή την επωνυμία και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας και, κατά περίπτωση, οποιουδήποτε από κοινού υπεύθυνου επεξεργασίας και ΥΠΔ·
β) τους σκοπούς της επεξεργασίας·
γ) τις κατηγορίες αποδεκτών στους οποίους γνωστοποιήθηκαν ή πρόκειται να γνωστοποιηθούν τα δεδομένα προσωπικού χαρακτήρα, περιλαμβανομένων των αποδεκτών σε τρίτες χώρες ή διεθνείς οργανισμούς·
δ) περιγραφή των κατηγοριών υποκειμένων των δεδομένων και των κατηγοριών δεδομένων Προσωπικού Χαρακτήρα·
ε) όπου συντρέχει περίπτωση, τη χρήση κατάρτισης προφίλ·
στ) όταν συντρέχει περίπτωση, τις κατηγορίες διαβιβάσεων δεδομένων προσωπικού χαρακτήρα προς Τρίτη χώρα ή διεθνή οργανισμό·
ζ) αναφορά της νομικής βάσης της επεξεργασίας·
η) τις προβλεπόμενες προθεσμίες για τη διαγραφή των διαφόρων κατηγοριών δεδομένων προσωπικού χαρακτήρα ή για την επανεξέταση της ανάγκης διαγραφής τους· και
θ) γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας του άρθρου 62.
2. Ο εκτελών την επεξεργασία πρέπει να διατηρεί αρχείο για όλες της κατηγορίες επεξεργασίας που εκτελούνται για λογαριασμό του υπεύθυνου επεξεργασίας, το οποίο περιλαμβάνει:
α) το ονοματεπώνυμο ή την επωνυμία και τα στοιχεία επικοινωνίας κάθε εκτελούντος την επεξεργασία, κάθε υπεύθυνου επεξεργασίας για λογαριασμό του οποίου ενεργεί ο εκτελών και, κατά περίπτωση, του ΥΠΔ·
β) τις κατηγορίες επεξεργασίας που διενεργούνται για λογαριασμό κάθε υπεύθυνου επεξεργασίας·
γ) τις κατά περίπτωση διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς αναφερόμενη τρίτη χώρα ή διεθνή οργανισμό, εφόσον ο εκτελών την επεξεργασία έχει λάβει ρητή σχετική εντολή από τον υπεύθυνο επεξεργασίας · και
δ) εφόσον είναι δυνατόν, γενική περιγραφή των τεχνικών και οργανωτικών μέτρων ασφαλείας του άρθρου 62.
3. Τα αρχεία των παραγράφων 1 και 2 τηρούνται γραπτώς.
4. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, θέτουν τα αρχεία στη διάθεση της Αρχής κατόπιν αιτήσεώς της.
Άρθρο 69.- Προστασία δεδομένων από τον σχεδιασμό και εξ’ ορισμού (άρθρο 20 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας, τόσο κατά τον καθορισμό των μέσων επεξεργασίας όσο και κατά τον χρόνο της επεξεργασίας, λαμβάνει τα κατάλληλα μέτρα για την εφαρμογή των αρχών προστασίας των δεδομένων προσωπικού χαρακτήρα, όπως η ελαχιστοποίηση των δεδομένων, με αποτελεσματικό τρόπο, ώστε να διασφαλίζεται η συμμόρφωση με τις νομικές απαιτήσεις και την προστασία των δικαιωμάτων των υποκειμένων των δεδομένων. Ο υπεύθυνος επεξεργασίας λαμβάνει υπόψη την κατάσταση της τεχνολογίας, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας και σοβαρότητας για τα προστατευόμενα έννομα συμφέροντα του υποκειμένου των δεδομένων της επεξεργασίας. Ειδικότερα, τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία και τα συστήματα επεξεργασίας επιλέγονται και σχεδιάζονται σύμφωνα με την αρχή της ελαχιστοποίησης. Τα δεδομένα Προσωπικού Χαρακτήρα καθίστανται ανώνυμα ή ψευδωνυμοποιούνται όσο το δυνατόν ταχύτερα, στο μέτρο του δυνατού, σύμφωνα με τον σκοπό της επεξεργασίας.
2. Ο υπεύθυνος επεξεργασίας εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίσει ότι, εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα προσωπικού χαρακτήρα που είναι αναγκαία για κάθε συγκεκριμένο σκοπό της επεξεργασίας. Αυτό ισχύει για τον αριθμό των συλλεγόμενων δεδομένων, την έκταση της επεξεργασίας τους, την περίοδο αποθήκευσής τους και την προσβασιμότητα τους. Ειδικότερα, τα μέτρα πρέπει να διασφαλίζουν ότι, εξ ορισμού, τα δεδομένα δεν γίνονται προσπελάσιμα με αυτοματοποιημένα μέσα σε αόριστο αριθμό προσώπων.
Άρθρο 70.- Διάκριση μεταξύ διαφορετικών κατηγοριών υποκειμένων των δεδομένων (άρθρο 6 της Οδηγίας)
1. Κατά την επεξεργασία δεδομένων προσωπικού χαρακτήρα, ο υπεύθυνος επεξεργασίας προβαίνει, στο μέτρο του εφικτού, σε σαφή διάκριση μεταξύ των διαφορετικών κατηγοριών υποκειμένων των δεδομένων. Αυτό ισχύει ιδίως για τις ακόλουθες κατηγορίες:
α) προσώπων για τα οποία υπάρχουν σοβαροί λόγοι να πιστεύεται ότι έχουν διαπράξει ποινικό αδίκημα·
β) προσώπων για τα οποία υπάρχουν σοβαροί λόγοι να πιστεύεται ότι πρόκειται να διαπράξουν ποινικό αδίκημα·
γ) προσώπων που έχουν καταδικαστεί για ποινικό αδίκημα·
δ) θυμάτων εκ ποινικού αδικήματος ή προσώπων για τα οποία ορισμένα πραγματικά περιστατικά δημιουργούν την πεποίθηση ότι μπορεί να είναι θύματα εκ ποινικού αδικήματος· και
ε) άλλων προσώπων, όπως μαρτύρων, πληροφοριοδοτών ή συνδέσμων ή συνεργατών των προσώπων που αναφέρονται στις περιπτώσεις α΄ έως και δ΄.
Άρθρο 71.- Διάκριση δεδομένων προσωπικού χαρακτήρα και επαλήθευση της ταυτότητάς τους (άρθρο 7 της Οδηγίας)
Κατά την επεξεργασία, ο υπεύθυνος επεξεργασίας διακρίνει, στο μέτρο του εφικτού, τα δεδομένα προσωπικού χαρακτήρα που βασίζονται σε πραγματικές καταστάσεις και αυτά που βασίζονται σε προσωπικές εκτιμήσεις. Για το σκοπό αυτό, ο υπεύθυνος επεξεργασίας προσδιορίζει τις αξιολογήσεις που βασίζονται σε προσωπικές εκτιμήσεις ως τέτοιες, στο μέτρο του εφικτού στο πλαίσιο της εν λόγω επεξεργασίας. Πρέπει επίσης να είναι δυνατό να προσδιοριστεί ποιά δημόσια αρχή διατηρεί τα αρχεία στα οποία βασίζεται η αξιολόγηση κατόπιν προσωπικής εκτίμησης.
Άρθρο 72.- Διαδικασία διαβίβασης (άρθρα 7 και 9 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα για να διασφαλίσει ότι τα δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή ή δεν είναι πλέον επικαιροποιημένα δεν διαβιβάζονται ούτε διατίθενται με άλλον τρόπο. Για τον σκοπό αυτό, ο υπεύθυνος επεξεργασίας επαληθεύει, στο μέτρο του δυνατού, καταβάλλοντας εύλογη προσπάθεια, την ποιότητα των δεδομένων πριν από τη διαβίβαση ή τη διάθεσή τους. Ο υπεύθυνος επεξεργασίας πρέπει επίσης, στο μέτρο του δυνατού και εύλογου, σε όλες τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα να περιλαμβάνει τις απαραίτητες πληροφορίες που θα επιτρέπουν στον αποδέκτη να αξιολογεί τον βαθμό ακρίβειας, πληρότητας και αξιοπιστίας των δεδομένων, καθώς και τον βαθμό στον οποίο αυτά είναι επικαιροποιημένα.
2. Εάν η επεξεργασία δεδομένων προσωπικού χαρακτήρα υπόκειται σε ειδικούς όρους, όσον αφορά τη διαβίβασή τους, η διαβιβάζουσα αρχή ενημερώνει τον αποδέκτη για τους όρους αυτούς και την υποχρέωση τήρησής της. Η υποχρέωση παροχής πληροφοριών μπορεί να πληρούται με την ανάλογη επισήμανση των δεδομένων.
3. Η διαβιβάζουσα αρμόδια αρχή δεν εφαρμόζει τους όρους της προηγούμενης παραγράφου στους αποδέκτες σε άλλα κράτη – μέλη της Ευρωπαϊκής Ένωσης ή σε οργανισμούς, υπηρεσίες και όργανα που έχουν συσταθεί σύμφωνα με τον τίτλο V κεφάλαια 4 και 5 της Συνθήκης για τη Λειτουργία της Ευρωπαϊκής Ένωσης, εκτός από εκείνους που ισχύουν για ανάλογες διαβιβάσεις δεδομένων εντός της Ελληνικής Επικράτειας.
Άρθρο 73.- Διόρθωση και διαγραφή δεδομένων προσωπικού χαρακτήρα και περιορισμός της επεξεργασίας (άρθρο 5 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας διορθώνει ανακριβή δεδομένα προσωπικού χαρακτήρα.
2. Ο υπεύθυνος επεξεργασίας διαγράφει τα δεδομένα προσωπικού χαρακτήρα χωρίς καθυστέρηση, εάν η επεξεργασία τους είναι παράνομη, και αυτά πρέπει να διαγραφούν προς εκπλήρωση νομικής υποχρέωσης ή η γνώση τους δεν είναι πλέον απαραίτητη για την εκτέλεση των καθηκόντων του.
3. Οι παράγραφοι 3 έως και 5 του άρθρου 56 εφαρμόζονται αναλόγως. Ο αποδέκτης ενημερώνεται επίσης εάν έχουν διαβιβαστεί ανακριβή δεδομένα προσωπικού χαρακτήρα ή εάν τα δεδομένα προσωπικού χαρακτήρα έχουν διαβιβαστεί παράνομα.
4. Με την επιφύλαξη των οριζόμενων από νομικές διατάξεις μέγιστων προθεσμιών αποθήκευσης ή διαγραφής, ο υπεύθυνος επεξεργασίας προβλέπει τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή την περιοδική επανεξέταση της ανάγκης για την αποθήκευσή τους και εξασφαλίζει με διαδικαστικές ρυθμίσεις την τήρηση των προθεσμιών αυτών.
Άρθρο 74.- Καταχωρίσεις (άρθρο 25 της Οδηγίας)
1. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία τηρούν καταχωρίσεις σε αυτοματοποιημένα συστήματα επεξεργασίας τουλάχιστον για τις ακόλουθες πράξεις επεξεργασίας:
α) συλλογή,
β) μεταβολή,
γ) διαβούλευση,
δ) κοινολόγηση, συμπεριλαμβανομένων των διαβιβάσεων,
ε) συνδυασμό και
στ) διαγραφή.
2. Οι καταχωρίσεις διαβουλεύσεων και κοινολογήσεων πρέπει να επιτρέπουν να εξακριβώνεται η αιτιολόγηση, η ημερομηνία και η ώρα των εν λόγω πράξεων και, στο μέτρο του δυνατού, η ταυτότητα του προσώπου που συμβουλεύτηκε ή κοινολόγησε δεδομένα προσωπικού χαρακτήρα, καθώς και η ταυτότητα των αποδεκτών των δεδομένων.
3. Οι καταχωρίσεις μπορούν να χρησιμοποιούνται μόνο για την επαλήθευση της νομιμότητας της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από την Αρχή και το υποκείμενο των δεδομένων, καθώς και για τον αυτοέλεγχο, τη διασφάλιση της ακεραιότητας και της ασφάλειας των προσωπικών δεδομένων και για την ποινική διαδικασία.
4. Οι καταχωρίσεις διαγράφονται στο τέλος του έτους που έπεται του έτους κατά το οποίο δημιουργήθηκαν.
5. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία θέτουν τις καταχωρίσεις στη διάθεση της Αρχής κατόπιν αιτήματός της.
ΤΜΗΜΑ V.- ΔΙΑΒΙΒΑΣΕΙΣ ΔΕΔΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ ΠΡΟΣ ΤΡΙΤΕΣ ΧΩΡΕΣ Η ΔΙΕΘΝΕΙΣ ΟΡΓΑΝΙΣΜΟΥΣ
Άρθρο 75.- Γενικές αρχές που διέπουν τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα (άρθρο 35 της Οδηγίας)
1. Εάν πληρούνται όλες οι λοιπές προϋποθέσεις που ισχύουν για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα, όπως αυτές καθορίζονται με το παρόν Κεφάλαιο, επιτρέπεται η διαβίβαση δεδομένων προσωπικού χαρακτήρα σε αρχές τρίτων χωρών ή σε διεθνείς οργανισμούς εφόσον:
α) η αρχή ή ο διεθνής οργανισμός είναι αρμόδιοι για τους σκοπούς που αναφέρονται στο άρθρο 43, και
β) η Επιτροπή έχει εκδώσει απόφαση περί εξασφάλισης επαρκούς επιπέδου προστασίας από την τρίτη χώρα, εδαφική περιοχή ή από έναν ή περισσότερους συγκεκριμένους τομείς στην εν λόγω τρίτη χώρα ή από τον εν λόγω διεθνή οργανισμό ή, ελλείψει τέτοιας απόφασης, έχουν παρασχεθεί κατάλληλες εγγυήσεις ή διαπιστώνεται η ύπαρξή τους σύμφωνα με το επόμενο άρθρο ή, ελλείψει των ανωτέρω, ισχύουν παρεκκλίσεις για ειδικές καταστάσεις σύμφωνα με το άρθρο 77.
2. Η διαβίβαση δεδομένων προσωπικού χαρακτήρα δεν επιτρέπεται, παρά την ύπαρξη απόφασης επάρκειας σύμφωνα με την προηγούμενη παράγραφο και παρόλο που το επιτάσσει το δημόσιο συμφέρον, εάν στη συγκεκριμένη περίπτωση δεν μπορεί να διασφαλισθεί η προστασία των θεμελιωδών δικαιωμάτων και έννομων συμφερόντων του υποκειμένου των δεδομένων κατά την επεξεργασία των δεδομένων του από τον αποδέκτη τους. Ο υπεύθυνος επεξεργασίας εκτιμά τον βαθμό διασφάλισης προστασίας των ως άνω δικαιωμάτων και έννομων συμφερόντων του υποκειμένου με βάση το κατά πόσον ο παραλήπτης των δεδομένων προσωπικού χαρακτήρα στην τρίτη χώρα εγγυάται στη συγκεκριμένη περίπτωση την κατάλληλη προστασία τους.
3. Όταν τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται ή διατίθενται από άλλο κράτος – μέλος της Ευρωπαϊκής Ένωσης πρέπει να διαβιβάζονται σύμφωνα με την παράγραφο 1, η διαβίβαση αυτή πρέπει πρώτα να εγκριθεί από την αρμόδια αρχή του άλλου κράτους -μέλους. Διαβιβάσεις χωρίς προηγούμενη άδεια επιτρέπονται μόνον εάν η μεταφορά είναι αναγκαία για την αποφυγή άμεσου και σοβαρού κινδύνου για τη δημόσια ασφάλεια ενός κράτους ή για τα ουσιώδη συμφέροντα ενός κράτους – μέλους και η προηγούμενη έγκριση δεν μπορεί να ληφθεί έγκαιρα. Στην περίπτωση της παραγράφου 2, η αρχή ή ο οργανισμός του άλλου κράτους -μέλους ο οποίος θα ήταν υπεύθυνος για τη χορήγηση της άδειας ενημερώνεται αμέσως για τη διαβίβαση.
4. Ο υπεύθυνος επεξεργασίας που διαβιβάζει δεδομένα προσωπικού χαρακτήρα σύμφωνα με την παράγραφο 1 λαμβάνει τα κατάλληλα μέτρα για να εξασφαλίσει ότι ο παραλήπτης διαβιβάζει μόνο τα διαβιβασθέντα δεδομένα σε άλλες τρίτες χώρες ή σε άλλους διεθνείς οργανισμούς, εφόσον ο υπεύθυνος επεξεργασίας έχει προηγουμένως επιτρέψει τη διαβίβαση αυτή. Όταν αποφασίζει να χορηγήσει την έγκριση, ο υπεύθυνος επεξεργασίας λαμβάνει υπόψη όλους τους σχετικούς παράγοντες, ιδίως τη σοβαρότητα του αδικήματος, τον σκοπό της αρχικής διαβίβασης και το υπάρχον στην τρίτη χώρα ή τον διεθνή οργανισμό, όπου πρέπει να διαβιβαστούν τα δεδομένα, επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Άδεια μπορεί να χορηγηθεί μόνο εάν επιτρέπεται η απευθείας διαβίβαση στην άλλη Τρίτη χώρα ή σε άλλο διεθνή οργανισμό.
Άρθρο 76.- Διαβιβάσεις που υπόκεινται σε κατάλληλες εγγυήσεις (άρθρο 37 της Οδηγίας)
1. Ελλείψει απόφασης περί εξασφάλισης επαρκούς επιπέδου προστασίας σύμφωνα με την παράγραφο 1 εδάφιο β΄ του προηγούμενου άρθρου, η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα ή διεθνή οργανισμό μπορεί να πραγματοποιηθεί εφόσον:
α) παρασχέθηκαν σε νομικά δεσμευτική πράξη κατάλληλες εγγυήσεις όσον αφορά την προστασία δεδομένων προσωπικού χαρακτήρα, ή
β) ο υπεύθυνος επεξεργασίας αξιολόγησε τις συνθήκες της διαβίβασης δεδομένων προσωπικού χαρακτήρα και έκρινε ότι υπάρχουν κατάλληλες εγγυήσεις όσον αφορά την προστασία τους.
2. Ο υπεύθυνος επεξεργασίας καταχωρίζει τις διαβιβάσεις σύμφωνα με την περίπτωση β΄ της παραγράφου 1. Η καταχώριση περιλαμβάνει την ημερομηνία και την ώρα της διαβίβασης, την ταυτότητα του αποδέκτη, τον λόγο της διαβίβασης και τα διαβιβαζόμενα δεδομένα προσωπικού χαρακτήρα. Η ανωτέρω καταχώριση τίθεται στη διάθεση της Αρχής κατόπιν αιτήματός της.
Άρθρο 77.- Παρεκκλίσεις για ειδικές καταστάσεις (άρθρο 38 της Οδηγίας)
1. Ελλείψει απόφασης περί εξασφάλισης επαρκούς επιπέδου προστασίας σύμφωνα με την παράγραφο 1 εδάφιο β΄ του άρθρου 75 ή κατάλληλων εγγυήσεων δυνάμει της παραγράφου 1 του προηγούμενου άρθρου, διαβιβάσεις που πληρούν τις λοιπές προϋποθέσεις του άρθρου 75 διενεργούνται μόνο εφόσον αυτό είναι απαραίτητο:
α) για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου,
β) για την προστασία έννομων συμφερόντων του υποκειμένου των δεδομένων,
γ) για την πρόληψη άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια μιας χώρας,
δ) σε εξατομικευμένες περιπτώσεις για τους σκοπούς που ορίζονται στο άρθρο 43, ή
ε) σε εξατομικευμένες περιπτώσεις για τη θεμελίωση, την άσκηση ή την υποστήριξη νομικών αξιώσεων, οι οποίες σχετίζονται με τους σκοπούς του άρθρου 43.
2. Δεν επιτρέπεται η διαβίβαση των δεδομένων προσωπικού χαρακτήρα σύμφωνα με την προηγούμενη παράγραφο, όταν η διαβιβάζουσα Αρμόδια αρχή κρίνει ότι τα θεμελιώδη δικαιώματα και τα έννομα συμφέροντα του υποκειμένου των δεδομένων υπερτερούν του δημοσίου συμφέροντος για τη διενέργεια της διαβίβασης.
3. Για τις διαβιβάσεις της παραγράφου 1 εφαρμόζεται αναλόγως η παράγραφος 2 του προηγούμενου άρθρου.
Άρθρο 78.- Διαβίβαση δεδομένων προσωπικού χαρακτήρα προς αποδέκτες εγκατεστημένους σε τρίτες χώρες (άρθρο 39 της Οδηγίας)
1. Σε ειδικές εξατομικευμένες περιπτώσεις και εάν πληρούνται όλες οι άλλες απαιτήσεις για διαβιβάσεις δεδομένων σε τρίτες χώρες, οι υπεύθυνοι επεξεργασίας μπορούν να διαβιβάζουν δεδομένα προσωπικού χαρακτήρα απευθείας σε αποδέκτες σε τρίτες χώρες που δεν αναφέρονται στην περίπτωση α΄ της παραγράφου 1 του άρθρου 75, εάν η διαβίβαση είναι απολύτως απαραίτητη για την εκτέλεση των καθηκόντων τους, και
α) στη συγκεκριμένη περίπτωση, κανένα θεμελιώδες δικαίωμα του υποκειμένου των δεδομένων δεν υπερτερεί του δημοσίου συμφέροντος για τη διαβίβαση,
β) η διαβίβαση στις αρχές που αναφέρονται στην περίπτωση α΄ της παραγράφου 1 του άρθρου 75 είναι αναποτελεσματική ή ακατάλληλη, ιδίως επειδή η διαβίβαση δεν μπορεί να διενεργηθεί εγκαίρως, και
γ) ο υπεύθυνος επεξεργασίας ενημερώνει τον αποδέκτη για τους σκοπούς της επεξεργασίας και δίνει σαφείς οδηγίες σε αυτόν ότι τα διαβιβασθέντα δεδομένα μπορούν να υποβληθούν σε επεξεργασία μόνο στο βαθμό που αυτό είναι απαραίτητο για τους σκοπούς αυτούς.
2. Στην περίπτωση της παραγράφου 1, ο υπεύθυνος επεξεργασίας ενημερώνει χωρίς καθυστέρηση τις αρχές που αναφέρονται στην περίπτωση α΄ της παραγράφου 1 του άρθρου 75, εκτός εάν αυτό είναι αναποτελεσματικό ή ακατάλληλο.
3. Οι παράγραφοι 2 και 3 του άρθρου 75 εφαρμόζονται αναλόγως στις διαβιβάσεις σύμφωνα με την παράγραφο 1.
4. Στην περίπτωση διαβιβάσεων σύμφωνα με την παράγραφο 1 ο υπεύθυνος επεξεργασίας υποχρεώνει τον αποδέκτη να επεξεργάζεται τα διαβιβασθέντα δεδομένα προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπεύθυνου επεξεργασίας μόνο για τον σκοπό για τον οποίο διαβιβάσθηκαν.
5. Οι συμφωνίες στον τομέα της δικαστικής συνεργασίας σε ποινικές υποθέσεις και της αστυνομικής συνεργασίας δεν επηρεάζονται.
ΤΜΗΜΑ VI.- ΣΥΝΕΡΓΑΣΙΑ ΜΕΤΑΞΥ ΕΠΟΠΤΙΚΩΝ ΑΡΧΩΝ
Άρθρο 79.- Αμοιβαία συνδρομή (άρθρο 50 της Οδηγίας)
1. Η Αρχή παρέχει στις εποπτικές αρχές άλλων κρατών-μελών της Ευρωπαϊκής Ένωσης πληροφορίες και αμοιβαία συνδρομή στο μέτρο που είναι απαραίτητο για την εφαρμογή του παρόντος Κεφαλαίου. Η αμοιβαία συνδρομή καλύπτει ιδίως αιτήματα παροχής πληροφοριών και εποπτικά μέτρα, όπως αιτήματα για διαβουλεύσεις, ελέγχους και έρευνες.
2. Η Αρχή λαμβάνει όλα τα κατάλληλα μέτρα που απαιτούνται για να απαντήσει χωρίς καθυστέρηση σε αίτημα αμοιβαίας συνδρομής άλλης εποπτικής αρχής κράτους-μέλους και το αργότερο σε ένα μήνα μετά την παραλαβή της αίτησης.
3. Η Αρχή μπορεί να αρνηθεί να συμμορφωθεί με το αίτημα:
α) εάν δεν είναι αρμόδια για το αντικείμενο του αιτήματος ή για τα μέτρα που καλείται να εκτελέσει, ή
β) η συμμόρφωση με το αίτημα παραβιάζει τον νόμο.
4. Η Αρχή ενημερώνει την αιτούσα εποπτική αρχή του άλλου κράτους – μέλους για τα αποτελέσματα ή, κατά περίπτωση, για την πρόοδο ή τα μέτρα που έλαβε για να ανταποκριθεί στο αίτημα. Στην περίπτωση της προηγούμενης παραγράφου, αιτιολογεί την άρνησή της να συμμορφωθεί με το αίτημα.
5. Η Αρχή παρέχει, κατά κανόνα, τις πληροφορίες που ζητούνται από την εποπτική αρχή του άλλου κράτουςμέλους με ηλεκτρονικά μέσα και σε τυποποιημένη μορφή.
6. Η Αρχή δεν χρεώνει τέλος για τις ενέργειες που αναλαμβάνονται σύμφωνα με το αίτημα αμοιβαίας συνδρομής, εκτός εάν έχει συμφωνήσει με την εποπτική Αρχή του άλλου κράτους σε εξατομικευμένες περιπτώσεις σε αποζημίωση για συγκεκριμένες δαπάνες που προκύπτουν από την παροχή αμοιβαίας συνδρομής.
7. Τα αιτήματα συνδρομής στην Αρχή παρέχουν όλες τις απαραίτητες πληροφορίες, συμπεριλαμβανομένου του σκοπού του αιτήματος και των λόγων υποβολής του. Οι πληροφορίες που ανταλλάσσονται χρησιμοποιούνται μόνο για τον σκοπό για τον οποίο ζητήθηκαν.
ΤΜΗΜΑ VII.- ΕΥΘΥΝΗ ΚΑΙ ΚΥΡΩΣΕΙΣ
Άρθρο 80.- Αστική ευθύνη του υπεύθυνου επεξεργασίας (άρθρα 54 και 56 της Οδηγίας) Δημόσια αρχή, με την ιδιότητα του υπεύθυνου επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που έχει προκαλέσει παρανόμως ζημία στο υποκείμενο των δεδομένων προσωπικού χαρακτήρα, κατά παράβαση των διατάξεων των άρθρων 6 έως και 8 ή των διατάξεων του παρόντος Κεφαλαίου υποχρεούται, σύμφωνα με τις διατάξεις των άρθρων 105 και 106 του ΕισΝΑΚ, σε αποζημίωση ή σε χρηματική ικανοποίηση λόγω ηθικής βλάβης στο υποκείμενο των δεδομένων.
Άρθρο 81.- Ποινικές κυρώσεις (άρθρα 54 και 57 της Οδηγίας)
Το άρθρο 38 εφαρμόζεται και στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς του άρθρου 43.
Άρθρο 82.- Διοικητικές κυρώσεις (άρθρα 54 και 57 της Οδηγίας)
1. Με την επιφύλαξη των εξουσιών ελέγχου της Αρχής σύμφωνα με το άρθρο 15 του παρόντος, η Αρχή με ειδικά αιτιολογημένη απόφασή της και κατόπιν προηγούμενης κλήσης για παροχή εξηγήσεων των ενδιαφερομένων μπορεί να επιβάλει σε αρμόδιες Αρχές για παραβάσεις των υποχρεώσεών τους ως υπεύθυνων επεξεργασίας δεδομένων προσωπικού χαρακτήρα τα παρακάτω διοικητικά πρόστιμα:
α) για παραβάσεις των άρθρων 6 έως 8 και των άρθρων 60 έως 78 διοικητικό πρόστιμο έως ένα εκατομμύριο (1.000.000) ευρώ,
β) για παραβάσεις των άρθρων 45 έως 57, διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ και
γ) για μη συμμόρφωση προς εντολή της Αρχής σύμφωνα με το άρθρο 15 παράγραφος 4 διοικητικό πρόστιμο έως δύο εκατομμύρια (2.000.000) ευρώ.
2. Κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και για το ύψος αυτού, για κάθε εξατομικευμένη περίπτωση λαμβάνονται υπόψη τα ακόλουθα:
α) η φύση, η βαρύτητα, η διάρκεια της παράβασης, η έκταση ή ο σκοπός της σχετικής επεξεργασίας, καθώς και ο αριθμός των υποκειμένων των δεδομένων που έθιξε η παράβαση και το μέγεθος της ζημίας που αυτά υπέστησαν,
β) οποιεσδήποτε ενέργειες στις οποίες προέβη η αρμόδια Αρχή για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων προσωπικού χαρακτήρα,
γ) τυχόν σχετικές προηγούμενες παραβάσεις της αρμόδιας Αρχής, δ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που θίγει η παράβαση,
ε) ο τρόπος με τον οποίο η Αρχή πληροφορήθηκε την παράβαση, ειδικότερα αν και κατά πόσον η αρμόδια Αρχή κοινοποίησε την παράβαση και
στ) εάν έχουν ήδη διαταχθεί σε βάρος της αρμόδιας αρχής για την ίδια παράβαση, τα μέτρα που αναφέρονται στο άρθρο 15 παράγραφος 4, ο βαθμός συμμόρφωσής της με αυτά.
ΚΕΦΑΛΑΙΟ Ε΄.- ΤΕΛΙΚΕΣ ΚΑΙ ΜΕΤΑΒΑΤΙΚΕΣ ΔΙΑΤΑΞΕΙΣ
Άρθρο 83.- Μεταβατικές διατάξεις
1. Όπου σε διατάξεις της κείμενης νομοθεσίας γίνεται αναφορά στον ν. 2472/1997 νοείται ως αναφορά στις οικείες διατάξεις του ΓΚΠΔ και του παρόντος.
2. Οι οδηγίες και κανονιστικές πράξεις της Αρχής διατηρούνται σε ισχύ, εφόσον δεν προσκρούουν στον ΓΚΠΔ και στις ρυθμίσεις του παρόντος.
3. Το μόνιμο και με σχέση εργασίας ιδιωτικού δικαίου προσωπικό που υπηρετεί, κατά την ψήφιση του παρόντος, στην Αρχή, κατατάσσεται αυτοδικαίως σε αντίστοιχες, κατά κατηγορία, κλάδο ή ειδικότητα, θέσεις δημοσίου ή ιδιωτικού δικαίου, σύμφωνα με τα τυπικά του προσόντα.
4. Αιτήσεις που εκκρεμούσαν ενώπιον της Αρχής έως τις 25.5.2018, πέραν των παραδεκτών προσφυγών των υποκειμένων δεδομένων προσωπικού χαρακτήρα, τίθενται στο αρχείο με διαπιστωτική πράξη του Προέδρου της Αρχής.
Άρθρο 84.- Καταργούμενες διατάξεις Ο ν. 2472/1997 «Προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα», με την επιφύλαξη των ορισμών του άρθρου 2, όπου γίνεται ρητή παραπομπή σε αυτούς σε σχετική με τα προσωπικά δεδομένα νομοθεσία, του δεύτερου έως και του τελευταίου εδαφίου της περίπτωσης β΄ του άρθρου 2 για την ανακοίνωση και δημοσιοποίηση δεδομένων προσωπικού χαρακτήρα και του εδαφίου β΄ της παραγράφου 2 του άρθρου 3, μόνο ως προς τα αδικήματα που περιγράφονται σε αυτό, του τρίτου έως και του τελευταίου εδαφίου της περίπτωσης β΄ της παραγράφου 2 του άρθρου 3 του ανωτέρου νόμου για την εγκατάσταση και λειτουργία συστημάτων επιτήρησης, του άρθρου 13 παράγραφος 3, της σύστασης της Αρχής με την παράγραφο 1 του άρθρου 15, του άρθρου 18 παράγραφοι 2 και 3 και του άρθρου 21 που αφορά την επιβολή διοικητικών κυρώσεων σύμφωνα με το άρθρο 13 παράγραφος 4 του ν. 3471/2006 (Α΄133) τα οποία διατηρούνται σε ισχύ, καταργείται.
Άρθρο 85.- Ισχύς διεθνών ή διμερών διεθνών συμφωνιών Διεθνείς ή διμερείς διεθνείς συμφωνίες που αφορούν στη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες ή διεθνείς οργανισμούς στο πεδίο της δικαστικής συνεργασίας για ποινικές υποθέσεις ή αστυνομικής συνεργασίας πριν από την 6.5.2016 και οι οποίες είναι συμβατές προς το εφαρμοστέο πριν από την ημερομηνία αυτή ενωσιακό δίκαιο εξακολουθούν να ισχύουν έως ότου τροποποιηθούν, αντικατασταθούν ή ανακληθούν.
Άρθρο 86
1. Από την έναρξη ισχύος του παρόντος και με την επιφύλαξη των παραγράφων 2, 3 και 4, καταργούνται:
(α) το άρθρο πρώτο της από 18.7.2015 Πράξης Νομοθετικού Περιεχομένου «Επείγουσες Ρυθμίσεις για τη θέσπιση περιορισμών στην ανάληψη μετρητών και τη μεταφορά κεφαλαίων» (Α΄ 84), η οποία κυρώθηκε με το άρθρο 4 του ν. 4350/2015 (Α’ 161), όπως ισχύει,
(β) οι υπουργικές αποφάσεις που εκδόθηκαν κατ’ εξουσιοδότηση των διατάξεων της ως άνω από 18.7.2015 Πράξης Νομοθετικού Περιεχομένου και
(γ) οι κανονιστικές αποφάσεις της Επιτροπής Έγκρισης Τραπεζικών Συναλλαγών, που συστάθηκε δια της παραγράφου 4 του άρθρου πρώτου της από 28 Ιουνίου 2015 Πράξης Νομοθετικού Περιεχομένου «Τραπεζική αργία βραχείας διάρκειας» (Α΄ 65), η οποία κυρώθηκε με το άρθρο 1 του ν. 4350/2015, όπως ισχύει.
2. Η Τράπεζα της Ελλάδος και η Επιτροπή Κεφαλαιαγοράς παραμένουν αρμόδιες για τη συνέχιση εκκρεμών ελέγχων και τη διενέργεια νέων (δειγματοληπτικών ή κατόπιν καταγγελίας) ως προς τη συμμόρφωση των εποπτευόμενων από αυτές ιδρυμάτων και φορέων με τις διατάξεις της από 18.7.2015 Πράξης Νομοθετικού Περιεχομένου «Επείγουσες Ρυθμίσεις για τη θέσπιση περιορισμών στην ανάληψη μετρητών και τη μεταφορά κεφαλαίων» (Α΄ 84), η οποία κυρώθηκε με το άρθρο 4 του ν. 4350/2015 (Α΄ 161), όπως ισχύει, για παραβάσεις των διατάξεων αυτής που έλαβαν χώρα έως την έναρξη ισχύος του παρόντος. Οι παράγραφοι 13 και 13α του άρθρου πρώτου της από 18.7.2015 Πράξης Νομοθετικού Περιεχομένου «Επείγουσες Ρυθμίσεις για τη θέσπιση περιορισμών στην ανάληψη μετρητών και τη μεταφορά κεφαλαίων» (Α΄ 84), η οποία κυρώθηκε με το άρθρο 4 του ν. 4350/2015 (Α΄ 161), όπως ισχύει, διατηρούνται σε ισχύ.
3. Η παράγραφος 14 του άρθρου πρώτου της από 18.7.2015 Πράξης Νομοθετικού Περιεχομένου «Επείγουσες Ρυθμίσεις για τη θέσπιση περιορισμών στην ανάληψη μετρητών και τη μεταφορά κεφαλαίων» (Α΄ 84), η οποία κυρώθηκε με το άρθρο 4 του ν. 4350/2015 (Α΄ 161), όπως ισχύει, διατηρείται σε ισχύ, για παραβάσεις των διατάξεων αυτής που έλαβαν χώρα έως την έναρξη ισχύος του παρόντος.
4. Το πρώτο και δεύτερο εδάφιο της παραγράφου 15 του άρθρου πρώτου της από 18.7.2015 Πράξης Νομοθετικού Περιεχομένου «Επείγουσες Ρυθμίσεις για τη θέσπιση περιορισμών στην ανάληψη μετρητών και τη μεταφορά κεφαλαίων» (Α΄ 84), η οποία κυρώθηκε με το άρθρο 4 του ν. 4350/2015 (Α΄ 161), όπως ισχύει, διατηρούνται σε ισχύ.
5. Το ηλεκτρονικό αρχείο της Επιτροπής Έγκρισης Τραπεζικών Συναλλαγών σφραγίζεται και τηρείται αναλλοίωτο, σε αδρανή κατάσταση, στα οικεία συστήματα της Τράπεζας της Ελλάδος, με ευθύνη της Διεύθυνσης Πληροφορικής της ανωτέρω. Ειδικότερα ζητήματα σχετικά με το ηλεκτρονικό αρχείο δύνανται να ρυθμίζονται με πράξη του Διοικητή της Τράπεζας της Ελλάδος. Το φυσικό αρχείο τηρείται στη Διεύθυνση Χρηματοοικονομικής Πολιτικής της Γενικής Γραμματείας Οικονομικής Πολιτικής του Υπουργείου Οικονομικών. Ειδικότερα ζητήματα σχετικά με το φυσικό αρχείο δύνανται να ρυθμίζονται με απόφαση του Υπουργού Οικονομικών. Το αρχείο είναι προσβάσιμο από τις εποπτικές αρχές της παραγράφου 2, καθώς και από κάθε ελεγκτική, δικαστική ή εισαγγελική αρχή για τη διερεύνηση πράξεων ή παραλείψεων που σχετίζονται με παραβάσεις των καταργούμενων διατάξεων της παραγράφου 1, κατά τον χρόνο ισχύος τους. Η διαγραφή στοιχείων από το αρχείο δύναται να πραγματοποιηθεί, με απόφαση του Υπουργού Οικονομικών, μετά την παρέλευση εικοσαετίας από τη λήψη απόφασης της Επιτροπής Έγκρισης Τραπεζικών Συναλλαγών.
6. Η ισχύς του παρόντος αρχίζει την 1.9.2019.
Άρθρο 87.- Έναρξη ισχύος
Η ισχύς του παρόντος αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως, εκτός αν άλλη διάταξη ορίζει διαφορετικά.
Παραγγέλλομε τη δημοσίευση του παρόντος στην Εφημερίδα της Κυβερνήσεως και την εκτέλεσή του ως νόμου του Κράτους.
Αθήνα, 28 Αυγούστου 2019
Ο Πρόεδρος της Δημοκρατίας
ΠΡΟΚΟΠΙΟΣ Β. ΠΑΥΛΟΠΟΥΛΟΣ
Bhutan’s Constitution of 2008
Article 7: Fundamental Rights
1. All persons shall have the right to life, liberty and security of person and shall not be deprived of such rights except in accordance with the due process of law.
2. A Bhutanese citizen shall have the right to freedom of speech, opinion and expression.
3. A Bhutanese citizen shall have the right to information.
4. A Bhutanese citizen shall have the right to freedom of thought, conscience and religion. No person shall be compelled to belong to another faith by means of coercion or inducement.
5. There shall be freedom of the press, radio and television and other forms of dissemination of information, including electronic.
6. A Bhutanese citizen shall have the right to vote.
7. A Bhutanese citizen shall have the right to freedom of movement and residence within Bhutan.
8. A Bhutanese citizen shall have the right to equal access and opportunity to join the Public Service.
9. A Bhutanese citizen shall have the right to own property, but shall not have the right to sell or transfer land or any immovable property to a person who is not a citizen of Bhutan, except in keeping with laws enacted by Parliament.
10. A Bhutanese citizen shall have the right to practice any lawful trade, profession or vocation.
11. A Bhutanese citizen shall have the right to equal pay for work of equal value.
12. A Bhutanese citizen shall have the right to freedom of peaceful assembly and freedom of association, other than membership of associations that are harmful to the peace and unity of the country, and shall have the right not to be compelled to belong to any association.
13. Every person in Bhutan shall have the right to material interests resulting from any scientific, literary or artistic production of which he or she is the author or creator.
14. A person shall not be deprived of property by acquisition or requisition, except for public purpose and on payment of fair compensation in accordance with the provisions of the law.
15. All persons are equal before the law and are entitled to equal and effective protection of the law and shall not be discriminated against on the grounds of race, sex, language, religion, politics or other status.
16. A person charged with a penal offence has the right to be presumed innocent until proven guilty in accordance with the law.
17. A person shall not be subjected to torture or to cruel, inhuman or degrading treatment or punishment.
18. A person shall not be subjected to capital punishment.
19. A person shall not be subjected to arbitrary or unlawful interference with his or her privacy, family, home or correspondence nor to unlawful attacks on the person’s honour and reputation.
20. A person shall not be subjected to arbitrary arrest or detention.
21. A person shall have the right to consult and be represented by a Bhutanese Jabmi of his or her choice.
22. Notwithstanding the rights conferred by this Constitution, nothing in this Article shall prevent the State from subjecting reasonable restriction by law, when it concerns:
a. The interests of the sovereignty, security, unity and integrity of Bhutan;
b. The interests of peace, stability and well-being of the nation;
c. The interests of friendly relations with foreign States;
d. Incitement to an offence on the grounds of race, sex, language, religion or region;
e. The disclosure of information received in regard to the affairs of the State or in discharge of official duties; or
f. The rights and freedom of others.
23. All persons in Bhutan shall have the right to initiate appropriate proceedings in the Supreme Court or High Court for the enforcement of the rights conferred by this Article, subject to section 22 of this Article and procedures prescribed by law
Article 9: Principles of State Policy
1. The State shall endeavour to apply the Principles of State Policy set out in this Article to ensure a good quality of life for the people of Bhutan in a progressive and prosperous country that is committed to peace and amity in the world.
2. The State shall strive to promote those conditions that will enable the pursuit of Gross National Happiness.
3. The State shall endeavour to create a civil society free of oppression, discrimination and violence, based on the rule of law, protection of human rights and dignity, and to ensure the fundamental rights and freedoms of the people.
4. The State shall endeavour to protect the telephonic, electronic, postal or other communications of all persons in Bhutan from unlawful interception or interruption.
5. The State shall endeavour to provide justice through a fair, transparent and expeditious process.
6. The State shall endeavour to provide legal aid to secure justice, which shall not be denied to any person by reason of economic or other disabilities.
7. The State shall endeavour to develop and execute policies to minimize inequalities of income, concentration of wealth, and promote equitable distribution of public facilities among individuals and people living in different parts of the Kingdom.
8. The State shall endeavour to ensure that all the Dzongkhags are treated with equity on the basis of different needs so that the allocation of national resources results in comparable socioeconomic development.
9. The State shall endeavour to achieve economic self-reliance and promote open and progressive economy.
10. The State shall encourage and foster private sector development through fair market competition and prevent commercial monopolies.
11. The State shall endeavour to promote those circumstances that would enable the citizens to secure an adequate livelihood
12. The State shall endeavour to ensure the right to work, vocational guidance and training and just and favourable conditions of work.
13. The State shall endeavour to ensure the right to rest and leisure, including reasonable limitation of working hours and periodic holidays with pay.
14. The State shall endeavour to ensure the right to fair and reasonable remuneration for one’s work.
15. The State shall endeavour to provide education for the purpose of improving and increasing knowledge, values and skills of the entire population with education being directed towards the full development of the human personality.
16. The State shall provide free education to all children of school going age up to tenth standard and ensure that technical and professional education is made generally available and that higher education is equally accessible to all on the basis of merit.
17. The State shall endeavour to take appropriate measures to eliminate all forms of discrimination and exploitation against women including trafficking, prostitution, abuse, violence, harassment and intimidation at work in both public and private spheres.
18. The State shall endeavour to take appropriate measures to ensure that children are protected against all forms of discrimination and exploitation including trafficking, prostitution, abuse, violence, degrading treatment and economic exploitation.
19. The State shall endeavour to promote those conditions that are conducive to co-operation in community life and the integrity of the extended family structure.
20. The State shall strive to create conditions that will enable the true and sustainable development of a good and compassionate society rooted in Buddhist ethos and universal human values.
21. The State shall provide free access to basic public health services in both modern and traditional medicines.
22. The State shall endeavour to provide security in the event of sickness and disability or lack of adequate means of livelihood for reasons beyond one’s control.
23. The State shall encourage free participation in the cultural life of the community, promote arts and sciences and foster technological innovation.
24. The State shall endeavour to promote goodwill and co-operation with nations, foster respect for international law and treaty obligations, and encourage settlement of international disputes by peaceful means in order to promote international peace and security.
Modificación del artículo 6º de la Constitución 29/01/2016
La manifestación de las ideas no será objeto de ninguna inquisición judicial o administrativa, sino en el caso de que ataque a la moral, la vida privada o los derechos de terceros, provoque algún delito, o perturbe el orden público; el derecho de réplica será ejercido en los términos dispuestos por la ley. El derecho a la información será garantizado por el Estado.
Párrafo reformado DOF 13-11-2007, 11-06-2013
Toda persona tiene derecho al libre acceso a información plural y oportuna, así como a buscar, recibir y difundir información e ideas de toda índole por cualquier medio de expresión.
Párrafo adicionado DOF 11-06-2013
El Estado garantizará el derecho de acceso a las tecnologías de la información y comunicación, así como a los servicios de radiodifusión y telecomunicaciones, incluido el de banda ancha e internet. Para tales efectos, el Estado establecerá condiciones de competencia efectiva en la prestación de dichos servicios.
Párrafo adicionado DOF 11-06-2013
Para efectos de lo dispuesto en el presente artículo se observará lo siguiente:
Párrafo adicionado DOF 11-06-2013
A. Para el ejercicio del derecho de acceso a la información, la Federación y las entidades federativas, en el ámbito de sus respectivas competencias, se regirán por los siguientes principios y bases:
Párrafo reformado (para quedar como apartado A) DOF 11-06-2013. Reformado DOF 29-01-2016
I. Toda la información en posesión de cualquier autoridad, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, así como de cualquier persona física, moral o sindicato que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal, estatal y municipal, es pública y sólo podrá ser reservada temporalmente por razones de interés público y seguridad nacional, en los términos que fijen las leyes. En la interpretación de este derecho deberá prevalecer el principio de máxima publicidad. Los sujetos obligados deberán documentar todo acto que derive del ejercicio de sus facultades, competencias o funciones, la ley determinará los supuestos específicos bajo los cuales procederá la declaración de inexistencia de la información.
Fracción reformada DOF 07-02-2014
II. La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes.
III. Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito a la información pública, a sus datos personales o a la rectificación de éstos.
IV. Se establecerán mecanismos de acceso a la información y procedimientos de revisión expeditos que se sustanciarán ante los organismos autónomos especializados e imparciales que establece esta Constitución.
Fracción reformada DOF 07-02-2014
V. Los sujetos obligados deberán preservar sus documentos en archivos administrativos actualizados y publicarán, a través de los medios electrónicos disponibles, la información completa y actualizada sobre el ejercicio de los recursos públicos y los indicadores que permitan rendir cuenta del cumplimiento de sus objetivos y de los resultados obtenidos.
Fracción reformada DOF 07-02-2014
VI. Las leyes determinarán la manera en que los sujetos obligados deberán hacer pública la información relativa a los recursos públicos que entreguen a personas físicas o morales.
VII. La inobservancia a las disposiciones en materia de acceso a la información pública será sancionada en los términos que dispongan las leyes.
Párrafo con fracciones adicionado DOF 20-07-2007
VIII. La Federación contará con un organismo autónomo, especializado, imparcial, colegiado, con personalidad jurídica y patrimonio propio, con plena autonomía técnica, de gestión, capacidad para decidir sobre el ejercicio de su presupuesto y determinar su organización interna, responsable de garantizar el cumplimiento del derecho de acceso a la información pública y a la protección de datos personales en posesión de los sujetos obligados en los términos que establezca la ley.
El organismo autónomo previsto en esta fracción, se regirá por la ley en materia de transparencia y acceso a la información pública y protección de datos personales en posesión de sujetos obligados, en los términos que establezca la ley general que emita el Congreso de la Unión para establecer las bases, principios generales y procedimientos del ejercicio de este derecho.
En su funcionamiento se regirá por los principios de certeza, legalidad, independencia, imparcialidad, eficacia, objetividad, profesionalismo, transparencia y máxima publicidad.
El organismo garante tiene competencia para conocer de los asuntos relacionados con el acceso a la información pública y la protección de datos personales de cualquier autoridad, entidad, órgano u organismo que forme parte de alguno de los Poderes Legislativo, Ejecutivo y Judicial, órganos autónomos, partidos políticos, fideicomisos y fondos públicos, así como de cualquier persona física, moral o sindicatos que reciba y ejerza recursos públicos o realice actos de autoridad en el ámbito federal; con excepción de aquellos asuntos jurisdiccionales que correspondan a la Suprema Corte de Justicia de la Nación, en cuyo caso resolverá un comité integrado por tres ministros. También conocerá de los recursos que interpongan los particulares respecto de las resoluciones de los organismos autónomos especializados de las entidades federativas que determinen la reserva, confidencialidad, inexistencia o negativa de la información, en los términos que establezca la ley.
Párrafo reformado DOF 29-01-2016
El organismo garante federal, de oficio o a petición fundada del organismo garante equivalente de las entidades federativas, podrá conocer de los recursos de revisión que por su interés y trascendencia así lo ameriten.
Párrafo reformado DOF 29-01-2016
La ley establecerá aquella información que se considere reservada o confidencial.
Las resoluciones del organismo garante son vinculatorias, definitivas e inatacables para los sujetos obligados. El Consejero Jurídico del Gobierno podrá interponer recurso de revisión ante la Suprema Corte de Justicia de la Nación en los términos que establezca la ley, sólo en el caso que dichas resoluciones puedan poner en peligro la seguridad nacional conforme a la ley de la materia.
El organismo garante se integra por siete comisionados. Para su nombramiento, la Cámara de Senadores, previa realización de una amplia consulta a la sociedad, a propuesta de los grupos parlamentarios, con el voto de las dos terceras partes de los miembros presentes, nombrará al comisionado que deba cubrir la vacante, siguiendo el proceso establecido en la ley. El nombramiento podrá ser objetado por el Presidente de la República en un plazo de diez días hábiles. Si el Presidente de la República no objetara el nombramiento dentro de dicho plazo, ocupará el cargo de comisionado la persona nombrada por el Senado de la República.
En caso de que el Presidente de la República objetara el nombramiento, la Cámara de Senadores nombrará una nueva propuesta, en los términos del párrafo anterior, pero con una votación de las tres quintas partes de los miembros presentes. Si este segundo nombramiento fuera objetado, la Cámara de Senadores, en los términos del párrafo anterior, con la votación de las tres quintas partes de los miembros presentes, designará al comisionado que ocupará la vacante.
Los comisionados durarán en su encargo siete años y deberán cumplir con los requisitos previstos en las fracciones I, II, IV, V y VI del artículo 95 de esta Constitución, no podrán tener otro empleo, cargo o comisión, con excepción de los no remunerados en instituciones docentes, científicas o de beneficencia, sólo podrán ser removidos de su cargo en los términos del Título Cuarto de esta Constitución y serán sujetos de juicio político.
En la conformación del organismo garante se procurará la equidad de género.
El comisionado presidente será designado por los propios comisionados, mediante voto secreto, por un periodo de tres años, con posibilidad de ser reelecto por un periodo igual; estará obligado a rendir un informe anual ante el Senado, en la fecha y en los términos que disponga la ley.
El organismo garante tendrá un Consejo Consultivo, integrado por diez consejeros, que serán elegidos por el voto de las dos terceras partes de los miembros presentes de la Cámara de Senadores. La ley determinará los procedimientos a seguir para la presentación de las propuestas por la propia Cámara. Anualmente serán sustituidos los dos consejeros de mayor antigüedad en el cargo, salvo que fuesen propuestos y ratificados para un segundo periodo.
La ley establecerá las medidas de apremio que podrá imponer el organismo garante para asegurar el cumplimiento de sus decisiones.
Toda autoridad y servidor público estará obligado a coadyuvar con el organismo garante y sus integrantes para el buen desempeño de sus funciones.
El organismo garante coordinará sus acciones con la Auditoría Superior de la Federación, con la entidad especializada en materia de archivos y con el organismo encargado de regular la captación, procesamiento y publicación de la información estadística y geográfica, así como con los organismos garantes de las entidades federativas, con el objeto de fortalecer la rendición de cuentas del Estado Mexicano.
Párrafo reformado DOF 29-01-2016
Fracción adicionada DOF 07-02-2014
B. En materia de radiodifusión y telecomunicaciones:
I. El Estado garantizará a la población su integración a la sociedad de la información y el conocimiento, mediante una política de inclusión digital universal con metas anuales y sexenales.
II. Las telecomunicaciones son servicios públicos de interés general, por lo que el Estado garantizará que sean prestados en condiciones de competencia, calidad, pluralidad, cobertura universal, interconexión, convergencia, continuidad, acceso libre y sin injerencias arbitrarias.
III. La radiodifusión es un servicio público de interés general, por lo que el Estado garantizará que sea prestado en condiciones de competencia y calidad y brinde los beneficios de la cultura a toda la población, preservando la pluralidad y la veracidad de la información, así como el fomento de los valores de la identidad nacional, contribuyendo a los fines establecidos en el artículo 3º de esta Constitución.
IV. Se prohíbe la transmisión de publicidad o propaganda presentada como información periodística o noticiosa; se establecerán las condiciones que deben regir los contenidos y la contratación de los servicios para su transmisión al público, incluidas aquellas relativas a la responsabilidad de los concesionarios respecto de la información transmitida por cuenta de terceros, sin afectar la libertad de expresión y de difusión.
V. La ley establecerá un organismo público descentralizado con autonomía técnica, operativa, de decisión y de gestión, que tendrá por objeto proveer el servicio de radiodifusión sin fines de lucro, a efecto de asegurar el acceso al mayor número de personas en cada una de las entidades de la Federación, a contenidos que promuevan la integración nacional, la formación educativa, cultural y cívica, la igualdad entre mujeres y hombres, la difusión de información imparcial, objetiva, oportuna y veraz del acontecer nacional e internacional, y dar espacio a las obras de producción independiente, así como a la expresión de la diversidad y pluralidad de ideas y opiniones que fortalezcan la vida democrática de la sociedad.
El organismo público contará con un Consejo Ciudadano con el objeto de asegurar su independencia y una política editorial imparcial y objetiva. Será integrado por nueve consejeros honorarios que serán elegidos mediante una amplia consulta pública por el voto de dos terceras partes de los miembros presentes de la Cámara de Senadores o, en sus recesos, de la Comisión Permanente. Los consejeros desempeñarán su encargo en forma escalonada, por lo que anualmente serán sustituidos los dos de mayor antigüedad en el cargo, salvo que fuesen ratificados por el Senado para un segundo periodo.
El Presidente del organismo público será designado, a propuesta del Ejecutivo Federal, con el voto de dos terceras partes de los miembros presentes de la Cámara de Senadores o, en sus recesos, de la Comisión Permanente; durará en su encargo cinco años, podrá ser designado para un nuevo periodo por una sola vez, y sólo podrá ser removido por el Senado mediante la misma mayoría.
El Presidente del organismo presentará anualmente a los Poderes Ejecutivo y Legislativo de la Unión un informe de actividades; al efecto comparecerá ante las Cámaras del Congreso en los términos que dispongan las leyes.
VI. La ley establecerá los derechos de los usuarios de telecomunicaciones, de las audiencias, así como los mecanismos para su protección.
Apartado con fracciones adicionado DOF 11-06-2013
Artículo reformado DOF 06-12-1977
29Nov/19
Resolución 197/2019, de 8 de octubre de 2019, de la Agencia de Acceso a la Información Pública
Resolución 197/2019, de 8 de octubre de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-197-APN-AAIP
Ciudad de Buenos Aires, 8 de octubre de 2019
VISTO el Expediente EX-2019-76009495- -APN-ONEP#JGM, el Presupuesto General de la Administración Nacional para el Ejercicio 2019 aprobado por la Ley n° 27.467, el Convenio Colectivo de Trabajo Sectorial del Personal del Sistema Nacional de Empleo Público (SI.N.E.P.), homologado por el Decreto n° 2.098 de fecha 3 de diciembre de 2008 y sus modificatorios, el Decreto n° 355 de fecha 22 de mayo de 2017, modificado por su similar n° 859 de fecha 26 de septiembre de 2018, el Decreto n° 1035 del 8 de noviembre de 2018, la Decisión Administrativa n° 338 del 16 de marzo de 2018, la Resolución RESOL- 2017-82-APN-SECEP#MM de fecha 25 de agosto de 2017, de la SECRETARÍA DE EMPLEO PÚBLICO del entonces MINISTERIO DE MODERNIZACIÓN y las Resoluciones RESOL- 2019-86-APN-SECEP#JGM del 21 de marzo de 2019 y RESOL- 2019-120-APN-SECEP#JGM del 26 de abril de 2019, ambas de la SECRETARÍA DE EMPLEO PÚBLICO de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, y
CONSIDERANDO:
Que por la Ley nº 27.467 se aprobó el Presupuesto General de la Administración Nacional para el Ejercicio 2019, distribuido por la Decisión Administrativa nº 12 de fecha 10 de enero de 2019 y sus modificatorias.
Que por el Decreto n° 2.098 de fecha 3 de diciembre de 2008 y sus modificatorios, se homologó el Convenio Colectivo de Trabajo Sectorial del Personal del SISTEMA NACIONAL DE EMPLEO PUBLICO (SI.N.E.P.).
Que el Artículo 34 del Anexo del citado Decreto nº 2.098/08 establece que los concursos se realizarán mediante procesos de oposición y antecedentes que permitan comprobar y valorar fehacientemente la idoneidad y las competencias laborales de los candidatos, conforme al perfil del puesto o función a cubrir, el nivel escalafonario y el agrupamiento respectivo.
Que mediante la Resolución N° RESOL-2017-82-APN-SECEP#MM se aprobó el “Régimen de Selección para la cobertura de cargos con Función Ejecutiva” para el personal encuadrado en el SISTEMA NACIONAL DE EMPLEO PÚBLICO (SI.N.E.P.).
Que por la Resolución n° RESOL-2019-86-APN-SECEP#JGM se dio inicio al proceso de selección para la cobertura de CUATRO (4) cargos de la planta permanente distribuidos entre la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, la DIRECCIÓN DE PROTECCIÓN DE LA PRIVACIDAD, la DIRECCIÓN NACIONAL DE ACCESO A LA INFORMACIÓN PÚBLICA , y la DIRECCIÓN DE POLÍTICAS DE INFORMACIÓN PÚBLICA y se designó a los integrantes del Comité de Selección y Coordinador Concursal, conforme lo establecido por el Artículo 8° del Anexo a la citada Resolución n° RESOL-2017-82-APN- SECEP#MM, registrado con el n° IF-2017-16221163-APN-SECEP#MM.
Que por la citada Resolución n° RESOL-2019-86-APN-SECEP#JGM se designó al Comité de Selección n° 1 para llevar a cabo el proceso para la cobertura de los cargos de “Director Nacional Protección de Datos Personales”, “Director Protección de la Privacidad”, “Director Nacional Acceso a la Información Pública” y “Director de Políticas de Información Pública”.
Que mediante la Resolución n° RESOL-2019-120-APN-SECEP#JGM de fecha 26 de abril de 2019 de la SECRETARÍA DE EMPLEO PÚBICO de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, se aprobaron las bases del concurso y el llamado a convocatoria para la cobertura de los cargos mencionados.
Que dicho Comité de Selección se expidió respecto a la recomendación de los grados a asignar, conforme los Artículos 24, 31 y 128 del Convenio Colectivo Sectorial citado, y elevó el Orden de Mérito correspondiente al cargo de Director Nacional de Acceso a la Información Pública, el que fue aprobado mediante Acta nº 17 de fecha 10 de julio de 2019, conforme surge del Informe Gráfico nº RE-2019-82931453-APN- DTA#AAIP.
Que mediante la Resolución n° RESOL-2019-233-APN-SECEP#JGM de la SECRETARÍA DE EMPLEO PÚBLICO de la SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS se aprobó el orden de mérito correspondiente al proceso de selección convocado mediante la citada Resolución nº RESOL-2019-86-APN-SECEP#JGM, para la cobertura del cargo de “Director Nacional de Acceso a la Información Pública”, Nivel escalafonario A, Función Ejecutiva I, perteneciente a la planta permanente de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.
Que la persona propuesta para cubrir el cargo de Director Nacional de Acceso a la Información Pública ha cumplimentado los requisitos establecidos en la reglamentación vigente.
Que a fin de dar cumplimiento a las funciones asignadas a la Dirección Nacional de Acceso a la Información Pública de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, resulta necesario proceder a la designación del titular del cargo de la mencionada.
Que mediante el Decreto n° 355/17 y su modificatorio, se asignaron mayores competencias en materia de personal a los Ministros, Secretarios de la PRESIDENCIA DE LA NACIÓN, Secretarios de Gobierno y a las máximas autoridades de organismos descentralizados.
Que dicho decreto prevé que la designación del personal ingresante a la planta permanente como asimismo la promoción del personal que revista en la planta permanente, luego de la sustanciación de los respectivos procesos de selección, en cargos vacantes y financiados presupuestariamente en el ámbito de la Administración Pública Nacional centralizada en cargos de las estructuras organizativas, serán efectuadas en sus respectivas Jurisdicciones por los Ministros, los Secretarios de la PRESIDENCIA DE LA NACIÓN, los Secretarios de Gobierno y a las máximas autoridades de organismos descentralizados.
Que la Dirección Técnico Administrativa de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA ha certificado la vacancia de los cargos concursados.
Que la Dirección Técnico Administrativa de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, ha certificado la existencia de crédito suficiente en el presente Ejercicio para hacer frente al gasto que demande la presente medida.
Que la Coordinación de Asuntos Jurídicos de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA ha tomado la intervención de su competencia.
Que la presente medida se dicta en uso de las facultades conferidas por los Decretos nros. 355 y sus modificatorios y complementarios.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1°.
Desígnase en la planta permanente de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, a la Licenciada Eugenia Braguinsky (M.I. n° 24.560.995) en el cargo de Director Nacional de Acceso a la Información Pública en un cargo Nivel A, Grado 0, autorizándose el correspondiente pago de la Función Ejecutiva Nivel I, del Convenio Colectivo de Trabajo Sectorial del Personal del SISTEMA NACIONAL DE EMPLEO PÚBLICO (SI.N.E.P.), homologado por el Decreto n° 2.098 de fecha 3 de diciembre de 2008 y sus modificatorios.
ARTÍCULO 2°
El gasto que demande el cumplimiento de la presente medida será imputado a las Partidas Presupuestarias específicas del ejercicio 2019 del Servicio Administrativo Financiero 209 de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, de conformidad con la Ley de Presupuesto General de la Administración Nacional nº 27.467.
ARTÍCULO 3°
Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
Eduardo Andrés Bertoni
24Nov/19
Resolución 119/2019, de 18 de julio de 2019, de la Agencia de Acceso a la Información Pública
Resolución 119/2019, de 18 de julio de 2019, de la Agencia de Acceso a la Información Pública, que establece los criterios de implementación y cumplimiento de las obligaciones y funciones previstas en la Ley 27.275. Resol-2019-119-APN-AAIP
Ciudad de Buenos Aires, 18 de julio de 2019
VISTO el EX-2019-58829917-APN-DNAIP#AAIP, la Ley n° 27.275, la Ley n° 25.326, el Decreto n° 206 del 27 de marzo de 2017 y el Decreto n° 746 del 25 de septiembre de 2017, y
CONSIDERANDO
Que la Ley nº 27.275 tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover la participación ciudadana y la transparencia de la gestión pública (artículo 1°).
Que por el artículo 19 de la referida ley se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP) como ente autárquico con autonomía funcional en el ámbito del PODER EJECUTIVO NACIONAL -Jefatura de Gabinete de Ministros- con el objeto de velar por el cumplimiento de los principios y procedimientos establecidos en la Ley n° 27.275, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales n° 25.326.
Que en virtud de lo prescripto en el artículo 24, inciso k) de la ley es función de la Agencia elaborar criterios orientadores y mejores prácticas destinados a los sujetos obligados.
Que en este sentido ya se dictaron las resoluciones AAIP n° 4 y 48, del 2 de febrero y del 26 de julio de 2018 respectivamente, que establecen criterios generales de actuación e implementación de la Ley n° 27.275.
Que en pos de una implementación homogénea en los sujetos obligados es necesario avanzar sobre la interpretación y alcances de la norma, como también en la determinación de procedimientos que simplifiquen la aplicación de las obligaciones previstas.
Que es menester atender a la obligación de entregar la información en el estado en el que se encuentre pero también a la de entregarla en formatos digitales abiertos cuando sea posible como manda el artículo 5 de la Ley 27.275.
Que si la preocupación del sujeto obligado se subscribe sólo a la cantidad de trabajo administrativo que llevará la respuesta a una solicitud se debe recurrir al artículo 5 de la ley 27.275 que dispone que “la información debe ser brindada en el estado en el que se encuentre al momento de efectuarse la solicitud, no estando el sujeto obligado requerido a procesarla o clasificarla (…)”. Sin embargo, antes de acudir a esta respuesta es necesario que el sujeto obligado considere otros medios para poder contestar la solicitud como por ejemplo la consulta con el solicitante, la entrega fraccionada en plazos o la subsanación de preguntas.
Que el proceso de modernización del Estado tiene por objetivo utilizar tecnologías para simplificar la relación entre la ciudadanía y el Estado, dotar de mayor agilidad y transparencia los diferentes procesos (Decretos 434/16; 561/16; 1063/16; 1131/16; 1273/16; 891/17; 892/17; 894/17; 733/2018 y Ley n° 27.446) y, en consecuencia, la posibilidad reducir los costos de reproducción y tiempos de entrega de la información.
Que en concordancia con las buenas prácticas internacionales y la Ley Modelo Interamericana sobre Acceso a la Información Pública, la Ley n° 27.275 no prevé expresamente una norma que limite a los solicitantes abusivos.
Que resulta necesario considerar que lo que puede resultar de mala fe es la solicitud, no el solicitante, solo porque alguien haya realizado solicitudes de mala fe con anterioridad no implica que su siguiente solicitud vaya a ser de mala fe, cada solicitud debe ser considerada por sus propios méritos.
Que, sin embargo, la autoridad pública que reciba una solicitud debería realizar una interpretación razonable acerca del alcance y la naturaleza de la solicitud para favorecer el acceso y no constituirse en una restricción a un posible uso abusivo del derecho ponderando siempre el principio de buena fe tanto del lado de la administración como del solicitante.
Que la decisión de rechazar una solicitud por ser considerada de mala fe deberá ser tomada por la máxima autoridad, basada en evidencia detallada y debe ser razonable, que deberán estar debidamente documentadas.
Que, a su vez, el régimen de acceso a la información pública, por la naturaleza del derecho que regula, establece plazos breves en función del principio de máxima premura y de la importancia que implica responder de forma oportuna, en consecuencia, no resulta de aplicación supletoria la disposición del art. 1, inc. e), acápite 5º, de la Ley nº 19.549.
Que el artículo 32 de la Ley n° 27.275 contiene las obligaciones de transparencia activa entre las que se incluyen los subsidios y transferencias que otorga y realiza el organismo (inciso f).
Que la obligación de publicar “todo acto o resolución de carácter general o particular, especialmente las normas que establecieran beneficios para el público en general o para un sector…” (inciso h), es también extensiva al otorgamiento de una exención o deducción impositiva, en tanto implica beneficios para el público en general o a un sector en particular y por ello se entiende la obligación de publicidad proactiva de esta información.
Que adicionalmente el inciso t) establece la posibilidad de los sujetos obligados de incorporar cualquier otra información relevante en los ítems previstos a ser publicados en transparencia activa.
Que la Oficina Anticorrupción, como autoridad de aplicación del Decreto reglamentario n° 1179/16, creó el Registro de obsequios a funcionarios públicos y el Registro de gastos de viajes o estadías financiados por terceros que se publica en todas las páginas web institucionales de los sujetos obligados por el Decreto mencionado, y en el entendimiento armónico de la política de transparencia del Estado Nacional se pueden unificar los sitios dónde se publica la información relacionada con dichas políticas para mejor interacción con el ciudadano.
Que para un correcto ejercicio e interpretación de las normas es necesario distinguir trámites que son exclusivos del ejercicio del derecho de acceso a información pública del derecho administrativo ya que tienen características y alcances diferentes.
Que en el acceso a la información pública la legitimación activa es amplia, en tanto “Toda persona humana o jurídica, pública o privada, tiene derecho a solicitar y recibir información pública, no pudiendo exigirse al solicitante que motive la solicitud, que acredite derecho subjetivo o interés legítimo o que cuente con patrocinio letrado” (artículo 4°, Ley n° 27.275), mientras que en el caso de la vista de expedientes de la administración “[l]a parte interesada, su apoderado o letrado patrocinante, podrán tomar vista del expediente durante todo su trámite, con excepción de actuaciones, diligencias, informes o dictámenes que a pedido del órgano competente y previo asesoramiento del servicio jurídico correspondiente, fueren declarados reservados o secretos mediante decisión fundada del respectivo Subsecretario del Ministerio o del titular del ente descentralizado de que se trate” (artículo 38 del Reglamento de Procedimientos Administrativos. Decreto 1759/72 – T.O. 2017).
Que entonces los alcances de cada uno de estos institutos son diferentes en tanto la vista apunta a garantizar los derechos de aquel que tuviera un interés legítimo mientras que el acceso a la información es el derecho de toda persona a acceder a información pública. Aunque el objetivo termine siendo el mismo: acceder a información en manos de los organismos públicos.
Que es competencia del Estado, delegada también a los organismos específicos, reservar información por diferentes motivos, como aquellos casos que sea necesario resguardar situaciones de defensa, política exterior o confidencialidad.
Que el inciso a) del artículo 8 de la Ley 27.275 establece como excepción a la entrega de información pública aquellas cuestiones reservadas por los motivos arriba expuestos.
Que, sin embargo, el inciso a) in fine deja de lado de la excepción a la información “necesaria para evaluar la definición de las políticas de seguridad, defensa y de relaciones exteriores de la Nación; ni aquella otra cuya divulgación no represente un riesgo real e identificable de perjuicio significativo para un interés legítimo vinculado a tales políticas”.
Que por el principio de presunción de publicidad que establece la Ley n° 27.275 se presume que toda la información del Estado es pública y lo que se decida expresamente que no lo es debe ser fundado y su retiro de la luz pública no debe ser indeterminado.
Que, en consonancia con la comunidad internacional, el Estado argentino avanzó en una evaluación de gobierno corporativo de las empresas públicas dirigido por la ORGANIZACIÓN PARA LA COOPERACIÓN Y EL DESARROLLO ECONÓMICO (OCDE), y consecuentemente con la creación de una Red de Integridad de Empresas Públicas en la que participan también la OFICINA ANTICORRUPCIÓN (OA) y la SINDICATURA GENERAL DE LA NACIÓN (SIGEN), en donde se discuten políticas anticorrupción y se intercambian prácticas de buen gobierno entre las empresas.
Que, en febrero de 2018, se firmó la decisión administrativa 85/2018 por la que se aprobaron los “Lineamientos de Buen Gobierno para empresas de Participación Estatal Mayoritaria de Argentina”.
Que los lineamientos son de aplicación para las empresas y sociedades consignadas en el artículo 8 inciso b) de la Ley de Administración Financiera y de los Sistemas de Control del Sector Público Nacional nº 24.156 y para todos aquellos organismos descentralizados cuyo objetivo esencial sea la producción de bienes o servicios.
Que dichas empresas y sociedades son a su vez sujetos obligados de la Ley n° 27.275 de Acceso a la Información Pública por lo que también deben cumplir con las obligaciones que dicta dicha norma.
Que es interpretación de esta Agencia que las obligaciones de la Ley n° 27.275 y los lineamientos de Buen Gobierno Corporativo son compatibles y armonizables, sin necesidad de duplicar los esfuerzos sino complementando y completando ambos requerimientos.
Que el artículo 32 de la Ley de Acceso a la Información Pública estipula qué tipo de información se debe publicar de manera activa pero no diferencia por tipo de sujeto obligado en los términos del artículo 7°.
Que de acuerdo al universo de sujetos obligados comprendidos en el artículo 7° de la Ley n° 27.275 resulta imprescindible interpretar los alcances del artículo 32 de obligaciones de transparencia activa para garantizar su correcta implementación.
Que todo lo expuesto funda la necesidad de establecer criterios de implementación y cumplimiento de las obligaciones y funciones previstas en la Ley n° 27.275.
Que la DIRECCIÓN NACIONAL DE ACCESO A LA INFORMACIÓN PÚBLICA y la COORDINACIÓN DE ASUNTOS JURÍDICOS de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA tomaron la intervención que les compete.
Que la presente se dicta en uso de las facultades conferidas por el artículo 24 de la Ley n° 27.275 y por el artículo 29, inciso b de la Ley n° 25.326.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1°.
Apruébanse los criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley n° 27.275, siendo de observancia obligatoria para los sujetos enumerados en el artículo 7°, incisos a), g), h), i), j), k), l), m), n), o), p) y q) de dicha ley, y que como Anexo I (IF-2019-64974560-APN-AAIP), Anexo II (IF-2019-64973936-APN-AAIP) y Anexo III (IF-2019-64973854-APN-AAIP) forman parte integrante de la presente Resolución.
ARTÍCULO 2°
Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.
Eduardo Andrés Bertoni
18Nov/19
Resolución 118/2019, de 16 de julio de 2019, de la Agencia de Acceso a la Información Pública
Resolución 118/2019, de 16 de julio de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-118-APN-AAIP (Boletín Oficial nº 34.156, Sección 30, Jueves 18 de julio de 2019)
Ciudad de Buenos Aires, 16 de julio de 2019
VISTO el Expediente n° EX-2019-46419272- -APN-DTA#AAIP, la Ley n° 27.469, el Decreto nro. 1035 del 8 de noviembre de 2018, la Decisión Administrativa n° 1274 del 04 de julio de 2018 y lo solicitado por la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, y
CONSIDERANDO:
Que por la Ley n° 27.469 se aprobó el Presupuesto General de la Administración Nacional para el Ejercicio 2019.
Que mediante el Decreto n° 1035 del 8 de noviembre de 2018 se facultó a los Ministros, Secretarios de la PRESIDENCIA DE LA NACIÓN, y autoridades máximas de organismos descentralizados, a prorrogar las designaciones transitorias que oportunamente fueran dispuestas por el Presidente de la Nación o el Jefe de Gabinete de Ministros, en las mismas condiciones de las designaciones y/o últimas prórrogas.
Que asimismo, estableció que en ningún caso la prórroga de la designación que se instrumente en ejercicio de la facultad otorgada por la medida citada precedentemente, podrá exceder el 31 de diciembre de 2019.
Que mediante la Decisión Administrativa nº 1948 del 26 de diciembre de 2018, se designó, transitoriamente, a la Dra. BELTRAME, PATRICIA LAURA (DNI 22.285.710) en la órbita de la AGENCIA DE ACCESO A A INFORMACIÓN PÚBLICA, ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS.
Que al no haberse podido tramitar los Procesos de Selección para la cobertura de los cargos en cuestión, resulta necesario efectuar la prórroga de la designación mencionada.
Que los cargos aludidos no constituyen asignación de recurso extraordinario.
Que la DIRECCIÓN DE ASUNTOS JURÍDICOS DE JEFATURA DE GABINETE DE MINISTROS, ha tomado la intervención de su competencia.
Que la presente medida se dicta en virtud de las atribuciones emergentes del artículo 1° del Decreto nº 1035/18. y el artículo 24 inciso a) de la Ley nº 27.275.
Por ello,
EL SEÑOR DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1º.
Prorrógase, a partir de la fecha que se indica y hasta el 24 de diciembre de 2019, la designación transitoria efectuada oportunamente mediante la Decisión Administrativa nº 1948 del 26 de diciembre de 2018, del personal nominado en la planilla que, como IF-2019-64021936-APN-DTA#AAIP, forma parte integrante de la presente medida, y de acuerdo al detalle obrante en la misma, autorizándose el correspondiente pago de la Funciones Ejecutiva del SISTEMA NACIONAL DE EMPLEO PÚBLICO (SINEP), aprobado por el Convenio Colectivo de Trabajo Sectorial homologado por el Decreto nº 2098 de fecha 3 de diciembre de 2008, sus modificatorios y complementarios, con autorización excepcional por no reunir los requisitos mínimos establecidos en el artículo 14 del Convenio citado precedentemente.
ARTÍCULO 2º.
El cargo involucrado en el artículo 1° deberá ser cubierto conforme los requisitos y sistemas de selección vigentes según lo establecido, respectivamente, en los Títulos II, Capítulos III, IV y VIII; y IV del Convenio Colectivo de Trabajo Sectorial del Personal del SISTEMA NACIONAL DE EMPLEO PÚBLICO (SINEP), homologado por el Decreto nº 2098/08, sus modificatorios y complementarios, dentro del plazo indicado en el artículo 1° de la presente medida.
ARTÍCULO 3º.
El gasto que demande el cumplimiento de lo dispuesto por la presente medida será atendido con cargo a las partidas específicas correspondientes a la Entidad 209- AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.
ARTÍCULO 4º.
Practíquese la notificación prevista en el último párrafo del artículo 3º del Decreto nº 1035/2018.
ARTÍCULO 5º.
Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.
Eduardo Andrés Bertoni
07Nov/19
03Nov/19
Resolución 96/2019, de 21 de junio de 2019, de la Agencia de Acceso a la Información Pública
Resolución 96/2019, de 21 de junio de 2019, de la Agencia de Acceso a la Información Pública. RESOL-2019-96-APN-AAIP
VISTO el EX-2018-33791533-APN-AAIP, el Decreto n° 2098 de fecha 3 de diciembre de 2008 y modificatorios, mediante el cual se homologó el Convenio Colectivo de Trabajo Sectorial del Personal el Sistema Nacional de Empleo Público (SINEP), la Decisión Administrativa n° 1274 del 4 de julio de 2018, la Resolución de esta AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA n° 1 del 5 de diciembre de 2017, y
CONSIDERANDO:
Que mediante el artículo 1° de la Decisión Administrativa n° 360/19, se facultó al titular de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA a incorporar a la estructura organizativa de nivel inferior aprobada mediante la Resolución nº 1 de fecha 5 de diciembre de 2017, la COORDINACIÓN DE RELACIONES INSTITUCIONALES Y COMUNICACIÓN, que a través de dicho acto será incorporada en el Nomenclador de Funciones Ejecutivas de la Jurisdicción, con Nivel IV.
Que por la Resolución n° 1/17 de esta AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, se aprobó la estructura organizativa de segundo nivel operativo del Organismo.
Que, en virtud de ello, resulta menester modificar la estructura de segundo nivel operativo de esta AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA e incorporar el cargo correspondiente a la COORDINACIÓN DE RELACIONES INSTITUCIONALES Y COMUNICACIÓN en el Nomenclador de Funciones Ejecutivas del Organismo.
Que la SECRETARÍA DE COORDINACIÓN INTERMINISTERIAL de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.
Que la COORDINACION DE ASUNTOS JURÍDICOS de la AGENCIA DE ACCESO A LA INFORMACION PUBLICA ha tomado la intervención de su competencia.
Que la presente medida se dicta en ejercicio de las facultades conferidas por el artículo 17 del Decreto n°1545 del 31 de agosto de 1994 y el artículo 4° de la Decisión Administrativa 1274 de fecha del 4 de julio de 2018.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1°
Sustituyese el Anexo I del artículo 1° de la Resolución n° 1 del 5 de diciembre de 2017, aprobatoria de la estructura organizativa de segundo nivel operativo de esta AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, ente autárquico con autonomía funcional en la órbita de la JEFATURA DE GABINETE DE MINISTROS, por el que, con igual denominación, obra en Planilla anexa al presente artículo (IF-2019-45751386-APN-DTA#AAIP), que forma parte integrante de la presente Resolución.
ARTÍCULO 2°
Incorpórese al Anexo II del artículo 1° de la Resolución n° 1 del 5 de diciembre de 2017, aprobatoria de la estructura organizativa de segundo nivel operativo de esta AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, las acciones de la Coordinación de Relaciones Institucionales y Comunicación, conforme al detalle obrante en planilla anexa al presente artículo (IF-2019-45731191-APN-DTA#AAIP), que forma parte integrante de la presente Resolución.
ARTÍCULO 3°
Incorporase al Nomenclador de Funciones Ejecutivas el cargo perteneciente a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, según el detalle obrante en la Planilla Anexa al presente artículo (IF-2019-45731709-APN-DTA#AAIP), que forma parte integrante de la presente Resolución.
ARTÍCULO 4°
El gasto que demande el cumplimiento de la presente medida será atendido con las partidas específicas del presupuesto vigente para el corriente ejercicio de la Entidad 209 – AGENCIA DE ACCESO A LA INFORMACION PUBLICA.
ARTÍCULO 5°
Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
Eduardo Andrés Bertoni
03Nov/19
Ley 27.483 de 6 de diciembre de 2018, que aprueba el Convenio para la Protección de las Personas
Ley 27.483 de 6 de diciembre de 2018, que aprueba el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal. (Publicada en el Boletín Oficial del 2 de Enero de 2019)
El Senado y Cámara de Diputados de la Nación Argentina reunidos en Congreso, etc. sancionan con fuerza de
Ley:
Artículo 1º
Apruébase el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, suscripto en la ciudad de Estrasburgo, República Francesa, el día 28 de enero de 1981, que consta de veintisiete (27) artículos y el Protocolo Adicional al Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, a las autoridades de control y a los flujos transfronterizos de datos, suscripto en la ciudad de Estrasburgo, República Francesa, el día 8 de noviembre de 2001, que consta de tres (3) artículos, los que como Anexos I y II, respectivamente, en idiomas inglés, francés y su traducción al español, forman parte de la presente ley.
Artículo 2º
Comuníquese al Poder Ejecutivo nacional.
Dada en la Sala de Sesiones del Congreso Argentino, en Buenos Aires, a los seis días del mes de diciembre del año dos mil dieciocho.
03Nov/19
Resolución 86/2019. RESOL-2019-86-APN-AAIP, de 31 de mayo de 2019
Visto el expediente electrónico EX-2019-36666622- -APN-DNPDP#AAIP, las leyes n° 25.326 de Protección de Datos Personales y n° 27.275 de Derecho de Acceso a la Información Pública, los Decretos n° 1558 del 29 de noviembre de 2001 y n° 746 del 26 de septiembre de 2017 y;
CONSIDERANDO:
Que la Ley 25.326 estableció los principios generales relativos a la protección de datos, definiéndose el ámbito de ejercicio de los derechos de los titulares de datos, el alcance la responsabilidad de los usuarios y responsables de archivos, registros y bancos de datos, el control del uso de datos y el esquema básico de sanciones aplicables a su transgresión.
Que mediante el Decreto n° 1558 del 29 de noviembre de 2001, reglamentario de la Ley citada, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, en la órbita de la SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como órgano de control de la materia.
Que la Ley nº 27.275 creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP) como ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, con el objeto de “velar por el cumplimiento de los principios y procedimientos establecidos en la Ley, garantizar el efectivo ejercicio del derecho de acceso a la información pública y promover medidas de transparencia activa”.
Que el Decreto n° 746 del 25 de septiembre de 2017, atribuyó a la AAIP la facultad de actuar como Autoridad de Aplicación de la Ley n° 25.326, y le asignó la competencia de “fiscalizar la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre”.
Que, por otra parte, en un estado democrático la comunicación entre las organizaciones políticas y los votantes es fundamental y que las actividades de proselitismo están especialmente protegidas por el principio de libertad de expresión, consagrado en el artículo 14 de la Constitución Nacional, el artículo 13 de la Convención Americana de Derechos Humanos, el artículo 19 de la Declaración Universal de Derechos Humanos y el artículo 19 del Pacto Internacional de Derechos Civiles y Políticos.
Que, en esta línea, el artículo 4 de la Carta Democrática Interamericana preceptúa que la libertad de expresión y de prensa es uno de los “componentes fundamentales para el ejercicio de la democracia”.
Que, de manera concordante, el artículo 2 de Ley n° 23.298, Ley Orgánica de los Partidos Políticos, establece que “los partidos son instrumentos necesarios para la formulación y realización de la política nacional”.
Que, asimismo, tal como ha expresado la Cámara Nacional Electoral en su Acordada Extraordinaria nº 66/2018 “en relación con la información y difusión de ideas de las agrupaciones políticas en las contiendas electorales, no puede dejar de advertirse el impacto y los nuevos desafíos que representa el auge de las plataformas y entornos digitales, que se constituyeron en un novedoso circuito de comunicación”.
Que, en este contexto de desarrollo tecnológico y búsqueda de mayor transparencia, algunos métodos de propaganda política, como por ejemplo, la divulgación en redes sociales y el envío automatizado de mensajes por correo electrónico, involucran el tratamiento de datos personales.
Que, en este sentido, todo tratamiento de datos está regulado por la Ley n° 25.326 y el Convenio 108, para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal , aprobado por la Ley n° 27.483.
Que la Ley n° 25.326 tiene por objeto “la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes” y que el Convenio 108, a su turno, se aplica a todo aquel que realice tratamiento automatizado de datos; por lo que este régimen legal alcanza a las organizaciones y agrupaciones políticas.
Que en virtud de la necesidad de establecer pautas que ayuden a brindar más claridad en un tema tan sensible como los datos personales y la comunicación entre las organizaciones políticas y los votantes en un estado democrático, son varias las autoridades de control de protección de datos personales en el mundo que, recientemente, han publicado guías, reglamentos u opiniones sobre el tratamiento de datos personales con fines electorales.
Que en este sentido, pueden citarse los trabajos elaborados por la Commission Nationale de l’Informatique et des Libertés en Francia (2016), la Information Commissioner’s Office en Reino Unido (2018), la Data Protection Commission en Irlanda (2018), la Urzad Ochrony Danych Osobowych en Polonia (2018), la Agencia Española de Protección de Datos en España (2019), la Gegevenbeschermingsautoriteit en Bélgica (2019) y la Junta Europea de Protección de Datos (2019).
Que en todos los casos, el objetivo fue “subrayar los puntos clave que deben ser respetados por los partidos políticos cuando tratan datos personales en el curso de actividades electorales” (JEPD [2019], Statement 2/2019).
Que, por las razones expuestas y con la profunda convicción de que la comunicación con los votantes y las actividades de proselitismo son absolutamente necesarias e indispensables para la democracia, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA estima oportuno elaborar una guía sobre tratamiento de datos personales con fines electorales, destinada principalmente a las agrupaciones, organizaciones polítcas, candidatos, think tanks, consultores y todo aquel que trate datos personales con el fin de realizar o contribuir en una campaña electoral.
Que el objetivo de la Guía es asegurar la integridad y la protección de los datos personales de los ciudadanos participantes con motivo del proceso eleccionario, sentando una serie de lineamientos básicos para alcanzar ese fin, adecuándose a la normativa vigente.
Que la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES y la COORDINACIÓN DE ASUNTOS JURÍDICOS de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA han tomado la intervención de su competencia.
Que la presente medida se dicta en uso de las facultades conferidas por el art. 29, inc. 1, apartado b) de la Ley n° 25.326, el art. 19 de la Ley n° 27.275 y el artículo 29 del Decreto 1558/2001.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1°
Apruébese la Guía sobre Tratamiento de Datos Personales con Fines Electorales, que como Anexo I (IF-2019-51061931-APN-AAIP) forma parte integrante de la presente Resolución.
ARTÍCULO 2°
Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.
Eduardo Andrés Bertoni
12Oct/19
Resolución 37/2019, de 25 de febrero de 2019, de la Agencia de Acceso a la Información Pública, Resol-2019-37-APN-AAIP
AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
Ciudad de Buenos Aires, 25 de febrero de 2019
VISTO el EX-2019-11053963-APN-AAIP, la Ley n° 25.326, la Ley n° 27.572, los Decretos n° 746 del 25 de septiembre de 2017, Decreto n° 899 del 6 de noviembre 2017 y la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA n° 132 del 19 de octubre de 2018, y
CONSIDERANDO
Que por los Decretos n° 746 del 25 de septiembre de 2017 y nº 899 del 6 de noviembre 2017 se atribuyeron a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA las facultades de actuar como Autoridad de Aplicación y órgano de control de la Ley n° 25.326.
Que el artículo 21 de la Ley nº 25.326 dispone que todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto habilite el organismo de control.
Que, por el artículo 1 de la Resolución n° 132 se estableció que la tramitación de las inscripciones, modificaciones y bajas de las bases de datos personales de carácter privado, público estatal y público no estatal, ante el Registro Nacional de Bases de Datos de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, deberán tramitarse exclusivamente a través de la plataforma “Trámites a Distancia” (TAD) o sistema de Gestión Documental Electrónica (GDE).
Que, asimismo en su artículo 6° dispuso el plazo en que dicha obligación debía ser cumplimentada por los responsables de archivos, registros, bases o banco de datos personales de carácter público estatal y público no estatal, siendo su límite el día 28 de febrero de 2019.
Que por los Decretos n° 801/18 del 5 de septiembre de 2018 y 1117 del 10 de diciembre de 2018, se produjo un reordenamiento en el ámbito de los Ministerios, con el objeto de centralizar las competencias en un menor número de jurisdicciones y reorganizar funciones dentro de la Administración Pública Nacional.
Que, en este contexto, y ante la consulta de diversos organismos, resulta necesario prorrogar la fecha de vencimiento para el reempadronamiento de responsables de archivos, registros, bases o banco de datos personales de carácter público estatal y público no estatal, hasta el 30 de junio de 2019.
Que la COORDINACIÓN DE ASUNTOS JURÍDICOS de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA ha tomado la intervención de su competencia.
Que, la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartados b) y c) de la Ley n° 25.326, modificatorios y complementarios.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE
Artículo 1º
Prorrógase el plazo de reempadronamiento al REGISTRO NACIONAL DE BASES DE DATOS, para los responsables de Archivos, Registros, Bases o Bancos de Datos Personales de carácter público estatal y público no estatal dispuesto por el artículo 6º de la Resolución nº RESOL-2018-132-APN-AAIP, hasta el 28 de junio de 2019.
Artículo 2º
Comuníquese, publíquese, dése a la DIRECCION NACIONAL DEL REGISTRO OFICIAL y archívese.
Eduardo Andrés Bertoni
Decreto-Ley nº 370/2018, sobre la informatización de la Sociedad en Cuba
Decreto-Ley nº 370/2018, sobre la informatización de la Sociedad en Cuba
MIGUEL DÍAZ-CANEL BERMÚDEZ, Presidente del Consejo de Estado de la República de Cuba.
HAGO SABER: Que el Consejo de Estado ha considerado lo siguiente:
POR CUANTO: La informatización de la sociedad en Cuba desempeña un papel significativo en el desarrollo político, económico y social del país y constituye un medio efectivo para la consolidación de las conquistas del Socialismo y el bienestar de la población.
POR CUANTO: Resulta de interés del estado cubano para elevar la soberanía tecnológica, en beneficio de la sociedad, la economía, la seguridad y defensa nacional; contrarrestar las agresiones cibernéticas, salvaguardar los principios de seguridad de nuestras redes y servicios; así como defender los logros alcanzados por el Estado Socialista, siendo necesario emitir la norma jurídica que regule la informatización de la sociedad en Cuba.
POR TANTO: El Consejo de Estado en el ejercicio de las atribuciones que le han sido conferidas en el inciso c), del Artículo 90 de la Constitución de la República de Cuba, adopta el siguiente:
DECRETO-LEY nº 370 “SOBRE LA INFORMATIZACIÓN DE LA SOCIEDAD EN CUBA”
TÍTULO I.- OBJETO, OBJETIVOS, ORGANIZACIÓN INSTITUCIONAL, COMPETENCIAS Y ATRIBUCIONES
CAPÍTULO I.- OBJETO Y OBJETIVOS
ARTÍCULO 1.
El Estado promueve el desarrollo y utilización de las Tecnologías de la Información y la Comunicación, con el objetivo de que constituyan una fuerza política, científica y económica, que contribuya y propicie la integración y conducción de los procesos asociados a la informatización de la sociedad.
ARTÍCULO 2.
La informatización de la sociedad es el proceso de aplicación ordenada y masiva de las Tecnologías de la Información y la Comunicación en la gestión de la información y el conocimiento, con la seguridad requerida, para satisfacer gradualmente las necesidades de todas las esferas de la vida social, en su esfuerzo por parte del Estado de lograr cada vez más eficacia y eficiencia en los procesos, así como mayor generación de riqueza y aumento de la calidad de vida de los ciudadanos.
ARTÍCULO 3.
Se denominan Tecnologías de la Información y la Comunicación, en lo adelante TIC, al conjunto de recursos, herramientas, equipos, programas y aplicaciones informáticas, redes y medios, que permiten la compilación, procesamiento, almacenamiento, transmisión y recepción de información en cualquier formato: voz, datos, texto, video e imágenes.
ARTÍCULO 4.
El presente Decreto-Ley es aplicable a las relaciones jurídicas relacionadas con las TIC y tiene como objeto establecer su marco legal, de tal forma que ordene y garantice el derecho al acceso y participación de las personas naturales y jurídicas en la informatización de la sociedad, en correspondencia con lo establecido en la Constitución, las leyes y las restantes disposiciones legales, así como los tratados y demás instrumentos jurídicos internacionales en la materia, de los que la República de Cuba es Estado parte.
ARTÍCULO 5.
Los objetivos del presente Decreto-Ley son los siguientes:
a) Fortalecer el proceso de informatización, en función de modernizar coherentemente todas las esferas de la sociedad y contribuir al desarrollo económico y social del país;
b) consolidar el uso y desarrollo de las TIC, como instrumento para la defensa de la Revolución;
c) promover y favorecer el acceso y el uso responsable de los ciudadanos a las TIC;
d) consolidar la defensa política y la ciberseguridad frente a las amenazas, los ataques y riesgos de todo tipo;
e) preservar y desarrollar los recursos humanos asociados a la actividad;
f) satisfacer las necesidades generales para incrementar el uso de las TIC y su aplicación por el Estado y del Gobierno, en la Seguridad y Defensa Nacional, y el Orden Interior;
g) favorecer el uso de las TIC en los órganos, organismos y entidades nacionales del Estado y del Gobierno, sistema empresarial y unidades presupuestadas, el Banco Central de Cuba y demás instituciones financieras, las cooperativas, las empresas mixtas, las formas asociativas sin ánimos de lucro y las organizaciones políticas, sociales y de masas;
h) asegurar la sostenibilidad y soberanía tecnológica de las TIC en función del desarrollo de la informatización del país; e
i) incentivar y promover la integración de la investigación, desarrollo e innovación con la producción y comercialización de equipos, programas y aplicaciones informáticas, contenidos y servicios asociados a las TIC.
CAPÍTULO II.- ORGANIZACIÓN INSTITUCIONAL
ARTÍCULO 6.
La informatización de la sociedad cubana se garantiza por los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, según su misión y funciones específicas, con la contribución de las formas asociativas sin fines de lucro y las organizaciones políticas, sociales y de masas.
ARTÍCULO 7.
El Ministerio de Comunicaciones, en coordinación con los de las Fuerzas Armadas Revolucionarias y del Interior, es el responsable de orientar las tareas y acciones que garanticen la informatización de la sociedad.
CAPÍTULO III.- COMPETENCIAS Y ATRIBUCIONES
SECCIÓN PRIMERA.- COMPETENCIAS DEL MINISTERIO DE COMUNICACIONES RESPECTO AL PROCESO DE INFORMATIACIÓN DE LA SOCIEDAD.
ARTÍCULO 8.
El Ministerio de Comunicaciones es el organismo encargado de otorgar la autorización, entendida esta como la licencia concedida a una persona natural o jurídica en el ámbito de las TIC, para según las condiciones que en esta se establecen, proyectar, instalar, mantener y comercializar programas y aplicaciones informáticas o proveer un servicio relacionado con lo autorizado.
ARTÍCULO 9.
Es competencia del Ministerio de Comunicaciones, en el proceso de informatización de la sociedad, en colaboración con los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, las formas asociativas sin fines de lucro y las organizaciones políticas, sociales y de masas, de acuerdo con las prioridades económicas y sociales del país, y con su misión y funciones específicas:
a) Organizar, normar y estandarizar la actividad informática en los órganos y organismos del Estado y del Gobierno a todos los niveles que corresponda;
b) fomentar la producción de equipamiento vinculado a las TIC e incentivar su establecimiento en zonas especiales de desarrollo, en correspondencia con las prioridades de informatización del país;
c) coadyuvar al desarrollo y modernización de la infraestructura tecnológica, que permita un empleo eficiente de los recursos y garantice la seguridad, calidad y el acceso a los servicios de las TIC para toda la sociedad, asi como el despliegue y desarrollo de infraestructuras tecnológicas en los sectores productivos y de servicios de impacto en la sociedad;
d) promover la integración ordenada de las redes institucionales y de uso público, en función del acceso a los servicios y que garantice su seguridad;
e) fomentar de forma racional un sistema de centros de datos con condiciones tecnológicas, respaldo y seguridad adecuados, como soporte al proceso de informatización y a las necesidades de las entidades que lo requieran;
f) potenciar el desarrollo de la infraestructura de telecomunicaciones, en especial el despliegue de la banda ancha, para garantizar su cobertura nacional y ampliar la capilaridad en la red de acceso, fundamentalmente con el empleo de tecnologías inalámbricas que incluye la móvil;
g) participar en el diseño e implementación del sistema de gestión integrada del capital humano del sector de las TIC;
h) impulsar la cooperación internacional, en función de fortalecer el desarrollo de las TIC y la participación del país en foros internacionales y multilaterales, que permitan la adopción de estándares para el desarrollo de las TIC;
i) establecer convenios y alianzas que contribuyan al desarrollo de soluciones, al acceso, transferencias de tecnologías y al desarrollo del capital humano;
j) promover el desarrollo y la implementación de los servicios en línea entre las instituciones y hacia los ciudadanos, con prioridad en los servicios y trámites de la población, la gestión del gobierno y el comercio electrónico;
k) conducir la elaboración de los planes para el desarrollo y uso de las TIC en cada sector de la economía, con prioridad en aquellos que sean estratégicos, asi como a nivel territorial;
l) apoyar el fortalecimiento de las entidades especializadas en las TIC, de manera que haya una mayor integración y mejor conducción de los procesos asociados a la informatización de la sociedad, así como crear alianzas entre las diferentes empresas y las entidades de ciencia, tecnología e innovación del país para alcanzar los objetivos estratégicos que se proponga la nación;
m) garantizar el diseño e instrumentación de un sistema que perfeccione, armonice y desarrolle el marco legal que sustente el proceso de informatización de la sociedad, así como el control y fiscalización de su cumplimiento; y
n) coadyuvar a que los procesos de informatización se desarrollen con un análisis organizacional y con un enfoque sistémico integrado. Sección Segunda Competencias de los órganos, organismos y entidades nacionales del Estado y del Gobierno en el proceso de informatización de la sociedad
ARTÍCULO 10.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, de acuerdo con su misión y funciones específicas aprobadas, desarrollan las acciones que se establecen mediante el presente Decreto-Ley, en el marco del proceso de informatización de la sociedad cubana.
ARTÍCULO 11.
El ministro de Comunicaciones propone al Consejo de Ministros para su aprobación con la participación del Ministerio de Economía y Planificación, el Programa Nacional de Informatización, que integre y armonice por cada sector y a nivel territorial, las principales prioridades del país a corto, mediano y largo plazos a los fines de su incorporación a los planes de la economía del país y una vez aprobado realiza su implementación así como establece los indicadores de dicho Programa que puedan medir su impacto.
ARTÍCULO 12.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular son los responsables de implementar en sus planes las actividades que le correspondan dentro del Programa Nacional de Informatización, y su aseguramiento económico.
TÍTULO II.- DESARROLLO DE PROGRAMAS Y APLICACIONES INFORMÁTICAS
CAPÍTULO I.- INDUSTRIA CUBANA DE PROGRAMAS Y APLICACIONES INFORMÁTICAS
ARTÍCULO 13.
Se entiende por programa y aplicación informática, conocido como software, al programa de computación o conjunto de estos, procedimientos y posible documentación y datos asociados; entre los que se encuentran:
a) Programa y aplicación informática de código abierto: es aquel que posee licencia y permite, con mayores o menores restricciones, ejecutar, modificar y distribuir la aplicación informática, brinda acceso a sus programas listados de códigos fuente, con reconocimiento o no del autor.
b) Programa y aplicación informática propietario, también llamado software no libre, software privativo, software privado, software propietario o software de propiedad: es aquel en el que los usuarios tienen limitadas las posibilidades de usarlo, modificarlo o redistribuirlo, con o sin modificaciones, o cuyo código fuente no está disponible o el acceso a éste se encuentra restringido.
ARTÍCULO 14.
El alcance de la industria de programas y aplicaciones informáticas, en lo adelante la Industria, comprende a las entidades y al trabajador por cuenta propia, cuya función, objeto social o actividad económica autorizada es el desarrollo de programas y aplicaciones informáticas y la prestación de servicios informáticos asociados a esta industria.
ARTÍCULO 15.
El Ministerio de Comunicaciones organiza, coordina y promueve la Industria, en correspondencia con las prioridades de informatización del país, orientadas a fortalecer la soberanía tecnológica, la sustitución de importaciones y el incremento de exportaciones.
ARTÍCULO 16.
Corresponde al Ministerio de Comunicaciones implementar el sistema de control administrativo de inscripción de los programas y aplicaciones informáticas y servicios asociados a las TIC, que se pretendan comercializar, así como sus desarrolladores.
ARTÍCULO 17.
El Ministerio de Comunicaciones adopta las acciones necesarias, en coordinación con los organismos competentes, para incrementar la producción nacional y las exportaciones de programas y aplicaciones informáticas de la Industria.
ARTÍCULO 18.
El Ministerio de Comunicaciones, en coordinación con los organismos competentes para perfeccionar los mecanismos de gestión, actualización, socialización y comercialización de servicios, contenidos digitales y dispositivos informáticos adopta las acciones necesarias en cuanto a:
a) Establecer una plataforma nacional que incentive la generación de contenidos y garantice la posibilidad de socializarlos, dirigidos a fortalecer la identidad, el respeto y el conocimiento a la cultura e historia nacional, así como a preservar los valores de la sociedad cubana;
b) promover la ampliación de capacidades y el uso de Internet, con precios cada vez más accesibles y competitivos;
c) controlar que se establezcan modelos de negocios entre el operador de redes de telecomunicaciones y los proveedores de servicios, programas y aplicaciones informáticas, de manera que se estimule la producción de contenidos y servicios digitales nacionales; y
d) favorecer que se implemente una estrategia de precios asequible para la comercialización de los dispositivos informáticos, la producción de aplicaciones y contenidos, así como el uso racional de la infraestructura.
ARTÍCULO 19.
El Ministerio del Comercio Exterior y la Inversión Extranjera en coordinación con el de Comunicaciones, establece e implementa la estrategia para la exportación de programas y aplicaciones informáticas, servicios y contenidos digitales.
ARTÍCULO 20.
Los ministerios de Cultura y l de Ciencia, Tecnología y Medio Ambiente, en lo referido al derecho de autor y a la propiedad intelectual respectivamente, en coordinación con el Ministerio de Comunicaciones, establecen las normas para la protección a los autores y titulares de programas y aplicaciones informáticas, a partir de las necesidades del desarrollo científico y tecnológico del país en la explotación de este tipo de creación, así como los mecanismos que garanticen la protección del patrimonio nacional.
ARTÍCULO 21.
El Ministerio de Comunicaciones, con la participación del de Economía y Planificación, establece el diseño económico, que permita aumentar y diversificar las fuentes de financiamiento, en respaldo a la modernización de la infraestructura tecnológica, así como a las prioridades del Programa Nacional de Informatización.
ARTÍCULO 22.
Los operadores de redes de telecomunicaciones y los proveedores de servicios TIC, garantizan la oferta de tarifas preferenciales para impulsar las capacidades tecnológicas de las entidades de programas y aplicaciones y servicios informáticos; de igual manera, los suministradores de equipamiento informático establecen precios preferenciales, comparables a los internacionales, a las entidades que desarrollan programas y aplicaciones informáticas y servicios informáticos.
CAPÍTULO II.- PROGRAMAS Y APLICACIONES INFORMÁTICAS DE CÓDIGO ABIERTO
ARTÍCULO 23.
El Estado promueve la utilización de programas y aplicaciones informáticas que utilicen plataformas de código abierto y de producción nacional, con el objetivo de priorizar su uso e incrementar la soberanía tecnológica y la seguridad nacional.
ARTÍCULO 24.
El Ministerio de Comunicaciones es el responsable de elaborar, establecer y controlar el plan para la migración de programas y aplicaciones informáticas propietarios, hacia plataformas de código abierto de producción nacional, en coordinación con los órganos y organismos de la Administración Central del Estado y el Banco Central de Cuba, así como adoptar las medidas que garanticen brindar servicios de asesoría técnica, formación del personal y acceso a las aplicaciones de código abierto.
ARTÍCULO 25.
La migración de programas y aplicaciones informáticas propietarios hacia plataformas de código abierto y de producción nacional, se aplica a los órganos, organismos de la Administración Central del Estado y el Banco Central de Cuba; esta migración se realiza de forma ordenada y progresiva y donde sea imprescindible coexiste con los sistemas propietarios, siempre que satisfagan los requerimientos de seguridad y las necesidades de informatización de cada entidad.
TÍTULO III.- GOBIERNO Y COMERCIO ELECTRÓNICO
CAPÍTULO I.- GOBIERNO ELECTRÓNICO
ARTÍCULO 26.
El Estado incorpora el Gobierno Electrónico en la prestación de sus servicios y trámites, la difusión de información e interacción con la población.
ARTÍCULO 27.
El Gobierno Electrónico es el uso de las TIC en la gestión de la administración pública para incrementar su eficacia y eficiencia, con la finalidad de mejorar la información y los servicios ofrecidos a los ciudadanos, incrementar la transparencia del sector público y la participación de la población.
ARTÍCULO 28.
El Ministerio de Comunicaciones, en coordinación con otros órganos, organismos de la Administración Central del Estado y el Banco Central de Cuba, elabora las propuestas de acciones para implementar el Gobierno Electrónico.
ARTÍCULO 29.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, aplican las acciones aprobadas para establecer el Gobierno Electrónico, con el objetivo de garantizar el máximo aprovechamiento de las TIC y la prestación de servicios eficientes a la población.
ARTÍCULO 30.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular que tengan a su cargo Registros Públicos, son responsables de su informatización y de priorizar su ejecución.
ARTÍCULO 31.
Los documentos en formato digital firmados electrónicamente con el empleo de certificados digitales de la Infraestructura Nacional de Llave Pública, conforme a las regulaciones establecidas por la Ley, prueban la autenticidad de la elaboración de éstos y son reconocidos como válidos, con plena eficacia por las autoridades y funcionarios públicos a todos los efectos procedentes.
ARTÍCULO 32.
El Ministro de Justicia, en el marco de su competencia, con la colaboración de los ministerios del Interior y de Comunicaciones y demás órganos y organismos de la Administración Central del Estado, que correspondan, propone, o emite en su caso, las disposiciones jurídicas que resulten necesarias para dotar de validez legal los documentos en formato digital.
ARTÍCULO 33.
Los datos de carácter personal en soporte electrónico, solo se pueden revelar a terceros que posean interés legítimo debidamente acreditado ante autoridad competente o que estén autorizado por el titular de estos datos; ante el incumplimiento de lo dispuesto, se procede conforme a lo establecido en la legislación vigente.
ARTÍCULO 34.
El Jefe de la Oficina Nacional de Estadísticas e Información, en coordinación con el Ministerio de Comunicaciones establece los procedimientos, normativas y estándares tecnológicos que garanticen la interoperabilidad de la información a nivel nacional y la comparabilidad en el ámbito internacional.
ARTÍCULO 35.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular determinan los servicios que brindan a la población, facilitan y optimizan los trámites y el acceso a la información, así como la atención ciudadana en línea, y son responsables del uso de las plataformas tecnológicas que protejan los datos del usuario y garanticen la veracidad y autenticidad de la información.
ARTÍCULO 36.
Los ministerios de Educación y Educación Superior incluyen temáticas de Gobierno Electrónico en los planes de estudio en todos los niveles de enseñanza, según corresponda.
ARTÍCULO 37.
Las entidades aportan, en el ejercicio de sus funciones, los recursos materiales y humanos, así como la capacitación necesaria para el desarrollo y uso de las TIC.
CAPÍTULO II.- COMERCIO ELECTRÓNICO
ARTÍCULO 38.
El Comercio Electrónico es la actividad comercial que se desarrolla mediante la utilización de las TIC que comprende promoción, negociación de precios y condiciones de contratación, facturación y pago, entrega de bienes o servicios, así como servicios de posventa, entre otros.
ARTÍCULO 39.
Corresponde al Ministerio del Comercio Interior, con la participación de los de Comercio Exterior y la Inversión Extranjera, y de Comunicaciones, y en coordinación con los organismos mencionados en los artículos 43 y 44, desarrollar las acciones para implementar el Comercio Electrónico, así como la exportación e importación de bienes y servicios vinculados a este.
ARTÍCULO 40.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular y el sistema empresarial, de acuerdo con sus funciones, crean las condiciones para el desarrollo y la participación en el Comercio Electrónico y realizan actividades de capacitación a los directivos, técnicos y especialistas en esta esfera.
ARTÍCULO 41.
Las personas naturales y jurídicas que participen en actividades de Comercio Electrónico han de cumplir con la legislación vigente en materia de comercio.
ARTÍCULO 42.
Las personas naturales y jurídicas que provean bienes y servicios por medios digitales, están obligadas a desarrollar un entorno técnicamente seguro para las transacciones comerciales en las que operan, de acuerdo con la legislación vigente.
ARTÍCULO 43.
Corresponde a los órganos y organismos de la Administración Central del Estado, implementar en el marco de su competencia, las acciones y medidas siguientes:
a) El Ministerio de Comunicaciones garantiza que los proveedores de servicios brinden la conectividad necesaria con la debida seguridad, para desarrollar el Comercio Electrónico en el país;
b) el Ministerio de Economía y Planificación prioriza, según las condiciones existentes, los recursos a destinar por el sistema empresarial para la seguridad, supervisión y desarrollo del Comercio Electrónico;
c) el Ministerio de Justicia con la participación de los del Comercio Exterior y la Inversión Extranjera, y del Comercio Interior, aprueba las disposiciones jurídicas que resulten necesarias para el intercambio de los documentos en formato digital, relacionados con el Comercio Electrónico;
d) el Ministerio del Transporte realiza los estudios y establece las normas para garantizar los servicios de transportación asociados al Comercio Electrónico;
e) el Ministerio del Comercio Interior, en el marco de su competencia, establece las disposiciones normativas para garantizar el adecuado desarrollo del Comercio Electrónico y las medidas de seguridad, asi como los procedimientos de control necesarios;
f) el Ministerio de Cultura establece las disposiciones que le correspondan, acerca de la Protección de los Derechos de Autor sobre obras intelectuales que se comercializan a través del Comercio Electrónico; y
g) los ministerios de Educación y Educación Superior incluyen temáticas de Comercio Electrónico en los planes de estudio en todos los niveles de enseñanza, según corresponda.
ARTÍCULO 44.
El Banco Central de Cuba evalúa y autoriza los instrumentos de pagos y sus proveedores de servicios, las infraestructuras, y los mecanismos para el procesamiento de los pagos por vía electrónica.
TÍTULO IV.- SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN Y LA DEFENSA NACIONAL
CAPÍTULO I.- SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN
ARTÍCULO 45.
El Estado identifica las Infraestructuras Críticas de las TIC y su seguridad y protección para su correcto funcionamiento.
ARTÍCULO 46.
Las Infraestructuras Críticas de las Tecnologías de la Información y la Comunicación son aquellas que soportan los componentes, procesos y servicios esenciales que garanticen las funciones y la seguridad a los sectores estratégicos de la economía, a la Seguridad y Defensa Nacional y a los servicios que brinde la Administración Pública.
ARTÍCULO 47.
El Ministerio de Comunicaciones, en coordinación con los ministerios de las Fuerzas Armadas Revolucionarias y del Interior, establece el Programa para el Fortalecimiento de la Ciberseguridad y coordina la participación en las actividades internacionales requeridas a ese fin, e implementa su control y fiscalización.
ARTÍCULO 48.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, implementan las acciones que se corresponden con la política y estrategias de seguridad de las TIC aprobadas, que se establecen en el programa para su fortalecimiento; entre estas acciones se tienen en cuenta:
a) Las soluciones y la infraestructura que garanticen la autenticación, seguridad, legitimidad y autenticidad para el proceso de informatización del país;
b) la seguridad de los sistemas tecnológicos que procesan información clasificada o sirven de sustento a las Infraestructuras Críticas de las TIC,
c) la investigación, desarrollo, asimilación tecnológica y soporte de soluciones para la seguridad de las TIC de forma sostenible;
d) el perfeccionamiento del proceso de compatibilización de los servicios, tecnologías e inversiones con los órganos de la defensa;
e) la certificación y supervisión de las soluciones, servicios y la infraestructura tecnológica; y
f) la actividad de gestión, control, fiscalización y actuación ante incidentes de la seguridad de las TIC.
ARTÍCULO 49.
Las personas naturales, usuarios de las TIC, cumplen en lo que a ellas corresponde, con el programa vigente de fortalecimiento de la seguridad de las TIC.
CAPÍTULO II.- DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN PARA LA SEGURIDAD Y LA DEFENSA NACIONAL
ARTÍCULO 50.
El Ministerio de Comunicaciones, con la participación de los ministerios de las Fuerzas Armadas Revolucionarias y del Interior, coordina y establece las acciones que permitan mejorar paulatinamente las condiciones de fiabilidad, estabilidad y el uso seguro de las TIC, para respaldar la seguridad y la defensa nacional, de forma paralela con la informatización de la sociedad.
ARTÍCULO 51.
Los ministerios de las Fuerzas Armadas Revolucionarias y del Interior, definen los requerimientos técnicos, organizativos y de seguridad de los servicios de interés para el país, soportados en sus infraestructuras tecnológicas.
ARTÍCULO 52.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, organizan sus servicios de las TIC en coordinación con los ministerios de las Fuerzas Armadas Revolucionarias y del Interior, para responder a las necesidades que el país requiera en situaciones excepcionales y las vinculadas a la seguridad y la defensa nacional.
TÍTULO V.- INVESTIGACIÓN, DESARROLLO, INNOVACIÓN TECNOLÓGICA Y CAPITAL HUMANO
CAPÍTULO I.- INVESTIGACIÓN, DESARROLLO E INNOVACIÓN TECNOLÓGICA
ARTÍCULO 53.
Corresponde al Ministerio de Ciencia, Tecnología y Medio Ambiente en coordinación con los de Educación Superior y de Comunicaciones, establecer un programa de ciencia, tecnología e innovación de las TIC que aproveche las potencialidades del capital humano, en especial las universidades y centros de investigación.
ARTÍCULO 54.
Los ministerios de Ciencia, Tecnología y Medio Ambiente y de Comunicaciones, en coordinación con los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, establecen los programas de ciencia, tecnología e innovación y las acciones que promuevan la investigación científica e industrial en esta especialidad, de conformidad con los objetivos del presente Decreto-Ley.
ARTÍCULO 55.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, implementan las acciones que se corresponden con el programa vigente de ciencia, tecnología e innovación de las TIC y garantizan el acceso a Internet de los profesionales.
ARTÍCULO 56.
El Ministerio de Industrias en coordinación con el de Comunicaciones, diseña la estrategia para reducir gradualmente la obsolescencia tecnológica, con sus planes de producción y sostenibilidad, a partir de las prioridades de informatización de la sociedad.
CAPÍTULO II.- CAPITAL HUMANO
ARTÍCULO 57.
El Ministerio de Comunicaciones fomenta programas de calificación y adiestramiento, a fin de ampliar y actualizar la especialización en las diferentes ramas de las TIC, con especial énfasis en la ciberseguridad, los programas y aplicaciones informáticas de código abierto, el desarrollo técnico y profesional, así como los programas de apoyo a la educación tecnológica, en coordinación con las instituciones de educación media y superior del país.
ARTÍCULO 58.
Los ministerios de Educación y Educación Superior en coordinación con el de Comunicaciones, desarrollan acciones que:
a) Impulsen la investigación, desarrollo, innovación y producción en las TIC y contribuyan a implementar la introducción de los resultados obtenidos;
b) implementan modelos educativos en todos los niveles de enseñanza, que generen el capital humano con las capacidades para desarrollar, sostener y utilizar las TIC; y
c) desarrollen los programas de capacitación en las diferentes ramas de las TIC, acorde con su complejidad y evolución tecnológica.
ARTÍCULO 59.
Los ministerios de Comunicaciones y de Trabajo y Seguridad Social, de acuerdo con sus funciones, desarrollan acciones encaminadas a:
a) Actualizar periódicamente los calificadores y jerarquizar los cargos, a partir de la idoneidad demostrada para los diferentes perfiles y el conocimiento real, con la participación de la organización sindical del nivel correspondiente;
b) perfeccionar el proceso de planificación de la formación, así como la demanda y distribución de la fuerza de trabajo calificada; y
c) desarrollar el teletrabajo en coordinación con los demás órganos y organismos de la Administración Central del Estado.
TÍTULO VI.- REGULACIÓN, CONTROL Y FISCALIZACIÓN DEL PROCESO DE INFORMATIZACIÓN EN LA SOCIEDAD CUBANA
CAPÍTULO I.- REGULACIÓN, CONTROL Y FISCALIZACIÓN
ARTÍCULO 60.
El Ministerio de Comunicaciones, con la participación de los del Interior y las Fuerzas Armadas Revolucionarias, designa las unidades organizativas y entidades que garanticen la regulación, control y fiscalización para asegurar el cumplimiento de lo que establece el presente Decreto-Ley.
ARTÍCULO 61.
Todo proveedor de servicios públicos de las TIC tiene que brindar al Ministerio de Comunicaciones la información que éste determine para el cumplimiento de sus funciones.
ARTÍCULO 62.
Corresponde a los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, las formas asociativas sin ánimos de lucro, las cooperativas y las organizaciones políticas, sociales y de masas, instrumentar el proceso de informatización en su esfera de actividades e implementar el control y fiscalización que corresponda.
ARTÍCULO 63.
La Contraloría General de la República con la participación de los ministerios del Interior, de Finanzas y Precios y de Comunicaciones establece las Directrices para el desarrollo de la auditoría a las TIC y la evaluación del Sistema de Control Interno asociado a estas y a la actividad de Comercio Electrónico.
ARTÍCULO 64.
Las personas naturales y jurídicas sometidas al control y fiscalización en la esfera de las TIC, colaboran y facilitan la gestión de los funcionarios de las correspondientes entidades o unidades organizativas encargadas de estas funciones, sin perjuicio de los derechos constitucionalmente reconocidos.
ARTÍCULO 65.
Las autoridades de orden público prestan la protección y auxilio a los funcionarios de las correspondientes entidades o unidades organizativas de control y fiscalización en la esfera de las TIC.
CAPÍTULO II.- MEDICIÓN DEL PROCESO DE INFORMATIZACIÓN EN LA SOCIEDAD CUBANA
ARTÍCULO 66.
Los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular realizan mediciones de los impactos del proceso de informatización, para lo que tienen en cuenta, entre otros la reducción de gastos, la optimización de la fuerza de trabajo y la calidad del servicio o producto.
ARTÍCULO 67.
La Oficina Nacional de Estadísticas e Información:
a) Incluye en el Sistema de Información Estadístico Nacional los indicadores, definiciones metodológicas y procedimientos de control, de la informatización de la sociedad; y
b) con la colaboración de los ministerios de Comercio Exterior y la Inversión Extranjera, del Comercio Interior y de Economía y Planificación, establece los procedimientos de control estadísticos, los indicadores sobre los bienes y servicios que se comercialicen electrónicamente y sus definiciones metodológicas.
TÍTULO VII.- CONTRAVENCIONES Y SANCIONES ASOCIADAS A LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN Y LOS RECURSOS ADMINISTRATIVOS PARA SU IMPUGNACIÓN
CAPÍTULO I.- DE LAS CONTRAVENCIONES Y SANCIONES ASOCIADAS A LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LA COMUNICACIÓN
ARTÍCULO 68.
Se consideran contravenciones asociadas a las TIC, siempre que no constituyan delitos, las violaciones siguientes:
a) Comercializar programas, aplicaciones y servicios informáticos asociados a estos sin la autorización del organismo competente de acuerdo con la legislación vigente;
b) fabricar, comercializar, transferir, instalar equipos y demás dispositivos para brindar, facilitar o recibir servicios asociados a las TIC, sin la correspondiente autorización;
c) diseñar, distribuir o intercambiar códigos de virus informáticos u otros programas malignos entre personas naturales o jurídicas; se exceptúa la información enviada por usuarios a la autoridad competente para su análisis e investigación;
d) adicionar algún equipo de telecomunicaciones/TIC o introducir cualquier tipo de programas y aplicaciones informáticas en una red de datos, ya sea a través de soportes removibles o mediante acceso a redes externas sin la autorización del titular o no garantizar su compatibilización con las medidas de seguridad establecidas para la protección de la red de datos;
e) acceder sin la autorización o agredir a cualquier sistema de cómputo conectado a las redes públicas de transmisión de datos y la usurpación de los derechos de acceso de usuarios debidamente autorizados;
f) hospedar un sitio en servidores ubicados en un país extranjero, que no sea como espejo o réplica del sitio principal en servidores ubicados en territorio nacional;
g) interferir, interceptar, alterar, dañar o destruir datos, información, soportes informáticos, programas o sistemas de información y comunicación de servicios públicos, sociales y administrativos;
h) realizar acciones de comprobación de vulnerabilidades contra sistemas informáticos nacionales o extranjeros, sin la debida autorización; y
i) difundir, a través de las redes públicas de transmisión de datos, información contraria al interés social, la moral, las buenas costumbres y la integridad de las personas.
CAPÍTULO II.- DE LAS SANCIONES ACCESORIAS
ARTÍCULO 69.
A la persona natural que contravenga lo dispuesto en los incisos a), e) y f) del Artículo 68 se le impone una multa de mil pesos ($ 1 000 CUP); en caso de ser una persona jurídica, la multa que se le impone es de cinco mil pesos ($5 000 CUP).
ARTÍCULO 70.
A la persona natural que contravenga lo dispuesto en los restantes incisos del Artículo 68, se le impone una multa de tres mil pesos ($3 000 CUP); en caso de ser una persona jurídica, la multa que se le impone es de diez mil pesos ($10 000 CUP).
ARTÍCULO 71.
A los responsables de la comisión de contravenciones establecidas por el presente Decreto-Ley y sus disposiciones complementarias, además de la sanción de multa se le puede imponer las accesorias siguientes:
a) Decomiso de los equipos y medios utilizados para cometer las contravenciones previstas en el artículo 68;
b) suspensión de la licencia de forma temporal o la cancelación definitiva; y
c) clausura de las instalaciones.
ARTÍCULO 72.
Las acciones administrativas por parte de la autoridad facultada para exigir responsabilidad por las contravenciones reguladas en este Decreto-Ley se aplica inmediatamente a partir que se detectan y se identifique el comisor.
ARTÍCULO 73.
Las sanciones previstas en el presente Decreto-Ley se aplican sin perjuicio de la responsabilidad civil, penal, material u otra que puedan ser exigibles.
ARTÍCULO 74.
Los equipos y medios decomisados, pasan sin derecho a pago alguno al dominio del Ministerio de Comunicaciones.
ARTÍCULO 75.
Se faculta al Ministro de Comunicaciones a reglamentar el procedimiento y destino de los equipos y medios decomisados.
ARTÍCULO 76.
Contra las sanciones previstas en el presente Decreto-Ley se cumple lo establecido en la legislación vigente. No procede la reclamación por los beneficios dejados de percibir a resultas de los daños o perjuicios que pudieran ocasionarse por las medidas aplicadas.
CAPÍTULO III.- DE LAS AUTORIDADES FACULTADAS PARA LA IMPOSICIÓN DE SANCIONES
ARTÍCULO 77.
Los inspectores designados por el Ministerio de Comunicaciones y por las administraciones locales del Poder Popular, quedan facultados para imponer la sanción de multa establecida; además de proponer y asistir en la aplicación del decomiso una vez aprobado por la autoridad facultada designada por el Ministerio de Comunicaciones, a los que infrinjan lo dispuesto en el presente Decreto-Ley y sus disposiciones complementarias.
ARTÍCULO 78.
Los inspectores designados por el Ministerio de Comunicaciones y por las administraciones locales del Poder Popular, quedan facultados para realizar la retención de los objetos sujetos a decomiso, a fin de garantizar su conservación y custodia, previo inventario e inician el expediente correspondiente; en los casos que así se requiera, son auxiliados en sus actuaciones por la Policía Nacional Revolucionaria.
CAPÍTULO IV.- DE LOS RECURSOS Y PLAZOS DE PRESCRIPCIÓN
SECCIÓN PRIMERA.- DEL RECURSO DE APELACIÓN Y REFORMA
ARTÍCULO 79.
Contra las sanciones de multas impuestas por los inspectores a que se refieren los artículos anteriores, cabe la presentación de Recurso de Apelación ante en jefe de la entidad o unidad organizativa de control y fiscalización del área bajo jurisdicción y competencia, en el plazo de quince días hábiles, contados a partir de la fecha de su notificación, el que lo resuelve en el plazo de hasta sesenta días hábiles.
ARTÍCULO 80.
Procede el Recurso de Reforma ante el jefe de la entidad o o unidad organizativa de control y fiscalización del área bajo jurisdicción y competencia en el plazo de quince días hábiles, contados a partir de su notificación, contra la sanción de decomiso impuesta por la referida autoridad, quien lo resuelve en el plazo de sesenta días hábiles, contados a partir de su interposición.
ARTÍCULO 81.- El jefe de la entidad o unidad organizativa de control y fiscalización puede declarar inadmisibles los Recursos de Apelación y Reforma cuando estos se presenten fuera de los términos establecidos. Contra la decisión del jefe de la entidad o unidad organizativa de control y fiscalización procede Recurso de Alzada. Sección Segunda Del Recurso de Alzada
ARTÍCULO 82.
Contra la resolución que desestime en todo o en parte el Recurso de Apelación o Reforma, según el caso, interpuesto en primera instancia ante el jefe de la entidad o unidad organizativa de control y fiscalización del área bajo su jurisdicción y competencia, procede Recurso de Alzada ante el Ministro de Comunicaciones, en el plazo de quince días hábiles contados a partir de la notificación de la resolución anterior.
ARTÍCULO 83.
El Recurso de Alzada es resuelto por el Ministro de Comunicaciones en el plazo de hasta sesenta días hábiles contados a partir de su interposición; contra esta decisión no cabe recurso alguno por vía administrativa.
ARTÍCULO 84.
El ministro de Comunicaciones puede declarar inadmisible el Recurso de Alzada cuando este se presente extemporáneo.
ARTÍCULO 85.
Contra la resolución que resuelve el Recurso de Alzada, solo procede interponer en un término de treinta días, contado a partir de la notificación de aquella, demanda administrativa en la vía judicial, de acuerdo con el procedimiento establecido en la legislación de procedimiento civil, administrativo, laboral y económico.
ARTÍCULO 86.
Las resoluciones que resuelven los recursos de Apelación, de Reforma y de Alzada, se hacen firmes una vez decursado el término legalmente establecido para impugnarlas en la vía administrativa o judicial, según sea el caso; sin perjuicio del Procedimiento de Revisión, que se establece en la presente.
ARTÍCULO 87.
El Ministro de Comunicaciones excepcionalmente puede revisar de oficio o por solicitud del reclamante la decisión adoptada y revocarla, antes de que se haya establecido proceso en la vía judicial, siempre que la decisión sea favorable a la persona reclamante. El Procedimiento de Revisión expresado en el párrafo anterior, procede cuando existan de hechos o pruebas demostrativas que no pudieron ser presentadas en el momento procesal oportuno y que resulten trascendentes al fondo del asunto, o se demuestre que la resolución impugnada infringe la ley por ser improcedente, arbitraria o ilegal. Sección Tercera De los plazos de prescripción
ARTÍCULO 88.
La acción administrativa por parte de la autoridad facultada para exigir responsabilidad por las contravenciones reguladas en este Decreto-Ley prescribe transcurrido un año después de su detección y no haber sido identificado el comisor.
ARTÍCULO 89.
El plazo para la aplicación de las multas, el decomiso u demás medidas por la autoridad facultada, previstas en los artículos 69, 70 y 71 del presente Decreto-Ley, prescriben al año si no se ejecutan. El término de prescripción se interrumpe por cualquier acción realizada por la citada autoridad, tendente a hacerla efectiva. Después de cada interrupción, el término de prescripción comienza a decursar nuevamente.
DISPOSICIONES ESPECIALES
PRIMERA
Se faculta al Ministro de Comunicaciones para dictar en el ámbito de su competencia, las disposiciones jurídicas que correspondan para la aplicación de lo establecido en el presente Decreto-Ley.
SEGUNDA
Se faculta a los ministros de las Fuerzas Armadas Revolucionarias y del Interior, a adecuar para sus sistemas, lo establecido en el presente Decreto-Ley, de conformidad con sus estructuras.
DISPOSICIONES FINALES
PRIMERA
El Consejo de Ministros queda encargado de dictar las disposiciones complementarias sobre la Industria de Programas y Aplicaciones Informáticas y sobre la Seguridad de las Tecnologías de la Información y la Comunicación y la Defensa del Ciberespacio Nacional.
SEGUNDA
Los jefes de los órganos, organismos de la Administración Central del Estado, el Banco Central de Cuba, las entidades nacionales y los órganos del Poder Popular, en el marco de su competencia dictan las disposiciones legales, realizan el control y fiscalización, y establecen las coordinaciones que resulten necesarias, relativas a la aplicación del presente Decreto-Ley.
TERCERA
El glosario de términos y definiciones anexo al presente DecretoLey para su mejor comprensión, forma parte de su contenido.
CUARTA
Derogar las disposiciones siguientes:
1) Acuerdo nº 5586 de 26 de diciembre de 2005 del Consejo de Ministros, que aprueba los Lineamientos para el desarrollo en Cuba del Comercio Electrónico; y
2) Acuerdo nº 6058 de 9 de julio de 2007 del Comité Ejecutivo del Consejo de Ministros, que aprueba los Lineamientos de Seguridad de las tecnologías de la información.
PUBLÍQUESE en la Gaceta Oficial de la República de Cuba.
DADO en el Palacio de la Revolución, en La Habana, a los 17 días del mes de diciembre de 2018.
Miguel Díaz-Canel Bermúdez
Presidente del Consejo de Estado
29Sep/19
Constitución de la República de Cuba de 10 de abril de 2019
PREÁMBULO
NOSOTROS, EL PUEBLO DE CUBA,
inspirados en el heroísmo y patriotismo de los que lucharon por una Patria libre, independiente, soberana, democrática, de justicia social y solidaridad humana, forjada en el sacrificio de nuestros antecesores;
por los aborígenes que se resistieron a la sumisión;
por los esclavos que se rebelaron contra sus amos;
por los que despertaron la conciencia nacional y el ansia cubana de patria y libertad;
por los patriotas que a partir de 1868 iniciaron y participaron en nuestras luchas independentistas contra el colonialismo español, y a los que en el último impulso de 1895 les fuera frustrada la victoria al producirse la intervención y ocupación militar del imperialismo yanqui en 1898;
por los que lucharon durante más de cincuenta años contra el dominio imperialista, la corrupción política, la falta de derechos y libertades populares, el desempleo, la explotación impuesta por capitalistas, terratenientes y otros males sociales;
por los que promovieron, integraron y desarrollaron las primeras organizaciones de obreros, campesinos y estudiantes; difundieron las ideas socialistas y fundaron los primeros movimientos revolucionarios, marxistas y leninistas;
por los integrantes de la vanguardia de la Generación del Centenario del natalicio de Martí, que nutridos por su magisterio nos condujeron a la victoria revolucionaria popular de enero de 1959;
por los que, con el sacrificio de sus vidas, defendieron la Revolución y contribuyeron a su definitiva consolidación;
por los que masivamente cumplieron heroicas misiones internacionalistas;
por la resistencia épica y unidad de nuestro pueblo;
GUIADOS por lo más avanzado del pensamiento revolucionario, antiimperialista y marxista cubano, latinoamericano y universal, en particular por el ideario y ejemplo de Martí y Fidel y las ideas de emancipación social de Marx, Engels y Lenin;
APOYADOS en el internacionalismo proletario, en la amistad fraternal, la ayuda, la cooperación y la solidaridad de los pueblos del mundo, especialmente los de América Latina y el Caribe;
DECIDIDOS a llevar adelante la Revolución del Moncada, del Granma, de la Sierra, de la lucha clandestina y de Girón, que sustentada en el aporte y la unidad de las principales fuerzas revolucionarias y del pueblo conquistó la plena independencia nacional, estableció el poder revolucionario, realizó las transformaciones democráticas e inició la construcción del socialismo;
CONVENCIDOS de que Cuba no volverá jamás al capitalismo como régimen sustentado en la explotación del hombre por el hombre, y que solo en el socialismo y en el comunismo el ser humano alcanza su dignidad plena;
CONSCIENTES de que la unidad nacional y el liderazgo del Partido Comunista de Cuba, nacido de la voluntad unitaria de las organizaciones que contribuyeron decisivamente al triunfo de la Revolución y legitimado por el pueblo, constituyen pilares fundamentales y garantías de nuestro orden político, económico y social;
IDENTIFICADOS con los postulados expuestos en el concepto de Revolución, expresado por nuestro Comandante en Jefe Fidel Castro Ruz el 1ro de mayo del año 2000;
DECLARAMOS nuestra voluntad de que la ley de leyes de la República esté presidida por este profundo anhelo, al fin logrado, de José Martí:
“Yo quiero que la ley primera de nuestra República sea el culto de los cubanos a la dignidad plena del hombre”;
ADOPTAMOS por nuestro voto libre y secreto, mediante referendo popular, a ciento cincuenta años de nuestra primera Constitución mambisa, aprobada en Guáimaro el 10 de abril de 1869, la siguiente:
CONSTITUCIÓN
TÍTULO I.- FUNDAMENTOS POLÍTICOS
CAPÍTULO I.- PRINCIPIOS FUNDAMENTALES
ARTÍCULO 1.
Cuba es un Estado socialista de derecho y justicia social, democrático, independiente y soberano, organizado con todos y para el bien de todos como república unitaria e indivisible, fundada en el trabajo, la dignidad, el humanismo y la ética de sus ciudadanos para el disfrute de la libertad, la equidad, la igualdad, la solidaridad, el bienestar y la prosperidad individual y colectiva.
ARTÍCULO 2.
El nombre del Estado cubano es República de Cuba, el idioma oficial es el español y su capital es La Habana.
Los símbolos nacionales son la bandera de la estrella solitaria, el Himno de Bayamo y el escudo de la palma real.
La ley define las características que los identifican, su uso y conservación.
ARTÍCULO 3.
En la República de Cuba la soberanía reside intransferiblemente en el pueblo, del cual dimana todo el poder del Estado. El pueblo la ejerce directamente o por medio de las Asambleas del Poder Popular y demás órganos del Estado que de ellas se derivan, en la forma y según las normas fijadas por la Constitución y las leyes.
ARTÍCULO 4.
La defensa de la patria socialista es el más grande honor y el deber supremo de cada cubano.
La traición a la patria es el más grave de los crímenes, quien la comete está sujeto a las más severas sanciones.
El sistema socialista que refrenda esta Constitución, es irrevocable.
Los ciudadanos tienen el derecho de combatir por todos los medios, incluyendo la lucha armada, cuando no fuera posible otro recurso, contra cualquiera que intente derribar el orden político, social y económico establecido por esta Constitución.
ARTÍCULO 5.
El Partido Comunista de Cuba, único, martiano, fidelista, marxista y leninista, vanguardia organizada de la nación cubana, sustentado en su carácter democrático y la permanente vinculación con el pueblo, es la fuerza política dirigente superior de la sociedad y del Estado.
Organiza y orienta los esfuerzos comunes en la construcción del socialismo y el avance hacia la sociedad comunista. Trabaja por preservar y fortalecer la unidad patriótica de los cubanos y por desarrollar valores éticos, morales y cívicos.
ARTÍCULO 6.
La Unión de Jóvenes Comunistas, organización de vanguardia de la juventud cubana, cuenta con el reconocimiento y el estímulo del Estado, contribuye a la formación de las más jóvenes generaciones en los principios revolucionarios y éticos de nuestra sociedad, y promueve su participación en la edificación del socialismo.
ARTÍCULO 7.
La Constitución es la norma jurídica suprema del Estado. Todos están obligados a cumplirla. Las disposiciones y actos de los órganos del Estado, sus directivos, funcionarios y empleados, así como de las organizaciones, las entidades y los individuos se ajustan a lo que esta dispone.
ARTÍCULO 8.
Lo prescrito en los tratados internacionales en vigor para la República de Cuba forma parte o se integra, según corresponda, al ordenamiento jurídico nacional. La Constitución de la República de Cuba prima sobre estos tratados internacionales.
ARTÍCULO 9.
Cumplir estrictamente la legalidad socialista es una obligación de todos.
Los órganos del Estado, sus directivos, funcionarios y empleados, además, velan por su respeto en la vida de toda la sociedad y actúan dentro de los límites de sus respectivas competencias.
ARTÍCULO 10.
Los órganos del Estado, sus directivos, funcionarios y empleados están obligados a respetar, atender y dar respuesta al pueblo, mantener estrechos vínculos con este y someterse a su control, en las formas establecidas en la Constitución y las leyes.
ARTÍCULO 11.
El Estado ejerce soberanía y jurisdicción:
a) sobre todo el territorio nacional, integrado por la Isla de Cuba, la Isla de la Juventud, las demás islas y cayos adyacentes, las aguas interiores y el mar territorial en la extensión que fija la ley, el espacio aéreo que sobre estos se extiende y el espectro radioeléctrico;
b) sobre el medio ambiente y los recursos naturales del país;
c) sobre los recursos naturales, tanto vivos como no vivos, del lecho y de las aguas suprayacentes a este, y el subsuelo del mar de la zona económica exclusiva de la República, en la extensión que fija la ley, de conformidad con el Derecho Internacional, y
d) sobre la plataforma continental en la extensión que fija la ley y conforme al Derecho Internacional.
Asimismo, ejerce jurisdicción en la zona contigua en correspondencia con el Derecho Internacional.
ARTÍCULO 12.
La República de Cuba repudia y considera ilegales y nulos los tratados, concesiones o pactos acordados en condiciones de desigualdad o que desconocen o disminuyen su soberanía e integridad territorial.
ARTÍCULO 13.
El Estado tiene como fines esenciales los siguientes:
a) encauzar los esfuerzos de la nación en la construcción del socialismo y fortalecer la unidad nacional;
b) mantener y defender la independencia, la integridad y la soberanía de la patria;
c) preservar la seguridad nacional;
d) garantizar la igualdad efectiva en el disfrute y ejercicio de los derechos, y en el cumplimiento de los deberes consagrados en la Constitución y las leyes;
e) promover un desarrollo sostenible que asegure la prosperidad individual y colectiva, y obtener mayores niveles de equidad y justicia social, así como preservar y multiplicar los logros alcanzados por la Revolución;
f) garantizar la dignidad plena de las personas y su desarrollo integral;
g) afianzar la ideología y la ética inherentes a nuestra sociedad socialista;
h) proteger el patrimonio natural, histórico y cultural de la nación, y
i) asegurar el desarrollo educacional, científico, técnico y cultural del país.
ARTÍCULO 14.
El Estado reconoce y estimula a las organizaciones de masas y sociales, que agrupan en su seno a distintos sectores de la población, representan sus intereses específicos y los incorporan a las tareas de la edificación, consolidación y defensa de la sociedad socialista.
La ley establece los principios generales en que estas organizaciones se fundamentan y reconoce el desempeño de las demás formas asociativas.
ARTÍCULO 15.
El Estado reconoce, respeta y garantiza la libertad religiosa.
El Estado cubano es laico. En la República de Cuba las instituciones religiosas y asociaciones fraternales están separadas del Estado y todas tienen los mismos derechos y deberes.
Las distintas creencias y religiones gozan de igual consideración.
CAPÍTULO II.- RELACIONES INTERNACIONALES
ARTÍCULO 16.
La República de Cuba basa las relaciones internacionales en el ejercicio de su soberanía y los principios antiimperialistas e internacionalistas, en función de los intereses del pueblo y, en consecuencia:
a) reafirma que las relaciones económicas, diplomáticas y políticas con cualquier otro Estado no podrán ser jamás negociadas bajo agresión, amenaza o coerción;
b) ratifica su aspiración de paz digna, verdadera y válida para todos los Estados, asentada en el respeto a la independencia y soberanía de los pueblos y su derecho a la libre determinación, expresado en la libertad de elegir su sistema político, económico, social y cultural, como condición esencial para asegurar la convivencia pacífica entre las naciones;
c) sostiene su voluntad de observar de manera irrestricta los principios y normas que conforman el Derecho Internacional, en particular la igualdad de derechos, la integridad territorial, la independencia de los Estados, el no uso ni amenaza del uso de la fuerza en las relaciones internacionales, la cooperación internacional en beneficio e interés mutuo y equitativo, el arreglo pacífico de controversias sobre la base de la igualdad, el respeto y los demás principios proclamados en la Carta de las Naciones Unidas;
d) reafirma su voluntad de integración y colaboración con los países de América Latina y del Caribe;
e) promueve la unidad de todos los países del Tercer Mundo y condena el imperialismo, el fascismo, el colonialismo, el neocolonialismo u otras formas de sometimiento, en cualquiera de sus manifestaciones;
f) promueve la protección y conservación del medio ambiente y el enfrentamiento al cambio climático, que amenaza la sobrevivencia de la especie humana, sobre la base del reconocimiento de responsabilidades comunes, pero diferenciadas; el establecimiento de un orden económico internacional justo y equitativo y la erradicación de los patrones irracionales de producción y consumo;
g) defiende y protege el disfrute de los derechos humanos y repudia cualquier manifestación de racismo o discriminación;
h) condena la intervención directa o indirecta en los asuntos internos o externos de cualquier Estado y, por tanto, la agresión armada, cualquier forma de coerción económica o política, los bloqueos unilaterales violatorios del Derecho Internacional, u otro tipo de injerencia y amenaza a la integridad de los Estados;
i) rechaza la violación del derecho irrenunciable y soberano de todo Estado a regular el uso y los beneficios de las telecomunicaciones en su territorio, conforme a la práctica universal y a los convenios internacionales de los que Cuba es parte;
j) califica de crimen internacional la agresión y la guerra de conquista, reconoce la legitimidad de las luchas por la liberación nacional y la resistencia armada a la agresión, así como considera su deber internacionalista solidarizarse con el agredido y con los pueblos que combaten por su liberación y autodeterminación;
k) promueve el desarme general y completo y rechaza la existencia, proliferación o uso de armas nucleares, de exterminio en masa u otras de efectos similares, así como el desarrollo y empleo de nuevas armas y de nuevas formas de hacer la guerra, como la ciberguerra, que transgreden el Derecho Internacional;
l) repudia y condena el terrorismo en cualquiera de sus formas y manifestaciones, en particular el terrorismo de Estado;
m) ratifica su compromiso en la construcción de una sociedad de la información y el conocimiento centrada en la persona, integradora y orientada al desarrollo sostenible, en la que todos puedan crear, consultar, utilizar y compartir la información y el conocimiento en la mejora de su calidad de vida; y defiende la cooperación de todos los Estados y la democratización del ciberespacio, así como condena su uso y el del espectro radioeléctrico con fines contrarios a lo anterior, incluidas la subversión y la desestabilización de naciones soberanas;
n) basa sus relaciones con los países que edifican el socialismo en la amistad fraternal, la cooperación y la ayuda mutua;
ñ) mantiene y fomenta relaciones de amistad con los países que, teniendo un régimen político, social y económico diferente, respetan su soberanía, observan las normas de convivencia entre los Estados y adoptan una actitud recíproca con nuestro país, de conformidad con los principios del Derecho Internacional, y
o) promueve el multilateralismo y la multipolaridad en las relaciones internacionales, como alternativas a la dominación y al hegemonismo político, financiero y militar o cualquier otra manifestación que amenacen la paz, la independencia y la soberanía de los pueblos.
ARTÍCULO 17.
La República de Cuba puede conceder asilo, de conformidad con la ley, a los perseguidos por sus ideales o luchas por la liberación nacional, por actividades progresistas, por el socialismo y la paz, por los derechos democráticos y sus reivindicaciones, así como a los que luchan contra el imperialismo, el fascismo, el colonialismo, el neocolonialismo y cualquier otra forma de dominación, la discriminación y el racismo.
TÍTULO II.- FUNDAMENTOS ECONÓMICOS
ARTÍCULO 18.
En la República de Cuba rige un sistema de economía socialista basado en la propiedad de todo el pueblo sobre los medios fundamentales de producción como la forma de propiedad principal, y la dirección planificada de la economía, que tiene en cuenta, regula y controla el mercado en función de los intereses de la sociedad.
ARTÍCULO 19.
El Estado dirige, regula y controla la actividad económica conciliando los intereses nacionales, territoriales, colectivos e individuales en beneficio de la sociedad.
La planificación socialista constituye el componente central del sistema de dirección del desarrollo económico y social. Su función esencial es proyectar y conducir el desarrollo estratégico, previendo los equilibrios pertinentes entre los recursos y las necesidades.
ARTÍCULO 20.
Los trabajadores participan en los procesos de planificación, regulación, gestión y control de la economía.
La ley regula la participación de los colectivos laborales en la administración y gestión de las entidades empresariales estatales y unidades presupuestadas.
ARTÍCULO 21.
El Estado promueve el avance de la ciencia, la tecnología y la innovación como elementos imprescindibles para el desarrollo económico y social.
Igualmente implementa formas de organización, financiamiento y gestión de la actividad científica; propicia la introducción sistemática y acelerada de sus resultados en los procesos productivos y de servicios, mediante el marco institucional y regulatorio correspondiente.
ARTÍCULO 22.
Se reconocen como formas de propiedad, las siguientes:
a) socialista de todo el pueblo: en la que el Estado actúa en representación y beneficio de aquel como propietario.
b) cooperativa: la sustentada en el trabajo colectivo de sus socios propietarios y en el ejercicio efectivo de los principios del cooperativismo.
c) de las organizaciones políticas, de masas y sociales: la que ejercen estos sujetos sobre los bienes destinados al cumplimiento de sus fines.
d) privada: la que se ejerce sobre determinados medios de producción por personas naturales o jurídicas cubanas o extranjeras; con un papel complementario en la economía.
e) mixta: la formada por la combinación de dos o más formas de propiedad.
f) de instituciones y formas asociativas: la que ejercen estos sujetos sobre sus bienes para el cumplimiento de fines de carácter no lucrativo.
g) personal: la que se ejerce sobre los bienes que, sin constituir medios de producción, contribuyen a la satisfacción de las necesidades materiales y espirituales de su titular.
Todas las formas de propiedad sobre los medios de producción interactúan en similares condiciones; el Estado regula y controla el modo en que contribuyen al desarrollo económico y social. La ley regula lo relativo al ejercicio y alcance de las formas de propiedad.
ARTÍCULO 23.
Son de propiedad socialista de todo el pueblo: las tierras que no pertenecen a particulares o a cooperativas integradas por estos, el subsuelo, los yacimientos minerales, las minas, los bosques, las aguas, las playas, las vías de comunicación y los recursos naturales tanto vivos como no vivos dentro de la zona económica exclusiva de la República.
Estos bienes no pueden trasmitirse en propiedad a personas naturales o jurídicas y se rigen por los principios de inalienabilidad, imprescriptibilidad e inembargabilidad.
La trasmisión de otros derechos que no impliquen transferencia de propiedad sobre estos bienes, se hará previa aprobación del Consejo de Estado, conforme a lo previsto en la ley, siempre que se destinen a los fines del desarrollo económico y social del país y no afecten los fundamentos políticos, económicos y sociales del Estado.
ARTÍCULO 24.
La propiedad socialista de todo el pueblo incluye otros bienes como las infraestructuras de interés general, principales industrias e instalaciones económicas y sociales, así como otros de carácter estratégico para el desarrollo económico y social del país.
Estos bienes son inembargables y pueden trasmitirse en propiedad solo en casos excepcionales, siempre que se destinen a los fines del desarrollo económico y social del país y no afecten los fundamentos políticos, económicos y sociales del Estado, previa aprobación del Consejo de Ministros.
En cuanto a la trasmisión de otros derechos sobre estos bienes, así como a su gestión, se actuará conforme a lo previsto en la ley.
Las instituciones presupuestadas y las entidades empresariales estatales cuentan con otros bienes de propiedad socialista de todo el pueblo, sobre los cuales ejercen los derechos que le corresponden de conformidad con lo previsto en la ley.
ARTÍCULO 25.
El Estado crea instituciones presupuestadas para cumplir esencialmente funciones estatales y sociales.
ARTÍCULO 26.
El Estado crea y organiza entidades empresariales estatales con el objetivo de desarrollar actividades económicas de producción y prestación de servicios.
Estas entidades responden de las obligaciones contraídas con su patrimonio, en correspondencia con los límites que determine la ley.
El Estado no responde de las obligaciones contraídas por las entidades empresariales estatales y estas tampoco responden de las de aquel.
ARTÍCULO 27.
La empresa estatal socialista es el sujeto principal de la economía nacional. Dispone de autonomía en su administración y gestión; desempeña el papel principal en la producción de bienes y servicios y cumple con sus responsabilidades sociales.
La ley regula los principios de organización y funcionamiento de la empresa estatal socialista.
ARTÍCULO 28.
El Estado promueve y brinda garantías a la inversión extranjera, como elemento importante para el desarrollo económico del país, sobre la base de la protección y el uso racional de los recursos humanos y naturales, así como del respeto a la soberanía e independencia nacionales.
La ley establece lo relativo al desarrollo de la inversión extranjera en el territorio nacional.
ARTÍCULO 29.
La propiedad privada sobre la tierra se regula por un régimen especial.
Se prohíbe el arrendamiento, la aparcería y los préstamos hipotecarios a particulares.
La compraventa o trasmisión onerosa de este bien solo podrá realizarse previo cumplimiento de los requisitos que establece la ley y sin perjuicio del derecho preferente del Estado a su adquisición mediante el pago de su justo precio.
Los actos traslativos de dominio no onerosos o de derechos de uso y disfrute sobre este bien se realizan previa autorización de la autoridad competente y de conformidad con lo establecido en la ley.
ARTÍCULO 30.
La concentración de la propiedad en personas naturales o jurídicas no estatales es regulada por el Estado, el que garantiza además, una cada vez más justa redistribución de la riqueza, con el fin de preservar los límites compatibles con los valores socialistas de equidad y justicia social.
La ley establece las regulaciones que garantizan su efectivo cumplimiento.
ARTÍCULO 31.
El trabajo es un valor primordial de nuestra sociedad. Constituye un derecho, un deber social y un motivo de honor de todas las personas en condiciones de trabajar.
El trabajo remunerado debe ser la fuente principal de ingresos que sustenta condiciones de vida dignas, permite elevar el bienestar material y espiritual y la realización de los proyectos individuales, colectivos y sociales.
La remuneración con arreglo al trabajo aportado se complementa con la satisfacción equitativa y gratuita de servicios sociales universales y otras prestaciones y beneficios.
TÍTULO III.- FUNDAMENTOS DE LA POLÍTICA EDUCACIONAL, CIENTÍFICA Y CULTURAL
ARTÍCULO 32.
El Estado orienta, fomenta y promueve la educación, las ciencias y la cultura en todas sus manifestaciones.
En su política educativa, científica y cultural se atiene a los postulados siguientes:
a) se fundamenta en los avances de la ciencia, la creación, la tecnología y la innovación, el pensamiento y la tradición pedagógica progresista cubana y la universal;
b) la enseñanza es función del Estado, es laica y se basa en los aportes de la ciencia y en los principios y valores de nuestra sociedad;
c) la educación promueve el conocimiento de la historia de la nación y desarrolla una alta formación de valores éticos, morales, cívicos y patrióticos;
d) promueve la participación ciudadana en la realización de su política educacional, científica y cultural;
e) orienta, fomenta y promueve la cultura física, la recreación y el deporte en todas sus manifestaciones como medio de educación y contribución a la formación integral de las personas;
f) la actividad creadora e investigativa en la ciencia es libre. Se estimula la investigación científica con un enfoque de desarrollo e innovación, priorizando la dirigida a solucionar los problemas que atañen al interés de la sociedad y al beneficio del pueblo;
g) se fomenta la formación y empleo de las personas que el desarrollo del país requiere para asegurar las capacidades científicas, tecnológicas y de innovación;
h) se promueve la libertad de creación artística en todas sus formas de expresión, conforme a los principios humanistas en que se sustenta la política cultural del Estado y los valores de la sociedad socialista;
i) se fomenta y desarrolla la educación artística y literaria, la vocación para la creación, el cultivo del arte y la capacidad para apreciarlo;
j) defiende la identidad y la cultura cubana y salvaguarda la riqueza artística, patrimonial e histórica de la nación, y
k) protege los monumentos de la nación y los lugares notables por su belleza natural, o por su reconocido valor artístico o histórico.
TÍTULO IV.- CIUDADANÍA
ARTÍCULO 33.
La ciudadanía cubana se adquiere por nacimiento o por naturalización.
ARTÍCULO 34.
Son ciudadanos cubanos por nacimiento:
a) los nacidos en el territorio nacional, con excepción de los hijos de extranjeros que se encuentren al servicio de su gobierno o de organismos internacionales. La ley establece los requisitos y las formalidades para el caso de los hijos de los extranjeros no residentes permanentes en el país;
b) los nacidos en el extranjero de padre o madre cubanos que se hallen cumpliendo misión oficial, de acuerdo con los requisitos y las formalidades que establece la ley;
c) los nacidos en el extranjero de padre o madre cubanos, previo cumplimiento de los requisitos y las formalidades que la ley señala, y
d) los nacidos fuera del territorio nacional de padre o madre cubanos por nacimiento que hayan perdido la ciudadanía cubana, siempre que la reclamen en la forma que señala la ley.
ARTÍCULO 35.
Son ciudadanos cubanos por naturalización:
a) los extranjeros que adquieren la ciudadanía de acuerdo con lo establecido en la ley;
b) los que obtengan la ciudadanía cubana por decisión del Presidente de la República.
ARTÍCULO 36.
La adquisición de otra ciudadanía no implica la pérdida de la ciudadanía cubana. Los ciudadanos cubanos, mientras se encuentren en el territorio nacional, se rigen por esa condición, en los términos establecidos en la ley y no pueden hacer uso de una ciudadanía extranjera.
ARTÍCULO 37.
El matrimonio, la unión de hecho o su disolución no afectan la ciudadanía de los cónyuges, de los unidos o de sus hijos.
ARTÍCULO 38.
Los cubanos no pueden ser privados de su ciudadanía, salvo por causas legalmente establecidas.
La ley establece el procedimiento a seguir para la formalización de la pérdida y renuncia de la ciudadanía y las autoridades facultadas para decidirlo.
ARTÍCULO 39.
La ciudadanía cubana podrá recuperarse previo cumplimiento de los requisitos y formalidades que prescribe la ley.
TÍTULO V.- DERECHOS, DEBERES Y GARANTÍAS CAPÍTULO I DISPOSICIONES GENERALES
ARTÍCULO 40.
La dignidad humana es el valor supremo que sustenta el reconocimiento y ejercicio de los derechos y deberes consagrados en la Constitución, los tratados y las leyes.
ARTÍCULO 41.
El Estado cubano reconoce y garantiza a la persona el goce y el ejercicio irrenunciable, imprescriptible, indivisible, universal e interdependiente de los derechos humanos, en correspondencia con los principios de progresividad, igualdad y no discriminación. Su respeto y garantía es de obligatorio cumplimiento para todos.
ARTÍCULO 42.
Todas las personas son iguales ante la ley, reciben la misma protección y trato de las autoridades y gozan de los mismos derechos, libertades y oportunidades, sin ninguna discriminación por razones de sexo, género, orientación sexual, identidad de género, edad, origen étnico, color de la piel, creencia religiosa, discapacidad, origen nacional o territorial, o cualquier otra condición o circunstancia personal que implique distinción lesiva a la dignidad humana.
Todas tienen derecho a disfrutar de los mismos espacios públicos y establecimientos de servicios.
Asimismo, reciben igual salario por igual trabajo, sin discriminación alguna.
La violación del principio de igualdad está proscrita y es sancionada por la ley.
ARTÍCULO 43.
La mujer y el hombre tienen iguales derechos y responsabilidades en lo económico, político, cultural, laboral, social, familiar y en cualquier otro ámbito. El Estado garantiza que se ofrezcan a ambos las mismas oportunidades y posibilidades.
El Estado propicia el desarrollo integral de las mujeres y su plena participación social. Asegura el ejercicio de sus derechos sexuales y reproductivos, las protege de la violencia de género en cualquiera de sus manifestaciones y espacios, y crea los mecanismos institucionales y legales para ello.
ARTÍCULO 44.
El Estado crea las condiciones para garantizar la igualdad de sus ciudadanos. Educa a las personas desde la más temprana edad en el respeto a este principio.
El Estado hace efectivo este derecho con la implementación de políticas públicas y leyes para potenciar la inclusión social y la salvaguarda de los derechos de las personas cuya condición lo requieran.
ARTÍCULO 45.
El ejercicio de los derechos de las personas solo está limitado por los derechos de los demás, la seguridad colectiva, el bienestar general, el respeto al orden público, a la Constitución y a las leyes.
CAPÍTULO II.- DERECHOS
ARTÍCULO 46.
Todas las personas tienen derecho a la vida, la integridad física y moral, la libertad, la justicia, la seguridad, la paz, la salud, la educación, la cultura, la recreación, el deporte y a su desarrollo integral.
ARTÍCULO 47.
Las personas tienen derecho al libre desarrollo de su personalidad y deben guardar entre sí una conducta de respeto, fraternidad y solidaridad.
ARTÍCULO 48.
Todas las personas tienen derecho a que se les respete su intimidad personal y familiar, su propia imagen y voz, su honor e identidad personal.
ARTÍCULO 49.
El domicilio es inviolable. No se puede penetrar en morada ajena sin permiso de quien la habita, salvo por orden expresa de la autoridad competente, con las formalidades legales y por motivo previamente definido en la ley.
ARTÍCULO 50.
La correspondencia y demás formas de comunicación entre las personas son inviolables. Solo pueden ser interceptadas o registradas mediante orden expresa de autoridad competente, en los casos y con las formalidades establecidas en la ley.
Los documentos o informaciones obtenidas con infracción de este principio no constituyen prueba en proceso alguno.
ARTÍCULO 51.
Las personas no pueden ser sometidas a desaparición forzada, torturas ni tratos o penas crueles, inhumanas o degradantes.
ARTÍCULO 52.
Las personas tienen libertad de entrar, permanecer, transitar y salir del territorio nacional, cambiar de domicilio o residencia, sin más limitaciones que las establecidas por la ley.
ARTÍCULO 53.
Todas las personas tienen derecho a solicitar y recibir del Estado información veraz, objetiva y oportuna, y a acceder a la que se genere en los órganos del Estado y entidades, conforme a las regulaciones establecidas.
ARTÍCULO 54.
El Estado reconoce, respeta y garantiza a las personas la libertad de pensamiento, conciencia y expresión.
La objeción de conciencia no puede invocarse con el propósito de evadir el cumplimiento de la ley o impedir a otro su cumplimiento o el ejercicio de sus derechos.
ARTÍCULO 55.
Se reconoce a las personas la libertad de prensa. Este derecho se ejerce de conformidad con la ley y los fines de la sociedad.
Los medios fundamentales de comunicación social, en cualquiera de sus manifestaciones y soportes, son de propiedad socialista de todo el pueblo o de las organizaciones políticas, sociales y de masas; y no pueden ser objeto de otro tipo de propiedad.
El Estado establece los principios de organización y funcionamiento para todos los medios de comunicación social.
ARTÍCULO 56.
Los derechos de reunión, manifestación y asociación, con fines lícitos y pacíficos, se reconocen por el Estado siempre que se ejerzan con respeto al orden público y el acatamiento a las preceptivas establecidas en la ley.
ARTÍCULO 57.
Toda persona tiene derecho a profesar o no creencias religiosas, a cambiarlas y a practicar la religión de su preferencia, con el debido respeto a las demás y de conformidad con la ley.
ARTÍCULO 58.
Todas las personas tienen derecho al disfrute de los bienes de su propiedad. El Estado garantiza su uso, disfrute y libre disposición, de conformidad con lo establecido en la ley.
La expropiación de bienes se autoriza únicamente atendiendo a razones de utilidad pública o interés social y con la debida indemnización.
La ley establece las bases para determinar su utilidad y necesidad, las garantías debidas, el procedimiento para la expropiación y la forma de indemnización.
ARTÍCULO 59.
La confiscación de bienes se aplica solo como sanción dispuesta por autoridad competente, en los procesos y por los procedimientos que determina la ley.
Cuando la confiscación de bienes sea dispuesta en procedimiento administrativo, se garantiza siempre a la persona su defensa ante los tribunales competentes.
ARTÍCULO 60.
El Estado favorece en su política penitenciaria la reinserción social de las personas privadas de libertad, garantiza el respeto de sus derechos y el cumplimiento de las normas establecidas para su tratamiento en los establecimientos penitenciarios.
Asimismo, se ocupa de la atención y reinserción social de las personas que extinguen sanciones penales no detentivas o cumplen otros tipos de medidas impuestas por los tribunales.
ARTÍCULO 61.
Las personas tienen derecho a dirigir quejas y peticiones a las autoridades, las que están obligadas a tramitarlas y dar las respuestas oportunas, pertinentes y fundamentadas en el plazo y según el procedimiento establecido en la ley.
ARTÍCULO 62.
Se reconocen a las personas los derechos derivados de la creación intelectual, conforme a la ley y los tratados internacionales.
Los derechos adquiridos se ejercen por los creadores y titulares en correspondencia con la ley, en función de las políticas públicas.
ARTÍCULO 63.
Se reconoce el derecho a la sucesión por causa de muerte. La ley regula su contenido y alcance.
ARTÍCULO 64.
Se reconoce el derecho al trabajo. La persona en condición de trabajar tiene derecho a obtener un empleo digno, en correspondencia con su elección, calificación, aptitud y exigencias de la economía y la sociedad.
El Estado organiza instituciones y servicios que faciliten a las familias trabajadoras el desempeño de sus responsabilidades.
ARTÍCULO 65.
Toda persona tiene derecho a que su trabajo se remunere en función de la calidad y cantidad, expresión del principio de distribución socialista “de cada cual según su capacidad, a cada cual según su trabajo”.
ARTÍCULO 66.
Se prohíbe el trabajo de las niñas, los niños y los adolescentes.
El Estado brinda especial protección a aquellos adolescentes graduados de la enseñanza técnica y profesional u otros que, en circunstancias excepcionales definidas en la ley, son autorizados a incorporarse al trabajo, con el fin de garantizar su adiestramiento y desarrollo integral.
ARTÍCULO 67.
La persona que trabaja tiene derecho al descanso, que se garantiza por la jornada de trabajo de ocho horas, el descanso semanal y las vacaciones anuales pagadas.
La ley define aquellos otros supuestos en los que excepcionalmente se pueden aprobar jornadas y regímenes diferentes de trabajo, con la debida correspondencia entre el tiempo de trabajo y el descanso.
ARTÍCULO 68.
La persona que trabaja tiene derecho a la seguridad social. El Estado, mediante el sistema de seguridad social, le garantiza la protección adecuada cuando se encuentre impedida de laborar por su edad, maternidad, paternidad, invalidez o enfermedad.
Asimismo, de conformidad con la ley, el Estado protege a los abuelos u otros familiares del menor de edad, en función del cuidado y atención a este.
En caso de muerte de la persona que trabaja o se encuentra pensionada, el Estado brinda similar protección a su familia, conforme a lo establecido en la ley.
ARTÍCULO 69.
El Estado garantiza el derecho a la seguridad y salud en el trabajo mediante la adopción de medidas adecuadas para la prevención de accidentes y enfermedades profesionales.
La persona que sufre un accidente de trabajo o contrae una enfermedad profesional tiene derecho a la atención médica, a subsidio o jubilación en los casos de incapacidad temporal o permanente de trabajo o a otras formas de protección de la seguridad social.
ARTÍCULO 70.
El Estado, mediante la asistencia social, protege a las personas sin recursos ni amparo, no aptas para trabajar, que carezcan de familiares en condiciones de prestarle ayuda; y a las familias que, debido a la insuficiencia de los ingresos que perciben, así lo requieran, de conformidad con la ley.
ARTÍCULO 71.
Se reconoce a todas las personas el derecho a una vivienda adecuada y a un hábitat seguro y saludable.
El Estado hace efectivo este derecho mediante programas de construcción, rehabilitación y conservación de viviendas, con la participación de entidades y de la población, en correspondencia con las políticas públicas, las normas del ordenamiento territorial y urbano y las leyes.
ARTÍCULO 72.
La salud pública es un derecho de todas las personas y es responsabilidad del Estado garantizar el acceso, la gratuidad y la calidad de los servicios de atención, protección y recuperación.
El Estado, para hacer efectivo este derecho, instituye un sistema de salud a todos los niveles accesible a la población y desarrolla programas de prevención y educación, en los que contribuyen la sociedad y las familias.
La ley define el modo en que los servicios de salud se prestan.
ARTÍCULO 73.
La educación es un derecho de todas las personas y responsabilidad del Estado, que garantiza servicios de educación gratuitos, asequibles y de calidad para la formación integral, desde la primera infancia hasta la enseñanza universitaria de posgrado.
El Estado, para hacer efectivo este derecho, establece un amplio sistema de instituciones educacionales en todos los tipos y niveles educativos, que brinda la posibilidad de estudiar en cualquier etapa de la vida de acuerdo a las aptitudes, las exigencias sociales y a las necesidades del desarrollo económico-social del país.
En la educación tienen responsabilidad la sociedad y las familias.
La ley define el alcance de la obligatoriedad de estudiar, la preparación general básica que, como mínimo, debe adquirirse; la educación de las personas adultas y aquellos estudios de posgrado u otros complementarios que excepcionalmente pueden ser remunerados.
ARTÍCULO 74.
Las personas tienen derecho a la educación física, al deporte y a la recreación como elementos esenciales de su calidad de vida.
El sistema nacional de educación garantiza la inclusión de la enseñanza y práctica de la educación física y el deporte como parte de la formación integral de la niñez, la adolescencia y la juventud.
El Estado crea las condiciones para garantizar los recursos necesarios dedicados a la promoción y práctica del deporte y la recreación del pueblo, así como para la preparación, atención y desarrollo de los talentos deportivos.
ARTÍCULO 75.
Todas las personas tienen derecho a disfrutar de un medio ambiente sano y equilibrado.
El Estado protege el medio ambiente y los recursos naturales del país. Reconoce su estrecha vinculación con el desarrollo sostenible de la economía y la sociedad para hacer más racional la vida humana y asegurar la supervivencia, el bienestar y la seguridad de las generaciones actuales y futuras.
ARTÍCULO 76.
Todas las personas tienen derecho al agua.
El Estado crea las condiciones para garantizar el acceso al agua potable y a su saneamiento, con la debida retribución y uso racional.
ARTÍCULO 77.
Todas las personas tienen derecho a la alimentación sana y adecuada. El Estado crea las condiciones para fortalecer la seguridad alimentaria de toda la población.
ARTÍCULO 78.
Todas las personas tienen derecho a consumir bienes y servicios de calidad y que no atenten contra su salud, y a acceder a información precisa y veraz sobre estos, así como a recibir un trato equitativo y digno de conformidad con la ley.
ARTÍCULO 79.
Todas las personas tienen derecho a participar en la vida cultural y artística de la nación.
El Estado promueve la cultura y las distintas manifestaciones artísticas, de conformidad con la política cultural y la ley.
ARTÍCULO 80.
Los ciudadanos cubanos tienen derecho a participar en la conformación, ejercicio y control del poder del Estado; en razón a esto pueden, de conformidad con la Constitución y las leyes:
a) estar inscriptos en el registro electoral;
b) proponer y nominar candidatos;
c) elegir y ser elegidos;
d) participar en elecciones, plebiscitos, referendos, consultas populares y otras formas de participación democrática;
e) pronunciarse sobre la rendición de cuenta que les presentan los elegidos;
f) revocar el mandato de los elegidos;
g) ejercer la iniciativa legislativa y de reforma de la Constitución;
h) desempeñar funciones y cargos públicos, y
i) estar informados de la gestión de los órganos y autoridades del Estado.
CAPÍTULO III.- LAS FAMILIAS
ARTÍCULO 81.
Toda persona tiene derecho a fundar una familia. El Estado reconoce y protege a las familias, cualquiera sea su forma de organización, como célula fundamental de la sociedad y crea las condiciones para garantizar que se favorezca integralmente la consecución de sus fines.
Se constituyen por vínculos jurídicos o de hecho, de naturaleza afectiva, y se basan en la igualdad de derechos, deberes y oportunidades de sus integrantes.
La protección jurídica de los diversos tipos de familias es regulada por la ley.
ARTÍCULO 82.
El matrimonio es una institución social y jurídica. Es una de las formas de organización de las familias. Se funda en el libre consentimiento y en la igualdad de derechos, obligaciones y capacidad legal de los cónyuges.
La ley determina la forma en que se constituye y sus efectos.
Se reconoce, además, la unión estable y singular con aptitud legal, que forme de hecho un proyecto de vida en común, que bajo las condiciones y circunstancias que señale la ley, genera los derechos y obligaciones que esta disponga.
ARTÍCULO 83.
Todos los hijos tienen iguales derechos.
Se prohíbe toda calificación sobre la naturaleza de la filiación.
El Estado garantiza, mediante los procedimientos legales adecuados, la determinación y el reconocimiento de la maternidad y la paternidad.
ARTÍCULO 84.
La maternidad y la paternidad son protegidas por el Estado.
Las madres y los padres tienen responsabilidades y funciones esenciales en la educación y formación integral de las nuevas generaciones en los valores morales, éticos y cívicos, en correspondencia con la vida en nuestra sociedad socialista.
Las madres y los padres u otros parientes consanguíneos o afines que cumplan funciones de guarda y cuidado tienen el deber de dar alimentos a niñas, niños y adolescentes, respetar y garantizar el pleno ejercicio de sus derechos, protegerlos de todos los tipos de violencia y contribuir activamente al desarrollo pleno de su personalidad.
Los hijos, a su vez, están obligados a respetar, atender y proteger a sus madres, padres y otros parientes, conforme con lo establecido en la ley.
ARTÍCULO 85.
La violencia familiar, en cualquiera de sus manifestaciones, se considera destructiva de las personas implicadas, de las familias y de la sociedad, y es sancionada por la ley.
ARTÍCULO 86.
El Estado, la sociedad y las familias brindan especial protección a las niñas, niños y adolescentes y garantizan su desarrollo armónico e integral para lo cual tienen en cuenta su interés superior en las decisiones y actos que les conciernan.
Las niñas, niños y adolescentes son considerados plenos sujetos de derechos y gozan de aquellos reconocidos en esta Constitución, además de los propios de su especial condición de persona en desarrollo. Son protegidos contra todo tipo de violencia.
ARTÍCULO 87.
El Estado, la sociedad y las familias reconocen a las personas jóvenes como activos participantes en la sociedad, a tales efectos crean las condiciones para el pleno ejercicio de sus derechos y su desarrollo integral.
ARTÍCULO 88.
El Estado, la sociedad y las familias, en lo que a cada uno corresponde, tienen la obligación de proteger, asistir y facilitar las condiciones para satisfacer las necesidades y elevar la calidad de vida de las personas adultas mayores. De igual forma, respetar su autodeterminación, garantizar el ejercicio pleno de sus derechos y promover su integración y participación social.
ARTÍCULO 89.
El Estado, la sociedad y las familias tienen la obligación de proteger, promover y asegurar el pleno ejercicio de los derechos de las personas en situación de discapacidad. El Estado crea las condiciones requeridas para su rehabilitación o el mejoramiento de su calidad de vida, su autonomía personal, su inclusión y participación social.
CAPÍTULO IV.- DEBERES
ARTÍCULO 90.
El ejercicio de los derechos y libertades previstos en esta Constitución implican responsabilidades. Son deberes de los ciudadanos cubanos, además de los otros establecidos en esta Constitución y las leyes:
a) servir y defender la patria;
b) cumplir la Constitución y demás normas jurídicas;
c) respetar y proteger los símbolos patrios;
d) contribuir a la financiación de los gastos públicos en la forma establecida por la ley;
e) guardar el debido respeto a las autoridades y sus agentes;
f) prestar servicio militar y social de acuerdo con la ley;
g) respetar los derechos ajenos y no abusar de los propios;
h) conservar, proteger y usar racionalmente los bienes y recursos que el Estado y la sociedad ponen al servicio de todo el pueblo;
i) cumplir los requerimientos establecidos para la protección de la salud y la higiene ambiental;
j) proteger los recursos naturales, la flora y la fauna y velar por la conservación de un medio ambiente sano;
k) proteger el patrimonio cultural e histórico del país, y
l) actuar, en sus relaciones con las personas, conforme al principio de solidaridad humana, respeto y observancia de las normas de convivencia social.
CAPÍTULO V.- DERECHOS Y DEBERES DE LOS EXTRANJEROS
ARTÍCULO 91.
Los extranjeros residentes en el territorio de la República se equiparan a los cubanos:
a) en la protección de sus personas y bienes;
b) en la obligación de observar la Constitución y demás normas jurídicas;
c) en la obligación de contribuir a la financiación de los gastos públicos en la forma y la cuantía que la ley establece;
d) en la sumisión a la jurisdicción y resoluciones de los tribunales de justicia y autoridades de la República, y
e) en el disfrute de los derechos y el cumplimiento de los deberes reconocidos en esta Constitución, bajo las condiciones y con las limitaciones que la ley fija.
La ley establece los casos y la forma en que los extranjeros pueden ser expulsados del territorio nacional y las autoridades facultadas para decidirlo.
CAPÍTULO VI.- GARANTÍAS DE LOS DERECHOS
ARTÍCULO 92.
El Estado garantiza, de conformidad con la ley, que las personas puedan acceder a los órganos judiciales a fin de obtener una tutela efectiva de sus derechos e intereses legítimos. Las decisiones judiciales son de obligatorio cumplimiento y su irrespeto deriva responsabilidad para quien las incumpla.
ARTÍCULO 93.
El Estado reconoce el derecho de las personas a resolver sus controversias utilizando métodos alternos de solución de conflictos, de conformidad con la Constitución y las normas jurídicas que se establezcan a tales efectos.
ARTÍCULO 94.
Toda persona, como garantía a su seguridad jurídica, disfruta de un debido proceso tanto en el ámbito judicial como en el administrativo y, en consecuencia, goza de los derechos siguientes:
a) disfrutar de igualdad de oportunidades en todos los procesos en que interviene como parte;
b) recibir asistencia jurídica para ejercer sus derechos en todos los procesos en que interviene;
c) aportar los medios de prueba pertinentes y solicitar la exclusión de aquellos que hayan sido obtenidos violando lo establecido;
d) acceder a un tribunal competente, independiente e imparcial, en los casos que corresponda;
e) no ser privada de sus derechos sino por resolución fundada de autoridad competente o sentencia firme de tribunal;
f) interponer los recursos o procedimientos pertinentes contra las resoluciones judiciales o administrativas que correspondan;
g) tener un proceso sin dilaciones indebidas, y
h) obtener reparación por los daños materiales y morales e indemnización por los perjuicios que reciba.
ARTÍCULO 95.
En el proceso penal las personas tienen, además, las siguientes garantías:
a) no ser privada de libertad sino por autoridad competente y por el tiempo legalmente establecido;
b) disponer de asistencia letrada desde el inicio del proceso;
c) que se le presuma inocente hasta tanto se dicte sentencia firme en su contra;
d) ser tratada con respeto a su dignidad e integridad física, psíquica y moral, y a no ser víctima de violencia y coacción de clase alguna para forzarla a declarar;
e) no declarar contra sí misma, su cónyuge, pareja de hecho o parientes hasta el cuarto grado de consanguinidad y segundo de afinidad;
f) ser informada sobre la imputación en su contra;
g) ser juzgada por un tribunal preestablecido legalmente y en virtud de leyes anteriores al delito;
h) comunicarse con sus familiares o personas allegadas, con inmediatez, en caso de ser detenida o arrestada; si se tratara de extranjeros se procede a la notificación consular, e
i) de resultar víctima, a disfrutar de protección para el ejercicio de sus derechos.
ARTÍCULO 96.
Quien estuviere privado de libertad ilegalmente tiene derecho, por sí o a través de tercero, a establecer ante tribunal competente procedimiento de Habeas Corpus, conforme a las exigencias establecidas en la ley.
ARTÍCULO 97.
Se reconoce el derecho de toda persona de acceder a sus datos personales en registros, archivos u otras bases de datos e información de carácter público, así como a interesar su no divulgación y obtener su debida corrección, rectificación, modificación, actualización o cancelación.
El uso y tratamiento de estos datos se realiza de conformidad con lo establecido en la ley.
ARTÍCULO 98.
Toda persona que sufriere daño o perjuicio causado indebidamente por directivos, funcionarios y empleados del Estado con motivo del ejercicio de las funciones propias de sus cargos, tiene derecho a reclamar y obtener la correspondiente reparación o indemnización en la forma que establece la ley.
ARTÍCULO 99.
La persona a la que se le vulneren los derechos consagrados en esta Constitución y, como consecuencia sufriere daño o perjuicio por órganos del Estado, sus directivos, funcionarios o empleados, con motivo de la acción u omisión indebida de sus funciones, así como por particulares o por entes no estatales, tiene derecho a reclamar ante los tribunales la restitución de los derechos y obtener, de conformidad con la ley, la correspondiente reparación o indemnización.
La ley establece aquellos derechos amparados por esta garantía, y el procedimiento preferente, expedito y concentrado para su cumplimiento.
ARTÍCULO 100.
En el ordenamiento jurídico rige el principio de irretroactividad de las leyes, salvo en materia penal cuando sean favorables a la persona encausada o sancionada, y en las demás leyes, cuando así lo dispongan expresamente, atendiendo a razones de interés social o utilidad pública.
TÍTULO VI.- ESTRUCTURA DEL ESTADO
CAPÍTULO I.- PRINCIPIOS DE ORGANIZACIÓN Y FUNCIONAMIENTO DE LOS ÓRGANOS DEL ESTADO
ARTÍCULO 101.
Los órganos del Estado se integran y desarrollan su actividad sobre la base de los principios de la democracia socialista que se expresan en las reglas siguientes:
a) todos los órganos representativos de poder del Estado son electivos y renovables;
b) el pueblo controla la actividad de los órganos estatales, de sus directivos y funcionarios, de los diputados y de los delegados, de conformidad con lo previsto en la ley;
c) los elegidos tienen el deber de rendir cuenta de su actuación periódicamente y pueden ser revocados de sus cargos en cualquier momento;
d) los órganos estatales de acuerdo a sus funciones y en el marco de su competencia desarrollan las iniciativas encaminadas al aprovechamiento de los recursos y posibilidades locales y la incorporación de las organizaciones de masas y sociales a su actividad;
e) las disposiciones de los órganos estatales superiores son obligatorias para los inferiores;
f) los órganos estatales inferiores responden ante los superiores y les rinden cuenta de su gestión;
g) la libertad de discusión, el ejercicio de la crítica y la autocrítica y la subordinación de la minoría a la mayoría rigen en todos los órganos estatales colegiados, y
h) los órganos del Estado, sus directivos y funcionarios actúan con la debida transparencia.
CAPÍTULO II.- ASAMBLEA NACIONAL DEL PODER POPULAR Y CONSEJO DE ESTADO SECCIÓN PRIMERA ASAMBLEA NACIONAL DEL PODER POPULAR
ARTÍCULO 102.
La Asamblea Nacional del Poder Popular es el órgano supremo del poder del Estado. Representa a todo el pueblo y expresa su voluntad soberana.
ARTÍCULO 103.
La Asamblea Nacional del Poder Popular es el único órgano con potestad constituyente y legislativa en la República.
ARTÍCULO 104.
La Asamblea Nacional del Poder Popular está integrada por diputados elegidos por el voto libre, igual, directo y secreto de los electores, en la proporción y según el procedimiento que determina la ley.
ARTÍCULO 105.
La Asamblea Nacional del Poder Popular es elegida por un período de cinco años.
Este período solo podrá extenderse por la propia Asamblea mediante acuerdo adoptado por una mayoría no inferior a las dos terceras partes del número total de sus integrantes, en caso de circunstancias excepcionales que impidan la celebración normal de las elecciones y mientras subsistan tales circunstancias.
ARTÍCULO 106.
La Asamblea Nacional del Poder Popular, al constituirse para una nueva legislatura, elige, de entre sus diputados, a su Presidente, al Vicepresidente y al Secretario.
La ley regula la forma y el procedimiento mediante los cuales se constituye la Asamblea y realiza esa elección.
ARTÍCULO 107.
La Asamblea Nacional del Poder Popular elige, de entre sus diputados, al Consejo de Estado, órgano que la representa entre uno y otro período de sesiones, ejecuta sus acuerdos y cumple las demás funciones que la Constitución y la ley le atribuyen.
ARTÍCULO 108.
Corresponde a la Asamblea Nacional del Poder Popular:
a) acordar reformas de la Constitución, conforme a lo establecido en el Título XI;
b) dar a la Constitución y a las leyes, en caso necesario, una interpretación general y obligatoria, en correspondencia con el procedimiento previsto en la ley;
c) aprobar, modificar o derogar las leyes y someterlas previamente a la consulta popular cuando lo estime procedente, en atención a la índole de la legislación de que se trate;
d) adoptar acuerdos en correspondencia con las leyes vigentes y controlar su cumplimiento;
e) ejercer el control de constitucionalidad sobre las leyes, decretos-leyes, decretos presidenciales, decretos y demás disposiciones generales, de conformidad con el procedimiento previsto en la ley;
f) ratificar los decretos-leyes y acuerdos del Consejo de Estado;
g) revocar total o parcialmente los decretos-leyes, decretos presidenciales, decretos, acuerdos o disposiciones generales que contradigan la Constitución o las leyes;
h) revocar total o parcialmente los acuerdos o disposiciones de las asambleas municipales del Poder Popular que contravengan la Constitución, las leyes, los decretos-leyes, los decretos presidenciales, decretos y demás disposiciones dictadas por órganos competentes, o los que afecten los intereses de otras localidades o los generales del país;
i) discutir y aprobar los objetivos generales y metas de los planes a corto, mediano y largo plazos, en función del desarrollo económico y social;
j) aprobar los principios del sistema de dirección del desarrollo económico y social;
k) discutir y aprobar el presupuesto del Estado y controlar su cumplimiento;
l) acordar los sistemas monetario, financiero y fiscal;
m) establecer, modificar o extinguir los tributos;
n) aprobar los lineamientos generales de la política exterior e interior;
ñ) declarar el Estado de Guerra o la Guerra en caso de agresión militar y aprobar los tratados de paz;
o) establecer y modificar la división político-administrativa; aprobar regímenes de subordinación administrativa, sistemas de regulación especiales a municipios u otras demarcaciones territoriales y a los distritos administrativos, conforme a lo establecido en la Constitución y las leyes;
p) nombrar comisiones permanentes, temporales y grupos parlamentarios de amistad;
q) ejercer la más alta fiscalización sobre los órganos del Estado;
r) conocer y evaluar los informes y análisis de los sistemas empresariales estatales que, por su magnitud y trascendencia económica y social, sean pertinentes;
s) conocer, evaluar y adoptar decisiones sobre los informes de rendición de cuenta que le presenten el Consejo de Estado, el Presidente de la República, el Primer Ministro, el Consejo de Ministros, el Tribunal Supremo Popular, la Fiscalía General de la República, la Contraloría General de la República y los organismos de la Administración Central del Estado, así como los gobiernos provinciales;
t) crear o extinguir los organismos de la Administración[JCÁ1] Central del Estado o disponer cualquier otra medida organizativa que resulte procedente;
u) conceder amnistías;
v) disponer la convocatoria a referendos o a plebiscitos en los casos previstos en la Constitución y en otros que la propia Asamblea considere procedente;
w) acordar su reglamento y el del Consejo de Estado, y
x) las demás atribuciones que le confiere esta Constitución.
ARTÍCULO 109.
La Asamblea Nacional del Poder Popular, en ejercicio de sus atribuciones:
a) elige al Presidente y al Vicepresidente de la República;
b) elige a su Presidente, Vicepresidente y Secretario;
c) elige a los integrantes del Consejo de Estado;
d) designa, a propuesta del Presidente de la República, al Primer Ministro;
e) designa, a propuesta del Presidente de la República, a los Viceprimeros Ministros y demás miembros del Consejo de Ministros;
f) elige al Presidente del Tribunal Supremo Popular, al Fiscal General de la República y al Contralor General de la República;
g) elige al Presidente y a los demás integrantes del Consejo Electoral Nacional;
h) elige a los vicepresidentes y a los magistrados del Tribunal Supremo Popular, así como a los jueces legos de esta instancia;
i) elige a los vicefiscales y vicecontralores generales de la República, y
j) revoca o sustituye a las personas elegidas o designadas por ella.
La ley regula el procedimiento para hacer efectivas estas atribuciones.
ARTÍCULO 110.
La Asamblea Nacional del Poder Popular en su funcionamiento se rige por los principios siguientes:
a) las leyes y acuerdos que emite, salvo las excepciones previstas en la Constitución, se adoptan por mayoría simple de votos;
b) se reúne en dos períodos ordinarios de sesiones al año y en sesión extraordinaria cuando la convoque el Consejo de Estado o lo solicite la tercera parte de sus miembros. En las sesiones extraordinarias se tratan los asuntos que la motivaron;
c) para celebrar sus sesiones se requiere la presencia de más de la mitad del número total de los diputados que la integran, y
d) sus sesiones son públicas, excepto cuando la propia Asamblea acuerde celebrarlas a puertas cerradas por razón de interés de Estado.
ARTÍCULO 111.
Corresponde al Presidente de la Asamblea Nacional del Poder Popular:
a) cumplir y velar por el respeto a la Constitución y las leyes;
b) presidir las sesiones de la Asamblea Nacional del Poder Popular y del Consejo de Estado;
c) convocar las sesiones ordinarias de la Asamblea Nacional;
d) convocar las sesiones ordinarias y extraordinarias del Consejo de Estado;
e) proponer el proyecto de orden del día de las sesiones de la Asamblea Nacional y del Consejo de Estado;
f) firmar las leyes, decretos-leyes y acuerdos adoptados por la Asamblea Nacional del Poder Popular y el Consejo de Estado, según corresponda, y disponer la publicación de los decretos-leyes y acuerdos en la Gaceta Oficial de la República;
g) dirigir las relaciones internacionales de la Asamblea Nacional del Poder Popular;
h) dirigir y organizar la labor de las comisiones permanentes y temporales que sean creadas por la Asamblea Nacional del Poder Popular o el Consejo de Estado, según corresponda;
i) dirigir y organizar las relaciones de la Asamblea Nacional del Poder Popular y del Consejo de Estado con los órganos estatales;
j) controlar el cumplimiento de los acuerdos de la Asamblea Nacional del Poder Popular y del Consejo de Estado;
k) velar por el adecuado vínculo entre los diputados y los electores, y
l) las demás atribuciones que por esta Constitución, la Asamblea Nacional del Poder Popular o el Consejo de Estado se le asignen.
ARTÍCULO 112.
En caso de ausencia, enfermedad o muerte del Presidente de la Asamblea Nacional del Poder Popular, lo sustituye en sus funciones el Vicepresidente, conforme a lo establecido en la ley.
SECCIÓN SEGUNDA.- DIPUTADOS Y COMISIONES DE LA ASAMBLEA NACIONAL DEL PODER POPULAR
ARTÍCULO 113.
Los diputados tienen el deber de desarrollar sus labores en beneficio de los intereses del pueblo, mantener vínculo con sus electores, atender sus planteamientos, sugerencias, críticas y explicarles la política del Estado. Asimismo, rendirán cuenta del cumplimiento de sus funciones como tal, según lo establecido en la ley.
La Asamblea Nacional del Poder Popular adopta las medidas que garanticen la adecuada vinculación de los diputados con sus electores y con los órganos locales del Poder Popular en el territorio donde fueron elegidos.
ARTÍCULO 114.
Ningún diputado puede ser detenido ni sometido a proceso penal sin autorización de la Asamblea Nacional del Poder Popular o del Consejo de Estado si no está reunida aquella, salvo en caso de delito flagrante.
ARTÍCULO 115.
La condición de diputado no entraña privilegios personales ni beneficios económicos. Durante el tiempo que empleen en el desempeño efectivo de sus funciones, los diputados perciben la misma remuneración de su centro de trabajo y mantienen el vínculo con este, a los efectos pertinentes.
ARTÍCULO 116.
A los diputados les puede ser revocado su mandato en cualquier momento, en la forma, por las causas y según los procedimientos establecidos en la ley.
ARTÍCULO 117.
Los diputados, en el curso de las sesiones de la Asamblea Nacional del Poder Popular, tienen el derecho de hacer preguntas al Consejo de Estado y al Consejo de Ministros o a los miembros de uno y otro, y a que estas les sean respondidas en el curso de la misma o en la próxima sesión.
ARTÍCULO 118.
La Asamblea Nacional del Poder Popular para el mejor ejercicio de sus funciones crea comisiones permanentes y temporales integradas por diputados, conforme a los principios de organización y funcionamiento previstos en la ley.
ARTÍCULO 119.
Los diputados y las comisiones tienen el derecho de solicitar a los órganos estatales o entidades la colaboración necesaria para el cumplimiento de sus funciones, y estos están en la obligación de prestarla en los términos establecidos en la ley.
SECCIÓN TERCERA.- CONSEJO DE ESTADO
ARTÍCULO 120.
El Consejo de Estado tiene carácter colegiado, es responsable ante la Asamblea Nacional del Poder Popular y le rinde cuenta de todas sus actividades.
Los decretos-leyes y acuerdos que adopte el Consejo de Estado se someten a la ratificación de la Asamblea Nacional en la sesión más próxima.
ARTÍCULO 121.
El Presidente, el Vicepresidente y el Secretario de la Asamblea Nacional del Poder Popular, lo son a su vez del Consejo de Estado, el que está integrado por los demás miembros que aquella decida.
No pueden integrar el Consejo de Estado los miembros del Consejo de Ministros, ni las máximas autoridades de los órganos judiciales, electorales y de control estatal.
ARTÍCULO 122.
Corresponde al Consejo de Estado:
a) velar por el cumplimiento de la Constitución y las leyes;
b) dar a las leyes vigentes, en caso necesario, una interpretación general y obligatoria;
c) dictar decretos-leyes y acuerdos;
d) disponer la celebración de sesiones extraordinarias de la Asamblea Nacional del Poder Popular;
e) convocar y acordar la fecha de las elecciones para la renovación periódica de la Asamblea Nacional del Poder Popular y de las asambleas municipales del Poder Popular;
f) analizar los proyectos de leyes que se someten a la consideración de la Asamblea Nacional del Poder Popular;
g) exigir el cumplimiento de los acuerdos de la Asamblea Nacional del Poder Popular;
h) suspender los decretos presidenciales, decretos, acuerdos y demás disposiciones que contradigan la Constitución y las leyes, dando cuenta a la Asamblea Nacional del Poder Popular en la primera sesión que celebre después de acordada dicha suspensión;
i) suspender los acuerdos y disposiciones de las asambleas municipales del Poder Popular que no se ajusten a la Constitución o a las leyes, los decretos-leyes, los decretos presidenciales, decretos y demás disposiciones dictadas por órganos competentes; o los que afecten los intereses de otras localidades o los generales del país, dando cuenta a la Asamblea Nacional del Poder Popular en la primera sesión que celebre después de acordada dicha suspensión;
j) revocar o modificar los acuerdos y demás disposiciones de los gobernadores y consejos provinciales que contravengan la Constitución, las leyes, los decretos-leyes, los decretos presidenciales, decretos y demás disposiciones dictadas por un órgano de superior jerarquía, o cuando afecten los intereses de otras localidades o los generales del país;
k) elegir, designar, suspender, revocar o sustituir, entre uno y otro período de sesiones de la Asamblea Nacional del Poder Popular, a quienes deban ocupar los cargos que le corresponde a esta decidir, a excepción del Presidente y Vicepresidente de la República, el Presidente, Vicepresidente y Secretario de la Asamblea Nacional del Poder Popular, a los integrantes del Consejo de Estado y al Primer Ministro. Al Presidente del Tribunal Supremo Popular, al Fiscal General de la República, al Contralor General de la República y al Presidente del Consejo Electoral Nacional, solo los puede suspender del ejercicio de sus responsabilidades. En todos los casos, da cuenta a la Asamblea Nacional del Poder Popular en su sesión más próxima, a los efectos que corresponda;
l) asumir, a propuesta del Presidente de la República, las facultades de declarar el Estado de Guerra o la Guerra en caso de agresión o concertar la paz, que la Constitución atribuye a la Asamblea Nacional del Poder Popular, cuando esta se halle en receso y no pueda ser convocada con la seguridad y urgencia necesarias;
m) impartir instrucciones de carácter general a los tribunales a través del Consejo de Gobierno del Tribunal Supremo Popular;
n) crear comisiones;
ñ) ratificar y denunciar tratados internacionales;
o) designar y remover, a propuesta del Presidente de la República, a los jefes de misiones diplomáticas de Cuba ante otros Estados, organismos u organizaciones internacionales;
p) ejercer el control y fiscalización de los órganos del Estado;
q) durante los períodos que medien entre una y otra sesión de la Asamblea Nacional del Poder Popular, crear o extinguir los organismos de la Administración Central del Estado o disponer cualquier otra medida organizativa que resulte procedente;
r) aprobar las modalidades de inversión extranjera que le corresponden;
s) examinar y aprobar, entre uno y otro período de sesiones de la Asamblea Nacional del Poder Popular, los ajustes que sean necesarios realizar al presupuesto del Estado;
t) coordinar y garantizar las actividades de los diputados y de las comisiones permanentes y temporales de trabajo de la Asamblea Nacional del Poder Popular, y
u) las demás atribuciones que le confieran la Constitución y las leyes o le encomiende la Asamblea Nacional del Poder Popular.
ARTÍCULO 123.
Todas las decisiones del Consejo de Estado son adoptadas por el voto favorable de la mayoría simple de sus integrantes.
ARTÍCULO 124.
El mandato confiado al Consejo de Estado por la Asamblea Nacional del Poder Popular expira al tomar posesión el nuevo Consejo de Estado elegido en virtud de las renovaciones periódicas de aquella.
CAPÍTULO III.- PRESIDENTE Y VICEPRESIDENTE DE LA REPÚBLICA
ARTÍCULO 125.
El Presidente de la República es el Jefe del Estado.
ARTÍCULO 126.
El Presidente de la República es elegido por la Asamblea Nacional del Poder Popular de entre sus diputados, por un período de cinco años, y le rinde cuenta a esta de su gestión.
Para ser elegido Presidente de la República se requiere el voto favorable de la mayoría absoluta.
El Presidente de la República puede ejercer su cargo hasta dos períodos consecutivos, luego de lo cual no puede desempeñarlo nuevamente.
ARTÍCULO 127.
Para ser Presidente de la República se requiere haber cumplido treinta y cinco años de edad, hallarse en pleno goce de los derechos civiles y políticos, ser ciudadano cubano por nacimiento y no tener otra ciudadanía.
Se exige además tener hasta sesenta años de edad para ser elegido en este cargo en un primer período.
ARTÍCULO 128.
Corresponde al Presidente de la República:
a) cumplir y velar por el respeto a la Constitución y las leyes;
b) representar al Estado y dirigir su política general;
c) dirigir la política exterior, las relaciones con otros Estados y la relativa a la defensa y la seguridad nacional;
d) refrendar las leyes que emita la Asamblea Nacional del Poder Popular y disponer su publicación en la Gaceta Oficial de la República, de conformidad con lo previsto en la ley;
e) presentar a la Asamblea Nacional del Poder Popular, una vez elegido por esta, en esa sesión o en la próxima, los miembros del Consejo de Ministros;
f) proponer a la Asamblea Nacional del Poder Popular o al Consejo de Estado, según corresponda, la elección, designación, suspensión, revocación o sustitución en sus funciones del Primer Ministro, del Presidente del Tribunal Supremo Popular, del Fiscal General de la República, del Contralor General de la República, del Presidente del Consejo Electoral Nacional y de los miembros del Consejo de Ministros;
g) proponer a los delegados de las asambleas municipales del Poder Popular que correspondan, la elección o revocación de los gobernadores y vicegobernadores provinciales;
h) conocer, evaluar y adoptar decisiones sobre los informes de rendición de cuenta que le presente el Primer Ministro sobre su gestión, la del Consejo de Ministros o la de su Comité Ejecutivo;
i) desempeñar la Jefatura Suprema de las instituciones armadas y determinar su organización general;
j) presidir el Consejo de Defensa Nacional y proponer a la Asamblea Nacional del Poder Popular o al Consejo de Estado, según proceda, declarar el Estado de Guerra o la Guerra en caso de agresión militar;
k) decretar la Movilización General cuando la defensa del país lo exija, así como declarar el Estado de Emergencia y la Situación de Desastre, en los casos previstos en la Constitución, dando cuenta de su decisión, tan pronto las circunstancias lo permitan, a la Asamblea Nacional del Poder Popular o al Consejo de Estado, de no poder reunirse aquella, a los efectos legales procedentes;
l) ascender en grado y cargo a los oficiales de mayor jerarquía de las instituciones armadas de la nación y disponer el cese de estos, de conformidad con el procedimiento previsto en la ley;
m) decidir, en los casos que le corresponda, el otorgamiento de la ciudadanía cubana, aceptar las renuncias y disponer sobre la privación de esta;
n) proponer, de conformidad con lo previsto en la Constitución y la ley, la suspensión, modificación o revocación de las disposiciones y acuerdos de los órganos del Estado que contradigan la Constitución, las leyes o afecten los intereses generales del país;
ñ) dictar, en el ejercicio de sus atribuciones, decretos presidenciales y otras disposiciones;
o) crear comisiones o grupos de trabajo temporales para la realización de tareas específicas;
p) proponer al Consejo de Estado la designación o remoción de los jefes de misiones diplomáticas de Cuba ante otros Estados, organismos u organizaciones internacionales;
q) conceder o retirar el rango de embajador de la República de Cuba;
r) otorgar condecoraciones y títulos honoríficos;
s) otorgar o negar, en representación de la República de Cuba, el beneplácito a los jefes de misiones diplomáticas de otros Estados;
t) recibir las cartas credenciales de los jefes de las misiones extranjeras. El Vicepresidente podrá asumir esta función excepcionalmente;
u) conceder indultos y solicitar a la Asamblea Nacional del Poder Popular la concesión de amnistías;
v) participar por derecho propio en las reuniones del Consejo de Estado y convocarlas cuando lo considere;
w) presidir las reuniones del Consejo de Ministros o su Comité Ejecutivo, y
x) las demás atribuciones que por la Constitución o las leyes se le asignen.
ARTÍCULO 129.
Para ser Vicepresidente de la República se requiere haber cumplido treinta y cinco años de edad, hallarse en pleno goce de los derechos civiles y políticos, ser ciudadano cubano por nacimiento y no tener otra ciudadanía.
Es elegido de la misma forma, por igual período y limitación de mandato que el Presidente de la República.
ARTÍCULO 130.
El Vicepresidente de la República cumple las atribuciones que le sean delegadas o asignadas por el Presidente de la República.
ARTÍCULO 131.
En caso de ausencia, enfermedad o muerte del Presidente de la República, lo sustituye temporalmente en sus funciones el Vicepresidente.
Cuando la ausencia es definitiva, la Asamblea Nacional del Poder Popular elige al nuevo Presidente de la República.
Cuando quede vacante el cargo de Vicepresidente de la República, la Asamblea Nacional del Poder Popular elige a su sustituto.
Si la ausencia es definitiva, tanto del Presidente como del Vicepresidente de la República, la Asamblea Nacional del Poder Popular elige a sus sustitutos. Hasta tanto se realice la elección, el Presidente de la Asamblea Nacional del Poder Popular asume interinamente el cargo de Presidente de la República.
La ley regula el procedimiento para su cumplimiento.
ARTÍCULO 132.
El Presidente y Vicepresidente de la República se mantienen en sus cargos hasta la elección de sus sucesores por la Asamblea Nacional del Poder Popular.
CAPÍTULO IV.- GOBIERNO DE LA REPÚBLICA
SECCIÓN PRIMERA.- CONSEJO DE MINISTROS
ARTÍCULO 133.
El Consejo de Ministros es el máximo órgano ejecutivo y administrativo y constituye el Gobierno de la República.
ARTÍCULO 134.
El Consejo de Ministros está integrado por el Primer Ministro, los Viceprimeros Ministros, los Ministros, el Secretario y los otros miembros que determine la ley.
En las sesiones del Consejo de Ministros participa, por derecho propio, el Secretario General de la Central de Trabajadores de Cuba.
ARTÍCULO 135.
El Primer Ministro, los Viceprimeros Ministros, el Secretario y otros miembros del Consejo de Ministros que determine el Presidente de la República, integran su Comité Ejecutivo.
El Comité Ejecutivo puede decidir sobre las cuestiones atribuidas al Consejo de Ministros, durante los períodos que medien entre una y otra de sus reuniones.
ARTÍCULO 136.
El Consejo de Ministros es responsable y periódicamente rinde cuenta de sus actividades ante la Asamblea Nacional del Poder Popular.
ARTÍCULO 137.
Corresponde al Consejo de Ministros:
a) cumplir y velar por el cumplimiento de la Constitución y las leyes;
b) organizar y dirigir la ejecución de las actividades políticas, económicas, culturales, científicas, sociales y de la defensa acordadas por la Asamblea Nacional del Poder Popular;
c) proponer los objetivos generales y metas para la elaboración de los planes a corto, mediano y largo plazos en función del desarrollo económico y social del Estado, y una vez aprobados por la Asamblea Nacional del Poder Popular, organizar, dirigir y controlar su ejecución;
d) aprobar y someter a la ratificación del Consejo de Estado los tratados internacionales;
e) dirigir y controlar el comercio exterior y la inversión extranjera;
f) elaborar el proyecto de Presupuesto del Estado y, una vez aprobado por la Asamblea Nacional del Poder Popular, velar por su ejecución;
g) implementar y exigir el cumplimiento de los objetivos aprobados para fortalecer los sistemas monetario, financiero y fiscal;
h) elaborar proyectos legislativos y someterlos a la consideración de la Asamblea Nacional del Poder Popular o del Consejo de Estado, según proceda;
i) proveer a la defensa nacional, al mantenimiento de la seguridad y orden interior, y a la protección de los derechos ciudadanos, así como a la salvaguarda de vidas y bienes en caso de desastres;
j) dirigir la administración del Estado, así como unificar, coordinar y fiscalizar la actividad de los organismos de la Administración Central del Estado, de las entidades nacionales y de las administraciones locales;
k) evaluar y adoptar decisiones sobre los informes de rendición de cuenta que le presenten los gobernadores provinciales;
l) crear, modificar o extinguir entidades subordinadas o adscriptas al Consejo de Ministros y, en lo que le corresponda, a los organismos de la Administración Central del Estado;
m) orientar y controlar la gestión de los gobernadores provinciales;
n) aprobar o autorizar las modalidades de inversión extranjera que le correspondan;
ñ) ejecutar las leyes y acuerdos de la Asamblea Nacional del Poder Popular, así como los decretos-leyes y disposiciones del Consejo de Estado, los decretos presidenciales y, en caso necesario, reglamentar lo que corresponda;
o) dictar decretos y acuerdos sobre la base y en cumplimiento de las leyes vigentes y controlar su ejecución;
p) proponer al Consejo de Estado la suspensión de los acuerdos de las asambleas municipales del Poder Popular que contravengan las leyes y demás disposiciones vigentes, o que afecten los intereses de otras comunidades o los generales del país;
q) suspender los acuerdos y demás disposiciones de los consejos provinciales y de los consejos de la administración municipal que no se ajusten a la Constitución, las leyes, decretos-leyes, decretos presidenciales, decretos y demás disposiciones de los órganos superiores, o cuando afecten los intereses de otras localidades o los generales del país, dando cuenta al Consejo de Estado o a la Asamblea Municipal del Poder Popular, a los efectos que proceda según corresponda;
r) revocar total o parcialmente las disposiciones que emitan los gobernadores provinciales, cuando contravengan la Constitución, las leyes, los decretos-leyes, decretos presidenciales, decretos y demás disposiciones dictadas por órganos competentes, o los que afecten los intereses de otras localidades o los generales del país;
s) revocar total o parcialmente las disposiciones de los jefes de organismos de la Administración Central del Estado, cuando contravengan las normas superiores que les sean de obligatorio cumplimiento;
t) crear las comisiones que estime necesarias para facilitar el cumplimiento de las tareas que le están asignadas;
u) designar o sustituir a los directivos y funcionarios de acuerdo con las facultades que le confiere la ley;
v) someter a la aprobación de la Asamblea Nacional del Poder Popular o del Consejo de Estado su reglamento, y
w) las demás atribuciones que le confieran la Constitución, las leyes o le encomiende la Asamblea Nacional del Poder Popular o el Consejo de Estado.
ARTÍCULO 138.
El Consejo de Ministros tiene carácter colegiado y sus decisiones son adoptadas por el voto favorable de la mayoría simple de sus integrantes.
ARTÍCULO 139.
El Consejo de Ministros se mantiene en funciones hasta tanto sea designado el Gobierno en la nueva legislatura.
SECCIÓN SEGUNDA.- PRIMER MINISTRO
ARTÍCULO 140.
El Primer Ministro es el Jefe de Gobierno de la República.
ARTÍCULO 141.
El Primer Ministro es designado por la Asamblea Nacional del Poder Popular, a propuesta del Presidente de la República, por un período de cinco años.
Para ser designado Primer Ministro se requiere el voto favorable de la mayoría absoluta.
ARTÍCULO 142.
El Primer Ministro es responsable ante la Asamblea Nacional del Poder Popular y ante el Presidente de la República, a los cuales rinde cuenta e informa de su gestión, de la del Consejo de Ministros o de su Comité Ejecutivo, en las ocasiones que se le indique.
ARTÍCULO 143.
Para ser Primer Ministro se requiere ser diputado a la Asamblea Nacional del Poder Popular, haber cumplido treinta y cinco años de edad, hallarse en pleno goce de los derechos civiles y políticos, ser ciudadano cubano por nacimiento y no tener otra ciudadanía.
ARTÍCULO 144.
Corresponde al Primer Ministro:
a) cumplir y velar por el respeto a la Constitución y las leyes;
b) representar al Gobierno de la República;
c) convocar y dirigir las sesiones del Consejo de Ministros o de su Comité Ejecutivo;
d) atender y controlar el desempeñode las actividades de los organismos de la Administración Central del Estado, de las entidades nacionales y de las administraciones locales;
e) asumir, con carácter excepcional y temporalmente, la dirección de cualquier organismo de la Administración Central del Estado;
f) solicitar al Presidente de la República que interese a los órganos pertinentes la sustitución de los integrantes del Consejo de Ministros y, en cada caso, proponer los sustitutos correspondientes;
g) ejercer el control sobre la labor de los jefes de los organismos de la Administración Central del Estado;
h) impartir instrucciones a los gobernadores provinciales y controlar su ejecución;
i) adoptar de forma excepcional decisiones sobre los asuntos ejecutivo-administrativos competencia del Consejo de Ministros, cuando el carácter apremiante de la situación o el tema a solucionar lo exijan, informándole posteriormente a ese órgano o a su Comité Ejecutivo;
j) designar o sustituir a los directivos y funcionarios, de acuerdo con las facultades que le confiere la ley;
k) firmar las disposiciones legales adoptadas por el Consejo de Ministros o por su Comité Ejecutivo y disponer su publicación en la Gaceta Oficial de la República;
l) crear comisiones o grupos de trabajo temporales para la realización de tareas específicas, y
m) cualquier otra atribución que le asignen la Constitución y las leyes.
SECCIÓN TERCERA.- MIEMBROS DEL CONSEJO DE MINISTROS
ARTÍCULO 145.
Corresponde a los miembros del Consejo de Ministros:
a) representar al Consejo de Ministros o a su Primer Ministro en las circunstancias que así se disponga;
b) cumplir los acuerdos y demás disposiciones del Consejo de Ministros y su Comité Ejecutivo que les correspondan e informar al respecto al Primer Ministro;
c) cumplir con las tareas que les asigne el Primer Ministro y ejercer las atribuciones que, en cada caso, este les delegue;
d) dirigir los asuntos y tareas del ministerio u organismo a su cargo, dictando las resoluciones y disposiciones necesarias;
e) dictar, cuando no sea atribución expresa de otro órgano estatal, las disposiciones que se requieran para la ejecución y aplicación de las leyes, decretos-leyes y otras disposiciones que les conciernen;
f) asistir a las sesiones del Consejo de Ministros, con voz y voto, y presentar a este proyectos de leyes, decretos-leyes, decretos, resoluciones, acuerdos o cualquier otra proposición que estimen conveniente;
g) designar o sustituir a los directivos y funcionarios de acuerdo con las facultades que les confiere la ley, y
h) cualquier otra atribución que les asignen la Constitución y las leyes.
SECCIÓN CUARTA.- ADMINISTRACIÓN CENTRAL DEL ESTADO
ARTÍCULO 146.
El número, denominación, misión y funciones de los ministerios y demás organismos que forman parte de la Administración Central del Estado son determinados por la ley.
CAPÍTULO V.- TRIBUNALES DE JUSTICIA
ARTÍCULO 147.
La función de impartir justicia dimana del pueblo y es ejercida a nombre de este por el Tribunal Supremo Popular y los demás tribunales que la ley instituye.
La ley establece los principales objetivos de la actividad judicial y regula la organización de los tribunales; la jurisdicción y la extensión de su competencia; la forma en que se constituyen para los actos de impartir justicia; la participación de los jueces legos; los requisitos que deben reunir los magistrados del Tribunal Supremo Popular y demás jueces; la forma de elección de estos y las causas y procedimientos para la revocación o cese en el ejercicio de sus funciones.
ARTÍCULO 148.
Los tribunales constituyen un sistema de órganos estatales, estructurados con independencia funcional de cualquier otro.
El Tribunal Supremo Popular ejerce la máxima autoridad judicial y sus decisiones son definitivas.
A través de su Consejo de Gobierno ejerce la iniciativa legislativa y la potestad reglamentaria, toma decisiones y dicta normas de obligado cumplimiento por todos los tribunales y, sobre la base de la experiencia de estos, imparte instrucciones de carácter obligatorio para establecer una práctica judicial uniforme en la interpretación y aplicación de la ley.
ARTÍCULO 149.
Los magistrados y jueces legos del Tribunal Supremo Popular son elegidos por la Asamblea Nacional del Poder Popular o, en su caso, por el Consejo de Estado.
La ley determina la elección de los demás jueces.
ARTÍCULO 150.
Los magistrados y jueces, en su función de impartir justicia, son independientes y no deben obediencia más que a la ley.
Asimismo, son inamovibles en su condición mientras no concurran causas legales para el cese o revocación en sus funciones.
ARTÍCULO 151.
Las sentencias y demás resoluciones firmes de los tribunales, dictadas dentro de los límites de su competencia, son de obligatorio cumplimiento por los órganos del Estado, las entidades y los ciudadanos, tanto por los directamente afectados por ellos como por los que no teniendo interés directo en su ejecución tengan que intervenir en esta.
ARTÍCULO 152.
En los actos judiciales que participen jueces legos, estos tienen iguales derechos y deberes que los jueces profesionales. El desempeño de sus funciones judiciales, dada su importancia social, tiene prioridad con respecto a su ocupación laboral habitual.
ARTÍCULO 153.
En todos los tribunales las audiencias son públicas, a menos que razones de seguridad estatal, moralidad, orden público o el respeto a la persona agraviada por el delito o a sus familiares, aconsejen celebrarlas a puertas cerradas.
ARTÍCULO 154.
El Tribunal Supremo Popular rinde cuenta ante la Asamblea Nacional del Poder Popular de los resultados de su trabajo en la forma y con la periodicidad que establece la ley.
ARTÍCULO 155.
La facultad de revocación de los magistrados y jueces corresponde al órgano que los elige.
CAPÍTULO VI.- FISCALÍA GENERAL DE LA REPÚBLICA
ARTÍCULO 156.
La Fiscalía General de la República es el órgano del Estado que tiene como misión fundamental ejercer el control de la investigación penal y el ejercicio de la acción penal pública en representación del Estado, así como velar por el estricto cumplimiento de la Constitución, las leyes y demás disposiciones legales por los órganos del Estado, las entidades y por los ciudadanos.
La ley determina los demás objetivos y funciones, así como la forma, extensión y oportunidad en que la Fiscalía ejerce sus facultades.
ARTÍCULO 157.
La Fiscalía General de la República constituye una unidad orgánica indivisible y con independencia funcional, subordinada al Presidente de la República.
Al Fiscal General de la República corresponde la dirección y reglamentación de la actividad de la Fiscalía en todo el territorio nacional.
Los órganos de la Fiscalía se organizan verticalmente en toda la nación, están subordinados solamente a la Fiscalía General de la República y son independientes de todo órgano local.
ARTÍCULO 158.
El Fiscal General de la República y los vicefiscales generales son elegidos y pueden ser revocados, según corresponda, por la Asamblea Nacional del Poder Popular, o en su caso por el Consejo de Estado.
ARTÍCULO 159. La Fiscalía General de la República rinde cuenta de su gestión ante la Asamblea Nacional del Poder Popular en la forma y con la periodicidad que establece la ley.
CAPÍTULO VII.- CONTRALORÍA GENERAL DE LA REPÚBLICA
ARTÍCULO 160.
La Contraloría General de la República es el órgano del Estado que tiene como misión fundamental velar por la correcta y transparente administración de los fondos públicos y el control superior sobre la gestión administrativa.
La ley regula las demás funciones y aspectos relativos a su actuación.
ARTÍCULO 161.
La Contraloría General de la República tiene independencia funcional respecto a cualquier otro órgano, está estructurada verticalmente en todo el país y se subordina al Presidente de la República.
El Contralor General de la República es su máxima autoridad y le corresponde la dirección y reglamentación de la actividad de la Contraloría en todo el territorio nacional.
ARTÍCULO 162.
La Contraloría General de la República rinde cuenta de su gestión ante la Asamblea Nacional del Poder Popular en la forma y periodicidad prevista en la ley.
ARTÍCULO 163.
El Contralor General de la República y los vicecontralores generales son elegidos o revocados, según corresponda, por la Asamblea Nacional del Poder Popular o el Consejo de Estado.
CAPÍTULO VIII.- DE LAS DISPOSICIONES NORMATIVAS
SECCIÓN PRIMERA.- DE LA INICIATIVA LEGISLATIVA
ARTÍCULO 164.
La iniciativa de las leyes compete:
a) al Presidente de la República;
b) a los diputados de la Asamblea Nacional del Poder Popular;
c) al Consejo de Estado;
d) al Consejo de Ministros;
e) a las comisiones de la Asamblea Nacional del Poder Popular;
f) al Consejo Nacional de la Central de Trabajadores de Cuba y a las direcciones nacionales de las demás organizaciones de masas y sociales;
g) al Consejo de Gobierno del Tribunal Supremo Popular, en materia relativa a la administración de justicia;
h) a la Fiscalía General de la República, en materia de su competencia;
i) a la Contraloría General de la República, en materia de su competencia;
j) al Consejo Electoral Nacional, en materia electoral, y
k) a los ciudadanos. En este caso será requisito indispensable que ejerciten la iniciativa como mínimo diez mil electores.
La ley establece el procedimiento para hacer efectivo su ejercicio.
SECCIÓN SEGUNDA.- DE LA ELABORACIÓN, PUBLICACIÓN Y ENTRADA EN VIGOR
ARTÍCULO 165.
Las leyes y decretos-leyes que emitan la Asamblea Nacional del Poder Popular o el Consejo de Estado, según corresponda, entran en vigor en la fecha que, en cada caso, determine la propia disposición normativa.
Las leyes, decretos-leyes, decretos presidenciales, decretos, resoluciones y demás disposiciones de interés general que se emitan por los órganos competentes se publican en la Gaceta Oficial de la República.
La ley establece el procedimiento para la elaboración, publicación y entrada en vigor de las disposiciones normativas.
TÍTULO VII.- ORGANIZACIÓN TERRITORIAL DEL ESTADO
ARTÍCULO 166.
El territorio nacional, para los fines político-administrativos, se divide en provincias y municipios; su número, límites y denominación se establecen en la ley.
La ley podrá establecer otras divisiones y atribuir regímenes de subordinación administrativa y sistemas de regulación especiales a municipios u otras demarcaciones territoriales que se determine, atendiendo a su ubicación geográfica o importancia económica y social. En todos los casos se garantiza la representación del pueblo por medio de los órganos del Poder Popular.
En los municipios pueden organizarse distritos administrativos, de acuerdo con la ley.
ARTÍCULO 167.
La provincia tiene personalidad jurídica propia a todos los efectos legales y se organiza por la ley como nivel intermedio entre las estructuras centrales del Estado y los municipios, con una extensión superficial equivalente a la del conjunto de municipios comprendidos en su demarcación territorial, bajo la dirección del Gobierno Provincial del Poder Popular.
ARTÍCULO 168.
El municipio es la sociedad local, organizada por la ley, que constituye la unidad política-administrativa primaria y fundamental de la organización nacional; goza de autonomía y personalidad jurídica propias a todos los efectos legales, con una extensión territorial determinada por necesarias relaciones de vecindad, económicas y sociales de su población e intereses de la nación, con el propósito de lograr la satisfacción de las necesidades locales. Cuenta con ingresos propios y las asignaciones que recibe del Gobierno de la República, en función del desarrollo económico y social de su territorio y otros fines del Estado, bajo la dirección de la Asamblea Municipal del Poder Popular.
ARTÍCULO 169.
La autonomía del municipio comprende la elección o designación de sus autoridades, la facultad para decidir sobre la utilización de sus recursos y el ejercicio de las competencias que le corresponden, así como dictar acuerdos y disposiciones normativas necesarias para el ejercicio de sus facultades, según lo dispuesto en la Constitución y las leyes.
La autonomía se ejerce de conformidad con los principios de solidaridad, coordinación y colaboración con el resto de los territorios del país, y sin detrimento de los intereses superiores de la nación.
TÍTULO VIII.- ÓRGANOS LOCALES DEL PODER POPULAR
CAPÍTULO I.- GOBIERNO PROVINCIAL DEL PODER POPULAR
SECCIÓN PRIMERA.- DISPOSICIONES GENERALES
ARTÍCULO 170.
En cada provincia rige un Gobierno Provincial del Poder Popular que funciona en estrecha vinculación con el pueblo, conformado por un Gobernador y un Consejo Provincial.
ARTÍCULO 171.
El Gobierno Provincial del Poder Popular representa al Estado y tiene como misión fundamental el desarrollo económico y social de su territorio, conforme a los objetivos generales del país, y actúa como coordinador entre las estructuras centrales del Estado y los municipios, para lo cual contribuye a la armonización de los intereses propios de la provincia y sus municipios, y ejerce las atribuciones y funciones reconocidas en la Constitución y las leyes.
ARTÍCULO 172.
El Gobierno Provincial del Poder Popular coadyuva al desarrollo de las actividades y al cumplimiento de los planes de las entidades establecidas en su territorio que no le estén subordinadas, conforme a lo dispuesto en la Constitución y las leyes.
ARTÍCULO 173.
El Gobierno Provincial del Poder Popular en el ejercicio de sus funciones y atribuciones no puede asumir ni interferir en las que, por la Constitución y las leyes, se les confieren a los órganos municipales del Poder Popular.
SECCIÓN SEGUNDA.- GOBERNADOR Y VICEGOBERNADOR PROVINCIAL
ARTÍCULO 174.
El Gobernador es el máximo responsable ejecutivo-administrativo en su provincia.
ARTÍCULO 175.
El Gobernador es elegido por los delegados de las asambleas municipales del Poder Popular correspondientes, a propuesta del Presidente de la República, por el período de cinco años y de conformidad con el procedimiento establecido en la ley.
ARTÍCULO 176.
Para ser Gobernador se requiere ser ciudadano cubano por nacimiento y no tener otra ciudadanía, haber cumplido treinta años de edad, residir en la provincia y hallarse en el pleno goce de los derechos civiles y políticos.
ARTÍCULO 177.
El Gobernador es responsable ante la Asamblea Nacional del Poder Popular, el Consejo de Estado, el Consejo de Ministros y el Consejo Provincial, a los que les rinde cuenta e informa de su gestión, en la oportunidad y sobre los temas que le soliciten.
ARTÍCULO 178.
El Gobernador organiza y dirige la Administración Provincial para lo cual se asiste de la entidad administrativa correspondiente.
La ley determina la creación, estructura y funcionamiento de la Administración Provincial, así como sus relaciones con los órganos nacionales y municipales del Poder Popular.
ARTÍCULO 179.
Corresponde al Gobernador:
a) cumplir y hacer cumplir, en lo que le concierne, la Constitución y las leyes;
b) convocar y presidir las reuniones del Consejo Provincial;
c) dirigir, coordinar y controlar la labor de las estructuras organizativas de la Administración Provincial y, en el marco de su competencia, dictar disposiciones normativas y adoptar las decisiones que correspondan;
d) exigir y controlar el cumplimiento del plan de la economía y la ejecución del presupuesto de la provincia, conforme a la política acordada por los órganos nacionales competentes;
e) exigir y controlar el cumplimiento de los planes de desarrollo y de ordenamiento territorial y urbano;
f) designar y sustituir a los directivos y funcionarios de la Administración Provincial, y someter a la ratificación del Consejo Provincial aquellos casos previstos por la ley;
g) presentar al Consejo de Ministros, previo acuerdo del Consejo Provincial, las propuestas de políticas que contribuyan al desarrollo integral de la provincia;
h) poner en conocimiento del Consejo de Ministros, previo acuerdo del Consejo Provincial, aquellas decisiones de los órganos de superior jerarquía que afecten los intereses de la comunidad o considere extralimitan las facultades de quien las adoptó;
i) suspender los acuerdos y disposiciones de los consejos de la Administración Municipal, que no se ajusten a la Constitución, las leyes, decretos-leyes, decretos presidenciales, decretos y demás disposiciones de los órganos del Estado, o cuando afecten los intereses de otras localidades o los generales del país, dando cuenta a la respectiva Asamblea Municipal del Poder Popular en la primera sesión que celebre después de dicha suspensión;
j) revocar o modificar las disposiciones que sean adoptadas por las autoridades administrativas provinciales a él subordinadas, que contravengan la Constitución, las leyes y demás disposiciones vigentes, o que afecten los intereses de otras comunidades o los generales del país;
k) crear comisiones o grupos temporales de trabajo;
l) disponer la publicación de los acuerdos del Consejo Provincial de interés general y controlar su ejecución; y
m) las demás atribuciones que por esta Constitución o las leyes se le asignen.
ARTÍCULO 180.
El Vicegobernador es elegido en la misma forma, por igual período y se le exigen los mismos requisitos que al Gobernador.
ARTÍCULO 181.
El Vicegobernador cumple las atribuciones que le delegue o asigne el Gobernador.
Asimismo, sustituye al Gobernador en caso de ausencia, enfermedad o muerte, conforme al procedimiento previsto en la ley.
SECCIÓN TERCERA.- CONSEJO PROVINCIAL
ARTÍCULO 182.
El Consejo Provincial es el órgano colegiado y deliberativo que cumple las funciones previstas en esta Constitución y las leyes.
Sus decisiones son adoptadas por el voto favorable de la mayoría simple de sus integrantes.
El Consejo Provincial es presidido por el Gobernador e integrado por el Vicegobernador, los presidentes y vicepresidentes de las asambleas locales del Poder Popular correspondientes y los intendentes municipales.
ARTÍCULO 183.
El Consejo Provincial celebra sus reuniones ordinarias con la periodicidad que fija la ley, y las extraordinarias cuando las convoque el Gobernador o las soliciten más de la mitad de sus integrantes.
ARTÍCULO 184.
Corresponde al Consejo Provincial:
a) cumplir y hacer cumplir, en lo que le concierne, la Constitución, las leyes y demás disposiciones de carácter general, así como sus acuerdos;
b) aprobar y controlar, en lo que le corresponda, el plan de la economía y el presupuesto de la provincia;
c) adoptar acuerdos en el marco de la Constitución y las leyes;
d) orientar y coordinar en el territorio las actividades políticas, económicas, culturales, científicas, sociales, de la defensa y el orden interior, que por el Estado se dispongan;
e) evaluar los resultados de la gestión de las administraciones municipales y aprobar las acciones a realizar;
f) aprobar las propuestas de políticas que contribuyen al desarrollo integral de la provincia, antes de su presentación al Consejo de Ministros;
g) pronunciarse, a solicitud del Gobernador, sobre aquellas decisiones de los órganos competentes que afectan los intereses de la comunidad o considere extralimitan la facultad de quien las adoptó;
h) analizar periódicamente la atención brindada por las entidades radicadas en su territorio a los planteamientos de los electores y las quejas y peticiones de la población;
i) hacer recomendaciones al Gobernador sobre su informe de rendición de cuenta y otros temas que este le consulte;
j) proponer al Consejo de Estado la suspensión de los acuerdos o disposiciones de las asambleas municipales del Poder Popular de su demarcación, cuando contravengan las normas legales superiores o afecten los intereses de la comunidad;
k) proponer a la Asamblea Nacional del Poder Popular la revocación o modificación de los acuerdos o disposiciones de las asambleas municipales del Poder Popular de su demarcación, cuando contravengan las normas legales superiores o afecten los intereses de la comunidad;
l) crear comisiones o grupos temporales de trabajo, y
m) las demás atribuciones que la Constitución o las leyes le asignen.
CAPÍTULO II.- ÓRGANOS MUNICIPALES DEL PODER POPULAR
SECCIÓN PRIMERA.- ASAMBLEA MUNICIPAL DEL PODER POPULAR
ARTÍCULO 185.
La Asamblea Municipal del Poder Popular es el órgano superior del poder del Estado en su demarcación y, en consecuencia, está investida de la más alta autoridad en su territorio; para ello, dentro del marco de su competencia, ejerce las atribuciones que la Constitución y las leyes le asignan.
ARTÍCULO 186.
La Asamblea Municipal del Poder Popular está integrada por los delegados elegidos en cada circunscripción en que a los efectos electorales se divide su territorio, mediante el voto libre, igual, directo y secreto de los electores.
ARTÍCULO 187.
La Asamblea Municipal del Poder Popular se renovará cada cinco años, que es el período de duración del mandato de sus delegados.
Dicho mandato solo podrá extenderse por decisión de la Asamblea Nacional del Poder Popular, en los supuestos previstos en la Constitución.
ARTÍCULO 188.
La Asamblea Municipal del Poder Popular, al constituirse, elige de entre sus delegados a su Presidente y Vicepresidente, y designa a su Secretario, de conformidad con los requisitos y el procedimiento previsto en la ley.
El Presidente de la Asamblea Municipal del Poder Popular representa al Estado en su demarcación territorial.
La ley establece las atribuciones del Presidente, del Vicepresidente y del Secretario de la Asamblea Municipal del Poder Popular.
ARTÍCULO 189.
Las sesiones ordinarias y extraordinarias de la Asamblea Municipal del Poder Popular son públicas, salvo en el caso que esta acuerde celebrarlas a puertas cerradas, por razón de interés de Estado o porque se traten en ellas asuntos referidos al decoro de las personas.
ARTÍCULO 190.
En las sesiones de la Asamblea Municipal del Poder Popular se requiere para su validez la presencia de más de la mitad del número total de sus integrantes. Sus acuerdos se adoptan por mayoría simple de votos.
ARTÍCULO 191.
Corresponde a la Asamblea Municipal del Poder Popular:
a) cumplir y hacer cumplir la Constitución, las leyes y demás disposiciones normativas de carácter general;
b) aprobar y controlar, en lo que le corresponda, el plan de la economía, el presupuesto y el plan de desarrollo integral del municipio;
c) aprobar el plan de ordenamiento territorial y urbano, y controlar su cumplimiento;
d) elegir, designar, revocar o sustituir al Presidente, al Vicepresidente y al Secretario de la propia Asamblea, según corresponda;
e) designar o sustituir al Intendente Municipal, a propuesta del Presidente de la propia Asamblea;
f) designar o sustituir al resto de los miembros del Consejo de la Administración Municipal, a propuesta de su Intendente;
g) adoptar acuerdos y dictar disposiciones normativas en el marco de su competencia, sobre asuntos de interés municipal y controlar su cumplimiento;
h) controlar y fiscalizar la actividad del Consejo de la Administración del Municipio, auxiliándose para ello de sus comisiones de trabajo, sin perjuicio de las actividades de control a cargo de otros órganos y entidades;
i) organizar y controlar, en lo que le concierne y conforme a lo establecido por el Consejo de Ministros o el Gobierno Provincial, el funcionamiento y las tareas de las entidades encargadas de realizar, entre otras, las actividades económicas, de producción y servicios, de salud, asistenciales, de prevención y atención social, científicas, educacionales, culturales, recreativas, deportivas y de protección del medio ambiente en el municipio;
j) exigir y controlar el cumplimiento de la legalidad, así como el fortalecimiento del orden interior y la capacidad defensiva del país, en su territorio;
k) proponer al Consejo de Ministros o al Gobernador, según el caso, la revocación de decisiones adoptadas por órganos o autoridades subordinadas a estos;
l) revocar o modificar las decisiones adoptadas por los órganos o autoridades que le están subordinados, cuando contravengan las normas legales superiores, afecten los intereses de la comunidad, o extralimiten las facultades de quien las adoptó;
m) aprobar la creación de los consejos populares del municipio, previa consulta al Consejo de Estado;
n) coadyuvar, de conformidad con lo previsto en la ley, a la ejecución de las políticas del Estado en su demarcación, así como al desarrollo de las actividades de producción y servicios de las entidades radicadas en su territorio que no les estén subordinadas;
ñ) crear comisiones de trabajo y aprobar los lineamientos generales para su labor, y
o) cualquier otra atribución que le asigne esta Constitución y las leyes.
ARTÍCULO 192.
La Asamblea Municipal del Poder Popular para el ejercicio de sus funciones se apoya en sus comisiones de trabajo, en los consejos populares, en la iniciativa y amplia participación de la población, y actúa en estrecha coordinación con las organizaciones de masas y sociales.
SECCIÓN SEGUNDA.- DELEGADOS A LA ASAMBLEA MUNICIPAL DEL PODER POPULAR
ARTÍCULO 193.
Los delegados cumplen el mandato que les han conferido sus electores, en interés de toda la comunidad, para lo cual deberán compartir estas funciones, con sus responsabilidades y tareas habituales. La ley regula la forma en que se desarrollan estas funciones.
ARTÍCULO 194.
Los delegados tienen los derechos siguientes:
a) participar con voz y voto en las sesiones de la Asamblea Municipal y en las reuniones de las comisiones y consejos populares de que formen parte;
b) solicitar información al Presidente, Vicepresidente y Secretario de la Asamblea Municipal, a los miembros de las comisiones y al Consejo de la Administración sobre temas relevantes para el ejercicio de sus funciones y obtener respuesta en la propia sesión o lo antes posible;
c) solicitar la atención e información de las entidades radicadas en el territorio respecto a situaciones o problemas que afecten a sus electores, y estas vienen obligadas a responder con la debida prontitud, y
d) cualquier otro que les reconozcan la Constitución y las leyes.
ARTÍCULO 195.
Los delegados tienen los deberes siguientes:
a) mantener una relación permanente con sus electores, promoviendo la participación de la comunidad en la solución de sus problemas;
b) dar a conocer a la Asamblea Municipal y a la administración de la localidad las opiniones, necesidades y dificultades que les trasmitan sus electores, y trabajar en función de gestionar su solución, en lo que les corresponda;
c) informar a los electores sobre la política que sigue la Asamblea Municipal y las medidas adoptadas en atención a sus opiniones y para la solución de las necesidades planteadas por la población o las dificultades para resolverlas;
d) rendir cuenta periódicamente a sus electores de su gestión, conforme a lo establecido en la ley, e informar a la Asamblea, a la Comisión y al Consejo Popular a que pertenezcan sobre el cumplimiento de las tareas que les hayan sido encomendadas, cuando estos lo reclamen, y
e) cualquier otro que le reconozcan la Constitución y las leyes.
ARTÍCULO 196.
El mandato de los delegados es revocable en todo momento. La ley determina la forma, las causas y los procedimientos para su revocación.
SECCIÓN TERCERA.- COMISIONES DE LA ASAMBLEA MUNICIPAL DEL PODER POPULAR
ARTÍCULO 197.
Las comisiones permanentes de trabajo son constituidas por la Asamblea Municipal del Poder Popular atendiendo a los intereses específicos de su localidad, para que la auxilie en la realización de sus actividades y especialmente para ejercer el control a las entidades de subordinación municipal.
Del mismo modo, las comisiones pueden solicitar a entidades de otros niveles de subordinación, que se encuentren radicadas en su demarcación territorial que les informen sobre aspectos que inciden directamente en la localidad.
Las comisiones de carácter temporal cumplen las tareas específicas que les son asignadas dentro del término que se les señale.
SECCIÓN CUARTA.- CONSEJO POPULAR
ARTÍCULO 198.
El Consejo Popular es un órgano local del Poder Popular de carácter representativo, investido de la más alta autoridad para el desempeño de sus funciones y, sin constituir una instancia intermedia a los fines de la división político-administrativa, se organiza en ciudades, pueblos, barrios, poblados y zonas rurales; lo integran los delegados elegidos en las circunscripciones de su demarcación, los cuales deben elegir de entre ellos a quien lo presida.
A las reuniones del Consejo Popular pueden invitarse, según los temas y asuntos a tratar, representantes de las organizaciones de masas y sociales y de las entidades más importantes en la demarcación, con el objetivo principal de fortalecer la coordinación y el esfuerzo colectivo en beneficio de la comunidad, siempre desde las funciones propias que a cada cual corresponden.
ARTÍCULO 199.
El Consejo Popular representa a la población de la demarcación donde actúa y a la vez a la Asamblea Municipal del Poder Popular. Ejerce el control sobre las entidades de producción y servicios de incidencia local, y trabaja activamente para la satisfacción, entre otras, de las necesidades de la economía, de salud, asistenciales, educacionales, culturales, deportivas y recreativas, así como en las tareas de prevención y atención social, promoviendo la participación de la población y las iniciativas locales para su consecución. La ley regula la organización y atribuciones del Consejo Popular.
SECCIÓN QUINTA.- GARANTÍAS A LOS DERECHOS DE PETICIÓN Y PARTICIPACIÓN POPULAR LOCAL
ARTÍCULO 200.
La Asamblea Municipal del Poder Popular, a los efectos de garantizar los derechos de petición y de participación ciudadana:
a) convoca a consulta popular asuntos de interés local en correspondencia con sus atribuciones;
b) garantiza la correcta atención a los planteamientos, quejas y peticiones de la población;
c) garantiza el derecho de la población del municipio a proponerle el análisis de temas de su competencia;
d) mantiene un adecuado nivel de información a la población sobre las decisiones de interés general que se adoptan por los órganos del Poder Popular;
e) analiza, a petición de los ciudadanos, los acuerdos y disposiciones propias o de autoridades municipales subordinadas, por estimar aquellos que estos lesionan sus intereses, tanto individuales como colectivos, y adopta las medidas que correspondan, y
f) ejecuta, en el marco de su competencia, cualquier otra acción que resulte necesaria a fin de garantizar estos derechos.
La ley establece la forma y el ejercicio de estas garantías.
SECCIÓN SEXTA.- ADMINISTRACIÓN MUNICIPAL
ARTÍCULO 201.
La Administración Municipal tiene como objetivo esencial satisfacer, entre otras, las necesidades de la economía, de salud, asistenciales, educacionales, culturales, deportivas y recreativas de la colectividad del territorio a que se extiende su jurisdicción, así como ejecutar las tareas relativas a la prevención y atención social.
La ley determina la organización, estructura y funcionamiento de la Administración Municipal.
ARTÍCULO 202.
El Consejo de la Administración es designado por la Asamblea Municipal del Poder Popular, a la que se le subordina y rinde cuenta. Su composición, integración y funciones se establecen en la ley.
ARTÍCULO 203.
El Consejo de la Administración Municipal es presidido por el Intendente, tiene carácter colegiado, desempeña funciones ejecutivo-administrativas y dirige la Administración Municipal.
TÍTULO IX.- SISTEMA ELECTORAL
CAPÍTULO I.- DISPOSICIONES GENERALES
ARTÍCULO 204.
Todos los ciudadanos, con capacidad legal para ello, tienen derecho a intervenir en la dirección del Estado, bien directamente o por intermedio de sus representantes elegidos para integrar los órganos del Poder Popular y a participar, con ese propósito, en la forma prevista en la ley, en elecciones periódicas, plebiscitos y referendos populares, que serán de voto libre, igual, directo y secreto. Cada elector tiene derecho a un solo voto.
ARTÍCULO 205.
El voto es un derecho de los ciudadanos. Lo ejercen voluntariamente los cubanos, hombres y mujeres, mayores de dieciséis años de edad, excepto:
a) Las personas que por razón de su discapacidad tengan restringido judicialmente el ejercicio de la capacidad jurídica;
b) los inhabilitados judicialmente, y
c) los que no cumplan con los requisitos de residencia en el país previstos en la ley.
ARTÍCULO 206.
El Registro de Electores tiene carácter público y permanente; lo conforman de oficio todos los ciudadanos con capacidad legal para ejercer el derecho al voto, de conformidad con lo previsto en la ley.
ARTÍCULO 207.
Tienen derecho a ser elegidos los ciudadanos cubanos, hombres y mujeres, que se hallen en el pleno goce de sus derechos políticos y que cumplan con los demás requisitos previstos en la ley.
Si la elección es para diputados a la Asamblea Nacional del Poder Popular deben, además, ser mayores de dieciocho años de edad.
ARTÍCULO 208.
Los miembros de las instituciones armadas tienen derecho a elegir y a ser elegidos, igual que los demás ciudadanos.
ARTÍCULO 209.
La ley determina la cantidad de diputados que integran la Asamblea Nacional del Poder Popular y de delegados que componen las asambleas municipales del Poder Popular, en proporción al número de habitantes de las respectivas demarcaciones en que, a los efectos electorales, se divide el territorio nacional.
Los diputados a la Asamblea Nacional del Poder Popular y los delegados a las asambleas municipales del Poder Popular se eligen por el voto libre, igual, directo y secreto de los electores. La ley regula el procedimiento para su elección.
ARTÍCULO 210.
Para que se considere elegido un diputado o un delegado es necesario que haya obtenido más de la mitad del número de votos válidos emitidos en la demarcación electoral de que se trate.
De no concurrir esta circunstancia, o en los demás casos de plazas vacantes, la ley regula la forma en que se procederá.
CAPÍTULO II.- CONSEJO ELECTORAL NACIONAL
ARTÍCULO 211.
El Consejo Electoral Nacional es el órgano del Estado que tiene como misión fundamental organizar, dirigir y supervisar las elecciones, consultas populares, plebiscitos y referendos que se convoquen.
Tramita y responde las reclamaciones que en esta materia se establezcan, así como cumple las demás funciones reconocidas en la Constitución y las leyes.
El Consejo Electoral Nacional garantiza la confiabilidad, transparencia, celeridad, publicidad, autenticidad e imparcialidad de los procesos de participación democrática.
ARTÍCULO 212.
El Consejo Electoral Nacional tiene independencia funcional respecto a cualquier otro órgano y responde por el cumplimiento de sus funciones ante la Asamblea Nacional del Poder Popular.
Asimismo, una vez culminado cada proceso electoral, informa de su resultado a la nación.
ARTÍCULO 213.
El Consejo Electoral Nacional está integrado por el Presidente, el Vicepresidente, el Secretario y los vocales previstos en la ley.
Los integrantes del Consejo Electoral Nacional son elegidos y revocados, según corresponda, por la Asamblea Nacional del Poder Popular o, en su caso, por el Consejo de Estado.
ARTÍCULO 214.
La organización, funcionamiento, integración y designación de las autoridades electorales, a todos los niveles, se regula en la ley.
No pueden ser miembros de los órganos electorales los que resulten nominados u ocupen cargos de elección popular.
ARTÍCULO 215.
El Consejo Electoral Nacional controla la confección y actualización del Registro Electoral, de conformidad con lo establecido en la ley.
ARTÍCULO 216.
Todos los órganos estatales, sus directivos y funcionarios, así como las entidades, están obligados a colaborar con el Consejo Electoral Nacional en el ejercicio de sus funciones.
TÍTULO X.- DEFENSA Y SEGURIDAD NACIONAL
CAPÍTULO I.- DISPOSICIONES GENERALES
ARTÍCULO 217. El Estado cubano fundamenta su política de Defensa y Seguridad Nacional en la salvaguarda de la independencia, la integridad territorial, la soberanía y la paz sobre la base de la prevención y enfrentamiento permanente a los riesgos, amenazas y agresiones que afecten sus intereses.
Su concepción estratégica de defensa se sustenta en la Guerra de Todo el Pueblo.
CAPÍTULO II.- CONSEJO DE DEFENSA NACIONAL
ARTÍCULO 218.
El Consejo de Defensa Nacional es el órgano superior del Estado, que tiene como misión fundamental organizar, dirigir y preparar al país, desde tiempo de paz, para su defensa, y velar por el cumplimiento de las normativas vigentes relativas a la defensa y seguridad de la nación.
Durante las situaciones excepcionales y de desastre dirige al país y asume las atribuciones que le corresponden a los órganos del Estado, con excepción de la facultad constituyente.
ARTÍCULO 219.
El Consejo de Defensa Nacional está integrado por el Presidente de la República, que lo preside, quien, a su vez, designa a un Vicepresidente y a los demás miembros que determine la ley.
La ley regula la organización y funcionamiento del Consejo de Defensa Nacional y de sus estructuras a los diferentes niveles.
CAPÍTULO III.- INSTITUCIONES ARMADAS DEL ESTADO
ARTÍCULO 220.
Las instituciones armadas del Estado son las Fuerzas Armadas Revolucionarias y las formaciones armadas del Ministerio del Interior, las que para el cumplimiento de sus funciones cuentan con la participación de personal militar y civil.
La ley regula la organización y funcionamiento de estas instituciones, así como el servicio militar que los ciudadanos deben prestar.
ARTÍCULO 221.
Las instituciones armadas tienen como misión esencial proteger y mantener la independencia y soberanía del Estado, su integridad territorial, su seguridad y la paz.
CAPÍTULO IV.- SITUACIONES EXCEPCIONALES Y DE DESASTRE
ARTÍCULO 222.
En interés de garantizar la defensa y la seguridad nacional, en caso de producirse una agresión militar o ante la inminencia de ella u otras circunstancias que las afecten, pueden decretarse de forma temporal, en todo el país, según corresponda, las situaciones excepcionales del Estado de Guerra o la Guerra, la Movilización General y el Estado de Emergencia, esta última también puede decretarse en una parte del territorio nacional.
La ley regula la forma en que se declaran las situaciones excepcionales, sus efectos y terminación.
ARTÍCULO 223.
Ante la ocurrencia de desastres, cualquiera que sea su naturaleza, en cuyas circunstancias se afecte la población o la infraestructura social y económica, en magnitud tal que supere la capacidad habitual de respuesta y recuperación del país o del territorio afectado, se puede decretar la Situación de Desastre.
La ley regula lo concerniente al establecimiento, efectos y terminación de las situaciones de desastre.
ARTÍCULO 224.
Durante la vigencia de las situaciones excepcionales y de desastre, la ley determina los derechos y deberes reconocidos por la Constitución, cuyo ejercicio debe ser regulado de manera diferente.
ARTÍCULO 225.
El Consejo de Defensa Nacional, una vez restablecida la normalidad en el país, rinde cuenta a la Asamblea Nacional del Poder Popular de sus decisiones y gestión durante ese período.
TÍTULO XI.- REFORMA DE LA CONSTITUCIÓN
ARTÍCULO 226.
Esta Constitución solo puede ser reformada por la Asamblea Nacional del Poder Popular mediante acuerdo adoptado, en votación nominal, por una mayoría no inferior a las dos terceras partes del número total de sus integrantes.
ARTÍCULO 227.
Tienen iniciativa para promover reformas a la Constitución:
a) el Presidente de la República;
b) el Consejo de Estado;
c) el Consejo de Ministros;
d) los diputados a la Asamblea Nacional del Poder Popular, mediante proposición suscrita por no menos de la tercera parte de sus integrantes;
e) el Consejo Nacional de la Central de Trabajadores de Cuba y las direcciones nacionales de las demás organizaciones de masas y sociales, y
f) los ciudadanos, mediante petición dirigida a la Asamblea Nacional del Poder Popular, suscrita ante el Consejo Electoral Nacional, como mínimo por cincuenta mil electores. La ley establece el procedimiento, los requisitos y garantías para su solicitud y realización.
ARTÍCULO 228.
Cuando la reforma se refiera a la integración y funciones de la Asamblea Nacional del Poder Popular o del Consejo de Estado, a las atribuciones o al período de mandato del Presidente de la República, a los derechos, deberes y garantías consagrados en la Constitución, se requiere, además, la ratificación por el voto favorable de la mayoría de los electores en referendo convocado a tales efectos.
ARTÍCULO 229.
En ningún caso resultan reformables los pronunciamientos sobre la irrevocabilidad del sistema socialista establecido en el Artículo 4, y la prohibición de negociar bajo las circunstancias previstas en el inciso a) del Artículo 16.
DISPOSICIONES ESPECIALES
PRIMERA
Los diputados a la Asamblea Nacional del Poder Popular de la IX Legislatura se mantienen en sus cargos hasta tanto concluya su mandato.
SEGUNDA
Se extiende el mandato actual de los delegados a las asambleas municipales del Poder Popular hasta cinco años, contados a partir de la fecha de su constitución.
DISPOSICIONES TRANSITORIAS
PRIMERA
Antes del plazo de seis meses, después de haber entrado en vigor la presente Constitución, la Asamblea Nacional del Poder Popular aprueba una nueva Ley Electoral, en la que regule la elección de los diputados a la Asamblea Nacional, su Presidente, Vicepresidente y Secretario; el Consejo de Estado, el Presidente y Vicepresidente de la República, los miembros del Consejo Electoral Nacional, los gobernadores y vicegobernadores provinciales, los delegados a las asambleas municipales del Poder Popular, su Presidente y Vicepresidente.
SEGUNDA
Luego de aprobada la Ley Electoral, la Asamblea Nacional del Poder Popular, en el plazo de tres meses, elige de entre sus diputados, a su Presidente, Vicepresidente y Secretario, a los demás miembros del Consejo de Estado, y al Presidente y Vicepresidente de la República.
TERCERA
Una vez elegido, el Presidente de la República, en el plazo de tres meses, propone a la Asamblea Nacional del Poder Popular la designación del Primer Ministro, Viceprimeros Ministros, el Secretario y demás miembros del Consejo de Ministros.
CUARTA
Las asambleas provinciales del Poder Popular se mantienen en sus funciones hasta tanto tomen posesión de sus cargos los gobernadores, vicegobernadores y los consejos provinciales.
QUINTA
El Presidente de la República, una vez elegido y en el plazo de tres meses, propone a las asambleas municipales del Poder Popular respectivas, la elección por sus delegados de los gobernadores y vicegobernadores provinciales.
SEXTA
Las asambleas municipales del Poder Popular, en el plazo de tres meses, designan con posterioridad a la elección de los gobernadores y vicegobernadores provinciales, a aquellos que van a ocupar los cargos de intendentes.
SÉPTIMA
La Asamblea Nacional del Poder Popular en el plazo de un año, luego de la entrada en vigor de la Constitución, aprueba su reglamento y el del Consejo de Estado.
OCTAVA
El Consejo de Ministros en el plazo de dos años de vigencia de la Constitución, presenta a la Asamblea Nacional del Poder Popular el proyecto de nuevo reglamento de ese órgano y el de los gobiernos provinciales.
NOVENA
La Asamblea Nacional del Poder Popular en el plazo de dos años de vigencia de la Constitución, aprueba el reglamento de las asambleas municipales del Poder Popular y de sus consejos de la administración.
DÉCIMA
El Consejo de Gobierno del Tribunal Supremo Popular, en el plazo de dieciocho meses de entrada en vigor de la Constitución, presenta a la Asamblea Nacional del Poder Popular el proyecto de nueva Ley de los Tribunales Populares, ajustado a los cambios que en la presente Constitución se establecen, así como las propuestas de modificaciones a la Ley de Procedimiento Penal y a la Ley de Procedimiento Civil, Administrativo, Laboral y Económico, que correspondan.
DECIMOPRIMERA
Atendiendo a los resultados de la Consulta Popular realizada, la Asamblea Nacional del Poder Popular dispondrá, en el plazo de dos años de vigencia de la Constitución, iniciar el proceso de consulta popular y referendo del proyecto de Código de Familia, en el que debe figurar la forma de constituir el matrimonio.
DECIMOSEGUNDA
La Asamblea Nacional del Poder Popular, en el plazo de dieciocho meses de entrada en vigor de la Constitución, aprueba las modificaciones legislativas requeridas para hacer efectivo lo previsto en su Artículo 99, referido a la posibilidad de los ciudadanos de acceder a la vía judicial para reclamar sus derechos.
DECIMOTERCERA
La Asamblea Nacional del Poder Popular aprueba, en el plazo de un año de entrada en vigor de la Constitución, un cronograma legislativo que dé cumplimiento a la elaboración de las leyes que desarrollan los preceptos establecidos en esta Constitución.
DISPOSICIONES FINALES
PRIMERA
SEGUNDA
La presente Constitución entra en vigor, una vez proclamada, a partir de su publicación en la Gaceta Oficial de la República.
15Sep/19
Resolución 34/2019, de 22 de febrero de 2019, de la Agencia de Acceso a la Información Pública
Resolución 34/2019, de 22 de febrero de 2019, de la Agencia de Acceso a la Información Pública (Boletín Oficial de 26 de febrero de 2019)
RESOL-2019-34-APN-AAIP
Ciudad de Buenos Aires, 22 de febrero de 2019
VISTO el EX-2019-02190972- -APN-AAIP y la Disposición DNPDP nº DI-2016-60-E-APN-DNPDP#MJ, la Ley nº 25.326 de Protección de los Datos Personales y su Decreto Reglamentario nº 1558 del 29 de noviembre de 2001, la Ley nº 27.275 y los Decretos n° 206 del 27 de marzo de 2017, nº 746 del 25 de septiembre de 2017 y n° 899 del 3 de noviembre de 2017, y
CONSIDERANDO:
Que la Ley n° 25.326 de Protección de Datos Personales, tiene por objeto “la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional”.
Que mediante el Decreto n° 1558 del 29 de noviembre de 2001, reglamentario de la Ley n° 25.326, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, en la órbita de la SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como órgano de control de la mencionada Ley.
Que, por otro lado, la Ley nº 27.275 de Derecho de Acceso a la Información Pública creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (“AAIP”) como ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, con el objeto de “velar por el cumplimiento de los principios y procedimientos establecidos en la Ley , garantizar el efectivo ejercicio del derecho de acceso a la información pública y promover medidas de transparencia activa”
Que el Decreto n° 746 del 25 de septiembre de 2017 sustituyó el artículo 19 de la Ley nº 27.275, atribuyendo a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la facultad de actuar como Autoridad de Aplicación de la Ley n° 25.326, y se incorporó como inciso t) al artículo 24 de la Ley nº 27.275, la competencia de la AAIP de “fiscalizar la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre”.
Que, asimismo, el Decreto n° 899 del 3 de noviembre de 2017 sustituyó el artículo 29 del Anexo I del Decreto nº 1558/01, estableciendo que “la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, conforme los términos del artículo 19 de la Ley n° 27.275, sustituido por el artículo 11 del Decreto n° 746/17, es el órgano de control de la Ley nº 25.326”.
Que, entre las atribuciones asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA se encuentra la de dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por la Ley 25.326.
Que la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, dependiente del Ministerio de Justicia y Derechos Humanos, dictó la Disposición 60-E/2016 mediante la cual se aprobó un modelo de contrato de transferencia internacional, tanto para los casos de cesión de datos personales como para los casos de prestación de servicios, con el objeto de garantizar un nivel adecuado de protección de datos personales en los términos del artículo 12 de la Ley nº 25.326 en aquellas transferencias de datos a países sin legislación adecuada.
Que, asimismo, la Disposición 60-E/2016 determinó aquellos países que poseen legislación adecuada, y agregó la posibilidad de que la enumeración fuese revisada periódicamente por parte de la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, publicando la nómina y sus actualizaciones en su sitio oficial en Internet.
Que, en particular, el artículo 3 de la Disposición 60-E/2016 establece que “a los fines de la aplicación de la presente disposición se consideran países con legislación adecuada a los siguientes: Estados miembros de la UNIÓN EUROPEA y miembros del espacio económico europeo (EEE), CONFEDERACIÓN SUIZA, GUERNSEY, JERSEY, ISLA DE MAN, ISLAS FEROE, CANADÁ sólo respecto de su sector privado, PRINCIPADO DE ANDORRA, NUEVA ZELANDA, REPÚBLICA ORIENTAL DEL URUGUAY y ESTADO DE ISRAEL sólo respecto de los datos que reciban un tratamiento automatizado.”
Que se ha recibido una solicitud por parte del DEPARTAMENTO DE SERVICIOS DIGITALES, CULTURA, MEDIOS Y DEPORTE DEL REINO UNIDO DE GRAN BRETAÑA E IRLANDA DEL NORTE, requiriendo a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA que adopte las medidas necesarias a fin de garantizar que el flujo internacional de datos personales desde la REPÚBLICA ARGENTINA al REINO UNIDO DE GRAN BRETAÑA E IRLANDA DEL NORTE se mantenga de manera ininterrumpida tras la salida del REINO UNIDO DE GRAN BRETAÑA E IRLANDA DEL NORTE de la UNIÓN EUROPEA.
Que de acuerdo a lo informado en la solicitud respectiva y de conformidad con la revisión de antecedentes por parte de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, los estándares de protección de datos personales proporcionados por el REINO UNIDO DE GRAN BRETAÑA E IRLANDA DEL NORTE se han mantenido e incluso se han reforzado con respecto a la situación normativa del Estado requirente al momento en el que la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES habría decidido incluir a los Estados miembros de la UNIÓN EUROPEA -comprendiendo al REINO UNIDO DE GRAN BRETAÑA E IRLANDA DEL NORTE- en la enumeración de países con legislación adecuada.
Que por los motivos expuestos, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA considera que el REINO UNIDO DE GRAN BRETAÑA E IRLANDA DEL NORTE continúa proporcionando un nivel de protección adecuado en los términos de la Ley nº 25.326.
Que en consecuencia, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA estima procedente revisar la enumeración de países con legislación adecuada contemplada en el artículo 3 de la Disposición 60-E/2016 e incluir al REINO UNIDO DE GRAN BRETAÑA E IRLANDA DEL NORTE dentro de aquella enumeración.
Que la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES y la COORDINACIÓN DE ASUNTOS JURÍDICOS de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA han tomado la intervención de su competencia.
Que la presente se dicta en uso de las facultades conferidas por el artículo 29 inc. 1.b) de la Ley n° 25.326.
Por ello, el
DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1º
Sustitúyese el artículo 3 de la Disposición 60-E/2016, el que quedará redactado conforme el siguiente texto: “A los fines de la aplicación de la presente disposición, se consideran países con legislación adecuada, a los siguientes: Estados miembros de la UNIÓN EUROPEA y miembros del espacio económico europeo (EEE), REINO UNIDO DE GRAN BRETAÑA E IRLANDA DEL NORTE, CONFEDERACIÓN SUIZA, GUERNSEY, JERSEY, ISLA DE MAN, ISLAS FEROE, CANADÁ sólo respecto de su sector privado, PRINCIPADO DE ANDORRA, NUEVA ZELANDA, REPÚBLICA ORIENTAL DEL URUGUAY y ESTADO DE ISRAEL sólo respecto de los datos que reciban un tratamiento automatizado.”
ARTÍCULO 2°
Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
Eduardo Andrés Bertoni
Resolución nº 4/2019, de 16 de enero de 2019, de la Agencia de Acceso a la Información Pública
Resolución nº 4/2019, de 16 de enero de 2019, de la Agencia de Acceso a la Información Pública, sobre los Criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley nº 25.326
VISTO el EX-2018-52934591-APN-AAIP, la Ley nº 25.326 de Protección de los Datos Personales, la Ley nº 27.275 , y los Decretos n° 206 del 27 de marzo de 2017 y nº 746 del 25 de septiembre de 2017, y
CONSIDERANDO:
Que la Ley n° 25.326 de Protección de Datos Personales, tiene por objeto “la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional” (artículo 1°, Ley nº 25.326).
Que mediante el Decreto n° 1558 del 29 de noviembre de 2001, reglamentario de la Ley n° 25.326, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, en la órbita de la SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como órgano de control de la mencionada Ley (Anexo I, artículo 29, Decreto n° 1558/01).
Que, por otro lado, la Ley nº 27.275 de Derecho de Acceso a la Información Pública creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP) como ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS con el objeto de “velar por el cumplimiento de los principios y procedimientos establecidos en la Ley, garantizar el efectivo ejercicio del derecho de acceso a la información pública y promover medidas de transparencia activa” (artículo 19, Ley n° 27.275).
Que el Decreto n° 746 del 25 de septiembre de 2017 sustituyó el artículo 19 de la Ley nº 27.275, atribuyendo a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA la facultad de actuar como Autoridad de Aplicación de la Ley n° 25.326 y se incorporó como inciso t) al artículo 24 de la Ley nº 27.275, la competencia de la AAIP de “fiscalizar la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre”.
Que, asimismo, el Decreto n° 899 del 3 de noviembre de 2017 sustituyó el artículo 29 del Anexo I del Decreto nº 1558/01, estableciendo que “la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, conforme los términos del artículo 19 de la Ley n° 27.275, sustituido por el artículo 11 del Decreto n° 746/17, es el órgano de control de la Ley nº 25.326” (artículo 1°, Decreto n° 899/17).
Que, entre las atribuciones asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA se encuentra la de dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por la Ley n° 25.326 (artículo 29 inciso 1, apartado b) de la Ley n° 25.326).
Que diversas entidades, tanto públicas como privadas, han solicitado a la AAIP, en carácter de autoridad de aplicación de la Ley n° 25.326, se expida sobre criterios orientadores para la correcta interpretación e implementación de la normativa en materia de protección de datos personales.
Que resulta necesario dejar establecidos estos criterios en un documento autónomo, de manera que puedan ser consultados por los responsables de bases de datos y la ciudadanía en general, dotando de mayor previsibilidad a la interpretación de la Ley n° 25.326 y fortaleciendo el ejercicio de los derechos que la ley protege.
Que la Ley n° 25.326 define el término “base de datos” en su artículo 2° como “el conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso”.
Que los registros de imágenes captados por sistemas de video vigilancia constituyen una base de datos en los términos del artículo 2° de la Ley n° 25.326.
Que los artículos 14 y 15 de la Ley n° 25.326 establecen las condiciones para ejercer el derecho de acceso y su alcance.
Que el ejercicio del derecho de acceso en relación a datos personales que han sido recolectados mediante sistemas de video vigilancia puede generar ciertas dificultades prácticas para el responsable de la base de datos, por lo que la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA considera conveniente pronunciarse respecto del alcance de ese derecho y de las condiciones para ejercerlo.
Que, a su vez, el artículo 15 de la Ley n° 25.326, en su inciso 1, dispone que al ejercer el derecho de acceso, el responsable de la base de datos debe suministrar la información de forma clara, exenta de codificaciones y, en su caso, acompañada de una explicación, en lenguaje accesible al conocimiento medio de la población, de los términos que se utilicen.
Que en atención a que los cambios tecnológicos han permitido automatizar el tratamiento de datos y que ello podría acarrear riesgos a la persona, la AAIP considera importante establecer cuál sería el alcance del derecho de acceso del titular de los datos cuando el responsable de la base de datos tome decisiones basadas únicamente en el tratamiento automatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afecten significativamente de forma negativa.
Que, asimismo, el artículo 2º de la Ley nº 25.326 define la “disociación de datos” como “todo tratamiento de datos personales de manera que la información obtenida no pueda asociarse a persona determinada o determinable”.
Que, para la correcta interpretación del término “disociación de datos”, corresponde a la AAIP definir qué se entiende por “persona determinable”.
Que, por otra parte, la Ley n° 25.326 define el término “datos personales” en su artículo 2° como “información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables”.
Que legislaciones más modernas han definido dentro del concepto de datos personales el término “dato biométrico” para adaptarse a las nuevas tecnologías de la era digital.
Que, en este sentido, la AAIP estima conveniente dejar sentado qué entiende por “datos biométricos” de acuerdo a la normativa aplicable en nuestro país en materia de privacidad y adaptarse de esta manera a la tendencia internacional.
Que, a su vez, la Ley n° 25.326 recepta en su artículo 5° el principio de consentimiento, que exige el consentimiento del titular de los datos como condición para que el tratamiento de sus datos personales sea lícito.
Que el artículo 5°, inciso 1 de la Ley n° 25.326 prevé que el consentimiento del titular de los datos deberá constar por escrito “o por otro medio que permita se le equipare, de acuerdo a las circunstancias”.
Que la Ley nº 25.326 prevé la posibilidad de instrumentar el consentimiento del titular de los datos por otros medios que no sean el escrito, y, por ende, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA estima necesario sentar un criterio interpretativo para la implementación de esa disposición.
Que el artículo 11 de la Ley nº 25.326 establece como principio general la obligación de requerir el consentimiento previo del titular para efectuar una cesión de datos personales.
Que a este principio se le aplican las excepciones reguladas en el inciso 3 del mismo artículo, cuyo apartado c) dispone que el consentimiento no será exigido cuando la cesión “se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias”.
Que entonces corresponde a la AAIP delimitar cuáles son las condiciones para realizar una cesión de datos personales entre organismos públicos, en los términos del artículo 11, inciso 3, apartado c).
Que la normativa internacional en materia de protección de datos personales ha adoptado previsiones específicas en relación al consentimiento que deben otorgar las niñas, niños y adolescentes para el tratamiento de sus datos.
Que el Código Civil y Comercial de la Nación ha receptado en los artículos 26 y 639 el principio de autonomía progresiva, que emerge de la Convención sobre los Derechos del Niño, el cual reconoce a los menores de edad la capacidad para ejercer por sí mismos sus derechos conforme con la evolución de sus facultades.
Que, en virtud de ello, es necesario establecer criterios orientadores para la obtención del consentimiento de los menores de edad para el tratamiento de sus datos personales.
Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.
Que la presente medida se dicta en virtud de las facultades conferidas por el artículo 29, inciso 1, aparatado b) de la Ley n° 25.326.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1°
Apruébense los criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley nº 25.326 , siendo de observancia obligatoria para todos aquellos sujetos alcanzados por la Ley nº 25.326, y que como Anexo I (IF-2019-01967621-APN-AAIP) forman parte integrante de la presente Resolución.
ARTÍCULO 2°
Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.
Eduardo Andrés Bertoni
Anexo I.- Criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley nº 25.326
Criterio 1
Derecho de acceso a datos personales recolectados mediante sistemas de video vigilancia
Ante una solicitud del titular de los datos de acceder a sus datos personales recolectados mediante sistemas de video vigilancia (su imagen personal), se debe tener en consideración las siguientes pautas:
i) El titular de los datos debe acreditar su identidad mediante DNI, indicar fecha y hora aproximada en la que pudo haber sido captada su imagen e información necesaria para identificarla.
ii) El responsable de la base de datos debe proporcionar los datos personales en forma clara, acompañados de una explicación del tiempo en que se registró al titular de los datos, lugar en el que el sistema de video vigilancia lo registrara, finalidad, eventuales cesiones y/o destino de los datos, indicando si el banco de datos se encuentra inscripto en el Registro Nacional de Bases de Datos de la Dirección Nacional de Protección de Datos Personales, dependiente de la Agencia de Acceso a la Información Pública.
iii) Excepcionalmente el responsable de la base de datos debe proporcionar la imagen (impresión o archivo en formato digital) en caso que el titular de los datos funde debidamente el motivo de obtenerla en dicha modalidad y cancele el costo que irrogue el trámite. En caso que la imagen brindada permita identificar a algún tercero, el responsable de la base de datos deberá aplicar alguna técnica de disociación de forma tal que solo pueda ser identificado el titular de los datos.
iv) El responsable de la base de datos debe informar en forma expresa y clara al titular de los datos que, en caso de disconformidad con la respuesta brindada, podrá presentar su reclamo ante la Dirección Nacional de Protección de Datos Personales en los términos del artículo 31, inciso 3 del Decreto nº 1558/01, sin perjuicio de tener disponible la acción de habeas data.
Criterio 2
Tratamiento automatizado de datos
En caso que el responsable de la base de datos tome decisiones basadas únicamente en el tratamiento automatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afecten significativamente de forma negativa, el titular de los datos tendrá derecho a solicitar al responsable de la base de datos una explicación sobre la lógica aplicada en aquella decisión, de conformidad con el artículo 15, inciso 1 de la Ley nº 25.326.
Criterio 3
Disociación de datos
No será considerada persona determinable, en los términos del artículo 2 de la Ley nº 25.326, cuando el procedimiento que deba aplicarse para lograr su identificación requiera la aplicación de medidas o plazos desproporcionados o inviables.
Criterio 4
Datos biométricos
Los datos biométricos son aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única.
Los datos biométricos que identifican a una persona se considerarán datos sensibles (conforme el artículo 2°, Ley n° 25.326) únicamente cuando puedan revelar datos adicionales cuyo uso pueda resultar potencialmente discriminatorio para su titular (v.g. datos que revelen origen étnico o información referente a la salud).
Criterio 5
Consentimiento
Cualquiera sea la modalidad del consentimiento que se adopte, conforme el artículo 5, inciso 1 de la Ley nº 25.326, el responsable de la base de datos debe acreditar que quien haya prestado tal consentimiento sea efectivamente el titular de los datos requeridos y no otra persona, esto es, que cuente con mecanismos de validación de identidad eficaces.
En relación a la cesión de datos personales entre organismos públicos, no se requiere el consentimiento del titular de los datos y se cumple con las condiciones de licitud, en la medida en que
(i) el cedente haya obtenido los datos en ejercicio de sus funciones,
(ii) el cesionario utilice los datos pretendidos para una finalidad que se encuentre dentro del marco de su competencia y, por último,
(iii) los datos involucrados sean adecuados y no excedan el límite de lo necesario en relación a esta última finalidad.
En caso de tratamiento de datos personales de niñas, niños y adolescentes, se debe tener en cuenta lo siguiente:
i) De conformidad con el principio de autonomía progresiva receptado en los artículos 26 y 639 del Código Civil y Comercial, el menor de edad podrá prestar consentimiento informado en relación al tratamiento de sus datos personales teniendo en consideración sus características psicofísicas, aptitudes y desarrollo.
ii) Si el menor de edad no posee la capacidad suficiente para prestar el consentimiento informado, el titular de la responsabilidad parental o tutela sobre la niña, niño o adolescente, deberá prestar el consentimiento para el tratamiento de sus datos personales. En tal caso, el responsable de la base de datos deberá realizar esfuerzos razonables para verificar que el consentimiento haya sido efectivamente otorgado por el titular de la responsabilidad parental o tutela sobre el menor de edad, teniendo en cuenta sus posibilidades para hacerlo.
12Ago/19
Disposición 56-E/16, de 25 de octubre de 2016, de la Dirección Nacional de Protección de Datos Personales (DNPDP), que aprueba la Protección de datos personales. Bases de datos propias y de terceros. Entes públicos estatales y no estatales. Inscripción. Baja. Formularios. Su aprobación.
VISTO el Expediente EX-2016-00206907- -APN-DNPDP#MJ, la Ley n° 25.326 y su Decreto Reglamentario n° 1558 del 29 de noviembre de 2001, y
CONSIDERANDO:
Que por Disposición DNPDP nº 2 del 14 de febrero de 2005 se implementó el REGISTRO NACIONAL DE BASES DE DATOS alcanzadas por la Ley nº 25.326 y se aprobó el contenido del Formulario FA.01 de Inscripción de Archivos, Registros, Bases o Bancos de Datos Privados (Anexo I).
Que por Disposición DNPDP nº 3 del 4 de abril de 2005 se aprobaron los restantes formularios a utilizar ante el REGISTRO NACIONAL DE BASES DE DATOS dependientes de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.
Que esta Dirección Nacional ha iniciado un proceso de revisión interna de los procedimientos registrales a efectos de hacerlos más eficientes y fortalecer su rol de autoridad de aplicación de la Ley n° 25.326.
Que mediante el Decreto n° 561 del 6 de abril de 2016, se aprobó la implementación del sistema de Gestión Documental Electrónica —GDE— como sistema integrado de caratulación, numeración, seguimiento y registración de movimientos de todas las actuaciones y expedientes del Sector Público Nacional.
Que resulta entonces necesario reemplazar el sistema informático del REGISTRO NACIONAL DE BASES DE DATOS por uno que se incorpore al mencionado sistema de Gestión Documental Electrónica.
Que en ese contexto, y tomando en consideración la experiencia acumulada por esta Dirección Nacional, se estima oportuno readecuar los formularios de inscripción del citado Registro, unificando los mismos a fin de facilitar los trámites a los responsables de tratamientos de datos personales obligados.
Que por consiguiente resulta necesario aprobar los formularios que se serán utilizados a partir de la implementación del nuevo sistema informático, así como también sus respectivos instructivos.
Que el valor de los formularios que se aprueban por el presente acto será oportunamente determinado por el MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS.
Que hasta tanto se implemente el nuevo sistema informático, corresponde mantener la vigencia de los formularios, instructivos y procedimientos aprobados por las Disposiciones DNPDP números 2/05 y 3/05.
Que la DIRECCION GENERAL DE ASUNTOS JURIDICOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS ha tomado la intervención que le compete.
Que la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartado b) de la Ley n° 25.326 y el artículo 29, inciso 5, apartado d) del Anexo I del Decreto nº 1558 del 29 de noviembre de 2001.
Por ello,
EL DIRECTOR NACIONAL
DE PROTECCION DE DATOS PERSONALES
DISPONE:
ARTÍCULO 1º
Apruébanse los Formularios FI-A “INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS PROPIAS”, FI-B “INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS DE TERCEROS”, y FI-P “INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES DE ENTES PÚBLICOS ESTATALES Y NO ESTATALES” que como Anexo IF-2016-02470398-APN-DNPDP#MJ, IF-2016-01427512-APN- DNPDP#MJ y IF-2016-01427599-APN-DNPDP#MJ respectivamente forman parte integrante del presente acto.
ARTÍCULO 2º
Apruébanse los Formularios FR-A “RENOVACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS PROPIAS” y FR-B “RENOVACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS DE TERCEROS”, que como Anexo IF-2016-02470395-APN-DNPDP#MJ y IF-2016-01427721-APN-DNPDP#MJ respectivamente forman parte integrante del presente acto.
ARTÍCULO 3º
Apruébanse los Formularios FM-A “MODIFICACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS PROPIAS”, FM-B “MODIFICACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES SOBRE BASES DE DATOS DE TERCEROS”, y FM-P “MODIFICACIÓN DE INSCRIPCIÓN DE TRATAMIENTOS DE DATOS PERSONALES DE ENTES PÚBLICOS ESTATALES Y NO ESTATALES” que como Anexo IF-2016-02470391-APN-DNPDP#MJ, IF-2016-01427798-APN- DNPDP#MJ y IF-2016-01427828-APN-DNPDP#MJ respectivamente forman parte integrante del presente acto.
ARTÍCULO 4º
Apruébase el Formulario FB “BAJA DE INSCRIPCIÓN” que como Anexo IF-2016-01428972-APN-DNPDP#MJ forma parte integrante del presente acto.
ARTÍCULO 5º
La implementación de los formularios aprobados por los artículos precedentes será dispuesta oportunamente en el mismo acto administrativo que apruebe la implementación del nuevo sistema informático y el correspondiente procedimiento registral, manteniéndose hasta entonces en vigencia los formularios, instructivos y procedimientos aprobados por las Disposiciones DNPDP números 2/2005 y 3/2005.
ARTÍCULO 6º
El valor de los Formularios aprobados por la presente disposición será determinado por el MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS.
ARTÍCULO 7º
Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.
EDUARDO BERTONI, Director Nacional, Dirección Nacional de Protección de Datos Personales, Ministerio de Justicia y Derechos Humanos.
11Ago/19
Decreto 1063/2016, de 4 de octubre de 2016, de Trámites a Distancia. Apruébase implementación
VISTO: la Ley de Ministerios (texto ordenado por Decreto n° 438 del 12 de marzo de 1992) y sus modificatorias, la Ley n° 25.506, los Decretos números 759 del 2 de febrero de 1966, 2628 del 19 de diciembre del 2002 y sus modificatorios, 13 del 5 de enero de 2016, 434 del 1° de marzo de 2016 y 561 del 6 de abril de 2016 y el Expediente n° EX-2016-00522844-APN-SECMA#MM, y
CONSIDERANDO:
Que por el artículo 23 octies de la Ley de Ministerios (texto ordenado por Decreto n° 438 del 12 de marzo de 1992) y sus modificatorias, se estableció entre las competencias del MINISTERIO DE MODERNIZACIÓN las de diseñar, coordinar e implementar la incorporación y mejoramiento de los procesos, tecnologías, infraestructura informática y sistemas y tecnologías de gestión de la Administración Pública Nacional; actuar como Autoridad de Aplicación del régimen normativo que establece la infraestructura de firma digital para el sector público nacional; e intervenir en el desarrollo de sistemas tecnológicos con alcance transversal o comunes a los organismos y entes de la Administración Pública Nacional, Centralizada y Descentralizada.
Que por el Decreto nº 13/16 se fijó entre los objetivos de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN, los de entender en las propuestas e iniciativas de transformación, innovación, mejora continua e integración de los procesos transversales y sistemas centrales de soporte de gestión del Sector Público Nacional, a partir del desarrollo y coordinación de políticas, marcos normativos, capacidades, instrumentos de apoyo y plataformas tecnológicas; y en el marco regulatorio del régimen relativo a la validez legal del documento y firma digital, así como intervenir en aquellos aspectos vinculados con la incorporación de estos últimos a los circuitos de información del Sector Público Nacional y con su archivo en medios alternativos al papel.
Que a través del Decreto n° 434/16 se aprobó el Plan de Modernización del Estado con el objetivo de alcanzar una Administración Pública al servicio del ciudadano en un marco de eficiencia, eficacia y calidad en la prestación de servicios, para lo que previó, entre otras actividades del Eje Plan de Tecnologías y Gobierno Digital, la de implementar una plataforma de tramitación a distancia con el ciudadano, sobre los sistemas de gestión documental y expediente electrónico.
Que por el Decreto n° 561/16 se aprobó la implementación del sistema de Gestión Documental Electrónica – GDE, como sistema integrado de caratulación, numeración, seguimiento y registración de movimientos de todas las actuaciones y expedientes del Sector Público Nacional.
Que en ese marco, se impulsan distintas medidas tendientes a facilitar el acceso del administrado a los organismos del Estado, agilizando sus trámites administrativos, incrementando la transparencia y accesibilidad, mediante el uso de herramientas tecnológicas que posibiliten un acceso remoto y el ejercicio de un seguimiento efectivo sobre la actividad administrativa.
Que en esta instancia del proceso de modernización de la Administración Pública Nacional, resulta oportuno instrumentar medidas que propicien incrementar la relación directa de la administración con los ciudadanos.
Que, en consecuencia, resulta necesario implementar una Plataforma de Trámites a Distancia (TAD) como herramienta de acceso, presentación de documentación, seguimiento de trámites y notificaciones en el Sistema de Gestión Documental Electrónica – GDE por parte de los administrados.
Que a los fines de dar certeza jurídica al trámite electrónico, resulta necesario establecer la validez de las notificaciones electrónicas realizadas en la plataforma “Trámites a Distancia” (TAD), así como la constitución del domicilio especial electrónico en la cuenta de usuario de dicha plataforma.
Que asimismo corresponde brindar condiciones de acceso igualitario, facilitando el acceso remoto a la plataforma de “Trámites a Distancia” (TAD) para lo cual es necesario disponer de puntos de digitalización de la documentación en soporte papel que sea necesario presentar en las actuaciones administrativas.
Que por otra parte, resulta necesario establecer la fecha cierta de presentación de escritos por los particulares y de elaboración de los actos administrativos cuando se realicen a través de la plataforma de “Trámites a Distancia” (TAD) y del sistema de Gestión Documental Electrónica (GDE).
Que, correlativamente, en el marco de la política de modernización de la Administración Pública que impulsa el Gobierno Nacional, resulta necesario implementar los módulos del sistema de Gestión Documental Electrónica – GDE, con el fin de facilitar y transparentar las transferencias de recursos monetarios y no monetarios realizadas en el marco de las políticas sustantivas que desarrollan los distintos organismos públicos, generando información que permita mejorar el planeamiento y maximizar el impacto que persiguen dichas políticas
Que en la actualidad, la solicitud, otorgamiento y pago de las transferencias y asistencias de carácter monetario y no monetario tramitan conforme a diversos procedimientos administrativos dispares.
Que a los fines de dotar de mayor eficiencia, eficacia y transparencia a los procedimientos administrativos de tramitación de estas prestaciones, resulta necesario implementar los medios electrónicos centralizados para la gestión de transferencias y asistencias, mediante los módulos “Gestor de Asistencias y Transferencias” (GAT) y “Registro Integral de Destinatarios” (RID), componentes del Sistema de Gestión Documental Electrónica – GDE.
Que el Decreto n° 759 del 2 de febrero de 1966 que aprueba el “Reglamento para Mesa de Entradas, Salidas y Archivo” ha quedado desactualizado debido a los avances informáticos, no resultando de aplicación a los documentos electrónicos dadas las características tecnológicas el sistema de Gestión Documental Electrónica (GDE), el cual garantiza las funciones de caratulación de expedientes, protocolización de actos administrativos, numeración, registración, archivo y conservación de todos los documentos digitales que integran los expedientes y actuaciones administrativas.
Que por otro lado, la Ley n° 25.506 estableció la eficacia jurídica del documento electrónico, la firma electrónica y la firma digital, y en su artículo 48 dispone que el Estado Nacional, dentro de las jurisdicciones y entidades comprendidas en el artículo 8° de la Ley n° 24.156, promoverá el uso masivo de la firma digital de tal forma que posibilite el trámite de los expedientes por vías simultáneas, búsquedas automáticas de la información y seguimiento y control por parte del interesado, propendiendo a la progresiva despapelización.
Que a tal fin, corresponde autorizar a los certificadores licenciados del Sector Público Nacional a delegar las funciones de validación de la identidad y otros datos de los suscriptores de certificados y de registro de las presentaciones y trámites que les sean formuladas, en Autoridades de Registro del sector privado, para lo cual resulta conveniente establecer la obligatoriedad de constituir como garantía un seguro de caución.
Que el sistema de Gestión Documental Electrónica (GDE) permite la firma digital de las actuaciones administrativas, utilizando dispositivos criptográficos para el caso de los actos administrativos, y certificados de aplicaciones para todas las demás actuaciones, brindando un marco de seguridad y confianza tecnológica y jurídica a los documentos electrónicos, de acuerdo a lo establecido en el artículo 9 de la Ley n° 25.506 de firma digital.
Que en el marco de la Ley n° 25.506, corresponde asignar a la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN o a quien ésta designe, la competencia para asignar el Identificador de Objetos – OID, elemento necesario en la emisión del certificado a los certificadores licenciados por parte de la Autoridad Certificante Raíz, como parte del procedimiento de licenciamiento.
Que la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA se ha expedido en el ámbito de su competencia.
Que ha tomado la intervención de su competencia la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS del MINISTERIO DE MODERNIZACIÓN.
Que la presente medida se dicta en ejercicio de las atribuciones conferidas por el artículo 99, incisos 1 y 2 de la CONSTITUCIÓN NACIONAL.
Por ello,
EL PRESIDENTE DE LA NACIÓN ARGENTINA
DECRETA:
ARTÍCULO 1°
Trámites a Distancia. Apruébase la implementación de la Plataforma de Trámites a Distancia (TAD) integrada por el módulo “Trámites a Distancia” (TAD), del Sistema de Gestión Documental Electrónica (GDE), como medio de interacción del ciudadano con la administración, a través de la recepción y remisión por medios electrónicos de presentaciones, solicitudes, escritos, notificaciones y comunicaciones, entre otros.
ARTÍCULO 2°
Asistencias y Transferencias. Apruébase la implementación de los módulos “Registro Integral de Destinatarios” (RID) y “Gestor de Asistencias y Transferencias” (GAT) del Sistema de Gestión Documental Electrónica (GDE), como único medio de registro, tramitación y pago de todas las prestaciones, beneficios, subsidios, exenciones, y toda otra transferencia monetaria y/o no monetaria y asistencia que las entidades y jurisdicciones definidas en el Artículo 3° otorguen a personas humanas o personas jurídicas públicas o privadas, independientemente de su fuente de financiamiento.
ARTÍCULO 3°
Ámbito de aplicación. Las entidades y jurisdicciones enumeradas en el artículo 8° de la Ley n° 24.156 que componen el Sector Público Nacional, deberán utilizar la plataforma electrónica “Trámites a Distancia” (TAD) y los módulos “Gestor de Asistencias y Transferencias” (GAT) y “Registro Integral de Destinatarios” (RID) del Sistema de Gestión Documental Electrónica (GDE), que se aprueban en el presente, de acuerdo al cronograma que fije el MINISTERIO DE MODERNIZACIÓN.
ARTÍCULO 4°
Validez de las notificaciones electrónicas. Serán válidas las notificaciones electrónicas realizadas a través de la Plataforma de “Trámites a Distancia” (TAD), la que brinda el servicio de notificación electrónica fehaciente al domicilio especial electrónico constituido, garantizando la validez jurídica, confidencialidad, seguridad e integridad de la información notificada.
ARTÍCULO 5°
Digitalización de documentación. La presentación de documentación en la plataforma y módulos creados en el Artículo 1° deberá realizarse en formato electrónico. A tal fin, los usuarios de dicha plataforma y módulos podrán solicitar la digitalización de la documentación que deban presentar y que conste en soporte papel en la sede del organismo pertinente, de acuerdo a los procedimientos que fije la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN.
ARTÍCULO 6°
Domicilio Especial Electrónico. Toda persona humana que comparezca ante autoridad administrativa mediante la Plataforma de “Trámites a Distancia” (TAD), por derecho propio o en representación de terceros, deberá constituir un domicilio especial electrónico en el cual serán válidas las comunicaciones y notificaciones.
ARTÍCULO 7°
Constitución de Domicilio Especial Electrónico. La cuenta de usuario de la Plataforma de “Trámites a Distancia” (TAD) será considerada el Domicilio Especial Electrónico constituido para aquellos trámites que se gestionen utilizando dicha plataforma.
ARTÍCULO 8°
Notificaciones electrónicas. Todas las notificaciones que deban cursarse en el marco de la Plataforma de “Trámites a Distancia” (TAD) se realizarán en la cuenta de usuario que es el Domicilio Especial Electrónico constituido por el administrado.
ARTÍCULO 9°
Presentación de escritos, fecha y cargo. El sistema de Gestión Documental Electrónica (GDE) dejará constancia de la fecha y hora de presentación de los escritos realizada por los particulares en la Plataforma de “Trámites a Distancia” (TAD) y de los actos producidos por los usuarios de dicho sistema.
ARTÍCULO 10.
Administración de sistemas. Desígnase a la Secretaría de Modernización Administrativa como administradora de la plataforma y módulos electrónicos aprobados y creados en los artículos precedentes, estando facultada para aprobar las funcionalidades que resulten necesarias para su funcionamiento y a dictar los términos y condiciones de uso de las mismas.
ARTÍCULO 11.
Normas aclaratorias, operativas y complementarias. Facúltase a la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA a dictar las normas aclaratorias, operativas y complementarias necesarias para la implementación de las plataformas y módulos aprobados en los artículos precedentes, y aprobar la incorporación de trámites de gestión remota a dichas plataformas y módulos.
ARTÍCULO 12.
Asistencia técnica y capacitación. La SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA, a través de la SUBSECRETARÍA DE GESTIÓN ADMINISTRATIVA, brindará la asistencia técnica y capacitación necesarias para la implementación y funcionamiento de la plataforma y módulos electrónicos creados y aprobados por el presente.
ARTÍCULO 13.
Firma digital del sistema de Gestión Documental Electrónica (GDE). El sistema de Gestión Documental Electrónica (GDE) permite la firma digital de los documentos electrónicos en los siguientes casos:
a. Para firmar actos administrativos mediante firma digital con dispositivo criptográfico.
b. Para firmar todos los demás actos que no constituyan actos administrativos mediante firma digital con certificado del sistema.
Ambas firmas digitales gozan de plena validez en virtud de lo dispuesto en el artículo 9° de la Ley n° 25.506, asegurando indubitablemente la autoría e integridad del documento electrónico firmado digitalmente.
ARTÍCULO 14.
Autoridades de Registro. Modifícase el artículo 36 del Decreto n° 2628/02, el que quedará redactado de la siguiente manera:
“ARTÍCULO 36.- Responsabilidad del certificador licenciado respecto de la Autoridad de Registro. Una Autoridad de Registro puede constituirse como una única unidad o con varias unidades dependientes jerárquicamente entre sí, pudiendo delegar su operatoria en otras autoridades de registro, siempre que medie la aprobación del Certificador Licenciado. El Certificador Licenciado es responsable con los alcances establecidos en la Ley n° 25.506, aún en el caso de que delegue parte de su operatoria en Autoridades de Registro, sin perjuicio del derecho del certificador de reclamar a la Autoridad de Registro las indemnizaciones por los daños y perjuicios que aquél sufriera como consecuencia de los actos y/u omisiones de ésta.
Los Certificadores Licenciados de organismos públicos podrán constituir Autoridades de Registro pertenecientes al sector privado, previa autorización de la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA del MINISTERIO DE MODERNIZACIÓN.
A los fines del presente artículo, las Autoridades de Registro del sector privado dependientes de Certificadores Licenciados de organismos públicos, deberán constituir una garantía mediante un seguro de caución a fin de garantizar el cumplimiento de las obligaciones establecidas en la normativa vigente. Las pólizas de seguro de caución deberán reunir los siguientes requisitos básicos:
a) Estar aprobadas por la SUPERINTENDENCIA DE SEGUROS DE LA NACIÓN, organismo descentralizado en el ámbito del MINISTERIO DE HACIENDA Y FINANZAS PÚBLICAS.
b) Ser extendidas a favor de la jurisdicción o entidad de la cual depende el Certificador Licenciado.
c) Ser sustituidas, por solicitud del Certificador Licenciado a la Autoridad de Registro del sector privado, cuando la aseguradora originaria deje de cumplir los requisitos que se hubieren requerido.
d) Mantener la vigencia del seguro de caución mientras no se extingan las obligaciones cuyo cumplimiento se pretende cubrir.
La garantía exigida deberá ser acreditada por la Autoridad de Registro del sector privado ante el Certificador Licenciado correspondiente, como requisito previo al otorgamiento de la autorización para operar como tal, en cualquier modalidad.
Los montos mínimos a integrarse en concepto de garantía o seguro de caución, serán fijados por el MINISTERIO DE MODERNIZACIÓN.”
ARTÍCULO 15.
Autoridad de Registro de números identificadores de objetos “OID”. Asígnase a la SECRETARÍA DE MODERNIZACIÓN ADMINISTRATIVA, o a quien ésta designe, la facultad de otorgar los números identificadores de objetos “OID”, constituyéndose así en la Autoridad de Registro de Identificadores de Objetos (“OID”) de la REPÚBLICA ARGENTINA.
ARTÍCULO 16.
Las normas contenidas en el Decreto N° 759/66 y sus normas complementarias y modificatorias no se aplican al sistema de Gestión Documental Electrónica (GDE) creado por el Decreto n° 561/16.
ARTÍCULO 17.
Comuníquese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese.
MACRI.
Marcos Peña.
Andrés H. Ibarra.
11Ago/19
Resolución 132/2018, de 19 de octubre de 2018, de la Agencia de Acceso a la Información Pública. RESOL-2018-132-APN-AAIP
Ciudad de Buenos Aires, 19 de Octubre de 2018
VISTO el EX-2018- 07671904-APN-AAIP, la Ley n° 25.326, la Ley n° 27.275, el Decreto n° 1558 del 29 de noviembre de 2001, el Decreto n° 746 del 25 de septiembre de 2017, el Decreto n° 891 del 1° de noviembre de 2017, el Decreto n° 899 del 3 de noviembre de 2017, las Disposiciones de la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES números 2 del 14 de febrero de 2005; 3 del 4 de abril 2005; 5 del 27 de febrero de 2006; 9 del 22 de agosto de 2006; 10 del 18 de septiembre de 2006; 4 del 14 de septiembre de 2012, y 56-E-APN del 25 de octubre 2016,
y CONSIDERANDO:
Que por el artículo 19 de Ley n° 27.275 se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en la órbita de la JEFATURA DE GABINETE DE MINISTROS.
Que por el Decreto n° 746 del 25 de septiembre de 2017 se sustituyó el artículo 19 de la Ley de Acceso a la Información Pública n° 27.275, atribuyendo a la referida Agencia la facultad de actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales n° 25.326, como así también en su artículo 13, se incorporó como inciso t) al artículo 24 de la de la Ley 27.275 de Derecho de Acceso a la Información Pública, la competencia de fiscalizar la protección integral de los datos personales asentados en archivos, registros, banco de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, y el acceso a la información que sobre las mismas se registre.
Que por el artículo 29 del ANEXO I del Decreto n° 1558 del 29 de noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para cumplir las funciones de órgano de control y autoridad de aplicación de la Ley de Protección de Datos Personales n° 25.326 y su reglamentación.
Que el Decreto n° 899 del 6 de noviembre 2017 reordenó el plexo regulatorio vigente en relación a las competencias asignadas a los organismos mencionados y de conformidad con los términos del artículo 19 de la Ley n° 27.275, sustituido por el artículo 11 del Decreto n° 746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el ejercicio de la función de órgano de control de la Ley n° 25.326, que hasta entonces detentaba la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.
Que, en virtud de lo expuesto, el Decreto n° 899/17 dispuso en su artículo 2° que toda referencia normativa a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA Que, seguidamente por Disposición de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA, SEGURIDAD Y DERECHOS HUMANOS n° 2 del 14 de febrero de 2005 se implementó el REGISTRO NACIONAL DE BASES DE DATOS alcanzadas por la Ley nº 25.326.
Que por las Disposiciones números 3 del 4 de abril 2005 se aprobaron los formularios, instructivo y normas de procedimiento que utilizara la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES; 5 del 27 de febrero de 2006 se implementó el REGISTRO NACIONAL DE BASES DE DATOS a los fines de la inscripción de los archivos, registros, bancos o bases de datos públicos; 9 del 22 de agosto de 2006 se aprobaron los formularios de modificación y de baja del REGISTRO NACIONAL DE BASES DE DATOS; 10 del 18 de septiembre de 2006 se incorporó la inscripción de archivos, registros o bases o bancos públicos de datos personales pertenecientes a los entes públicos no estatales, que se encuentren interconectados en redes de alcance interjurisdiccional nacional o internacional; 04 del 14 de septiembre de 2012, se estableció la validez anual de la Inscripción en el REGISTRO NACIONAL DE BASES DE DATOS y 56-E-APN del 25 de octubre 2016 readecuó los formularios de inscripción, renovación y modificación de tratamientos de datos personales.
Que, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA es el organismo competente para dictar las normas que regulan el funcionamiento del REGISTRO NACIONAL DE BASES DE DATOS y los procedimientos que considere pertinentes para la aprobación, modificación y baja de las inscripciones de las bases de datos personales, que sean requeridas por parte de los responsables de su tratamiento.
Que el Decreto n° 1063 del 4 de octubre de 2016 aprobó la implementación de la Plataforma de Trámites a Distancia (TAD) como medio de interacción del ciudadano con la administración, a través de la recepción y remisión por medios electrónicos de presentaciones, solicitudes, escritos, notificaciones y comunicaciones, entre otros.
Que, asimismo, por Decreto n° 891 del 1° de noviembre de 2017, se aprobaron las BUENAS PRÁCTICAS EN MATERIA DE SIMPLIFICACIÓN NORMATIVA para el mejor funcionamiento del Sector Público Nacional, con el fin de agilizar procedimientos administrativos, simplificando normas de los diversos regímenes con el objetivo de brindar una respuesta rápida, flexible y transparente al ciudadano, en un marco de eficiencia, eficacia y calidad en la prestación del servicio.
Que, a tal fin, se estima pertinente derogar las disposiciones dictadas por la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, dependiente del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, que regulan los procedimientos para la inscripción, modificación y baja de las bases de datos personales públicas y privadas, para proceder a establecerse que, la inscripción, modificación y baja de las bases de datos personales de carácter privado, público estatal y público no estatal, deberán tramitarse a través de la plataforma “Trámites a Distancia” (TAD) o sistema de Gestión Documental Electrónica (GDE).
Que, la experiencia de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES a lo largo de los años en el marco de estos trámites, hace aconsejable suprimir a partir de la entrada en vigencia de la presente resolución, la imposición de cargos arancelarios, para efectivizar los trámites registrales citados precedentemente, en consonancia con las políticas contenidas en la normativa dictada por el PODER EJECUTIVO NACIONAL, a la que se hace mención en los considerandos precedentes.
Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete, en los términos del artículo 6° de la Decisión Administrativa n° 1002 del 15 de noviembre de 2017.
Que, la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartados b) y c) de la Ley n° 25.326, modificatorios y complementarios.
Por ello, EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA RESUELVE:
ARTÍCULO 1°: Establécese que la inscripción, modificación y baja de las bases de datos personales de carácter privado, público estatal y público no estatal, que habrán de cumplimentar los responsables de su tratamiento, ante el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, deberán tramitarse exclusivamente a través de la plataforma “Trámites a Distancia” (TAD) o sistema de Gestión Documental Electrónica (GDE):
Registro del Titular o Responsable de Base de Datos, Privada o Pública
Registro de Base de Datos Privada o Pública -estatal o no estatal-.
ARTÍCULO 2°: Deróganse los artículos 4°, 5°, 6°, 7° y 8° de la Disposición de la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS n° 02 del 14 de febrero de 2005 modificada por su similar n° 04 del 14 de septiembre de 2012.
ARTÍCULO 3°: Deróganse las Disposiciones n° 3 del 4 de abril 2005; n° 5 del 27 de febrero de 2006; n° 9 del 22 de agosto de 2006; n° 10 del 18 de septiembre de 2006; y n° 56-E-APN del 25 de octubre 2016, dictadas por el organismo citado en el considerando precedente.
ARTÍCULO 4°: Establécese la gratuidad de los trámites registrales a los que se hace referencia en los artículos precedentes, en virtud de los fundamentos expuestos en el considerando pertinente.
ARTÍCULO 5°: Los responsables de Archivos, Registros, Bases o Banco de Datos Personales de carácter privado ya inscriptos ante el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, deberán reempadronarlos en el marco del nuevo procedimiento técnico registral implementado, teniendo plazo para ello desde la entrada en vigencia de la presente resolución hasta el 31 de octubre de 2019.
ARTÍCULO 6°: Los responsables de Archivos, Registros, Bases o Banco de Datos Personales de carácter público estatal y público no estatal, deberán reempadronarse en el marco del nuevo procedimiento técnico registral implementado, teniendo plazo para ello desde la entrada en vigencia de la presente resolución hasta el 28 de febrero de 2019.
ARTÍCULO 7°: Sin perjuicio de los derechos de rectificación, actualización o supresión que ostenten los titulares de los datos personales, el responsable de los Archivos, Registros, Bases o Banco de Datos Personales, se encuentra obligado a implementar las medidas que considere pertinentes para mantenerlos debidamente actualizados ante el REGISTRO NACIONAL DE BASES DE DATOS de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.
ARTÍCULO 8°: La presente resolución entrará en vigencia a partir del día siguiente a su publicación en el Boletín Oficial de la República Argentina.
ARTÍCULO 9°: Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
Eduardo Andrés Bertoni
11Ago/19
Resolución 40/2018 de 4 de julio de 2018, de la Agencia de Acceso a la Información Pública
Ciudad de Buenos Aires, 4 de julio de 2018
VISTO el EX-2018-17133991-APN-AAIP, la Ley n° 25.326, la Ley n° 27.275, el Decreto n° 1558 del 29 de noviembre de 2001, el Decreto n° 746 del 25 de septiembre de 2017, el Decreto n° 899 del 3 de noviembre de 2017, y
CONSIDERANDO:
Que por el artículo 19 de Ley n° 27.275 se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional, en la órbita de la JEFATURA DE GABINETE DE MINISTROS.
Que por el Decreto n° 746 del 25 de septiembre de 2017 se sustituyó el artículo 19 de la Ley de Acceso a la Información Pública n° 27.275, atribuyendo a la referida Agencia la facultad de actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales n° 25.326, y se incorporó como inciso t) al artículo 24 del capítulo IV de la de la Ley 27.275 de Derecho de Acceso a la Información Pública, la competencia de fiscalizar la protección integral de los datos personales asentados en archivos, registros, banco de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, y el acceso a la información que sobre las mismas se registre.
Que por el artículo 29 del ANEXO I al Decreto n° 1558 del 29 de noviembre de 2001, se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, para cumplir las funciones de órgano de control y autoridad de aplicación de la Ley de Protección de Datos Personales n° 25.326 y su reglamentación.
Que el Decreto n° 899 del 6 de noviembre 2017 reordenó el plexo regulatorio vigente en relación a las competencias asignadas a los organismos mencionados y de conformidad con los términos del artículo 19 de la Ley n° 27.275, sustituido por el artículo 11 del Decreto n° 746/17, atribuyó a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, el ejercicio de la función de órgano de control de la Ley n° 25.326, que hasta entonces detentaba la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.
Que en virtud de lo expuesto, el Decreto n° 899/17 dispuso en su artículo 2° que toda referencia normativa a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.
Que en virtud de lo dispuesto en el art. 29, inciso 1º, acápite b) de la Ley nº 25.326, entre las facultades asignadas a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA se especifica la de “Dictar las normas y reglamentaciones que se deben observar en el desarrollo de las actividades comprendidas por esta ley”.
Que por el artículo 1° del Decisión Administrativa n° 1002 del 15 de noviembre de 2017 se aprobó la estructura organizativa de primer nivel operativo de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, y entre las acciones asignadas a través de su Anexo II a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, se especifica como punto 12 la de “Coordinar con organismos públicos o privados actividades de promoción y difusión de la protección de datos personales”.
Que con anterioridad a la presente la entonces DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS tomó medidas tendientes al afianzamiento de la cultura de protección de datos personales en los Organismos Públicos, en particular mediante la Disposición DNPDP nº 7 del 22 de agosto de 2008 mediante la cual aprobó la “Guía de Buenas Prácticas en Políticas de Privacidad para las Bases de Datos del Ámbito Público” y la Disposición DNPDP nº 5 del 27 de febrero de 2006 que aprobó el documento “Adecuación y Registro”.
Que se estima pertinente en esta nueva etapa profundizar la cultura de protección de datos personales en los Organismos Públicos a través de políticas específicas.
Que de acuerdo lo establecido por la Ley n° 25.326, artículo 5 inciso 2, apartado b), la recolección de datos personales para el ejercicio de las funciones propias de los poderes del Estado no requiere el consentimiento del titular de esos datos.
Que conforme el artículo 11 inciso 3, apartado c) de la Ley n°. 25.326, la cesión de datos personales entre organismos del Estado en forma directa tampoco requiere consentimiento del titular del dato en la medida que se realice en el cumplimiento de sus respectivas competencias. Sin embargo es recomendable que en un Estado de Derecho cualquier cesión entre organismos del Estado sea realizada con la mayor transparencia posible para un adecuado control de la ciudadanía y el pleno ejercicio de su derecho a la información, siendo indispensable a tal fin la publicidad de las cesiones y los eventuales convenios suscriptos.
Que se considera adecuado impulsar en los organismos del Estado, el diseño, la implementación y su consecuente publicidad, por los distintos medios de comunicación posibles, una política de tratamiento de datos personales.
Que para la eficacia de la política de tratamiento de datos personales es conveniente recomendar a los organismos estatales que posean bases de datos, la designación de un agente de planta permanente como “delegado de protección de datos personales” a fin de que cumpla la tarea de acompañar la implementación y control de cumplimiento de la política de protección de datos personales que se diseñe.
Que, asimismo, resulta necesario aprobar un documento modelo bajo el título de “POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA ORGANISMOS PÚBLICOS” que establezca las pautas básicas sugeridas en el diseño de las políticas de protección de datos personales que se propone en la presente resolución.
Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SUBSECRETARÍA DE COORDINACIÓN ADMINISTRATIVA de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete.
Que, la presente medida se dicta en uso de las facultades conferidas por el artículo 29, inciso 1, apartado b) de la Ley n° 25.326, modificatorios y complementarios.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1º.- Apruébase el documento “POLÍTICA MODELO DE PROTECCIÓN DE DATOS PERSONALES PARA ORGANISMOS PÚBLICOS”, que como Anexo I (IF-2018-31883807-APN-AAIP) forma parte integrante de la presente, como pauta básica sugerida para el diseño del documento que publicite la protección de datos personales de aquéllos organismos públicos titulares de bases de datos personales.
ARTÍCULO 2º.- Recomiéndase a los organismos públicos titulares de bases de datos personales la implementación de una política de protección de datos personales y su difusión en forma permanente y actualizada a través de los canales habituales de comunicación con el ciudadano que tenga a su disposición.
ARTÍCULO 3º.- Recomiéndase la designación de un agente de planta permanente como “delegado de protección de datos personales” a quien se le asignará la implementación y control de cumplimiento interno de la política de protección de datos personales indicada en el artículo 1º.
ARTÍCULO 4º.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.
Eduardo Andrés Bertoni
Resolución 4-E/2018, de 2 de febrero de 2018, de la Agencia de Acceso a la Información Pública
VISTO el EX-2018-03692590-APN-AAIP, la Ley n° 27.275, el Decreto n° 206 del 27 de marzo de 2017 y el Decreto nº 746 del 25 de septiembre de 2017, y
CONSIDERANDO:
Que la Ley de Acceso a la Información Pública n° 27.275, tiene por objeto “garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover la participación ciudadana y la transparencia de la gestión pública en Argentina” (artículo 1°).
Que dicha norma creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA (AAIP) como ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS con el objeto de “velar por el cumplimiento de los principios y procedimientos establecidos en la [Ley n° 27.275] garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales n° 25.326” (artículo 19, Ley n° 27.275, modificatorios y complementarios).
Que el artículo 24° inciso e) del mencionado cuerpo normativo faculta a la Agencia a “requerir a los sujetos obligados que modifiquen o adecuen su organización, procedimientos, sistemas de atención al público y recepción de correspondencia a la normativa aplicable a los fines de cumplir con el objeto de la ley”.
Que seguidamente en su inciso k) establece que la AAIP debe elaborar criterios orientadores e indicadores de mejores prácticas destinados a los sujetos obligados.
Que desde la entrada en vigencia de la Ley n° 27.275, se han recibido numerosas consultas de diversos sujetos obligados, solicitando que esta Agencia que se expida sobre criterios orientadores para la correcta interpretación e implementación de los procedimientos establecidos por la normativa aplicable.
Que, en respuesta a las consultas mencionadas, la Agencia estableció algunos lineamientos internos con el objeto de una correcta implementación de la ley y el consecuente mejoramiento del ejercicio del derecho de acceso a la información pública.
Que, de modo consecuente, resulta necesario dejar establecidos estos criterios en un documento autónomo, de manera que sean conocidos por todos los responsables de Acceso a la Información Pública designados por cada Organismo, pudiendo ser consultados y eventualmente implementados por todos los sujetos obligados enumerados en el artículo 7° de la Ley n° 27.275.
Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la SECRETARÍA DE RELACIONES PARLAMENTARIAS Y ADMINISTRACIÓN de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención que le compete, en los términos del artículo 6° de la Decisión Administrativa n° 1002 del 15 de noviembre de 2017.
Que la presente medida se dicta en virtud de las facultades conferidas por el artículo 24, de la Ley nº 27.275.
Por ello,
EL DIRECTOR DE LA AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA
RESUELVE:
ARTÍCULO 1°.- Apruébanse los criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley n° 27.275, siendo de observancia obligatoria para los sujetos enumerados en el artículo 7°, incisos a), g), h), i), j), k), l), m), n), o), p) y q) de dicha ley y que como Anexo IF-2018-05558209-APN-AAIP forman parte integrante de la presente Resolución.
ARTÍCULO 2°.- Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
Eduardo Andrés Bertoni.
ANEXO I.- Criterios orientadores e indicadores para la correcta aplicación de la Ley nº 27.275
Criterio 1. ÁMBITO TEMPORAL.
A todas las solicitudes de acceso a la información pública presentadas con anterioridad de la entrada en vigencia de la Ley n° 27.275, ocurrida el 29 de septiembre de 2017, se aplicarán los procedimientos previstos en el Decreto n° 1172 del 4 de diciembre de 2003.
Criterio 2. RECLAMO POR INCUMPLIMIENTO.
Ante la presentación de un reclamo por incumplimiento de los sujetos obligados, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA solicitará al organismo interviniente, a través de su Responsable de Acceso a la Información Pública, que dentro de los 5 (cinco) días hábiles administrativos desde su notificación, remita toda información que considere necesaria o que obrara en su poder sobre la solicitud que motivó la presentación del reclamo. Cumplido dicho plazo, se resolverá de acuerdo a los plazos establecidos por la ley.
Criterio 3. COMUNICACIÓN DE LA RESOLUCIÓN DEL RECLAMO AL SUJETO OBLIGADO.
La resolución del reclamo por incumplimiento a la Ley n° 27.275 se comunicará a la máxima autoridad del organismo obligado y a su responsable de acceso a la información pública.
Criterio 4. INCUMPLIMENTO DE LA OBLIGACIÓN DEL ARTÍCULO 17, INCISO B), SEGUNDO PÁRRAFO.
Vencido el plazo de 10 (diez) días hábiles administrativos desde la notificación de la resolución que hiciera lugar al reclamo interpuesto, conforme lo dispuesto en el artículo 17, inciso b), sin que el sujeto obligado
cumpla con el deber de entregar la información requerida, la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA publicará dicho incumplimiento en su página oficial de la red informática.
Criterio 5. INEXISTENCIA DE INFORMACIÓN REQUERIDA.
Cuando el sujeto obligado compruebe que la información requerida no existe o no pueda hallarla debido a razones de fuerza mayor podrá fundar la negativa a proveer la misma demostrando que ha adoptado todas
las medidas a su alcance para comprobar que, efectivamente, la información solicitada no existe y/o que no pudo ser reconstruida. Ello, sin perjuicio que si el organismo está obligado por ley a tener que producir la
información solicitada se deberá seguir lo establecido en el artículo 5° de la Ley n° 27.275.
Criterio 6. COSTOS DE REPRODUCCIÓN.
La información solicitada deberá ser entregada sin costo.
En el caso en que los sujetos obligados no posean versión electrónica de la información solicitada, deberán:
- entregar copia papel o permitir la reproducción en dispositivos electrónicos.
- si la información requerida fuera menor a las 50 (cincuenta) hojas simples, y el organismo contara con los medios para la realización de copias, la reproducción estará a cargo del sujeto obligado.
- cuando supere las 50 (cincuenta) hojas simples o el sujeto requerido no pudiera reproducirlas a pesar que se tratara de un número menor de hojas, personal de la dependencia que tramita la respuesta a la solicitud de acceso a la información pública acompañará al solicitante a sacar las fotocopias de la respuesta y el costo de las mismas irá por cuenta del requirente.
- en ningún caso el costo de la reproducción puede poner en riesgo el ejercicio del derecho de acceso a la información pública.
- toda vez que se comunique al ciudadano que se le hará entrega de la información solicitada y que ella supera las 50 (cincuenta) hojas simples o que el organismo no está en condiciones de realizar las copias, se deberá también poner en su conocimiento la forma de entrega de la misma y comunicar, en su caso, la necesidad de disponer de un dispositivo de almacenamiento digital para tal fin.
Criterio 7. MEDIOS ELECTRÓNICOS HABILITADOS.
En virtud de lo establecido por el artículo 9° de la Ley n° 27.275:
- los sujetos obligados deberán establecer por lo menos un canal de comunicación electrónico para que la ciudadanía pueda realizar solicitudes de información, que cumpla con los requerimientos establecidos en el artículo mencionado y que se comunique de manera masiva. Deberá disponerse visiblemente en la página
web oficial del sujeto obligado atendiendo, también, a las obligaciones de transparencia activa dispuestas en el artículo 32, en particular las relativas a los incisos a) y m). - aquellos organismos que cuenten con trámite “solicitud de acceso a la información” en el Sistema de Trámites a Distancia (TAD) de la Administración Pública Nacional, deberán comunicar de manera visible los requisitos para acceder y tramitar las solicitudes por dicho sistema.
03Ago/19
Decisión administrativa del Jefe de Gabinete de Ministros 1002/2017 del 15 de noviembre de 2017
Decisión administrativa del Jefe de Gabinete de Ministros 1002/2017 del 15 de noviembre de 2017. (Boletín Oficial n° 33.753, jueves 16 de noviembre de 2017)
Ciudad de Buenos Aires, 15 de noviembre de 2017
VISTO el Expediente Nº EX-2017-23754535-APN-AAIP#JGM del registro de la JEFATURA DE GABINETE DE MINISTROS, las Leyes nº 25.326, nº 26.951 y nº 27.275, los Decretos nº 1558 de fecha 29 de noviembre de 2001 y modificatorios, nº 746 de fecha 25 de septiembre de 2017 y nº 899 de fecha 3 de noviembre de 2017, y
CONSIDERANDO:
Que el artículo 19 de la Ley nº 27.275, modificado por el Decreto nº 746 de fecha 25 de septiembre de 2017, creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, para velar por el cumplimiento de los principios y procedimientos establecidos en dicha ley, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales nº 25.326.
Que la Ley nº 25.326 tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados, destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la CONSTITUCIÓN NACIONAL.
Que a través del Decreto nº 899 de fecha 3 de noviembre de 2017, se sustituyó el artículo 29 del ANEXO I del Decreto nº 1558 de fecha 29 de noviembre de 2001, reglamentario de la Ley nº 25.326 de Protección de Datos Personales, estableciendo que la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA es el órgano de control de la mencionada Ley.
Que resulta menester aprobar la estructura de primer nivel operativo de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA y, en consecuencia, incorporar diversos cargos en el Nomenclador de Funciones Ejecutivas de la mencionada Agencia.
Que la SECRETARÍA DE COORDINACIÓN INTERMINISTERIAL de la JEFATURA DE GABINETE DE MINISTROS y la SECRETARÍA DE HACIENDA han tomado la intervención que les compete.
Que la presente medida se dicta en ejercicio de las facultades conferidas por el artículo 100, inciso 1, de la CONSTITUCIÓN NACIONAL, y el artículo 16, inciso 31, de la Ley de Ministerios nº 22.520 (texto ordenado por Decreto n° 438/92) y sus modificatorias.
Por ello,
EL JEFE DE GABINETE DE MINISTROS
DECIDE:
ARTÍCULO 1º.- Apruébase la estructura organizativa de primer nivel operativo de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, de conformidad con el Organigrama y Responsabilidad Primaria y Acciones que, como Anexos I (IF-2017-23761157-APN-AAIP#JGM) y II (IF-2017-28312448- APN-SECCI#JGM), forman parte integrante de la presente medida.
ARTÍCULO 2º.- Incorpóranse al Nomenclador de Funciones Ejecutivas los cargos pertenecientes a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, según el detalle obrante en Planilla Anexa (IF-2017-23772616-APN-AAIP#JGM) al presente artículo, que forma parte integrante de la presente medida.
ARTÍCULO 3º.- Facúltase al titular de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA a aprobar la estructura organizativa de nivel inferior a la aprobada por la presente Decisión Administrativa, la que deberá prever un máximo de DOS (2) Direcciones, las que a través de dicho acto serán incorporadas en el Nomenclador de Funciones Ejecutivas de la Jurisdicción, con Nivel III.
ARTÍCULO 4º.- Asígnase a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, ente autárquico con autonomía funcional en la órbita de la JEFATURA DE GABINETE DE MINISTROS, la cantidad de CINCO (5) cargos vacantes de planta permanente de la reserva de cargos aprobada por el artículo 2º de la Decisión Administrativa nº 284 del 5 de mayo de 2017 y detallada en el Anexo II (IF-2017-22541395-APN- SECEP#MM) al artículo 1º de la Decisión Administrativa nº 953 de fecha 26 de octubre de 2017, en los términos del artículo 2° de la Decisión Administrativa n° 12 de fecha 11 de enero de 2017, para ser aplicados a la estructura aprobada en el artículo 1º y a la facultad concedida en el artículo 3º de la presente Decisión Administrativa, correspondiendo asignarles Nivel A – TRES (3) cargos- y Nivel B -DOS (2) cargos- del SISTEMA NACIONAL DE EMPLEO PÚBLICO, según lo dispuesto en el artículo 20 del Anexo del Decreto nº 2098/08 y modificatorios, conforme Planilla Anexa al presente artículo (IF-2017-23773302-APN-AAIP#JGM), que forma parte integrante de esta medida.
ARTÍCULO 5º.- Incorpórase, con carácter de excepción, el cargo de Director de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, organismo descentralizado en la órbita de la JEFATURA DE GABINETE DE MINISTROS, en los artículos 1º, 2º y 3º, así como en el inciso b), de la Planilla Anexa al artículo 1º de la Decisión Administrativa nº 477 del 16 de septiembre de 1998 y sus modificatorias.
ARTÍCULO 6º.- Hasta tanto se perfeccionen las modificaciones presupuestarias y demás tareas que permitan la plena operatividad de la AGENCIA DE ACCESO A LA INFORMACION PUBLICA, el Servicio Administrativo Financiero y el Servicio Jurídico Permanente de la JEFATURA DE GABINETE DE MINISTROS prestarán los servicios relativos a la ejecución presupuestaria, contable, financiera, de compras, de recursos humanos y en materia jurídica, con cargo a los créditos presupuestarios vigentes de la Jurisdicción 25 – JEFATURA DE GABINETE DE MINISTROS.
ARTÍCULO 7º.- El gasto que demande el cumplimiento de la presente medida, será imputado con cargo a las partidas específicas del presupuesto vigente para el corriente ejercicio de la Jurisdicción 21 JEFATURA DE GABINETE DE MINISTROS.
ARTÍCULO 8º.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
Marcos Peña
Rogelio Frigerio.
03Ago/19
Decreto 746/2017 del 25 de septiembre de 2017
Decreto 746/2017 del 25 de septiembre de 2017, que modifica la Ley 27.275 de Acceso a la Información Pública y la Ley 26.951 por la que crea el Registro Nacional “No Llame”
VISTO el Expediente n° EX-2017-18545536-APN-SECCI#JGM, la Ley de Ministerios (t.o. Decreto n° 438 del 12 de marzo de 1992), y sus modificatorias las Leyes n° 26.815, n° 27.287 y n° 26.951, el Decreto n° 698 de fecha 5 de septiembre de 2017; y
CONSIDERANDO:
Que el titular del MINISTERIO DE SEGURIDAD es el representante del PODER EJECUTIVO NACIONAL en el precitado Consejo Federal.
Que, en tal sentido resulta necesario asignar al MINISTERIO DE SEGURIDAD las tareas de respuesta operativa del combate del fuego, y mantener a cargo del MINISTERIO DE AMBIENTE Y DESARROLLO SUSTENTABLE lo concerniente a la protección y preservación del medio ambiente del daño generado por los incendios.
Que, en función de ello, corresponde adecuar las competencias del MINISTERIO DE SEGURIDAD y del MINISTERIO DE MODERNIZACIÓN y precisar en función de ello, los cometidos del MINISTERIO DE AMBIENTE Y DESARROLLO SUSTENTABLE, a través de la Ley n° 26.815.
Que, por otra parte, resulta también necesario en esta instancia, adecuar los cometidos del MINISTERIO DE EDUCACIÓN a la normativa vigente en materia de su competencia., así como también adecuar los términos del artículo 3° de la Ley n° 26.542 a lo dispuesto por el artículo 49 de la Ley n° 24.521.
Que, asimismo, resulta menester establecer la conformación de la COMISIÓN TÉCNICA ASESORA de POLÍTICA SALARIAL del SECTOR PÚBLICO, creada por la Ley n° 18.753.
Que, en otro orden de ideas, cabría señalar que por la Ley n° 27.275 de Derecho de Acceso a la Información Pública, entre otras disposiciones, se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico en el ámbito del PODER EJECUTIVO NACIONAL, actualmente en la órbita de la JEFATURA DE GABINETE DE MINISTROS.
Que, además, en esta instancia, resulta necesario adoptar las medidas conducentes para la más eficiente atención de las necesidades de los sectores más vulnerables y agilizar el otorgamiento y pago de pensiones no contributivas, transfiriendo a la ADMINISTRACIÓN NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), organismo descentralizado actuante en la órbita del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL, las respectivas competencias en la materia.
Que la Ley n° 25.326, de Protección de los Datos Personales, tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la CONSTITUCIÓN NACIONAL, siendo su órgano de control la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, actuante en la órbita del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS.
Que es necesario incorporar a las atribuciones del JEFE DE GABINETE DE MINISTROS, conferidas en la Ley de Ministerios en su artículo 16, un inciso relativo a garantizar el efectivo ejercicio del derecho de acceso a la información pública y controlar la aplicación de la Ley n° 25.326 de Protección de los Datos Personales.
Que, asimismo, resulta menester modificar la Autoridad de Aplicación de la Ley n° 26.951.
Que la urgencia en la adopción de la presente medida hace imposible seguir los trámites ordinarios previstos en la CONSTITUCIÓN NACIONAL para la sanción de las Leyes.
Que la Ley n° 26.122 regula el trámite y los alcances de la intervención del Honorable Congreso de la Nación respecto de los Decretos de Necesidad y Urgencia dictados por el PODER EJECUTIVO NACIONAL, en virtud de lo dispuesto por el artículo 99, inciso 3, de la CONSTITUCIÓN NACIONAL.
Que la citada ley determina que la Comisión Bicameral Permanente tiene competencia para pronunciarse respecto a la validez o invalidez de los Decretos de Necesidad y Urgencia, así como elevar el dictamen al plenario de cada Cámara para su expreso tratamiento, en el plazo de DIEZ (10) días hábiles.
Que el artículo 22 de la Ley n° 26.122 dispone que las Cámaras se pronuncien mediante sendas resoluciones y que el rechazo o aprobación de los decretos deberá ser expreso conforme lo establecido en el artículo 82 de la Carta Magna.
Que los servicios de asesoramiento jurídico permanente de la JEFATURA DE GABINETE DE MINISTROS, del MINISTERIO DE SEGURIDAD, del MINISTERIO DE AMBIENTE Y DESARROLLO SUSTENTABLE y del MINISTERIO DE MODERNIZACIÓN han tomado la intervención que les compete.
Que la presente medida se dicta en uso de las atribuciones conferidas por el artículo 99, incisos 1 y 3, de la CONSTITUCIÓN NACIONAL.
Por ello,
EL PRESIDENTE DE LA NACIÓN ARGENTINA EN ACUERDO GENERAL DE MINISTROS
DECRETA:
ARTÍCULO 1°.- Sustitúyese el artículo 22 bis del Título V de la Ley de Ministerios (texto ordenado por Decreto n° 438/92) y sus modificatorias, correspondientes al MINISTERIO DE SEGURIDAD, por el siguiente:
“ARTÍCULO 22 bis.- Compete al MINISTERIO DE SEGURIDAD asistir al Presidente de la Nación y al Jefe de Gabinete de Ministros, en orden a sus competencias, en todo lo concerniente a la seguridad interior, a la preservación de la libertad, la vida y el patrimonio de los habitantes, sus derechos y garantías en un marco de plena vigencia de las instituciones del sistema democrático y en particular:
1. Entender en la determinación de los objetivos y políticas del área de su competencia.
2. Ejecutar los planes, programas y proyectos del área de su competencia elaborados conforme las directivas que imparta el PODER EJECUTIVO NACIONAL.
3. Entender en el ejercicio del poder de policía de seguridad interna y la dirección y coordinación de funciones y jurisdicciones de las Fuerzas Policiales y de Seguridad Nacionales (Policía Federal Argentina, Gendarmería Nacional, Prefectura Naval Argentina, Policía de Seguridad Aeroportuaria) y provinciales.
4. Dirigir el Esfuerzo Nacional de Policía, planificando y coordinando las acciones individuales y de conjunto de las Fuerzas de Seguridad y Policiales, atendiendo a todo lo que a ellas concierne en cuanto a su preparación, doctrina y equipamiento.
5. Entender en la organización, doctrina, despliegue, equipamiento y esfuerzos operativos de las Fuerzas de Seguridad y de las Fuerzas Policiales.
6. Formular el diagnóstico de la situación de la seguridad interior en el MERCOSUR e impulsar la coordinación de políticas de seguridad conjuntas con los países miembros.
7. Supervisar el accionar individual o conjunto de las Fuerzas de Seguridad y Policiales, de acuerdo con lo previsto en la Ley n° 24.059 de Seguridad Interior.
8. Entender en la producción de inteligencia e información que compete a las Fuerzas de Seguridad y a las Fuerzas Policiales.
9. Intervenir en la distribución de los recursos humanos, materiales y financieros asignados para el logro de los objetivos en función de lo prescrito por la Ley de Seguridad Interior.
10. Coordinar la formulación de planes de mediano y largo plazo de capacitación, inversión, equipamiento y bienestar de las fuerzas, en el marco del sistema de seguridad interior.
11. Supervisar el accionar de la Caja de Retiros, Jubilaciones y Pensiones de la Policía Federal Argentina.
12. Entender en el registro, habilitación, fiscalización y dirección técnica de los actos y actividades vinculados a la navegación por agua.
13. Entender en la aplicación de la Ley n° 26.102 y en todo lo relacionado con la seguridad aeroportuaria.
14. Entender en la determinación de la política criminal y en la elaboración de planes y programas para su aplicación, así como para la prevención del delito.
15. Integrar el Sistema de Seguridad Interior y ejercer las facultades conferidas por la Ley n° 24.059 al entonces MINISTERIO DEL INTERIOR.
16. Entender en la coordinación de las acciones tendientes a solucionar situaciones extraordinarias o emergencias que se produzcan en el territorio de la Nación y en materia de protección civil.
17. Integrar el CONSEJO FEDERAL PARA LA GESTIÓN INTEGRAL DEL RIESGO Y LA PROTECCIÓN CIVIL creado por la Ley n° 27.287 en representación del PODER EJECUTIVO NACIONAL y presidirlo.
18. Entender en la administración y el empleo del FONDO NACIONAL DE EMERGENCIAS —FONAE— y del FONDO NACIONAL PARA LA GESTIÓN INTEGRAL DEL RIESGO – FONGIR, ambos creados por la Ley n° 27.287.
19. Entender en materia de aplicación de la Ley n° 26.815.
20. Entender en la preservación de la seguridad de las zonas de frontera conforme la normativa existente en la materia.
21. Intervenir en la aplicación de la Ley n° 22.352 y en lo relacionado con los controles fronterizos en los Pasos Internacionales, Centros de Frontera y Áreas de Control Integrado con los países limítrofes.
22. Intervenir en la elaboración y ejecución de políticas para el desarrollo integral de las áreas y zonas de frontera, contribuyendo a la seguridad de sus habitantes.
23. Entender en la planificación de la infraestructura necesaria para el control y la seguridad de las fronteras y entender en su ejecución en coordinación con las áreas competentes.
24. Entender en el Registro Nacional de Precursores Químicos.”
ARTÍCULO 2°.- Sustitúyese el artículo 23 quáter del Título V de la Ley de Ministerios (texto ordenado por Decreto n° 438/92) y sus modificatorias, correspondientes al MINISTERIO DE EDUCACIÓN, por el siguiente:
“ARTÍCULO 23 quáter.- Compete al MINISTERIO DE EDUCACIÓN asistir al Presidente de la Nación y al Jefe de Gabinete de Ministros en orden a sus competencias, en todo lo inherente a la Educación, y en particular:
1. Entender en la determinación de los objetivos y políticas del área de su competencia.
2. Ejecutar los planes, programas y proyectos del área de su competencia elaborados conforme las directivas que imparta el PODER EJECUTIVO NACIONAL.
3. Entender en la definición de políticas y estrategias educativas, considerando los procedimientos de participación y consulta establecidos en la Ley de Educación Nacional.
4. Entender en el cumplimiento de los principios, fines, objetivos y previsiones establecidos en la normativa vigente para el Sistema Educativo Nacional a través de la planificación, ejecución, supervisión y evaluación de políticas, programas y resultados educativos.
5. Entender en el fortalecimiento de las capacidades, planificación y gestión educativa de los gobiernos provinciales para el cumplimiento de las funciones propias y aquellas emanadas de la Ley de Educación Nacional.
6. Entender en el desarrollo de programas de investigación, formación de formadores e innovación educativa, por iniciativa propia o en cooperación con las instituciones de Educación Superior y otros centros académicos.
7. Entender en el funcionamiento del sistema educativo, contribuyendo con asistencia técnica y financiera a las Provincias y a la CIUDAD AUTÓNOMA DE BUENOS AIRES.
8. Entender en los casos de emergencia educativa para brindar asistencia de carácter extraordinario en aquellas jurisdicciones en las que se encuentre en riesgo el derecho a la educación.
9. Entender en la elaboración de normas generales sobre equivalencias de planes de estudios y diseños curriculares de las jurisdicciones y otorgar validez nacional a los títulos y certificaciones de estudios.
10. Elaborar normas generales sobre revalidación, equivalencia y reconocimiento de títulos expedidos y de estudios realizados en el extranjero.
11. Coordinar y gestionar la cooperación técnica y financiera internacional en el ámbito de su competencia y promover la integración en materia educativa.
12. Entender en la formulación de políticas generales en materia universitaria, respetando el principio de autonomía consagrado para las instituciones universitarias.
13. Entender en las acciones inherentes a la formulación de un sistema de Evaluación y Acreditación para la Educación Superior, universitaria y no universitaria.
14. Intervenir en la formulación, gestación y negociación de tratados y convenios internacionales relativos a la educación, y entender en la aplicación de los tratados y convenios internacionales, leyes y reglamentos generales relativos a la materia.
15. Entender en todo lo relativo a la promoción y desarrollo en el país de la actividad deportiva con carácter educativo.
16. Entender como Autoridad de Aplicación en el establecimiento de las políticas, planes, programas, infraestructura y seguridad vinculados al fomento y al desarrollo integral de la actividad física y del deporte en los distintos niveles educativos, en todo el país, fijando sus etapas y niveles de competencia y de recreación en coordinación con los organismos nacionales, provinciales, municipales e instituciones privadas”.
ARTÍCULO 3°.- Sustitúyese, del artículo 23 octies del Título V de la Ley de Ministerios (texto ordenado por Decreto n° 438/92) y sus modificatorias, correspondiente al MINISTERIO DE MODERNIZACIÓN, el inciso 16, por el siguiente:
“16. Actuar como Autoridad de Aplicación del régimen normativo que establece la infraestructura de firma digital estipulada por la Ley n° 25.506.”
ARTÍCULO 4°.- Incorpórase al artículo 16 del Título V de la Ley de Ministerios (texto ordenado por Decreto n° 438/92) y sus modificatorias, correspondiente a las atribuciones del JEFE DE GABINETE DE MINISTROS, como inciso 32, el siguiente:
“32. Garantizar el efectivo ejercicio del derecho de acceso a la información pública y controlar la aplicación de la Ley n° 25.326 de Protección de los Datos Personales.”
ARTÍCULO 5°.- Sustitúyese el artículo 3° de la Ley n° 26.542 por el siguiente:
“ARTÍCULO 3°.- Hasta tanto se elijan las autoridades definitivas de la Universidad Nacional de Villa Mercedes, el MINISTERIO DE EDUCACIÓN, designará UN (1) Rector Organizador, el que tendrá las atribuciones conferidas por el artículo 49 de la Ley n° 24.521”.
ARTÍCULO 6°.- Sustitúyese el artículo 3° de la Ley n° 26.815 por el siguiente:
“ARTÍCULO 3°.- Creación. Créase el Sistema Federal de Manejo del Fuego que, actuará en la órbita del MINISTERIO DE SEGURIDAD y estará integrado por el SERVICIO NACIONAL DE MANEJO DEL FUEGO, el MINISTERIO DE AMBIENTE Y DESARROLLO SUSTENTABLE, la ADMINISTRACIÓN DE PARQUES NACIONALES, las Provincias y la CIUDAD AUTÓNOMA DE BUENOS AIRES, a través de los organismos que determinen.
El Sistema Federal de Manejo del Fuego será coordinado y administrado por el Servicio Nacional de Manejo del Fuego.”
ARTÍCULO 7°.- Sustitúyese el artículo 5° de la Ley n° 26.815 por el siguiente:
“ARTÍCULO 5°.- Autoridad Nacional de Aplicación. Es Autoridad Nacional de Aplicación de esta ley el MINISTERIO DE SEGURIDAD.”
ARTÍCULO 8°.- Incorpórase como artículo 5° bis de la Ley n° 26.815 el siguiente:
“ARTÍCULO 5° bis.- A los fines de la presente Ley, el MINISTERIO DE AMBIENTE Y DESARROLLO SUSTENTABLE, en su calidad de autoridad responsable de la política ambiental nacional, y de conformidad con la normativa vigente en la materia, tendrá a su cargo:
a) Entender en la planificación e implementación de políticas preventivas ambientales, a efectos de hacer posible el mantenimiento de los ecosistemas y sus procesos con una gestión integral, evitando y minimizando en cuanto sea posible, daños al ambiente.
b) Desarrollar e implementar un Sistema Nacional de Alerta Temprana y Evaluación de Peligro de Incendios.
c) Entender en el desarrollo en conjunto con las jurisdicciones competentes de un Sistema de Información de Manejo del Fuego que facilite la adopción de políticas acordes al objetivo de esta ley, reuniendo y organizando la información correspondiente a la ocurrencia de fuego, distribución de recursos y cartografía afín al tema.
d) Establecer mecanismos que aseguren el derecho a la información pública y a la participación ciudadana en el desarrollo e implementación del Sistema Federal de Manejo del Fuego.
e) Promover programas científico técnicos en temáticas tendientes a lograr la protección y preservación del medio ambiente del daño generado por los incendios conforme los objetivos de esta Ley;
f) Actuar en el ámbito del Consejo Federal del Medio Ambiente (COFEMA) de acuerdo a lo establecido en el artículo 8° de esta Ley.
g) Asistir a las jurisdicciones locales y a la Administración de Parques Nacionales en las instancias de evaluación y determinación de los daños ambientales sufridos como consecuencia de los incendios.
h) Asistir a la Autoridad Nacional de Aplicación en la capacitación de los recursos afectados a tareas del manejo del fuego, en el marco de sus competencias.
I) Promover campañas de educación y prevención para desarrollar el Sistema de Manejo del Fuego en las jurisdicciones locales y la ADMINISTRACIÓN DE PARQUES NACIONALES.
j) Participar en el marco de su competencia en el desarrollo del Plan Nacional de Manejo del Fuego.
k) Promover la concientización de la población acerca del impacto de los usos del fuego, fomentando el cambio de hábitos perjudiciales para el ambiente.
l) Determinar causas y consecuencias ambientales de siniestros ocurridos en áreas afectadas por incendios forestales, rurales, de pastizales y de interfase.”
ARTÍCULO 9°.- Sustitúyese el artículo 8° de la Ley n° 26.815 por el siguiente:
“ARTÍCULO 8°.- Articulación. La Autoridad Nacional de Aplicación articulará con el MINISTERIO DE AMBIENTE Y DESARROLLO SUSTENTABLE, para que por su intermedio se determinen, en el ámbito del Consejo Federal del Medio Ambiente (COFEMA) la implementación de políticas preventivas, el apoyo a las estrategias de manejo del fuego, el alerta anticipada y el combate rápido y eficaz de los incendios, a efectos de hacer posible el mantenimiento de los ecosistemas y sus procesos con una gestión integral.”
ARTÍCULO 10.- Sustitúyese el artículo 24 de la Ley n° 26.815 por el siguiente:
“ARTÍCULO 24.- Atribuciones y Funciones. Son atribuciones y funciones del Servicio Nacional de Manejo del Fuego:
a) Establecer los lineamientos técnicos y operativos del Sistema, coordinando su planificación con las Coordinaciones Regionales, las jurisdicciones locales y la Administración de Parques Nacionales;
b) Confeccionar el Plan Nacional de Manejo del Fuego;
c) Desarrollar e implementar un Programa de Competencias Laborales y Formación Continua que observe las particularidades de cada una de las Regiones. El Programa deberá estandarizar los conocimientos y definir la experiencia laboral necesaria, para garantizar la idoneidad del personal que desempeña funciones de combate del fuego en los organismos que integran el Sistema Federal de Manejo del Fuego;
d) Intervenir en el desarrollo e implementación del Sistema Nacional de Alerta Temprana y Evaluación de Peligro de Incendios a cargo del MINISTERIO DE AMBIENTE Y DESARROLLO SUSTENTABLE;
e) Participar con las jurisdicciones competentes en el desarrollo de un Sistema de Información de Manejo del Fuego;
f) Desarrollar un Programa de Fortalecimiento Operativo, promoviendo un nivel de organización, e incorporación de equipamiento y de tecnologías que garanticen la actuación segura y eficiente de los recursos terrestres y aéreos de apoyo al combate del fuego;
g) Promover programas científico técnicos en temáticas tendientes a lograr un manejo del fuego acorde con los objetivos de esta Ley;
h) Coordinar con los organismos nacionales competentes el apoyo de éstos al Sistema;
i) Canalizar la asistencia recíproca con otros países, concretando convenios de ayuda mutua, cooperación e intercambio, en lo referente a investigación y desarrollo tecnológico, capacitación profesional y técnica, y asistencia operativa;
j) Programar las necesidades presupuestarias a nivel de Coordinación Regional con las provincias integrantes;
k) Administrar el Presupuesto que le asigne la Autoridad de Aplicación Nacional, atendiendo a los requerimientos de los organismos que conforman el Sistema;
I) Brindar asistencia técnica a las iniciativas de la sociedad civil y del sector privado para la conformación de organizaciones de protección y lucha contra incendios forestales.
m) Capacitar y distribuir a los recursos afectados a tareas del manejo del fuego.”
ARTÍCULO 11.- Sustitúyese el artículo 19 de la Ley n° 27.275 por el siguiente:
“ARTÍCULO 19.- AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA. Créase la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, como ente autárquico que funcionará con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS. La AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA debe velar por el cumplimiento de los principios y procedimientos establecidos en la presente ley, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales n° 25.326.”
ARTÍCULO 12.- Sustitúyese el inciso a) del artículo 24 del capítulo IV de la Ley n° 27.275 de Derecho de Acceso a la Información Pública, por el siguiente:
“a) Elaborar y proponer para su aprobación, el diseño de su estructura orgánica, y designar a su planta de agentes, conforme a la normativa vigente en materia de designaciones en el ámbito de la ADMINISTRACIÓN PÚBLICA NACIONAL.”
ARTÍCULO 13.- Incorpórase, como inciso t) al artículo 24 del capítulo IV de la Ley n° 27.275 de Derecho de Acceso a la Información Pública, el siguiente:
“t) Fiscalizar la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre.”
ARTÍCULO 14.- Sustitúyese el artículo 9° de la Ley n° 26.951 por el siguiente:
“ARTÍCULO 9°.- Autoridad de Aplicación. La AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, organismo descentralizado en la órbita de la JEFATURA DE GABINETE DE MINISTROS, será la Autoridad de Aplicación de la presente ley.”
ARTÍCULO 15.- Transfiérense, a partir del 1° de octubre de 2017, a la ADMINISTRACIÓN NACIONAL DE LA SEGURIDAD SOCIAL (ANSES), organismo descentralizado actuante en la órbita del MINISTERIO DE TRABAJO, EMPLEO Y SEGURIDAD SOCIAL, las funciones de tramitación, otorgamiento, liquidación y pago de las prestaciones no contributivas que hasta la fecha se encontraban a cargo de la ex COMISIÓN NACIONAL DE PENSIONES ASISTENCIALES, con excepción de aquellas otorgadas por invalidez en el marco de la Ley n° 13.478, sus complementarias y modificatorias y las derivadas de la aplicación de las Leyes n° 26.928 y n° 25.869.
ARTÍCULO 16.- La COMISIÓN TÉCNICA ASESORA de POLÍTICA SALARIAL del SECTOR PÚBLICO creada por Ley n° 18.753 estará constituida por UN (1) representante titular y UN (1) representante suplente de la SUBSECRETARÍA DE EVALUACIÓN PRESUPUESTARIA E INVERSIÓN PÚBLICA de la JEFATURA de GABINETE de MINISTROS, de la SECRETARÍA de EMPLEO PÚBLICO del MINISTERIO de MODERNIZACIÓN y de la SECRETARÍA DE HACIENDA del MINISTERIO de HACIENDA.
ARTÍCULO 17.- El presente decreto entrará en vigencia el día siguiente al de su publicación en el Boletín Oficial.
ARTÍCULO 18.- Dése cuenta a la COMISIÓN BICAMERAL PERMANENTE del HONORABLE CONGRESO DE LA NACIÓN.
ARTÍCULO 19.- Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
MACRI
Marcos Peña
Jose Gustavo Santos
German Carlos Garavano
Patricia Bullrich
Alberto Jorge Triaca
Carolina Stanley
Jose Lino Salvador Barañao
Alejandro Pablo Avelluto
Rogelio Frigerio
Francisco Adolfo Cabrera
Ricardo Buryaile
Guillermo Javier Dietrich
Sergio Alejandro Bergman
Andres Horacio Ibarra
Juan Jose Aranguren
Oscar Raul Aguad
Jorge Daniel Lemus
Luis Andres Caputo
Jorge Marcelo Faurie
Alejandro Oscar Finocchiaro.
Acceso a la Información Pública 2019
Resolución nº 4/2019, de 16 de enero de 2019, de la Agencia de Acceso a la Información Pública, sobre los Criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley nº 25.326
Resolución 34/2019, de 22 de febrero de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-34-APN-AAIP
Resolución 37/2019, de 25 de febrero de 2019, de la Agencia de Acceso a la Información Pública, Resol-2019-37-APN-AAIP
Decisión Administrativa 360/2019, de 9 de mayo de 2019, de la Agencia de Acceso a la Información Pública. DA-2019-360-APN-JGM – Facultades.
Resolución 86/2019, de 31 de mayo de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-86-APN-AAIP
Resolución 96/2019, de 21 de junio de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-96-APN-AAIP
Resolución 118/2019, de 16 de julio de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-118-APN-AAIP (Boletín Oficial nº 34.156, Sección 30, Jueves 18 de julio de 2019)
Resolución 119/2019, de 18 de julio de 2019, de la Agencia de Acceso a la Información Pública, que establece los criterios de implementación y cumplimiento de las obligaciones y funciones previstas en la Ley 27.275. Resol-2019-119-APN-AAIP
Resolución 197/2019, de 8 de octubre de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-197-APN-AAIP
Acceso a la Información Pública 2018
Resolución 4-E/2018, de 2 de febrero de 2018, de la Agencia de Acceso a la Información Pública
Resolución 4-E/2018, de 2 de febrero de 2018, de la Agencia de Acceso a la Información Pública
Resolución 40/2018 de 4 de julio de 2018, de la Agencia de Acceso a la Información Pública
Resolución 132/2018, de 19 de octubre de 2018, de la Agencia de Acceso a la Información Pública. RESOL-2018-132-APN-AAIP
Acceso a la Información Pública 2017
Decreto 206/2017, de 27 de marzo de 2017. Apruébase reglamentación de la Ley nº 27.275 de Acceso a la Información Pública
Acordada 5/2017 de 28 de marzo de la Corte Suprema de Justicia de la Nación
Decreto 746/2017 del 25 de septiembre de 2017, que modifica la Ley 27.275 de Acceso a la Información Pública y la Ley 26.951 por la que crea el Registro Nacional “No Llame”
Decreto 899/2017 de 3 de noviembre de 2017, de Acceso a la Información Pública de modificación de los Decretos n° 1558/2001, n° 357/2002 y n° 1172/2003.
Decisión administrativa del Jefe de Gabinete de Ministros 1002/2017 del 15 de noviembre de 2017. (Boletín Oficial n° 33.753, jueves 16 de noviembre de 2017).
Anteproyecto de la Ley de Protección de Datos Personales de 2017.
PROVINCIA DE BUENOS AIRES
Acuerdo 3845 de la Suprema Corte de Justicia, de fecha 22 de marzo de 2017, por el cual se aprueba el “Reglamento para la notificación por medios electrónicos”, que entrará en vigencia el 2 de mayo próximo
23Jul/19
Decisión Administrativa 360/2019, de 9 de mayo de 2019, de la Agencia de Acceso a la Información Pública. DA-2019-360-APN-JGM – Facultades.
VISTO el Expediente EX-2019-14124676- -APN-DGDYD#JGM, las Leyes números 25.326, 26.951 y 27.275, los Decretos números 1558 de fecha 29 de noviembre de 2001 y modificatorios, 746 de fecha 25 de septiembre de 2017 y 899 de fecha 3 de noviembre de 2017, las Decisiones Administrativas números 1002 de fecha 15 de noviembre de 2017 y 295 de fecha 9 marzo de 2018 y modificatorias, y la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA nº 1 de fecha 5 de diciembre de 2017; y
CONSIDERANDO:
Que el artículo 19 de la Ley nº 27.275, modificado por el Decreto nº 746 de fecha 25 de septiembre de 2017, creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como ente autárquico con autonomía funcional en el ámbito de la JEFATURA DE GABINETE DE MINISTROS, para velar por el cumplimiento de los principios y procedimientos establecidos en dicha ley, garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover medidas de transparencia activa y actuar como Autoridad de Aplicación de la Ley de Protección de Datos Personales nº 25.326.
Que por la Decisión Administrativa nº 1002/17 se aprobó la estructura de primer nivel operativo de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.
Que resulta menester facultar al titular de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, organismo descentralizado en la órbita de la JEFATURA DE GABINETE DE MINISTROS, a incorporar un cargo de nivel Coordinación a la estructura de segundo nivel operativo de la misma, aprobada por la Resolución de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA nº 1/17, la que será incorporada en el Nomenclador de Funciones Ejecutivas del Convenio Colectivo de Trabajo Sectorial del Personal del Sistema Nacional de Empleo Público (SINEP) de la citada Agencia, con Nivel IV.
Que por la Decisión Administrativa n° 295/18 y modificatorias se aprobó la estructura organizativa de primer y segundo nivel operativo de la JEFATURA DE GABINETE DE MINISTROS y se incorporaron, homologaron, reasignaron y derogaron cargos en el Nomenclador de Funciones Ejecutivas del Convenio Colectivo de Trabajo Sectorial del Personal del Sistema Nacional de Empleo Público (SINEP), homologado por el Decreto n° 2098/08 y modificatorios.
Que deviene necesario efectuar modificaciones en el citado Nomenclador de Funciones Ejecutivas del Convenio Colectivo de Trabajo Sectorial del Personal del Sistema Nacional de Empleo Público (SINEP), correspondiente a la JEFATURA DE GABINETE DE MINISTROS, mediante la sustitución de la Planilla anexa al artículo 3º de la Decisión Administrativa nº 295/18 y modificatorias.
Que han tomado la intervención de su competencia la DIRECCIÓN NACIONAL DE DISEÑO ORGANIZACIONAL de la JEFATURA DE GABINETE DE MINISTROS y la SECRETARÍA DE HACIENDA del MINISTERIO DE HACIENDA.
Que los Servicios Jurídicos Permanentes de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA y de la JEFATURA DE GABINETE DE MINISTROS han tomado la intervención de su competencia.
Que la presente medida se dicta en ejercicio de las facultades conferidas por el artículo 100, inciso 1, de la CONSTITUCIÓN NACIONAL, y por el artículo 16, inciso 31, de la Ley de Ministerios nº 22.520 (texto ordenado por Decreto n° 438/92) y sus modificatorias.
Por ello,
EL JEFE DE GABINETE DE MINISTROS
DECIDE:
ARTÍCULO 1º.- Facúltase al titular de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, organismo descentralizado actuante en la órbita de la JEFATURA DE GABINETE DE MINISTROS, a incorporar a la estructura organizativa de nivel inferior aprobada mediante la Resolución nº 1 de fecha 5 de diciembre de 2017, la Coordinación de Relaciones Institucionales y Comunicación, que a través de dicho acto será incorporada en el Nomenclador de Funciones Ejecutivas del Convenio Colectivo de Trabajo Sectorial del Personal del Sistema Nacional de Empleo Público (SINEP), homologado por el Decreto n° 2098/08 y modificatorios, de la citada Agencia, con Nivel IV.
ARTÍCULO 2º.- Sustitúyese la Planilla Anexa al artículo 3° de la Decisión Administrativa nº 295 de fecha 9 de marzo de 2018 y modificatorias, por la que, con igual denominación, obra en la planilla anexa al presente artículo (IF-2019-40586608-APN-DNDO#JGM), que forma parte integrante de la presente decisión administrativa.
ARTÍCULO 3º.- El gasto que demande el cumplimiento de la presente medida, será imputado con cargo a las partidas específicas del presupuesto vigente para el corriente ejercicio de la Jurisdicción 25 – JEFATURA DE GABINETE DE MINISTROS- y de la Entidad 209 – AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.
ARTÍCULO 4º.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
Marcos Peña
Rogelio Frigerio
Legislación Informática Argentina 2018
Resolución 4-E/2018, de 2 de febrero de 2018, de la Agencia de Acceso a la Información Pública.
Ley nº 27.446 de 18 de junio de 2018. Ley de Simplificación y desburocratización de la Administración Pública (Capítulo I: Firma digital. Gestión documental electrónica). Actualización de la Ley 25.506.
Resolución 40/2018 de 4 de julio de 2018, de la Agencia de Acceso a la Información Pública.
Plan Nacional de IA de agosto de 2018
Mensaje 147/2018. Proyecto de Ley de Protección de Datos Personales de 19 de septiembre de 2018.
Resolución 132/2018, de 19 de octubre de 2018, de la Agencia de Acceso a la Información Pública. RESOL-2018-132-APN-AAIP.
Ley 27.483 de 6 de diciembre de 2018, que aprueba el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal. (Publicada en el Boletín Oficial del 2 de Enero de 2019).
Legislación Informática Argentina 2019
Resolución nº 4/2019, de 16 de enero de 2019, de la Agencia de Acceso a la Información Pública, sobre los Criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley nº 25.326
Resolución 34/2019, de 22 de febrero de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-34-APN-AAIP
Resolución 37/2019, de 25 de febrero de 2019, de la Agencia de Acceso a la Información Pública, Resol-2019-37-APN-AAIP
Decreto 182/2019 de 11 de marzo de 2019, que aprueba la reglamentación de la Ley 25.506 de Firma Digital. (Boletín Oficial de 12 de marzo de 2019). (Abroga el Decreto Reglamentario 2628/2002)
Resolución nº 141/2019, de 9 de mayo de 2019. Presidencia del Comité de Ciberseguridad.
Decisión Administrativa 360/2019, de 9 de mayo de 2019, de la Agencia de Acceso a la Información Pública. DA-2019-360-APN-JGM – Facultades.
Resolución nº 829/2019 de 24 de mayo de 2019, de la Secretaria de Gobierno de Modernización de la Jefatura de Gabinete de Ministros, de Aprobación de la Estrategia Nacional de Ciberseguridad
Decreto nº 480/2019, del 11 de julio de 2019, que actualizó la conducción del Comité de Ciberseguridad (Modificación del Decreto nº 577/2017)
Resolución 86/2019, de 31 de mayo de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-86-APN-AAIP
Resolución 96/2019, de 21 de junio de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-96-APN-AAIP
Resolución 118/2019, de 16 de julio de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-118-APN-AAIP (Boletín Oficial nº 34.156, Sección 30, Jueves 18 de julio de 2019)
Resolución 119/2019, de 18 de julio de 2019, de la Agencia de Acceso a la Información Pública, que establece los criterios de implementación y cumplimiento de las obligaciones y funciones previstas en la Ley 27.275. Resol-2019-119-APN-AAIP
En Septiembre de 2019 Argentina firmó el Protocolo conocido como Convenio 108+ que modifica el Convenio original e incorpora los principios de transparencia y proporcionalidad.
Resolución 197/2019, de 8 de octubre de 2019, de la Agencia de Acceso a la Información Pública. Resol-2019-197-APN-AAIP
23Jul/19
Decreto 206/2017, de 27 de marzo de 2017. Apruébase reglamentación de la Ley nº 27.275 de Acceso a la Información Pública
VISTO el Expediente n° EX-2016-05053914-APN-SECAPEI#MI del Registro del MINISTERIO DEL INTERIOR, OBRAS PÚBLICAS Y VIVIENDA y la Ley nº 27.275 de Acceso a la Información Pública, y
CONSIDERANDO:
Que el derecho de acceso a la información pública es fundamental para el ejercicio de otros derechos y se deriva de la libertad de expresión.
Que a su vez, este derecho se vincula estrechamente con el principio republicano de publicidad de los actos de gobierno.
Que el derecho de acceso a la información se infiere de los artículos 1, 33 y 38 de la CONSTITUCIÓN NACIONAL y se reconoce explícitamente en múltiples tratados internacionales de protección de los derechos humanos que cuentan con jerarquía constitucional conforme al artículo 75, inciso 22.
Que dando cuenta de la importancia de regular el ejercicio del derecho de acceso a la información pública, el PODER EJECUTIVO NACIONAL, envió un proyecto de ley al CONGRESO NACIONAL que fue aprobado por una amplia mayoría de los legisladores.
Que la sanción de la Ley n° 27.275 implicó saldar una deuda con la sociedad que venía reclamando una ley de acceso a la información pública por más de DIEZ (10) años.
Que si bien era necesaria la sanción de una ley de acceso a la información pública, en el ámbito del PODER EJECUTIVO NACIONAL se contaba ya con el Decreto nº 1172/03 que regula el ejercicio del derecho, con lo cual muchas de las reglas contenidas en la nueva ley son producto de las experiencias y aprendizajes que dejó la implementación de aquel instrumento.
Que una vez entrada en vigencia la Ley n° 27.275 corresponde su adecuada implementación, por lo cual una reglamentación que dé forma al texto de la ley es sustancial para dar inicio a esta nueva etapa.
Que la reglamentación que aprueba el presente decreto es producto de múltiples y enriquecedores debates, así como de una consulta pública en la que se puso a consideración de la sociedad civil la necesidad de reglamentar algunos aspectos de la ley.
Que conforme lo dispuesto por el artículo 38 de la Ley nº 27.275, corresponde disponer la entrada en vigencia del presente decreto el día 29 de septiembre de 2017.
Que ha tomado la intervención de su competencia la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS del MINISTERIO DEL INTERIOR, OBRAS PÚBLICAS Y VIVIENDA.
Que el presente se dicta en uso de las atribuciones conferidas por el artículo 99, incisos 1 y 2, de la CONSTITUCIÓN NACIONAL.
Por ello,
EL PRESIDENTE DE LA NACIÓN ARGENTINA
DECRETA:
ARTÍCULO 1°.- Apruébase la reglamentación de la Ley nº 27.275 de Acceso a la Información Pública, que como ANEXO I (IF-2017-04217975-APN-MI), forma parte integrante del presente.
ARTÍCULO 2°.- La AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA actuará en el ámbito de la JEFATURA DE GABINETE DE MINISTROS.
ARTÍCULO 3°.- El JEFE DE GABINETE DE MINISTROS dictará las normas aclaratorias y complementarias que resultaren pertinentes para la aplicación de la presente medida, en el marco de su competencia.
ARTÍCULO 4°.- El presente decreto entrará en vigencia el 29 de septiembre de 2017.
ARTÍCULO 5°.- Comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
E/E MICHETTI.
Marcos Peña.
Rogelio Frigerio.
ANEXO I
ARTÍCULO 1°.- Sin reglamentar.
ARTÍCULO 2°.- Sin reglamentar.
ARTÍCULO 3°.- Sin reglamentar.
ARTÍCULO 4°.- Sin reglamentar.
ARTÍCULO 5°.- A los efectos de la presente reglamentación, se entenderá por formatos digitales abiertos a aquellos formatos que mejor faciliten su utilización, procesamiento y redistribución por parte del solicitante.
ARTÍCULO 6°.- Los sujetos obligados deberán entregar la información de forma totalmente gratuita, excepto en aquellos casos en que estuviesen autorizados expresamente por la normativa vigente a cobrar un arancel o equivalente en concepto de contraprestación por el servicio brindado.
En caso de que los sujetos obligados posean una versión electrónica de la información solicitada, deberán enviarla al particular sin costo alguno o ponerla a su disposición, comunicándole a éste los datos que le permitan acceder a la misma.
De no existir versión electrónica, podrán reproducir la información solicitada en copias simples, medios magnéticos, ópticos, sonoros, visuales, holográficos u otros medios. En esos supuestos, los costos de reproducción correrán a cargo del solicitante, y el pago respectivo deberá hacerse previamente a la reproducción de la información.
El costo de reproducción deberá ser establecido periódicamente por la Agencia de Acceso a la Información Pública.
ARTÍCULO 7°.- Sin reglamentar.
ARTÍCULO 8°.- A los efectos de la presente reglamentación:
a) El carácter reservado, confidencial o secreto de la información clasificada por razones de defensa, política exterior o seguridad interior debe ser dispuesto por normas que reglamenten el ejercicio de la actividad y por acto fundado de las respectivas autoridades competentes, de forma previa a la solicitud de información.
En caso de no existir previsión en contrario, la información clasificada como reservada, confidencial o secreta mantendrá ese estado durante DIEZ (10) años desde su producción, transcurridos los cuales, el sujeto obligado deberá formular un nuevo análisis respecto de la viabilidad de desclasificar la información a fin de que alcance estado público.
b) Se encuentra específicamente protegido el secreto financiero contemplado en los artículos 39 y 40 de la Ley n° 21.526 y normas concordantes y complementarias y toda aquella normativa que la modifique o reemplace.
c) Se entenderá como información cuya revelación pudiera perjudicar el nivel de competitividad o lesionar los intereses del sujeto obligado, aquella que:
1) Sea secreta, en el sentido de que no sea, en todo o en las partes que la componen, generalmente conocida ni fácilmente accesible para personas introducidas en los círculos en que normalmente se utiliza el tipo de información en cuestión; y
2) Tenga un valor comercial por ser secreta; y
3) Haya sido objeto de medidas razonables, en las circunstancias, para mantenerla secreta, tomadas por el sujeto obligado que legítimamente la controla.
d) Sin reglamentar.
e) La información en poder de la Unidad de Información Financiera exceptuada del acceso a la información pública comprende a toda aquella recibida, obtenida, producida, vinculada o utilizada para el desarrollo de sus actividades en las áreas de seguridad, sumarios, supervisión, análisis y asuntos internacionales y la información recibida de los sujetos obligados enumerados en el artículo 20 de la Ley n° 25.246 y sus modificatorias.
f) Sin reglamentar.
g) Sin reglamentar.
h) Sin reglamentar.
i) La excepción será inaplicable cuando el titular del dato haya prestado consentimiento para su divulgación; o cuando de las circunstancias del caso pueda presumirse que la información fue entregada por su titular al sujeto obligado con conocimiento de que la misma estaría sujeta al régimen de publicidad de la gestión estatal; o cuando los datos estén relacionados con las funciones de los funcionarios públicos. Asimismo, los sujetos obligados no podrán invocar esta excepción si el daño causado al interés protegido es menor al interés público de obtener la información.
j) Sin reglamentar.
k) Sin reglamentar.
l) Sin reglamentar.
m) Sin reglamentar.
En las causas judiciales donde se investiguen y juzguen casos de graves violaciones a los derechos humanos, genocidio, crímenes de guerra o delitos de lesa humanidad, no serán aplicables las excepciones contenidas en este artículo, debiendo el sujeto obligado suministrar la información requerida en el marco de la causa.
ARTÍCULO 9°.- Sin reglamentar.
ARTÍCULO 10.- En el caso que la solicitud sea remitida a un sujeto obligado distinto del requerido, tal circunstancia deberá ser puesta en conocimiento del solicitante, informándole:
a) El órgano u organismo al que fuera remitido;
b) Los datos de contacto del responsable de acceso a la información pública en el ámbito del mismo;
c) La fecha en que se realizó la derivación.
Tanto la remisión de la solicitud como su comunicación al solicitante deberá efectuarse dentro del plazo de CINCO (5) días hábiles, contados desde la presentación de la solicitud.
ARTÍCULO 11.- El plazo se computará desde el momento en que la solicitud fuera recibida por el sujeto obligado que cuente con la información pública requerida.
El responsable de acceso a la información pública deberá determinar por decisión fundada tanto el otorgamiento de la prórroga como la denegatoria de la reducción del plazo.
ARTÍCULO 12.- En caso de hacer uso del sistema de tachas, la máxima autoridad del sujeto obligado deberá fundamentar los motivos por los cuales la información no entregada se enmarca en alguna de las excepciones del artículo 8° de la Ley n° 27.275.
ARTÍCULO 13.- El acto denegatorio de la solicitud de información deberá ser puesto en conocimiento del solicitante en el lugar de contacto fijado al momento de realizar la solicitud, indicándose las vías de reclamo existentes contra dicho acto, los plazos para su interposición y los requisitos formales establecidos en el artículo 16 de la Ley nº 27.275.
Asimismo, se deberá indicar que no es necesario agotar la vía administrativa.
Toda impugnación o planteo de nulidad deberá ser efectuado por las vías previstas en el artículo 14 de la Ley n° 27.275.
Se entenderá como máxima autoridad a:
a. Ministros o autoridad de igual rango;
b. Máxima autoridad de entes autárquicos y/o descentralizados;
c. Funcionarios que representen al Estado en el órgano de administración de las sociedades del Estado o con participación estatal;
d. Rectores de las universidades nacionales y decanos de sus facultades.
La máxima autoridad podrá delegar la emisión del acto de denegatoria de información en un funcionario cuyo cargo no sea inferior al de Director Nacional o equivalente según el sujeto obligado de que se trate.
ARTÍCULO 14.- La presentación del reclamo previsto en el artículo 15 de la Ley nº 27.275 interrumpe el plazo para promover la acción de amparo.
ARTÍCULO 15.- El reclamo presentado ante el organismo o entidad requerida deberá ser remitido a la Agencia de Acceso a la Información Pública dentro de los CINCO (5) días hábiles de interpuesto.
ARTÍCULO 16.- Sin reglamentar.
ARTÍCULO 17.-
a) Sin reglamentar
b) En caso de corresponder, la Agencia de Acceso a la Información Pública requerirá al sujeto obligado que en el plazo de DIEZ (10) días hábiles fundamente adecuadamente la decisión o ponga a disposición del interesado la información.
ARTÍCULO 18.- Sin reglamentar.
ARTÍCULO 19.- Sin reglamentar.
ARTÍCULO 20.- Sin reglamentar.
ARTÍCULO 21.- Todos los plazos previstos en el artículo 21 de la Ley nº 27.275 se contarán en días hábiles administrativos.
ARTÍCULO 22.- Sin reglamentar.
ARTÍCULO 23.- Sin reglamentar.
ARTÍCULO 24.- Sin reglamentar.
ARTÍCULO 25.- Sin reglamentar.
ARTÍCULO 26.-
a) Sin reglamentar.
b) Sin reglamentar.
c) Sin reglamentar.
d) Se aplicará el procedimiento de remoción previsto en el artículo 27 de la Ley nº 27.275.
ARTÍCULO 27.- Frente a una causal de remoción o de incompatibilidad o inhabilidad del Director de la Agencia de Acceso a la Información Pública, el PODER EJECUTIVO NACIONAL deberá iniciar el procedimiento previsto para su remoción.
Una vez iniciado el procedimiento, se correrá traslado al Director de la Agencia de Acceso a la Información Pública de la causal de remoción que se le imputa para que en el término de DIEZ (10) días efectúe su descargo y ofrezca la prueba pertinente.
Efectuado el descargo, o vencido el plazo, y producida en su caso la prueba, el PODER EJECUTIVO NACIONAL dará intervención a la Comisión Bicameral del HONORABLE CONGRESO DE LA NACIÓN prevista en el artículo 27 de la Ley n° 27.275 para que dictamine sobre la remoción impulsada.
ARTÍCULO 28.- Sin reglamentar.
ARTÍCULO 29.- Sin reglamentar.
ARTÍCULO 30.- Sin reglamentar.
ARTÍCULO 31.- Sin reglamentar.
ARTÍCULO 32.- Sin reglamentar.
ARTÍCULO 33.- Sin reglamentar.
ARTÍCULO 34.- Sin reglamentar.
ARTÍCULO 35.- Sin reglamentar.
ARTÍCULO 36.- Sin reglamentar.
ARTÍCULO 37.- Sin reglamentar.
ARTÍCULO 38.- Sin reglamentar.
ARTÍCULO 39.- Sin reglamentar.
23Jul/19
Decreto 899/2017 de 3 de noviembre de 2017, de Acceso a la Información Pública de modificación de los Decretos n° 1558/2001, n° 357/2002 y n° 1172/2003.
Decreto 899/2017 de 3 de noviembre de 2017, de Acceso a la Información Pública de modificación de los Decretos n° 1558/2001, n° 357/2002 y n° 1172/2003.
VISTO el Expediente n° EX-2017-22533528- APN-SECCI#JGM, la Ley de Ministerios (texto ordenado por Decreto nº 438 del 12 de marzo de 1992) y sus modificatorios, las Leyes nº 25.326 y nº 27.275, el Decreto nº 1558 de fecha 29 de noviembre de 2001 y su modificatorio, el Decreto n° 357 de fecha 21 de febrero de 2002, sus modificatorios y complementarios, el Decreto nº 1172 de fecha 3 de diciembre de 2003 y sus modificatorios, el Decreto n° 206 de fecha 27 de marzo de 2017 y el Decreto nº 746 de fecha 25 de septiembre de 2017, y
CONSIDERANDO:
Que la Ley nº 27.275 estableció los mecanismos necesarios para garantizar el derecho de acceso a la información pública.
Que por el artículo 19 de la mencionada ley, modificado por el Decreto nº 746/17, se creó la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, como ente autárquico en el ámbito del PODER EJECUTIVO NACIONAL.
Que mediante el artículo 2º del Decreto n° 206/17, reglamentario de la Ley nº 27.275, se estableció la actuación de la citada Agencia en el ámbito de la JEFATURA DE GABINETE DE MINISTROS.
Que por el Decreto nº 1558/01 se creó la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, en el ámbito de la entonces SECRETARÍA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como órgano de control de la Ley nº 25.326.
Que por el referido Decreto nº 746/17 se dispuso que la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, creada por la Ley nº 27.275, actúe como Autoridad de Aplicación de la Ley de Protección de Datos Personales nº 25.326.
Que, en consecuencia, resulta necesario modificar el artículo 29 del ANEXO I del Decreto nº 1558/01 a fin de adecuarlo a lo establecido por la Ley nº 27.275 y por el Decreto nº 746/17 citado precedentemente.
Que mediante el Decreto n° 357/02, sus modificatorios y complementarios, se aprobó el organigrama de aplicación de la Administración Nacional centralizada, hasta nivel de Subsecretaría.
Que por los Decretos nº 13/15, nº 223/16 y nº 746/17 se modificó la Ley de Ministerios (texto ordenado por Decreto nº 438 del 12 de marzo de 1992) y sus modificatorios, estableciéndose -entre otros aspectos-, las competencias del MINISTERIO DEL INTERIOR, OBRAS PÚBLICAS Y VIVIENDA y las funciones del JEFE DE GABINETE DE MINISTROS.
Que resulta necesario incorporar al Anexo III al artículo 3º del Decreto n° 357/02, sus modificatorios y complementarios, que establece ámbitos jurisdiccionales en los que actuarán los organismos descentralizados, en el Apartado XI – JEFATURA DE GABINETE DE MINISTROS a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA como organismo descentralizado.
Que por el Decreto nº 1172/03 y sus modificatorios se estableció como Organismo Coordinador y Autoridad de Aplicación del Acceso a la Información Pública a la SUBSECRETARÍA PARA LA REFORMA INSTITUCIONAL Y FORTALECIMIENTO DE LA DEMOCRACIA, entonces dependiente de la JEFATURA DE GABINETE DE MINISTROS, actualmente SUBSECRETARÍA DE REFORMA INSTITUCIONAL Y FORTALECIMIENTO DE LA DEMOCRACIA de la SECRETARÍA DE ASUNTOS POLÍTICOS E INSTITUCIONALES del MINISTERIO DEL INTERIOR, OBRAS PÚBLICAS Y VIVIENDA.
Que resulta menester modificar el Decreto nº 1172/03 y sus modificatorios estableciendo como autoridad de aplicación en las materias no abarcadas por la Ley nº 27.275 a la SECRETARÍA DE ASUNTOS POLÍTICOS E INSTITUCIONALES del MINISTERIO DEL INTERIOR, OBRAS PÚBLICAS Y VIVIENDA, modificando en consecuencia sus objetivos.
Que resulta conveniente crear una Mesa de Coordinación Institucional sobre Acceso a la Información en el ámbito de la SECRETARÍA DE ASUNTOS POLÍTICOS E INSTITUCIONALES del MINISTERIO DEL INTERIOR, OBRAS PÚBLICAS Y VIVIENDA.
Que la SECRETARÍA DE COORDINACIÓN INTERMINISTERIAL de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención de su competencia.
Que los servicios jurídicos del MINISTERIO DEL INTERIOR, OBRAS PÚBLICAS Y VIVIENDA, del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS y de la JEFATURA DE GABINETE DE MINISTROS han tomado la intervención que les compete.
Que el presente se dicta en uso de las facultades conferidas por el artículo 99, incisos 1 y 2 de la CONSTITUCIÓN NACIONAL.
Por ello,
EL PRESIDENTE DE LA NACIÓN ARGENTINA
DECRETA:
ARTÍCULO 1º.- Sustitúyese el artículo 29 del ANEXO I del Decreto nº 1558/01, por el siguiente:
“ARTÍCULO 29.- La AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, conforme los términos del artículo 19 de la Ley n° 27.275, sustituido por el artículo 11 del Decreto N° 746/17, es el órgano de control de la Ley nº 25.326.”
ARTÍCULO 2º.- Toda referencia normativa a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, su competencia o sus autoridades, se considerará referida a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA.
ARTÍCULO 3º.- Sustitúyese el artículo 9º del REGLAMENTO GENERAL DE AUDIENCIAS PÚBLICAS PARA EL PODER EJECUTIVO NACIONAL, aprobado por el artículo 1º del Decreto nº 1172 de fecha 3 de diciembre de 2003 y sus modificatorios por el siguiente:
“ARTÍCULO 9º.- ORGANISMO COORDINADOR – En los casos en que la Autoridad Convocante lo considere oportuno, puede solicitarse la participación, como Organismo Coordinador, de la SECRETARÍA DE ASUNTOS POLÍTICOS E INSTITUCIONALES del MINISTERIO DEL INTERIOR, OBRAS PÚBLICAS Y VIVIENDA y – en casos relacionados con temas de su competencia – de la Dirección de Planificación de Políticas de Transparencia de la OFICINA ANTICORRUPCIÓN del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS. El Organismo Coordinador tiene como función asistir técnicamente a la Autoridad Convocante y al Área de Implementación en la organización de las Audiencias Públicas específicas.”
ARTÍCULO 4º.- Sustitúyese el artículo 11 del REGLAMENTO GENERAL PARA LA PUBLICIDAD DE LA GESTIÓN DE INTERESES EN EL ÁMBITO DEL PODER EJECUTIVO NACIONAL, aprobado por el artículo 2º del Decreto nº 1172 de fecha 3 de diciembre de 2003 y sus modificatorios por el siguiente:
“ARTÍCULO 11.- AUTORIDAD DE APLICACIÓN – La Autoridad de Aplicación del presente Reglamento es la SECRETARÍA DE ASUNTOS POLÍTICOS E INSTITUCIONALES del MINISTERIO DEL INTERIOR, OBRAS PÚBLICAS Y VIVIENDA, quien tendrá a su cargo verificar y exigir el cumplimiento de las obligaciones establecidas en el mismo.”
ARTÍCULO 5º.- Sustitúyese el artículo 8º del REGLAMENTO GENERAL PARA LA ELABORACIÓN PARTICIPATIVA DE NORMAS, aprobado por el artículo 3º del Decreto nº 1172 de fecha 3 de diciembre de 2003 y sus modificatorios por el siguiente:
“ARTÍCULO 8º.- ORGANISMO COORDINADOR – En los casos en que la Autoridad Responsable lo considere oportuno, puede solicitarse la participación, como Organismo Coordinador, de la SECRETARÍA DE ASUNTOS POLÍTICOS E INSTITUCIONALES del MINISTERIO DEL INTERIOR, OBRAS PÚBLICAS Y VIVIENDA y – en casos relacionados con temas de su competencia – de la Dirección de Planificación de Políticas de Transparencia de la OFICINA ANTICORRUPCIÓN. El Organismo Coordinador tiene como función asistir técnicamente a la Autoridad Responsable en el procedimiento de Elaboración Participativa de Normas.”
ARTÍCULO 6º.- Incorpórase al Anexo II al Artículo 2º del Decreto nº 357 de fecha 21 de febrero de 2002, sus modificatorios y complementarios, en el Apartado XII, correspondiente al MINISTERIO DEL INTERIOR, OBRAS PÚBLICAS Y VIVIENDA, como Objetivo 21 de la SECRETARÍA DE ASUNTOS POLÍTICOS E INSTITUCIONALES, el siguiente:
“21. Ejercer las funciones de Autoridad de Aplicación y Organismo Coordinador asignadas por el Decreto nº 1172 de fecha 3 de diciembre de 2003 y sus modificatorios.”
ARTÍCULO 7º- Incorpórase al Anexo III al artículo 3° del Decreto nº 357 de fecha 21 de febrero de 2002, sus modificatorios y complementarios, en el Apartado XI – JEFATURA DE GABINETE DE MINISTROS a la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA, como organismo descentralizado.
ARTÍCULO 8º.- Créase, en el ámbito de la SECRETARÍA DE ASUNTOS POLÍTICOS E INSTITUCIONALES del MINISTERIO DEL INTERIOR, OBRAS PÚBLICAS Y VIVIENDA, la MESA DE COORDINACIÓN INSTITUCIONAL SOBRE ACCESO A LA INFORMACIÓN. La MESA DE COORDINACIÓN INSTITUCIONAL SOBRE ACCESO A LA INFORMACIÓN estará integrada por representantes de la AGENCIA DE ACCESO A LA INFORMACIÓN PÚBLICA y se invita a las áreas análogas del PODER JUDICIAL, del PODER LEGISLATIVO, del MINISTERIO PÚBLICO FISCAL, del MINISTERIO PÚBLICO DE LA DEFENSA y del CONSEJO DE LA MAGISTRATURA a integrarla.
ARTÍCULO 9º.- Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.
MACRI.
Marcos Peña.
Rogelio Frigerio.
30Jun/19
Número 21, primer semestre de 2019
ISSN 1989-5852
Título clave: Revista informática jurídica
Tít. abreviado: Rev. inform. jurid.
- ISSN 1989-5852Título clave: Revista informática jurídicaTít. abreviado: Rev. inform. jurid.
- Introducción
- Almaguel Guerra, Adrián
- Álvarez Izaquirre, Luis Alejandro
- Castro Dieguez, Fidel Enrique
- Guerra González, Orestes
- Llamas Covarrubias, Jersain Zadamig
- Medel Viltres, Yamira
- Reinaldo Filho, Demócrito
- Riascos Gómez, Libardo Orlando
- Vila Suárez, Yannys Vainelys
- Antúnez Sánchez, Buenaventura
- Bagarotti Acebo, Yadira Caridad
- Batista Avila, Yordan
- Castro Blanco, Yudi
- Cámbara Rodríguez, Maritza
- Escobar Mora, Camilo Alfonso
- Espinosa Domínguez, Tarcila
- Fonseca Hernández, Juan Antonio
- Fuentes Pérez, Sucel
- Gamboa Lanz, Aida Elena
- León Fonseca, Marcos Antonio
- Llamas Covarrubias, Irving Norehem
- Méndez, Víctor
- Merchán Carreño, Edwin Joao
- Mero Suárez, Karina Virginia
- Milanés Carrazana, Leyanet
- Muñiz Maldonado, Noralys
- Pérez García, Yemnysei
- Pérez Michel, Erodis
- Ramírez Tasé, Ramón Osmany
- Reyes Verdecia, Victor
- Rodríguez Ramírez, María Isabel
- Tasé Milanés, Angelina Luisa
- Vázquez Riverón, Arelys
Introducción
En este vigésimo primer número de la Revista, aparecen artículos de colaboradores por orden alfabético.
Un agradecimiento especial a los 26 colaboradores que han aportado sus artículos para hacer posible la publicación semestral de esta revista, que ya lleva 10 años y medio
Un cordial saludo para todos y gracias por vuestra colaboración.
José Cuervo Álvarez
Antúnez Sánchez, Buenaventura
Prof. Auxiliar de la Universidad de Granma. Sede “Blas Roca Calderío”
- El desarrollo de la cultura informática a través del sistema operativo Android, uso y beneficios (10.02.2019) (Trabajo en colaboración con Victor Reyes Verdecia y Yordan Batista Avila)
Bagarotti Acebo, Yadira Caridad
- Software para el diagnóstico y autoaprendizaje del español básico. (04.04.2019) (Trabajo en colaboración con MSc. Tárcila Espinosa Domínguez, Lic. Yemnysei Pérez García y Lic. Maritza Cámbara Rodríguez)
Batista Avila, Yordan
Prof. Auxiliar de la Universidad de Granma. Sede “Blas Roca Calderío”
- El desarrollo de la cultura informática a través del sistema operativo Android, uso y beneficios (10.02.2019) (Trabajo en colaboración con Victor Reyes Verdecia y Buenaventura Antúnez Sánchez)
Castro Blanco, Yudi
Departamento de Informática, Universidad de Granma, Cuba
- Software SIGALS como mediador didáctico en la capacitación a distancia de especialistas de laboratorios de suelos (08.04.2019) (Trabajo en colaboración con M.Sc. Ramón Osmany Ramírez Tasé, Lic. Aida Elena Gamboa Lanz, M.Sc, Erodis Pérez Michel y Angelina Luisa Tasé Milanés)
Cámbara Rodríguez, Maritza
- Software para el diagnóstico y autoaprendizaje del español básico. (04.04.2019) (Trabajo en colaboración con MSc. Tárcila Espinosa Domínguez, Lic. Yemnysei Pérez García e Ing. Yadira Caridad Bagarotti Acebo)
Castro Blanco, Yudi
Universidad de Granma, Cuba
- Caracterización de las licencias de software, pautas para su enseñanza en carreras de informática. Characterization of software licenses, guidelines for their teaching in computer science. (18.01.2019) (Trabajo en colaboración con Edwin Joao Merchán Carreño y Karina Virgina Mero Suárez)
Escobar Mora, Camilo Alfonso
Abogado. Especialista en Derecho y Tecnologías de la Información. Especialista en Derecho de las Telecomunicaciones. Magíster en Derecho Comercial. Ph.D. en Derecho. Profesor. Escritor. Investigador. Creador de la Teoría de Derecho Preventivo del Consumo en la Publicidad Digital. Jurado de los Primeros Premios Globales por la Autorregulación Efectiva de la Publicidad (Global Awards for Effective Advertising Self-Regulation) Organizados por el Consejo Internacional de Autorregulación Publicitaria (the International Council for Ad Self-Regulation, ICAS). Fundador de JURÍDIA: Centro de Enseñanza e Investigación de Derecho Preventivo del Consumo en la Publicidad Digital (www.juridia.co).
Todos los trabajos son reservados de JURÍDIA S.A.S.
Espinosa Domínguez, Tarcila
- Software para el diagnóstico y autoaprendizaje del español básico. (04.04.2019) (Trabajo en colaboración con , Lic. Yemnysei Pérez García e Ing. Yadira Caridad Bagarotti Acebo)
Fonseca Hernández, Juan Antonio
- Enfoque de la ayuda. Un procedimiento didáctico para la enseñanza de la Informática (03.02.2019) (Trabajo en colaboración con Marcos Antonio Léón Fonseca y Noralys Muñoz Maldonado)
- Pilas y colas y su implementación en Object Pascal. Piles and quenes and their implementation in Object Pascal(03.02.2019) (Trabajo en colaboración con Marcos Antonio Léón Fonseca y Noralys Muñoz Maldonado)
Fuentes Pérez, Sucel
- Gestión de la información operativa para el grupo empresarial de construcciones Granma. (15.04.2019) (Trabajo en colaboración con MSc Arelys Vázquez Riverón, Ing. Leyanet Milanés Carrazana y MSc María Isabel Ramírez Rodríguez)
Gamboa Lanz, Aida Elena
CRAI, Universidad de Granma, Cuba
- Software SIGALS como mediador didáctico en la capacitación a distancia de especialistas de laboratorios de suelos (08.04.2019) (Trabajo en colaboración con M.Sc. Ramón Osmany Ramírez Tasé, M. Sc. Yudi Castro Blanco, M.Sc, Erodis Pérez Michel y Angelina Luisa Tasé Milanés)
León Fonseca, Marcos Antonio
- Enfoque de la ayuda. Un procedimiento didáctico para la enseñanza de la Informática (03.02.2019) (Trabajo en colaboración con Marcos Antonio Léón Fonseca y Noralys Muñoz Maldonado)
- Pilas y colas y su implementación en Object Pascal. Piles and quenes and their implementation in Object Pascal(03.02.2019) (Trabajo en colaboración con Marcos Antonio Léón Fonseca y Noralys Muñoz Maldonado)
Llamas Covarrubias, Irving Norehem
Universidad de Guadalajara
- Internet ¿Arma o Herramienta? (29.01.2019) (Trabajo en colaboración con Jersain Zadamig Llamas Covarrubias)
- Democracia Tecnológica (30.06.2019) (Trabajo en colaboración con Jersain Zadamig Llamas Covarrubias)
Llamas Covarrubias, Jersain Zadamig
Universidad de Guadalajara
- Internet ¿Arma o Herramienta? (29.01.2019) (Trabajo en colaboración con Irving Norehem Llamas Covarrubias)
- Democracia Tecnológica (30.06.2019) (Trabajo en colaboración con Irving Norehem Llamas Covarrubias)
Méndez, Víctor
Legal Department, Audea Seguridad de la Información
- Blockchain y RGPD ¿Destinados a entenderse? Parte I
- Blockchain y RGPD ¿Destinados a entenderse? Parte II
- Un año más de Privacy Shield
- El abogado TJUE da un “like” a la corresponsabilidad del Tratamiento
- A vueltas con los motores de búsqueda y el derecho al olvido
Merchán Carreño, Edwin Joao
Universidad Estatal del Sur de Manabí, Ecuador
- Caracterización de las licencias de software, pautas para su enseñanza en carreras de informática. Characterization of software licenses, guidelines for their teaching in computer science. (18.01.2019) (Trabajo en colaboración con Yudi Castro Blanco y Karina Virgina Mero Suárez)
Mero Suárez, Karina Virginia
Universidad Estatal del Sur de Manabí, Ecuador
- Caracterización de las licencias de software, pautas para su enseñanza en carreras de informática. Characterization of software licenses, guidelines for their teaching in computer science. (18.01.2019) (Trabajo en colaboración con Edwin Joao Merchán Carreño y Yudi Castro Blanco)
Milanés Carrazana, Leyanet
Grupo Empresarial Construcciones Granma
- Gestión de la información operativa para el grupo empresarial de construcciones Granma. (15.04.2019) (Trabajo en colaboración con MSc Arelys Vázquez Riverón, MSc María Isabel Ramírez Rodríguez e Ing. Sucel Fuentes Pérez)
Muñiz Maldonado, Noralys
- Enfoque de la ayuda. Un procedimiento didáctico para la enseñanza de la Informática (03.02.2019) (Trabajo en colaboración con Marcos Antonio Léón Fonseca y Noralys Muñoz Maldonado)
- Pilas y colas y su implementación en Object Pascal. Piles and quenes and their implementation in Object Pascal(03.02.2019) (Trabajo en colaboración con Marcos Antonio Léón Fonseca y Noralys Muñoz Maldonado)
Pérez García, Yemnysei
- Software para el diagnóstico y autoaprendizaje del español básico. (04.04.2019) (Trabajo en colaboración con MSc. Tárcila Espinosa Domínguez, Ing. Yadira Caridad Bagarotti Acebo, e Ing. Yadira Caridad Bagarotti Acebo
Pérez Michel, Erodis
Departamento de Informática. Universidad de Granma, Cuba
- Software SIGALS como mediador didáctico en la capacitación a distancia de especialistas de laboratorios de suelos (08.04.2019) (Trabajo en colaboración con M.Sc. Ramón Osmany Ramírez Tasé, M. Sc. Yudi Castro Blanco, Lic. Aida Elena Gamboa Lanz y Angelina Luisa Tasé Milanés)
Ramírez Tasé, Ramón Osmany
Departamento de Informática, Universidad de Granma, Cuba
- Software SIGALS como mediador didáctico en la capacitación a distancia de especialistas de laboratorios de suelos (08.04.2019) (Trabajo en colaboración con Lic. Aida Elena Gamboa Lanz, M. Sc. Yudi Castro Blanco, M.Sc, Erodis Pérez Michel y Angelina Luisa Tasé Milanés)
Reinaldo Filho, Demócrito
Desembargador do TJPE
Reyes Verdecia, Victor
Profesor Instructor de la Universidad de Granma Sede “Blas Roca Calderío”
- El desarrollo de la cultura informática a través del sistema operativo Android, uso y beneficios (10.02.2019) (Trabajo en colaboración con Yordan Batista Avila y Buenaventura Antúnez Sánchez)
Rodríguez Ramírez, María Isabel
Universidad de Granma
- Gestión de la información operativa para el grupo empresarial de construcciones Granma. (15.04.2019) (Trabajo en colaboración con MSc Arelys Vázquez Riverón, Ing. Leyanet Milanés Carrazana e Ing. Sucel Fuentes Pérez)
Tasé Milanés, Angelina Luisa
Laboratorio Provincial de Suelos y Fertilizantes de Granma, Cuba
- Software SIGALS como mediador didáctico en la capacitación a distancia de especialistas de laboratorios de suelos (08.04.2019) (Trabajo en colaboración con M.Sc. Ramón Osmany Ramírez Tasé, M. Sc. Yudi Castro Blanco, M.Sc, Erodis Pérez Michel y Lic. Aida Elena Gamboa Lanz)
Vázquez Riverón, Arelys
Universidad de Granma
- Gestión de la información operativa para el grupo empresarial de construcciones Granma. (15.04.2019) (Trabajo en colaboración con MSc María Isabel Ramírez Rodríguez, Ing. Leyanet Milanés Carrazana e Ing. Sucel Fuentes Pérez)
The Data Protection and Privacy Act, 2019
An Act to protect the privacy of the individual and of personal
data by regulating the collection and processing of personal
information; to provide for the rights of the persons whose data
is collected and the obligations of data collectors, data processers
and data controllers; to regulate the use or disclosure of personal
information; and for related matters.
Date of Assent: 25.02.2019
BE IT ENACTED by Parliament as follows:
PART I.-PRELIMINARY
1.- Application.
This Act applies to a person, institution or public body:
(a) collecting , processing , holding or using personal data
within Uganda;
(b) outside Uganda who collects , processes , holds , or uses
personal data relating to Ugandan citizens.
2.-Interpretation.
In this Act unless the context otherwise requires:
“Authority” means the National Information Technology
Authority – Uganda;
“consent” means any freely given, specific, informed and
unambiguous indication of the data subject’s wish which he
or she, by a statement or by a clear affirmative action,
signifies agreement to the collection or processing of
personal data relating to him or her;
“corporation” means an entity created under a law and is
separate and distinct from its owners.
“cunency point” has the value assigned to it in the Schedule;
“data” means information which:
(a) is processed by means of equipment operating
automatically in response to instructions given for that
purpose;
(b) is recorded with the intention that it should be
processed by means of such equipment;
(c) is recorded as part of a relevant filing system or with
the intention that it should form part of a relevant
filing system; or
(d) does not fall within paragraph (a),(b) or (c) but forms
pa11 of an accessible record ;
“data collector” means a person who collects personal data;
“data controller” means a person who alone, jointly with other
persons or in common with other persons or as a statutory
duty determines the purposes for and the manner in which
personal data is processed or is to be processed;
“data processor” in relation to personal data, means a person
other than an employee of the data controller who processes
the data on behalf of the data controller;
“data subject” means an individual from whom or in respect of
whom personal information has been requested, collected,
collated, processed or stored;
“information” includes data, text , images, sounds, codes,
computer programmes, software and databases;
“Minister” means the Minister responsible for information and
communications technology;
“personal data” means information about a person from which
the person can be identified, that is recorded in any form
and includes data that relates to:
(a) the nationality, age or marital status of the person;
(b) the educational level, or occupation of the person;
(c) an identification number, symbo l or other particulars
assigned to a person;
(d) identity data; or
(e) other information which is in the possession of, or is
likely to come into the possession of the data
controller and includes an expression of opinion about
the individual.
“public body” includes the Government, a department, service
or undertaking of the Government , Cabinet, Parliament , a
court, local Government administration or a local council
and any committee or commission thereof, an urban
authority, a municipal council and any committee of any
such council , any corporation, committee , board ,
commission or similar body whether corporate or
incorporate established by an Act of Parliament relating to
undertakings of public services or such purpose for the
benefit of the public or any section of the public to
administer funds or property belonging to or granted by the
Government or money raised by public subscription , rates,
taxes, cess or charges in pursuance of any written law and
any council, board, committee or society established by an
Act of Parliament for the benefit, regulation and control of
any profession ;
“processing” means any operation which is performed upon
collected data by automated means or otherwise
including:
(a) organisation, adaptation or alteration of the
information or data;
(b) retrieval, consultation or use of the information or
data;
(c) disclosure of the information or data by transmission,
dissemination or otherwise making available; or
(d) alignment, combination, blocking, erasure or
destruction of the information or data.
“recipient” means a person to whom data is disclosed including
an employee or agent of the data controller or the data
processor to whom data is disclosed in the course of
processing the data for the data controller, but does not
include a person to whom disclosure is made with respect
to a particular inquiry pursuant to an enactment;
“third party” in relation to personal data, means a person other
than the data subject, the data collector, data controller, or
any data processor or other person authorised to process
data for the data controller or processor.
PART lI.- PRINCIPLES OF DATA PROTECTION
3.- Principles of data protection.
(1) A data collector, data processor or data controller or any
person who collects, processes, holds or uses personal data shall-
(a) be accountable to the data subject for data collected,
processed held or used;
(b) collect and process data fairly and lawfully;
(c) collect, process, use or hold adequate, relevant and not
excessive or unnecessary personal data ;
(d) retain personal data for the period authorised by law or for
which the data is required;
(e) ensure quality of information collected, processed , used or
held;
(f) ensure transparency and participation of the data subject in
the collection, processing, use and holding of the personal
data; and
(g) observe security safeguards in respect of the data.
(2) The Authority shall ensure that every data collector, data
controller, data processor or any other person collecting or processing
data complies with the principles of data protection and this Act.
4.- Establishment of the personal data protection office.
(1) There is established a personal data protection office
responsible for personal data protection under the Authority which
shall report directly to the Board.
(2) The personal data protection office established in subsection
(1) shall be headed by a national personal data protection director
appointed on such terms and conditions as may be specified in his or
her instrument of appointment.
(3) The national personal data protection director shall be a
person of high moral character , proven integrity and with the relevant
qualifications and experience relating to the functions of the office .
(4) The personal data protection office shall consist of such other
officers as may be necessary for the proper functioning of the office
appointed on such terms and conditions as may be specified in the
instruments of appointment.
5.- Functions of the personal data protection office.
(1) For purposes of this Act and in addition to its functions under
any other law, the personal data protection office shall:
(a) oversee the implementation of and be responsible for the
enforcement of this Act;
(b) promote the protection and observance of the right to the
privacy of a person and of personal data ;
(c) monitor, investigate and report on the observance of the
right to privacy and of personal data;
(d) formulate, implement and oversee programmes intended to
raise public awareness about this Act;
(e) receive and investigate complaints relating to infringement
of the rights of the data subject under this Act;
(f) establish and maintain a data protection and pnvacy
register;
(g) perform such other functions as may be prescribed by any
other law or as the office considers necessary for the
promotion, implementation and enforcement of this Act;
(2) The office shall have all powers necessary for the
performance of its functions under this Act.
(3) The office in performing its functions under this Act shall not
be under the direction or control of any person or Authority.
6.- Data protection officer
For purposes of this Act, and in so far as it applies to an institution,
the head of the institution shall designate a person as the data
protection officer responsible for ensuring compliance with this Act.
PART III.-DATA COLLECTION AND PROCESSING
7.- Consent to collect or process personal data.
(1) Subject to subsection (2), a person shall not collect or process
personal data without the prior consent of the data subject.
(2) Personal data may be collected or processed:
(a) where the collection or processing is authorised or required
by law; or
(b) where it is necessary:
(i) for the proper performance of a public duty by a
public body;
(ii) for national security;
(iii) for the prevention , detection , investigation, prosecution
or punishment of an offence or breach of law.
(c) for the performance of a contract to which the data subject
is party or in order to take steps at the request of the data
subject prior to entering into a contract;
(d) for medical purposes; or
(e) for compliance with a legal obligation to which the data
controller is subject.
(3) Except for data collected or processed under subsection (2),
where a data subject objects to the collection or processing of
personal data, the person who is collecting or processing the personal
data shall stop the collection or processing of the personal data.
8.- Personal data relating to children.
A person shall not collect or process personal data relating to a child
unless the collection or processing thereof is;
(a) carried out with the prior consent of the parent or guardian
or any other person having authority to make decisions on
behalf of the child;
(b) necessary to comply with the law; or
(c) for research or statistical purposes.
9.- Prohibition on collection and processing of special personal
data.
(1) A person shall not collect or process personal data which
relates to the religious or philosophical beliefs, political opinion,
sexual life, financial information, health status or medical records of
an individual.
(2) This section does not apply to information collected under
the Uganda Bureau of Statistics Act.
(3) A data collector, data processor and data controller may
collect or process personal data specified under subsection(!)
where:
(a) the collection or processing of the data is in the exercise or
performance of a right or an obligation conferred or
imposed by law on an employer;
(b) the information is given freely and with the consent of the
data subject; or
(c) the collection or processing of the information is for the
purposes of the legitimate activities of a body or
association which:
(i) is established for non-profit purposes; or
(ii) exists for political, philosophical, religious or trade
union purposes; and
(iii) relates to individuals who are members of the body or
association or have regular contact with the body or
association in connection with its purposes, and does
not involve disclosure of the personal data to a third
party without the consent of the data subject.
10.- Protection of privacy.
A data collector, data processor or data controller shall not collect,
hold or process personal data in a manner which infringes on the
privacy of a data subject.
11.- Collection of data from data subject.
(1) A person shall collect personal data directly from the data
subject.
(2) Notwithstanding subsection (1), personal data may be
collected from another person, source or public body where-
(a) the data is contained in a public record;
(b) the data subject has deliberately made the data public ;
(c) the data subject has consented to the collection of the
information from another source;
(d) the collection of the data from another source is not like! y
to prejudice the privacy of the data subject;
(e) the collection of the data from another source 1s
necessary:
(i) for the prevention, detection, investigation, prosecution or
punishment of an offence or breach of law;
(ii) for the enforcement of a law which imposes a
pecuniary penalty;
(iii) for the enforcement of legislation which concerns
public revenue collection;
(iv) for the conduct of proceedings before any court or
tribunal that have commenced or are reasonably
contemplated; or
(v) for the protection of national security;
(f) compliance would prejudice a lawful purpose for the
collection; or
(g) it is not reasonably practicable to obtain the consent of the
data subject.
12.- Collection of personal data for specific purpose.
A person who collects personal data shall collect the data for a lawful
purpose which is specific, explicitly defined and is related to the
functions or activity of the data collector, or data controller.
13.- Information to be given to data subject before collection of
data.
(l) A person collecting personal data shall inform the data
subject about:
(a) the nature and category of data being collected;
(b) the name and address of the person responsible for the
collection of data;
(c) the purpose for which the data is required;
(d) whether or not the supply of the data by the data subject is
discretionary or mandatory;
(e) the consequences of failure to provide the data;
(f) the authorised requirement for the collection of the
information or the requirement by law for its collection;
(g) the recipients of the data;
(h) the existence of the right of access to and the right to
request rectification of the data collected before the
collection; and
(i) the period for which the data will be retained to achieve the
purpose for which it is collected.
(2) Where the data is collected from a third party, the data
subject shall be given the information specified in subsection (1)
before the collection of the data or as soon as practicable after the
collection of the data.
(3) Subsection (2), shall not apply:
(a) where it is necessary to avoid the compromise of the law
enforcement power of a public body responsible for the
prevention, detection, investigation, prosecution or
punishment of an offence;
(b) information relating to national security;
(c) to information relating to the enforcement of a law which
imposes a pecuniary penalty;
(d) to information relating to the enforcement of legislation
which concerns public revenue collection;
(e) to information relating to the preparation or conduct of
proceedings before a com1 or tribunal.
14.- Minimality.
(1) A data controller or data processer shall only process the
necessary or relevant personal data.
(2) For the avoidance of doubt a data controller or data processer
shall not process personal data which is in excess of the data which is
authorised by law or required for a specific purpose.
15.- Quality of information.
(1) A data collector or data processor or data controller shall
ensure that the data is complete , accurate, up-to-date and not
misleading having regard to the purpose for its collection or
processing.
(2) A data subject shall ensure that the personal data given to the
data collector or data processor or data controller is complete,
accurate, up to date and not misleading.
16.- Correction of personal data.
(1) A data subject may request a data controller to-
(a) correct or delete personal data about the data subject held
by or under the control of the data controller that is
inaccurate, inelevant, excessive, out of date, incomplete,
misleading or obtained unlawfully; or
(b) destroy or delete a record of personal data about the data
subject held by the data controller which the controller no
longer has the authority to retain.
(2) On receipt of the request, a data controller shall comply with
the request.
(3) Where the data controller is not able to comply with the
request under subsection (1), the data controller shall inform the data
subject of the rejection, and the reasons for the rejection in writing.
(4) Where the data controller complies with the request , the data
controller shall inform each person to whom the personal data has
been disclosed of the conection made.
(5) The data controller shall notify the data subject of the action
taken as a result of the request.
17.- Further processing to be compatible with purpose of
collection.
(1) Where a person holds personal data collected in connection
with a specific purpose, further processing of the personal data shall
only be for that specific purpose .
(2) For the purposes of subsection (1), a person who processes
personal data under this section shall take into account-
(a) the relationship between the purpose of the intended further
processmg and the purpose for which the data was
collected;
(b) the nature of the data concerned;
(c) the manner in which the data has been collected;
(d) the consequences that the further processing is likely to
have for the data subject; and
(e) the contractual rights and obligations between the data
subject and the person who processes the data .
(3) The further processing of data is considered to be compatible
with the purpose of collection where-
(a) the data subject consents to the further processing of the
information;
(b) the data is publicly available or has been made public by
the person concerned;
(c) further processing is necessary:
(i) for the prevention, detection, investigation,
prosecution or punishment for an offence or breach of
law;
(ii) for the enforcement of a law which imposes a
pecuniary penalty;
(iii) for the enforcement of legislation that concerns
protection of public revenue collection;
(iv) for the conduct of proceedings before any court or
tribunal that have commenced;
(v) for the protection of national security; or
(vi) to prevent or mitigate a serious and imminent threat to
public health or safety or the life or health of the data
subject or another individual;
(d) the data is used for historical, statistical or research
purposes and the person responsible for the processing
ensures that:
(i) the further processing is carried out solely for the
purpose for which the data was collected; and
(ii) that the data is not published in a form likely to reveal
the identity of the data subject; or
18.- Retention of records of personal data.
(1) Subject to subsections (2) and (3), a person who collects
personal data shall not retain the personal data for a period longer
than is necessary to achieve the purpose for which the data is
collected and processed unless:
(a) the retention of the data is required or authorised by law;
(b) the retention of the data is necessary for a lawful purpose
related to a function or activity for which the data is
collected or processed;
(c) the retention of the data is required by a contract between
the parties to the contract, or
(d) the data subject consents to the retention of the data.
(2) Subsection (1) does not apply to personal data retained for:
(a) the prevention, detection, investigation, prosecution or
punishment of an offence or breach of law;
(b) the national security purposes;
(c) the enforcement of a law which imposes a pecumary
penalty;
(d) the enforcement of legislation relating to public revenue
collection;
(e) the conduct of proceedings before any court or tribunal ; or
(f) historical, statistical, or research purposes.
(3) A person who uses personal data of a data subject to make a
decision about the data subject shall:
(a) retain the data for a period required or prescribed by law; or
(b) where no retention period is required by law, retain the data
for a period which shall afford the data subject an
opportunity to request access to the data.
(4) A data controller shall destroy or delete a record of personal
data or de-identify the record at the expiry of the retention period.
(5) The destruction or deletion of a record of personal data shall
be done in a manner that prevents its reconstruction in an intelligible
form.
19.- Processing personal data outside Uganda.
Where a data processor or data controller based in Uganda processes
or stores personal data outside Uganda, the data processor or data
controller shall ensure that:
(a) the country in which the data is processed or stored has
adequate measures in place for the protection of personal
data at least equivalent to the protection provided for by
this Act; or
(b) the data subject has consented.
PART IV.-SECURITY OF DATA
20.- Security measures.
(1) A data controller, data collector or data processor shall
secure the integrity of personal data in the possession or control of a
data controller, data processor or data collector by adopting
appropriate, reasonable, technical and organisational measures to
prevent loss, damage , or unauthorised destruction and unlawful
access to or unauthorised processing of the personal data.
(2) For the purposes of subsection (1), the data controller shall
take measures to:
(a) identify reasonably foreseeable internal and external risks
to personal data under that person’s possession or control;
(b) establish and maintain appropriate safeguards against the
identified risks;
(c) regularly verify that the safeguards are effec tively
implemented; and
(d) ensure that the safeguards are continually updated in
response to new risks or deficiencies.
(3) A data controller shall observe generally accepted
information security practices and procedures , and specific industry
or professional rules and regulations .
21.- Security measures relating to data processed by data
processor.
(1) A data controller shall not permit a data processor to process
personal data for the data controller, unless the data processor
establishes and complies with the security measures specified under
this Act.
(2) A contract between a data controller and a data processor
relating to processing of personal data, shall require the data
processor to establish and maintain the confidentiality and security
measures necessary to protect the integrity of the personal data.
22.- Data processed by operator or authorised person.
(1) An operator or a person who processes personal data on
behalf of a data controller shall process the data only with the prior
knowledge or authorisation of the data controller and shall treat the
personal data which comes to the knowledge of the operator or other
person as confidential.
(2) A data processor shall not disclose the data unless required
by law, or in the course of the discharge of a duty.
23.- Notification of data security breaches.
(1) Where a data collector, data processor or data controller,
believes that the personal data of a data subject has been accessed or
acquired by an unauthorised person , the data collector, data processor
or data controller , shall immediately notify the Authority in the
prescribed manner, of the unauthorised access or acquisition and the
remedial action taken.
(2) The Authority shall determine and notify the data controller ,
data collector or data processor whether the data controller, data
collector or data processor should notify the data subject of the
breach.
(3) Where the Authority determines that the data collector, data
processor or data controller should notify the data subject, the
notification shall be made by:
(a) registered mail to the data subject’s last known residential
or postal address;
(b) electronic mail to the data subject’s last known electronic
mail address;
(c) placement in a prominent position on the website of the
responsible party; or
(d) publication in the mass media.
(4) A notification referred to in sub section (3) shall provide
sufficient information relating to the breach to allow the data subject
to take protective measures against the consequences of unauthorised
access or acquisition of the data.
(5) Where the Authority has grounds to believe that publicity
would protect a data subject who is affected by the unauthorised
access or acquisition of data, the Authority shall direct the responsible
party to publicise in the specified manner, the fact of the compromise
to the integrity or confidentiality of the personal data.
PART V.- RIGHTS OF DATA SLBJECTS
24.- Right to access personal information
(1) A data subject who provides proof of identity may request a
data controller to:
(a) confirm whether or not the data controller holds personal
data about that data subject;
(b) give a description of the personal data which is held by the
data controller;
(c) provide the identity of a third party or a category of a third
party who has or has had access to information.
(2) A request under this section shall be made in the prescribed
form and manner.
(3) A data controller shall not comply with a request under this
section unless the data controller is given information that the data
controller may reasonably require to identify the person making the
request and to locate the data requested by that person.
(4) Where a data controller is unable to comply with the request
without disclosing data related to another individual who may be
identified from the information, the data controller shall not comply
with the request unless:
(a) the other individual consents to the disclosure of the data to
the person who makes the request;
(b) it is reasonable in all the circumstances to comply with the
request without the consent of the other individual; or
(c) compelled by a court order.
(5) For the purposes of subsection (4):
(a) a reference to data related to another individual includes a
reference to data which identifies that individual as the
source of the data requested; and
(b) another individual may be identified from the data
disclosed if that individual can be identified from that data ,
or any other data which in the reasonable belief of the data
controller are likely to be in, or come into the possession of
the data subject who made the request.
(6) A data controller shall not use subsection ( 4) as an excuse for
failing to commun icate so much of the information sought that may
be communicated without the disclosure of the identity of the
individual concerned.
(7) The data controller may make the communication under
subsection (6) by omitting or deleting the name or other identifying
particulars of the other individual.
(8) For the purposes of subsection (4), to determine whether it is
reasonable to comply with the request without the consent of the
other individual concerned, the data controller shall take into
account:
(a) any duty of confidentiality owed to the other individual ;
(b) any steps taken by the data controller to seek the consent of
that other individual;
(c) whether the other individual is capable of giving consent ;
and
(d) any express refusal of consent by the other individual.
(9) Subject to subsection (4), a data controller shall comply with
a request under this section promptly and in any event within thirty
days from the date of receipt of the request.
25.- Right to prevent processing of personal data.
(1) A data subject shall at any time by notice in writing to a data
controller or data processor, require the data controller or data
processor to stop processing personal data which causes or is likely to
cause unwarranted substantial damage or distress to the data subject.
(2) A data controller shall within fourteen days after receipt of a
notice inform the data subject in writing that the data controller has
complied or intends to comply with the notice of the data subject, or
of the reasons for non-compliance.
(3) Where the data controller gives reasons for non-compliance,
a copy of the notice required by subsection (2) shall be given to the
Authority within fourteen days.
(4) Where the Authority is satisfied that the data subject is
justified, the Authority shall direct the data controller to comply
within seven days.
(5) This section does not apply to data collected or processed in
accordance with section 4(2).
26.- Right to prevent processing of personal data for direct
marketing.
(1) A data subject may by notice in writing to a data controller,
require the data controller to stop processing his or her personal data
for purposes of direct marketing.
(2) A data controller shall within fourteen days after receipt of
the notice inform the data subject in writing that the data controller
has complied or intends to comply with the notice of the data subject,
or of the reasons for non-compliance.
(3) Subject to sub-section (1) a data subject may enter into
agreement with a data controller for purposes of using or processing
his or her personal data for pecuniary benefits.
(4) Where the data controller gives reasons for non-compliance,
a copy of the notice required by subsection (2) shall be given to the
Authority within the time specified in that subsection .
(5) Where the Authority is satisfied that the notice in subsection
(1) is justified, the Authority may direct the data controller to comply.
(6) In this section “direct marketing” includes the
communication by whatever means of any advertising or marketing
material which is directed at an individual.
27.- Rights in relation to automated decision-taking.
(1) A data subject may by notice in writing to a data controller
require the data controller to ensure that any decision taken by or on
behalf of the data controller which significantly affects that data
subject is not based solely on the processing by automatic means of
personal data in respect of that data subject.
(2) Without prejudice to subsection (1), where a decision which
significantly affects a data subject is based solely on automated
processing:
(a) the data controller shall as soon as reasonably practicable
notify the data subject that the decision was taken on that
basis, and
(b) the data subject is entitled, by notice in writing to require
the data controller to reconsider the decision within twenty –
one days after receipt of the notification from the data
controller.
(3) The data controller shall within twenty-one days after receipt
of the notice, inform the data subject in writing of the steps that the
data controller has taken to take to comply with the notice.
(4) This section does not apply to a decision made:
(a) in the course of considering whether to enter into a contract
with the data subject;
(b) with a view to entering into the contract;
(c) in the course of the performance of the contract; or
(d) for a purpose authorised or required by or under any law
(5) Where the data subject is not satisfied with the decision of
the data controller in sub clause (3), the data subject shall complain
in writing to the Authority within fourteen days.
(6) Where the Authority is satisfied on a complaint by a data
subject that the data controller has failed to comply , the Authority
shall order the data controller to comply within seven days
28.- Rectification, blocking, erasure and destruction of personal
data.
(1) Where the Authority is satisfied on a complaint of a data
subject that personal data on that data subject is inaccurate, the
Authority may order the data controller to rectify , update , block ,
erase, or destroy the data.
(2) Subsection (1) applies whether the data is an accurate record
of information received or obtained by the data controller from the
data subject or a third party.
(3) Where the data is an inaccurat e record of the information, the
Authority may direct the data controller to update the statement of the
true facts which the Authority considers appropriate.
(4) Where the data complained of has been rectified, blocked,
updated, erased or destroyed, the data controller is required to notify
third parties to whom the data has been previously disclosed of the
rectification , blocking , updated, erasure or destruction.
PART VI.-DATA PROTECTION REGISTER
29.- Data protection register.
(1) The Authority shall keep and maintain a data protection
register.
(2) The Authority shall register in the data protection register,
every person, institution or public body collecting or processing
personal data and the purpo se for which the personal data is collected
or processed.
(3) An applicat ion by a data controller or other person to register
shall be made in the prescribed manner.
30.- Access to register by the public.
The Authority shall make the information contained in the Data
Protection Register available for inspection by any person.
PART VII.-COMPLAINTS.
31.- Complaints against breach and non-compliance.
(1) A data subject or any person who believes that a data
collector, data processor or data controller is infringing upon their
rights or is in violation of this Act may make a compliant in the
prescribed manner to the Authority.
(2) A data collector, data processor or data controller may in
writing make a complaint to the Authority about any violation or noncompliance with this Act.
32.- Authority to investigate complaints.
The Authority shall investigate every compliant made under this Part and
may direct a data collector, data processor or data controller to remedy any
breach or take such action as the Authority may specify to restore the
integrity of data collected, processed or held by the data collector, data
processor or data controller or the rights of the data subject.
33.- Compensation for failure to comply with this Act.
(1) Where a data subject suffers damage or distress through the
contravention by a data controller, data processor or data collector of
the requirements of this Act, that data subject is entitled to apply to a
Court of competent jurisdiction for compensation from the data
collector, data processor or data controller for the damage or distress.
(2) In proceedings against a person under this section, it is a
defence to prove that the person took reasonable care in all the
circumstances to comply with the requirements of this Act.
34.- Appeals.
(1) A person aggrieved by a decision of the Authority under this
Act may appeal to the Minister.
(2) The appeal shall be made within thirty days from the date of
notice of the decision.
(3) A copy of the appeal shall be provided to the Authority.
PART VIII.- OFFENCES
35.- Unlawful obtaining or disclosing of personal data.
(1) A person shall not unlawfully obtain, disclose or procure the
disclosure to another person of personal data held or processed by a
data collector, data controller or data processor.
(2) A person who contravenes this section commits an offence
and is liable on conviction to a fine not exceeding two hundred and
forty currency points or imprisonment for ten years or both.
36.- Unlawful destruction, deletion, concealment or alteration of
personal data.
(1) A person shall not unlawfully destroy, delete, mislead,
conceal or alter personal data.
(2) A person who contravenes this section commits an offence
and is liable on conviction to a fine not less than two hundred and
forty currency points or imprisonment not exceeding ten years or
both.
37.- Sale of personal data.
(1) A person shall not sell or offer for sale personal data of any
person.
(2) A person who contravenes subsection (1) commits an
offence and is liable on conviction to a fine not exceeding two
hundred and forty five currency points or imprisonment not
exceeding ten years or both.
38.- Offences by corporations.
(1) Where an offence under sections 31 and 32 is committed by
a corporation, the corporation and every officer of the corporation
who knowingly and willfully authorises or permits the contravention
is liable to the offence.
(2) A court which convicts a person under subsection (1) may, in
addition to the punishment order the corporation, pay a fine not
exceeding two percent of the corporation’s annual gross turnover.
(3) A court shall take into consideration the gravity of the
offence under subsection (1) and its impact in determining the fine to
impose under subsection (2).
39.- Regulations.
The Minister may, after consultation with the Authority by statutory
instrument make regulations for:
(a) any matter which is required to be prescribed;
(b) any administrative or procedural matter which is necessary
to give effect to this Act;
(c) the retention period of personal data; or
(d) any matter which is necessary and expedient to give effect
to this Act.
40.- Power of the Minister to amend Schedule.
The Minister may, with the approval of Cabinet, by statutory
instrument, amend the Schedule.
SCHEDULE
Currency point
One currency point is equivalent to twenty thousand shillings
THE REPUBLIC OF UGANDA
Privacy Protection (Data Security) Regulations, 5777-2017, 5 April 2017
Privacy Protection (Data Security) Regulations, 5777-2017, 5 April 2017.
By the power vested in me pursuant to Article 36 of the Protection of Privacy Law 5741-1981 (the “Law”) and with the approval of the Knesset Constitution, Law and Justice Committee, I hereby promulgate these Regulations:
1.-
In these Regulations:
“Severe security incident” – any of the following:
(1) In a database subject to high security level – an incident involving the use of data from the database without authorization or in excess of authorization, or damage to the data integrity;
(2) In a database subject to medium security level – an incident involving the use of substantial part of the database without authorization or in excess of authorization, or damage to the data integrity with respect to a substantial part of the database;
“Authorized user” – a person who has access to one of the following with the permission of the database controller or processor:
(1) Data from the database;
(2) Database systems;
(3) Information or component which is required for operating or accessing the database;
Notwithstanding the above, a processor who is not an individual, or an individual who obtained access on the basis of the processor’s permission, will not be considered an authorized user of the database controller;
“Portable device” – any of the following:
(1) A computer intended for mobile use, including a computer which is radio telephone end equipment as defined in the Wireless Telegraph Ordinance [New Version] 5732-1972;
(2) Other medium used to store computer material;
“Computer material” and “computer” – as defined in the Computers Law 5755-1995;
“Database managed by an individual” – a database managed by an individual or by a corporation owned by an individual, in which only the individual and at most two more authorized users are permitted to use, and are able to use the database, with the exception of the following databases:
(1) A database whose main purpose is collecting data for the purpose of transferring it to a third party as part of regular professional activity, including direct mailing services;
(2) A database which contains information about 10,000 or more persons;
(3) A database which contains information in respect of which the database controller is subject to a professional duty of confidentiality by law or professional ethical principles;
“Databases subject to basic security level” – databases that are not of the kinds enumerated in the First or Second Schedule, and are not a database managed by an individual;
“Databases subject to medium security level” – databases of the kinds enumerated in the First Schedule, and are not a database managed by an individual;
“Databases subject to high security level” – databases of the kinds enumerated in the Second Schedule, and are not a database managed by an individual;
“Biometric data” – information used to identify a person which is a unique physiological human characteristic that can be measured by a computer;
“Data security officer” – as defined in Section 17B of the Law;
“Database systems” – systems serving the database which are important for information security aspects;
“The data subject” – the person on which the database contains information;
“National Cyber Defense Authority” – the National Cyber Defense Authority designated to protect the cyberspace, as established pursuant to a Government Resolution and acting in accordance with its resolutions;
“A public network” – a communication network that allows its usage also by those who are not authorized users.
2.-
(a) A database controller will specify in the database definitions document (the “database definitions document”) at least the following matters:
(1) A general description of the data collection and usage activities;
(2) A description of the purposes for which the data is used;
(3) The types of data contained in the database, in accordance with the list of data types in Item 1(3) of the First Schedule;
(4) Details regarding the transfer of the database or substantial parts thereof outside the State borders or the use of the data outside the State borders, the purpose of transfer, country of destination, manner of transfer and the identity of the transferee;
(5) Data processing activities by a processor;
(6) The main risks concerning a breach of information security and the manner in which they are dealt with;
(7) The name of the database manager, the database processor and the data security officer, if appointed.
(b) The database controller will update the database definitions document whenever a significant change has been made to the matters detailed in Sub-Regulation (a) and will annually assess, by 31 December of each year, the need for such an update due to technological changes within the organization or security incidents as per Regulation 11.
(c) The database controller will review annually whether the data stored in the database exceeds what is required for the database purposes.
3.-
Where there is a duty to appoint a data security officer, or where a data security officer of the database has been appointed, the following provisions shall apply:
(1) A data security officer will directly report to the database manager or to an active manager of the database’s controller or processor, as appropriate, or to another senior official who directly reports to the database manager;
(2) The data security officer will prepare a data security procedure and have it approved by the database controller;
(3) The data security officer will prepare a plan for regular monitoring in regard to compliance with these Regulations, implement this plan and notify the database controller and the database manager of his findings;
(4) The data security officer will not perform an additional role which may put him at risk of conflict of interest while performing his role according to these Regulations;
(5) Where a database controller assigns the data security officer tasks that are additional to the duties listed in Paragraphs (2) and (3) for the purpose of implementing these Regulations, they will be clearly defined;
(6) A database controller will allocate to the data security officer the necessary resources for carrying out his role.
4.-
(a) A database controller will prescribe a written data security procedure (“the Procedure”) according to the database definitions document and these Regulations. The Procedure will be binding upon each one of the authorized users depending on the parts of the Procedure that are disclosed to him in accordance with Sub-Regulation (b).
(b) A database controller will retain the Procedure in such a manner that details from the Procedure will be disclosed to authorized users only to the extent required for performing their role.
(c) The Procedure will include, inter alia, the following:
(1) Instructions concerning physical protection of the database sites and their surroundings as per Regulation 6;
(2) Access authorizations to the database as well as to database systems pursuant to Regulation 8;
(3) Description of the means intended to protect the database systems and the manner of their operation for this purpose;
(4) Instructions to authorized users of the database and database systems regarding the protection of data stored in the database;
(5) The risks to which the data in the database is exposed in the course of the database controller’s ongoing activities, including those originating from the database systems structure as detailed in Regulation 5(a), the manner in which these risks are identified and dealt with, including by commonly used encryption mechanisms to protect the data stored in the database or in the database systems;
(6) The manner of dealing with information security incidents as per Regulation 11, according to the severity of the incident and information sensitivity level;
(7) Instructions concerning the management and usage of portable devices pursuant to Regulation 12.
(d) In a database subject to medium or high security level, the Procedure will address, in addition to the provisions of Sub-Regulation (c), also the following:
(1) Identification and verification measures with respect to Access to the database and to the database systems, pursuant to Regulation 9;
(2) The manner of monitoring the use of the database, including the documentation of accessing the database systems pursuant to Regulation 10;
(3) Instructions with respect to conducting periodical audits to ensure that appropriate security measures, in accordance with the Procedure and these Regulations as per Regulation 16, are in place;
(4) Instructions regarding backup of the data as noted in Regulation 18(a)(1);
(5) Instructions regarding the manner in which development activities in the database are performed and documented, including the manner developers may access the data in the database.
(e) The database controller will annually assess the need to update the Procedure and, irrespective of this, will assess whether the Procedure should be updated in the following instances:
(1) Material modifications in the database systems or data processing processes are carried out;
(2) New technological risks relating to the database systems have become known.
(f) An organization that controls several databases may prescribe a data security procedure according to this Regulation in a single document which concerns all databases it controls that have the same security level.
5.-
(a) A database controller will maintain an up-to-date document of the database structure, as well as an up-to-date inventory of the database systems, including:
(1) Infrastructure and hardware systems, types of communication and data security components;
(2) The software systems used to operate, administer and maintain the database, to support its activity, monitor it and secure it;
(3) Software and interfaces used for communication to and from the database systems;
(4) A diagram of the network in which the database is operating, including a description of the connections between the different system components and the physical location of these components;
(5) The date in which the document and the inventory were last updated.
(b) The up-to-date database structure document and inventory will be secured in such a manner that only authorized users who require them for the performance of their role will be provided access.
(c) In a database subject to high security level, the database controller is responsible to conduct a data security risk assessment (the “risk assessment”); the database controller will discuss the findings of the risk assessment provided to him, consider the need to update the database definitions document or the data security procedure as a result, and act to amend the shortcomings found in the course of the assessment, if any; such risk assessment will take place at least once every eighteen months.
(d) In a database subject to high security level, the database controller is responsible to conduct, at least once every eighteen months, penetration tests to the database systems in order to test their vulnerability to external and internal threats; the database controller will discuss the results of the penetration tests and act to amend the faults found, if any.
(f) An organization that controls several databases may prescribe the inventory pursuant to Sub-Regulation (a) in a single document covering all databases it controls that have the same security level, and may also perform the duties prescribed in Sub-Regulations (c) and (d) in a single risk assessment or in a single penetration test, as relevant, with respect to all databases he owns that have the same security level.
6.-
(a) A database controller will ensure that the systems listed in Regulation 5(a)(1) are maintained in a secure place, preventing unauthorized penetration and entry, and which is suitable to the nature of the database activity and the sensitivity of information therein.
(b) A controller of a database subject to medium or high security level will take measures to monitor and document the entry to and exit from sites in which the systems listed in Regulation 5(a)(1) are located, as well as the setting and removing of equipment in and from the database systems.
7.-
(a) A database controller will not grant access to information stored in the database and will not change the scope of authorization granted, unless he took reasonable measures, commonly used in the processes for screening and placing employees, to ensure that there is no concern that the authorized user is not suitable to be granted access to information stored in the database; such measures will be taken in accordance with the sensitivity of the information in the database and the scope of access permissions attached to the role proposed to the relevant person, pursuant to Regulation 8.
(b) Before users gain access to the database or before a change in the scope of their authorizations, the database controller will hold training sessions for authorized users regarding the obligations embodied in the Law and Regulations, and provide them information regarding their duties according to the Law and the data security procedure.
(c) In a database subject to medium or high security level, the database controller will hold periodical training to authorized users regarding the database definitions document, data security procedure and the data security provisions embodied in the Law and Regulations, as necessary for performing their role, and the duties that they impose on authorized users; such training shall take place at least once every two years, and with respect to certifying a new authorized user for a new role as soon as possible after he was certified.
8.-
(a) A database controller will determine access permissions of authorized users to the database and database systems in accordance with the role’s responsibilities; access permission will be granted only to the extent required for performing the role.
(b) A database controller will keep an up-do-date record of roles, user permissions granted to these roles and the authorized users performing such roles (the “valid authorizations list”).
9.-
(a) A database controller will take appropriate measures under the circumstances, and according to the nature and kind of the database, in order to ensure that only authorized users, according to the valid authorizations list, are using the database and the database systems.
(b) In a database subject to medium or high security level:
(1) The identification manner will be, as much as possible, by a physical mean subject to the exclusive control of the authorized user;
(2) The data security procedure will also prescribe instructions with respect to Sub-Regulation (a), including in the following matters:
(a) The manner of identification; in case the manner of identification is based on passwords, the Procedure will also address the password strength, number of failed attempts and the frequency of changing passwords that will take place according to the authorized user’s role, and in any event, at least every six months;
(b) Automatic disconnection following a time of inactivity;
(c) The manner of dealing with malfunctions related to identity authentication.
(c) Immediately following the termination of an authorized user’s role, a database controller will ensure revoking the permissions of an authorized user who stopped working in his role, and as much as possible, changing the passwords to the database and database systems which the authorized user could have known.
10.-
(a) In the systems of a database subject to medium or high security level, an automatic recording mechanism shall enable monitoring the Access to the database systems (in this Regulation – “monitoring mechanism”), including the following data: user identity, date and time of access attempt, system component to which access was attempted, access type, its scope, and whether access was granted or denied.
(b) The monitoring mechanism will not enable, to the extent possible, disabling or modifying its operation; the monitoring mechanism will detect such modifications or the disabling of its operation and will send alerts to those responsible.
(c) A database controller will prescribe a routine procedure to examine the records of the monitoring mechanism, prepare a report of the issues found and the measures taken as a result.
(d) The records of the monitoring mechanism will be retained for at least 24 months.
(e) A database controller will inform the database authorized users of the monitoring mechanism to the database systems.
11.-
(a) A database controller is responsible to document every case in which an event was discovered, raising concern regarding a breach of the data integrity, unauthorized use thereof or deviation from authorization (hereinafter – “security incidents”); the said documentation will be based as much as possible on automatic records.
(b) In the data security procedure, a database controller will also prescribe instructions with respect to handling information security incidents, depending on the event severity and the information sensitivity level, including with respect to revoking authorizations and other necessary immediate measures, and with respect to the reporting of security incidents to the database controller and the actions taken in response.
(c) In a database subject to medium security level, the database controller will hold a discussion regarding data security incidents at least once a year and assess the need to update the data security procedure; in a database subject to high security level, such a discussion will be held at least quarterly.
(d) In case of a severe security incident:
(1) The database controller will immediately notify the Registrar and report to the Registrar on the measures he took following the incident;
(2) The Registrar may order a database controller, except a controller of the databases listed in Section 13(e) of the Law, and after consulting with the head of the National Cyber Defense Authority, to give a notice of the security incident to a data subject who may suffer damage as a result of the incident.
12.-
A database controller will restrict or deny the option to connect portable devices to the database systems in a manner which is compatible with the information security level applicable to the database, the data sensitivity, the special risks to the database systems or to the data, stemming from connecting portable devices and with the existence of appropriate safeguards against such risks; a database controller who enables using data from the database on a portable device or copying the data to a portable device will take protection measures according to the special risks related to the use of a portable device in that database; in this regard, employing commonly used encryption methods will be deemed taking reasonable measures to protect the data copied to a portable device.
13.-
(a) A database controller will ensure that the database systems are managed and operated properly, as commonly acceptable in the operation of such systems.
(b) A database controller will separate, to the extent and level reasonably possible, between the database systems which enable access to data and other computer systems used by the database controller.
(c) A database controller will ensure updating the database systems on a regular basis, including the computer material required for their operation; no use will be made of systems whose manufacturer does not support their security aspects, unless an appropriate security solution is provided.
14.-
(a) A database controller will not connect the database systems to the Internet or to another public network without installing the appropriate safeguards against unauthorized penetration or against software that can damage or disrupt computers or computer material.
(b) The transfer of information from the database through a public network or the Internet will be conducted by commonly used encryption methods.
(c) In a database that can be accessed remotely using the Internet or another public network, measures intended to identify the user and verify his permission to perform the activity remotely and the scope of such permission, will be used in addition to the safeguards pursuant to Sub-Regulations (a) and (b); with respect to access of an authorized user to a database with a medium or high security level, a physical means subject to the exclusive control of the authorized user will be used.
15.-
(a) A database controller entering into an agreement with an external service provider in order to receive a service which involves granting this external service provider access to the database:
(1) Will assess, prior to entering an agreement with the external service provider, the data security risks involved in the engagement;
(2) Will expressly agree with the external service provider (in this Regulation:
the “agreement”) on the following, taking into account the risks mentioned in Paragraph (1):
(a) The data the external service provider may process and the permitted purposes of its use as required by the agreement between the parties;
(b) The database systems that the external service provider may access;
(c) The type of processing or activities the external service provider may perform;
(d) The agreement duration, the manner of returning the data to its controller at the end of the agreement, its destruction at the disposal of the external service provider and of reporting accordingly to the database controller;
(e) The manner data security obligations which apply to the processor of the database according to these Regulations are implemented, and additional data security instructions set by the database controller, if any;
(f) The external service provider shall have his authorized users sign an undertaking to protect the information confidentiality, to use the data only according to the agreement and to implement the data security measures prescribed in the agreement as per Sub-Paragraph (e);
(g) Where a database controller permitted the external service provider to provide the service through another entity
– it is the duty of the former to include in the agreement with the other entity all the matters detailed in this Regulation;
(h) The external service provider must report, at least annually, to the database controller on the manner the obligations by these Regulations and the agreement are implemented, as well as to notify the database controller in case of a security incident;
(3) Will detail in the data security procedure of the database also the matters listed in Paragraph (2)(a) to (e) and will explicitly refer to the agreement with the external service provider and his data security procedure;
(4) Will take measures to monitor and supervise the compliance of the external service provider with the provisions of the agreement and these Regulations, as appropriate, taking into account the risks mentioned in Paragraph (1).
(b) An organization that controls several databases and enters into an agreement with an external service provider which involves access to these databases by the external service provider may comply with the provisions of Sub-Regulation (a)(2) in a single agreement concerning all databases, provided that they all have the same security level.
(c) This Regulation will not apply to an agreement between a database controller and an individual.
16.-
(a) In a database subject to medium or high security level, the database controller is responsible to conduct, at least once in 24 months, an internal or external audit by an auditor adequately trained in the field of data security who is not the database’s own data security officer, in order to ensure it complies with the provisions of these Regulations.
(b) In the audit report, the auditor will report on the adherence of the security measures to the data security procedure and to these Regulations, identify shortcomings and recommend the necessary measures to correct the situation.
(c) A database controller will review the audit reports sent to him and assess the need to update the database definitions document or the data security procedure accordingly.
(d) A controller of a database subject to high security level may fulfil the duty prescribed in this Regulation while conducting a risk assessment which complies with the provisions of Sub-Regulation (b).
(e) An organization that controls several databases may comply with the duty prescribed in this Regulation by performing a single audit for all the databases it controls which have the same security level.
17.-
(a) A database controller will retain the data collected when implementing the provisions of Regulation 6(b), 8 to 11, 14, 15(a)(4) and 16, to the extent these Regulations apply to him, in a secure manner for 24 months.
(b) In a database subject to medium or high security level, the database controller will back up the data retained as per Sub-Regulation (a) in a manner ensuring that the data can be restored to its original form at all times.
18.-
(a) In a database subject to medium or high security level, the database controller will prescribe in a document –
(1) Procedures for routine periodical backup according to Regulation 17(b);
(2) Procedures to ensure restoring of the data as per Regulation 17(b), provided that such restoration will be with the approval of the database manager;
(3) That when documenting security incidents pursuant to Regulation 11, data restoring processes will also be documented, including the identity of the person who performed the data restoration and the details of the information restored.
(b) In a database subject to high security level, the database controller is responsible to retain the backup copy of the data mentioned in Regulation (a)(1) and of the procedures as per Sub-Regulation (a)(2) in a manner that ensures the integrity of the information and the ability to restore the information in case of loss or destruction.
19.-
(a) The obligations that apply in these Regulations to a database controller will also apply to a database manager, and with the exception of the obligations prescribed in Regulations 2 and 15(a), they will also apply to the database processor, with the necessary changes as relevant.
(b) A person who bears a duty or responsibility to perform an action required by these Regulations which is not creating a document, shall reasonably document the manner this action is performed, as relevant; the Registrar may give instructions regarding the manner of such documentation.
20.-
(a)
(1) The Registrar, if he believes there are justified reasons, may exempt a certain database from data security obligations pursuant to these Regulations or may impose on a certain database obligations according to these Regulations, in their entirety or some of them, depending on the circumstances, and taking into account, inter alia, the size of the database, the type of information it contains, the scope of activity of the database or the number of its authorized users;
(2) Exempting from, or imposing, obligations pursuant to Paragraph (1) will take place with a written notice to the database controller; in such a notice the Registrar will prescribe the date in which the exemption from, or imposition of, obligations, as the matter may be, will take effect and may determine different dates with respect to different regulations.
(b) The Registrar may order that those who comply with the instructions of a guidance document regarding data security or the applicable instructions issued by a competent authority with respect to data security, will be deemed to have complied with the provisions of these Regulations, in their entirety or in part, provided the Registrar is satisfied that compliance with the provisions of the guidance document regarding data security or with the applicable instructions issued by a competent authority, as the matter may be, as ordered by the Registrar in accordance with these Regulations, ensures the security level prescribed in these Regulations with respect to that database; in this regard:
“Competent authority” – a public body authorized by law to issue instructions with respect to data security;
“Guidance document regarding data security” – an official standard, Israeli standard or international standard as defined in the Standards Law 5713-1953 or a reference document approved by the Registrar in this regard.
21.-
In these Regulations:
(1) With respect to databases subject to high level of security:
Regulation 1 to 20 shall apply;
(2) With respect to databases subject to medium level of security:
Regulation 1 to 4, 5(a), (b) and (e), 6 to 15, 16(a), (b), (c) and (e), 17, 18(a), 19 and 20 shall apply;
(3) With respect to databases subject to basic level of security:
Regulation 1 to 3, 4(a), (b), (c), (e) and (f), 5(a), (b) and (e), 6(a), 7(a) and (b), 8, 9(a) and (c), 11(a) and (b), 12 to 15, 17, 19 and 20 shall apply;
(4) With respect to a database managed by an individual:
Regulations 1, 2, 6(a), 9(a), 11(a), 12 to 14 and 20 shall apply.
22.-
These Regulations will take effect one year after their publication.
23.-
Notwithstanding the provisions of Regulation 7(a), with respect to those who are authorized users on the day these Regulations take effect, a database controller subject to the said Regulation shall assess their suitability to access the database through reasonable measures, commonly used in procedures for screening and placing employees, and taking into account the information sensitivity and access permission type, and Will update the access authorizations as necessary.
24.-
Regulations 2, 3, 9, 10, 12, 13, 14 and 15 of the Protection of Privacy Regulations (Conditions for Data Storage and Protection and Data Transfer Between Public Bodies) 5746-1986: are null and void.
25.-
These Regulations shall apply in addition to provisions concerning data security in other enactments unless there is a conflict between them.
First Schedule.- (Regulation 1 and the Second Schedule)
1.- Databases subject to medium level of security:
(1) A database whose main purpose is collecting data in order to transfer it to a third party as part of regular professional activity, including direct mailing services;
(2) A database whose controller is a public body as defined in Section 23 of the Law, even if the provisions of Paragraph (1) or (3) are not complied with;
(3) A database which contains data which is one of the following:
(a) Information about a person’s intimate life, including his conduct in the private domain;
(b) Medical information or information regarding the person’s mental condition;
(c) Genetic information as defined in the Genetic Information Law 5761-2000;
(d) Information about a person’s political opinions or religious beliefs;
(e) Information about a person’s criminal records;
(f) Telecommunication data as defined in the Criminal Procedure Law (Enforcement Powers – Telecommunication Data) 5768-2007;
(g) Biometric information;
(h) Information about a person’s assets, financial debts and liabilities, financial situation or a change thereof, his ability to meet financial undertakings and the extent these are met by this person;
(i) A person’s consumption habits that may denote information as in Items (a) to (g) or regarding a person’s personality, beliefs or opinions.
2.- Notwithstanding the provisions of Item 1(3), a database that adheres to one of the following is not subject to medium security level but rather to the basic security level:
(1) The database contains information of the types listed in Item 1(3)(b), (e), (f), (g) with respect to facial photos only and (h) regarding the employees or suppliers of the database controller, provided the information is used for the sole purpose of business management and does not include information of the types listed in Item 1(3)(a), (c), (d) and (g) with respect to information that is not facial photos and (i);
(2) There are no more than ten users authorized by the database controller.
Second Schedule.- (Regulation 1)
Databases subject to high level of security –
(1) A database according to Item 1(1) or (3) of the First Schedule, including a database of a public body as defined in Section 23(1) of the Law that fulfils the provisions of Items (1) or (3) and contains information about 100,000 persons or more;
(2) A database according to Item 1(1) or (3) of the First Schedule, including a database of a public body as defined in Section 23(1) of the Law that fulfils the provisions of Items (1) or (3) and has more than 100 authorized users.
5 April 2017 Ayelet Shaked
Minister of Justice
06Abr/19
Ley 21.096 de 5 de junio de 2018, que consagra el Derecho a Protección de los Datos Personales
Ley 21.096 de 5 de junio de 2018, que consagra el Derecho a Protección de los Datos Personales.
Teniendo presente que el H. Congreso Nacional ha dado su aprobación al siguiente proyecto de reforma constitucional, originado en moción de los Honorables senadores señores Felipe Harboe Bascuñán, Pedro Araya Guerrero y Ricardo Lagos Weber, y de los exsenadores señores Hernán Larraín Fernández y Eugenio Tuma Zedán.
Proyecto de reforma constitucional:
"Artículo único.-
Agrégase, en el numeral 4° del artículo 19 de la Constitución Política de la República, a continuación de la expresión "y su familia", lo siguiente: ", y asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley".".
Y por cuanto he tenido a bien aprobarlo y sancionarlo;
por tanto promúlguese y llévese a efecto como Ley de la República.
Santiago, 5 de junio de 2018.-
SEBASTIÁN PIÑERA ECHENIQUE, Presidente de la República.-
Gonzalo Blumel Mac-Iver, Ministro Secretario General de la Presidencia.
Lo que transcribo a Ud. para su conocimiento.-
Saluda Atte. a Ud., Claudio Alvarado Andrade, Subsecretario General de la Presidencia.
05Abr/19
Data Protection (Jersey) Law 2018, 8th February 2018
Data Protection (Jersey) Law 2018, 8th February 2018 (Registered by the Royal Court 16th February 2018)
A LAW to make new and consolidated provision relating to the protection of natural persons with regard to the processing and free movement of personal data and for connected purposes.
Adopted by the States 18th January 2018
Sanctioned by Order of Her Majesty in Council 8th February 2018
Registered by the Royal Court 16th February 2018
THE STATES, subject to the sanction of Her Most Excellent Majesty in Council, have adopted the following Law:
PART 1.- INTRODUCTORY
1.- Interpretation
(1) In this Law:
“Authority” means the Data Protection Authority established by Article 2 of the Authority Law;
“Authority Law” means the Data Protection Authority (Jersey) Law 2018 [1];
“appropriate safeguards”, in relation to the protection of personal data or the rights and freedoms of natural persons includes:
(a) technical or organizational measures to ensure that the personal data are processed fairly;
(b) encryption or pseudonymization of the personal data concerned; and
(c) duties imposed by law, such as duties of confidentiality or secrecy;
“automated processing” includes profiling;
“biometric data” means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, that allow or confirm the unique identification of that natural person, such as facial images or fingerprint data;
“binding corporate rules” means personal data protection policies that are adhered to by a controller or processor established in the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises, engaged in a joint economic activity;
“business” includes any activity, trade or profession, whether or not carried on for profit and for clarity includes any such activity, trade or profession carried on for a charity or other not-for-profit body;
“code” means a code of conduct approved by the Authority under Article 78 and includes any amendment or extension of such a code;
“competent supervisory authority” means any supervisory authority with jurisdiction to regulate the controller or processor in question;
“controller” means the natural or legal person, public authority, agency or other body that, whether alone or jointly with others, determines the purposes and means of the processing of personal data, and where those purposes and means are determined by the relevant law, the controller or the specific criteria for its nomination may be provided for by such law;
“data” means information that:
(a) is being processed by means of equipment operating automatically in response to instructions given for that purpose;
(b) is recorded with the intention that it should be processed by means of such equipment;
(c) is recorded as part of a filing system or with the intention that it should form part of a filing system; or
(d) is recorded information held by a scheduled public authority and does not fall within any of sub-paragraphs (a) to (c);
“data concerning health” means personal data related to the physical or mental health of a natural person, including the provision of health care services, that reveal information about his or her health status;
“data protection impact assessment” has the meaning assigned by Article 16(1);
“data protection officer” means the person appointed as such under Article 24;
“data protection principles” means the requirements set out in Article 8(1);
“data subject” has the meaning assigned by Article 2;
“enterprise” means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity;
“evidence of certification” means evidence of certification granted in accordance with a mechanism established by Regulations made under Article 80;
“filing system” means any set of personal data that, although the data is not processed by means of equipment operating automatically in response to instructions given for that purpose, is structured, either by reference to natural persons or to criteria relating to natural persons, in such a way that specific information relating to a particular natural person is readily accessible and whether the criteria is centralised, decentralised or dispersed on a functional or geographical basis;
“establishment”, in the context of establishment in a territory or jurisdiction, means the effective and real exercise of activity through arrangements that are stable but that need not take any particular legal form and whether or not via a branch or subsidiary with a legal personality;
“GDPR” means Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (OJ L 119/1 4.5.2016);
“genetic data” means personal data relating to the inherited or acquired genetic characteristics of a natural person that give unique information about the physiology or the health of that natural person and that result, in particular, from an analysis of a biological sample from the natural person in question such as DNA or RNA analysis;
“group of undertakings” means a controlling undertaking and its controlled undertakings;
“health professional” means:
(a) a person lawfully practising as a medical practitioner, dentist, optometrist, dispensing optician, pharmacist, nurse, midwife or health visitor, osteopath, chiropractor, clinical psychologist, child psychotherapist or speech therapist;
(b) a music therapist employed by a body lawfully providing health services;
(c) a scientist employed by such a body as head of a department; or
(d) any person who may be prescribed;
“health record” means a record that:
(a) consists of data concerning health; and
(b) has been made by or on behalf of a health professional in connection with the care of that individual;
“information society service” means, subject to paragraph (3), a service normally provided for remuneration:
(a) without the parties being present at the same time;
(b) that is sent initially and received at its destination by means of electronic equipment for the processing (including digital compression) and storage of data, and entirely transmitted, conveyed and received by wire, by radio, by optical means or by other electromagnetic means; and
(c) through the transmission of data on individual request;
“international organization” means an organization and its subordinate bodies governed by public international law, or any other body that is set up by, or on the basis of, an agreement between 2 or more countries;
“joint controller” has the meaning assigned by Article 7(1);
“large scale” means large scale having regard to the number of data subjects, volume or range of data being processed, duration or permanence of the activity and geographical extent;
“Law Enforcement Directive” means Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (OJ L 119/89 4.5.16);
“law enforcement purpose” means any of the following purposes, namely the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against, and the prevention of, threats to public security;
“Member State” means a Member State of the European Union;
“Minister” unless otherwise indicated, means the Chief Minister;
“parental responsibility” has the same meaning as in the Children (Jersey) Law 2002 [2];
“personal data” has the meaning assigned by Article 2(1);
“personal data breach” means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data transmitted, stored or otherwise processed;
“prescribed” means prescribed by Regulations;
“processing” means any operation or set of operations that is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;
“processor” means a natural or legal person, public authority, agency or other body that processes personal data on behalf of the controller, but does not include an employee of the controller;
“profiling” means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements;
“pseudonymization” has the meaning assigned by Article 3;
“public authority” means:
(a) the States Assembly including the States Greffe;
(b) a Minister;
(c) a committee or other body established by a resolution of the States or by, or in accordance with, standing orders of the States Assembly;
(d) an administration of the States;
(e) a Department referred to in Article 1 of the Departments of the Judiciary and the Legislature (Jersey) Law 1965 [3];
(f) any court or tribunal;
(g) the States of Jersey Police Force;
(h) a parish;
(i) the holder of a public office;
(j) in relation to any country other than Jersey, any person exercising or performing functions or holding any office similar or comparable to any of the persons described in sub-paragraphs (a) to (i); and
(k) any other person or body (whether incorporated or unincorporated) that exercises functions of a public nature;
“recipient”, in relation to any personal data, means any person to whom the data are disclosed, whether a third party or not, but does not include a public authority to whom disclosure is or may be made in the framework of a particular inquiry in accordance with the relevant law;
“Regulations” means Regulations made by the States;
“relevant law” means the law of Jersey, another jurisdiction in the British Islands, a Member State or the European Union;
“representative” means a representative nominated by the controller under Article 4(3);
“restriction of processing” means the marking of stored personal data with the aim of limiting their processing in the future;
“scheduled public authority” has the same meaning as in the Freedom of Information (Jersey) Law 2011 [4];
“States’ employee” has the same meaning as in Article 2 of the Employment of States of Jersey Employees (Jersey) Law 2005 [5];
“special category data” means:
(a) data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade union membership;
(b) genetic or biometric data that is processed for the purpose of uniquely identifying a natural person;
(c) data concerning health;
(d) data concerning a natural person’s sex life or sexual orientation; or
(e) data relating to a natural person’s criminal record or alleged criminal activity;
“special purposes” means:
(a) academic purposes;
(b) the purpose of journalism;
(c) artistic purposes; or
(d) literary purposes;
“supervisory authority” means an independent public authority established under the relevant law for the purposes of the GDPR or equivalent legislation;
“third country” means a country or territory outside the European Economic Area other than Jersey;
“third party” means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who are authorized to process personal data under the direct authority of the controller or processor;
“transparency and subject rights provisions” means:
(a) the first data protection principle set out in Article 8(1)(a), to the extent that it requires data to be processed transparently;
(b) the provisions as to information to be provided to a data subject under Article 12; and
(c) the rights of data subjects set out in Part 6.
(2) If personal data are processed for purposes for which they are required to be processed by or under an enactment, the person on whom the obligation to process the data is imposed is, in relation to the data, the controller for the purposes of this Law.
(3) The Minister may, by Order, specify the services that do or do not fall within the definition “information society service”, by reference either to individual services or by class or description.
(4) Regulations may amend any of the definitions in paragraph (1).
2.- Personal data and data subject
(1) Personal data means any data relating to a data subject.
(2) A data subject is an identified or identifiable, natural, living person who can be identified, directly or indirectly, by reference to (but not limited to) an identifier such as:
(a) a name, an identification number or location data;
(b) an online identifier; or
(c) one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of the person.
(3) The following matters must be taken into account in deciding whether the person is identified or identifiable:
(a) the means reasonably likely to be used by the controller or another person to identify the person, taking into account factors such as the cost and amount of time required for identification in the light of the available technology at the time of processing and technological factors;
(b) whether the personal data, despite pseudonymization, is capable of being attributed to that person by the use of information other than that kept separately for the purposes of pseudonimization.
(4) In this Article “identifier” means a number or code (including any unique number or code issued to the individual by a public authority) assigned to an individual by a controller or processor for the purposes of its operations that uniquely identifies the individual and includes location data.
3.- Pseudonymization
(1) In this Law “pseudonymization” means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, and where that additional information is kept separately and is subject to technical and organizational measures to ensure that the personal data are not attributed to an identified or identifiable natural person.
(2) Pseudonymization may be achieved even though the additional information that would enable the attribution of the data to a specific data subject is retained within the controller’s organization provided that the controller maintains records indicating who has access to that additional information.
4.- Application
(1) This Law does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity (but applies to controllers or processors that provide the means for processing personal data for such an activity).
(2) This Law applies to the processing of personal data:
(a) in the context of a controller or processor established in Jersey;
(b) by a controller or processor not established in Jersey but who uses equipment in Jersey for processing the data otherwise than for the purposes of transit through Jersey; or
(c) by a controller or processor not established in Jersey where the processing:
(i) relates to data subjects who are in Jersey, and
(ii) is for the purpose of offering goods or services to persons in Jersey or monitoring the behaviour of such persons.
(3) A controller referred to in paragraph (2)(b) must nominate, in writing and for the purposes of this Law, a representative established in Jersey.
(4) For the purposes of paragraphs (2) and (3), each of the following is to be treated as established in Jersey:
(a) a natural person who is ordinarily resident in Jersey;
(b) a body incorporated under the law of Jersey;
(c) a partnership or other unincorporated association formed under the law of Jersey;
(d) any person who does not fall within sub-paragraph (a), (b) or (c) but maintains in Jersey:
(i) an office, branch or agency through which the person carries on any processing of personal data, or
(ii) a regular practice that carries on any processing of personal data; or
(e) any person engaging in effective and real processing activities through stable arrangements in Jersey.
(5) Schedule 1 has effect to modify the application of this Law where the processing of personal data is carried out:
(a) by a controller that is a competent authority; and
(b) for a law enforcement purpose, and Regulations may amend Schedule 1 in order to make further provision for such purposes.
(6) Regulations may also amend Schedule 1 so as to:
(a) add or remove any person or body to the list of competent authorities;
(b) ensure that the Law provides equivalent protection for personal data to that provided under the Law Enforcement Directive or by another jurisdiction in the British Islands; or
(c) make provision as to personal data contained in a judicial decision or record or case file processed in the course of a criminal investigation or proceedings.
(7) In this Article “competent authority” means:
(a) any person, body or other entity listed in paragraph 1 of Schedule 1; and
(b) any other person, body or other entity who exercises a function for a law enforcement purpose in Jersey, but does not include the security and intelligence services of the Government of the United Kingdom.
5.- Processing that does not require identification
(1) If the purposes for which a controller processes personal data do not, or no longer, require the identification of a data subject by the controller, the controller is not obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Law.
(2) Where paragraph (1) applies and the controller is able to demonstrate that it is no longer able to identify the data subject, Articles 28 to 34 do not apply except where the data subject, for the purposes of exercising his or her rights under those Articles, provides additional information enabling his or her identification.
PART 2.- FUNDAMENTAL DUTIES OF CONTROLLERS
6.- General duties and accountability
(1) A controller:
(a) is responsible for, and must be able to demonstrate compliance with, the data protection principles in the manner provided for in this Law;
(b) if established in Jersey, may process personal data or cause it to be processed only if the controller is registered under Article 17 of the Authority Law;
(c) must pay such charges to the Authority as Regulations under Article 18 of the Authority Law may prescribe;
(d) in planning and implementing the processing of personal data, must ensure that appropriate safeguards for the rights of data subjects are put in place by design and by default in accordance with Article 15;
(e) must comply with the record-keeping requirements and disclose the records covered by those requirements on request to the Authority;
(f) where a processor is appointed, must appoint a processor only in accordance with Article 19;
(g) must report any personal data breach in the manner and to the extent required by Article 20 unless Part 7 applies;
(h) must appoint a data protection officer where so required by Article 24;
(i) must co-operate with any requests of the Authority under this Law or the Authority Law; and
(j) must comply with any order of the Authority under Article 25 of, and notice of the Authority under paragraph 1 of Schedule 1 to, the Authority Law.
(2) Adherence to a code or evidence of certification may provide evidence that an individual controller has complied with a particular obligation under this Law.
(3) The record keeping requirements do not apply in the case of organizations with fewer than 250 employees unless the processing:
(a) is likely to result in a risk to the rights and freedoms of data subjects;
(b) is not occasional; or
(c) includes special category data or relates to criminal convictions or related security measures.
(4) The Authority must take into account the specific needs of different sizes of enterprise in the application of this Law.
(5) Regulations may make further provision to modify or limit the application of paragraph (1) in the case of organizations mentioned in paragraph (3) and may amend the description of those organizations.
(6) In this Article “record keeping requirements” means the requirements with respect to record keeping set out in Articles 3(2) and 14(3).
7.- Joint controllers
(1) Where 2 or more controllers jointly determine the purposes and means of the processing of personal data they are joint controllers.
(2) Joint controllers must make arrangements between themselves in a transparent manner so as to apportion their responsibilities in advance of the processing of personal data.
(3) Joint controllers must make a summary of the arrangements available to data subjects and may designate a contact point to facilitate communication between data subjects and joint controllers.
(4) Regardless of the terms and conditions of any arrangement under paragraph (2) or any other agreement:
(a) a data subject may exercise any right that he or she has under this Law against any joint controller; and
(b) each joint controller is jointly and severally liable for any damage caused by processing if it is in contravention of this Law.
(5) Where a joint controller proves that it had no responsibility for the damage, it may be exempted from liability.
(6) Paragraphs (1) to (3) do not apply where the respective responsibilities of joint controllers are clearly determined by law (otherwise than under this Article).
(7) Any joint controller may bring proceedings against any other joint controller to recover that part of the compensation corresponding to the other joint controller’s part of responsibility for the damage.
(8) Regulations may make further provision about the respective roles of joint controllers, including the circumstances in which a joint controller is treated as being a sole controller.
8.- Data protection principles
(1) A controller must ensure that the processing of personal data in relation to which the controller is the controller complies with the data protection principles, namely that data are:
(a) processed lawfully, fairly and in a transparent manner in relation to the data (“lawfulness, fairness and transparency”);
(b) collected for specified, explicit and legitimate purposes and once collected, not further processed in a manner incompatible with those purposes (“purpose limitation”);
(c) adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (“data minimization”);
(d) accurate and, where necessary, kept up to date, with reasonable steps being taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (“accuracy”);
(e) kept in a form that permits identification of data subjects for no longer than is necessary for the purposes for which the data are processed (“storage limitation”); and
(f) processed in a manner that ensures appropriate security of the data, including protection against unauthorized or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organizational measures (“integrity and confidentiality”).
(2) In relation to:
(a) paragraph (1)(b), further processing for the purposes specified in paragraph 17 of Schedule 2 (archiving and research) is not to be taken as incompatible with the initial purposes for which the data was collected;
(b) paragraph (1)(e), personal data may be stored to the extent necessary for the purposes specified in paragraphs 7 (other legal obligations) and 17 of Schedule 2 subject to implementation of the appropriate technical and organization measures required by this Law in order to safeguard the rights and freedoms of the data subject.
9.- Lawful processing
(1) The processing of personal data that would otherwise be lawful is lawful for the purposes of this Law only if it meets at least one of the conditions specified in Schedule 2.
(2) However, in the case of any processing of data that includes special category data, it must meet at least one of the conditions mentioned in Part 2 of Schedule 2.
10.- Fair and transparent processing
(1) To determine the fairness of processing personal data regard must be had to whether the method by which the data are obtained, including in particular whether any person from whom they are obtained is deceived or misled as to the purpose or purposes for which they are to be processed.
(2) Personal data are regarded as obtained fairly if they consist of information obtained from a person who:
(a) is authorized by or under any enactment to supply it; or
(b) is required to supply it by or under any enactment or any international agreement imposing an international obligation on Jersey.
(3) In order that personal data may be processed fairly and transparently, a controller must:
(a) facilitate the exercise of the rights of data subjects under Part 6;
(b) act on a data subject’s request unless the controller is unable to do so because the data subject cannot be identified or the processing is exempted from such a requirement under this Law.
11.- Consent to processing
(1) In this Law, “consent”, in relation to the processing of a data subject’s personal data, means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, whether orally or in writing, signifies agreement to the processing of that data.
(2) Consent:
(a) is not informed unless the data subject is aware of the identity of the controller who will process the data and the purposes of the processing for which the personal data are intended;
(b) is not freely given if it does not allow separate consent to be given to different personal data processing operations where it is appropriate in the individual case.
(3) To establish the presence of such consent, the controller must be able to demonstrate that:
(a) the request for consent was in a concise, intelligible and easily accessible form;
(b) where that request was in writing together with other matters, that it was clearly distinguishable from those other matters;
(c) where the request for consent was by electronic means, that it was sought in a way that was not unnecessarily disruptive to the use of the service for which the request was provided;
(d) where consent was sought for the purposes of the performance of a contract that includes the provision of a service:
(i) consent was necessary for the performance of the contract, or
(ii) if it was not necessary, the controller has advised the data subject that he or she may refuse separate consent for the provision of the service without prejudice to the performance of the contract;
(e) the data subject was informed of the right to withdraw consent at any time and that it was as easy to withdraw consent as it was to give it; and
(f) the controller has made reasonable efforts to verify that the person giving the consent is who the person claims to be, particularly where that person claims to be the person authorized to consent for a child under the age of 13.
(4) A child under the age of 13 may not give valid consent to the processing of his or her personal data by a controller for the purposes of an information society service but valid consent on behalf of that child may be given by a person with parental responsibility for him or her.
(5) Consent is taken to cover all processing activities carried out for the same purpose for which it is given and separate consent is required for each separate purpose.
(6) The States may make Regulations:
(a) amending the age of consent in paragraphs (3)(f) or (4), providing exceptions to the inability of the child to consent and making further provision as to the steps that the controller must take to verify:
(i) the age and identity of the child and any person purporting to given consent on his or her behalf, and
(ii) that the person has actually given consent;
(b) governing the effect of consent where personal data is to be used for the purposes of scientific research.
12.- Information to be provided to data subject
(1) A controller must ensure as far as practicable that where personal data have been obtained by the controller from the data subject, the data subject is provided with, or has made readily available to him or her, the specified information at the same time as the data are obtained.
(2) Where personal data were not obtained from the data subject, the controller must ensure that the specified information is provided or made readily available to the data subject before the relevant time except where:
(a) the data were are already in his or her possession;
(b) paragraph (6) applies; or
(c) Regulations so specify.
(3) For the purposes of this Article, the relevant time is:
(a) a reasonable period after obtaining the personal data, but at the latest within 4 weeks, having regard to the specific circumstances in which the personal data are processed;
(b) if the personal data are to be used for communication with the data subject, at the latest at the time of the first communication to that data subject; or
(c) if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed.
(4) For the purposes of this Article, the specified information is all of the following:
(a) the identity and contact details of the controller, and (where applicable), the controller’s representative;
(b) the contact details of the data protection officer (if any);
(c) the purposes for which the data are intended to be processed and the legal basis for the processing;
(d) an explanation of the legitimate interests pursued by the controller or by a third party, if the processing is based on those interests;
(e) the recipients or categories of recipients of the personal data (if any);
(f) where applicable, the fact that the controller intends to transfer personal data to a third country or international organization and whether or not there is an adequate level of protection for the rights and freedoms of data subjects within the meaning of Article 66;
(g) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;
(h)information concerning the rights of data subjects under Part 6, to the extent that these apply;
(i) where the processing is based on consent, the existence of the right to withdraw consent under Article 11(3)(e);
(j) the existence of any automated decision-making, as referred to in Article 38, and any meaningful information about the logic involved in such decision-making as well as the significance and the envisaged consequences of such processing for the data subject;
(k) a statement of the right to complain to the Authority;
(l) whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and the possible consequences of failing to provide such data;
(m) where the personal data are not obtained directly from the data subject, information identifying the source of the data;
(n) any further information that is necessary, having regard to the specific circumstances in which the data are or are to be processed, to enable processing in respect of the data subject to be fair.
(5) The specified information:
(a) must be provided in an intelligible form using clear language;
(b) may be supplemented by standardized machine-readable icons, and if so, the use of such icons is subject to such requirements that the Minister may, by Order, prescribe.
(6) Paragraph (2) does not apply if the controller believes that:
(a) providing the specified information is impossible, would involve a disproportionate effort on the part of the controller, or is likely to prejudice the objectives of the processing and the controller records the reasons for its belief and retains this record while it retains the data; or
(b) the recording of the information to be contained in the data, or the disclosure of the data by the controller, is necessary for compliance with any legal obligation to which the controller is subject, other than an obligation imposed by contract; or
(c) the data are held subject to an obligation of professional secrecy regulated by law (whether in Jersey or elsewhere).
(7) Where the controller does not provide the information the controller must take appropriate measures to protect the data subject’s rights and interests, which may include making the specified information publicly available.
13.- Purposes of processing
(1) Paragraph (2) applies where personal data are processed for a purpose other than that for which they were collected without the consent of the data subject and such processing is not authorized by the relevant law.
(2) Where this paragraph applies, the controller must assess whether that processing is compatible with the purposes for which the personal data were collected by taking into account factors that include:
(a) any link between the purposes for which the data have been collected and the purposes of the intended further processing;
(b) the context in which the data have been collected, in particular regarding the relationship between data subjects and the controller;
(c) the nature of the data, in particular whether it is special category data;
(d) the possible consequences of the intended further processing for data subjects; and
(e) the existence of appropriate safeguards.
(3) Where the controller intends to process personal data further, for a purpose other than that for which the data were collected, the controller must provide the data subject with information on that other purpose, together with the specified information referred to in Article 12(4) before that further processing takes place.
PART 3.- OTHER DUTIES OF CONTROLLERS
14.- Duty to comply with Law and keep records
(1) A controller is responsible for:
(a) implementing proportionate technical and organizational measures to ensure processing is performed in accordance with this Law; and
(b) demonstrating that those measures are in place so that processing is indeed performed in accordance with this Law.
(2) The measures referred to in paragraph (1) may include the adoption of appropriate data protection policies by the controller.
(3) The controller and any representative of the controller must maintain a written record of the processing activities for which the controller or representative is responsible containing:
(a) the name and contact details of the controller and any joint controller, representative of the controller or data protection officer;
(b) the purposes of the processing;
(c) a description of the categories of data subjects and personal data processed;
(d) a description of the recipients (if any) to whom the controller intends to, or may wish to, disclose the data;
(e) where it is envisaged that data will be transferred to a third country or an international organization, the name of that country or organization, and in the case of transfers referred to in paragraph 9 of Schedule 3, the appropriate safeguards that are put in place;
(f) where possible, the envisaged data retention periods for different categories of data; and
(g) where possible, a general description of the technical and organizational measures implemented in respect of the processed data.
(4) Adherence to a code or evidence of certification may provide evidence that an individual controller has complied with this Article.
(5) In this Article “proportionate” means proportionate having regard to:
(a) the nature, scope, context and purposes of processing;
(b) the risk and likelihood of prejudice to the rights of data subjects;
(c) best practices in technical and organizational measures;
(d) the state of technological development; and
(e) the costs of implementation.
15.- Data protection by design and by default
(1) A controller must, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organizational measures that are designed to:
(a) implement the data protection principles in an effective manner; and
(b) integrate the necessary safeguards into the processing to meet the requirements of this Law and protect the rights of data subjects.
(2) In determining whether or not a measure is appropriate for the purposes of this Article, regard must be had to the state of technological development, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing.
(3) The technical and organizational measures must ensure as far as practicable that, by default:
(a) only personal data that are necessary for each specific purpose of the processing are processed; and
(b) personal data are not made accessible to an indefinite number of natural persons without the data subject’s consent or other lawful authority.
(4) Paragraph (3) applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility.
(5) Adherence to a code or evidence of certification may provide evidence that an individual controller has or has not contravened paragraph (1).
16.- Data protection impact assessments required for high risk processing
(1) Where a type of processing is likely to result in a high risk to the rights and freedoms of natural persons, a controller must carry out an assessment of the impact of the envisaged processing operations on the protection of personal data before the processing, to be known as a data protection impact assessment.
(2) In assessing the risk to the rights and freedoms of natural persons, regard must be had in particular to the use of new technologies, and the nature, scope, context and purposes of the processing.
(3) Where more than one processing operation is similar as to the degree of risk involved, the risks may be assessed using a single assessment.
(4) When carrying out a data protection impact assessment, the controller must seek the advice of the data protection officer, where one is appointed.
(5) A data protection impact assessment is, in particular, required in the case of:
(a) a systematic and extensive evaluation of personal aspects relating to natural persons that is based on automated processing, and on which decisions are based that produce legal effects concerning, or similarly significantly affecting, those persons;
(b) the processing of special category data on a large scale; or
(c) a systematic monitoring of a publicly accessible area on a large scale.
(6) A data protection impact assessment must contain the following minimum requirements:
(a) a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller;
(b) an assessment of the necessity and proportionality of the processing operations in relation to the purposes;
(c) an assessment of the risks to the rights and freedoms of natural persons referred to in paragraph (1); and
(d) the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Law, taking into account the rights and legitimate interests of any person.
(7) The Authority may publish a list of the types of processing operation that are subject to the requirement for a data protection impact assessment and those types of processing operation for which no data protection impact assessment is required.
(8) Where appropriate, the controller must seek the views of data subjects or their representatives on the intended processing, without limiting the protection of commercial or public interests or the security of processing operations.
(9) Paragraphs (1) to (6) do not apply where:
(a) processing in accordance with paragraphs 4 (public functions) and 7 (other legal obligations) of Schedule 2 has a legal basis and is regulated by the relevant law; and
(b) a data protection impact assessment has already been carried out as part of a general impact assessment in the context of the adoption of that legal basis.
(10) The controller must review, and where appropriate, revise the data protection impact assessment where:
(a) there is a change in the risks posed to the rights and freedoms of data subjects by the processing operations; or
(b) the controller otherwise considers it necessary.
(11) A review under paragraph (10) must include a review of:
(a) whether the processing operations being carried out accord with those described in the data protection impact assessment; and
(b) whether the measures established and carried out to address the risks of processing accord with those envisaged in the data protection impact assessment.
17.- Prior consultation required for high risk processing
(1) This Article applies where a data protection impact assessment indicates that any processing would pose a high risk to the rights and freedoms of natural persons in the absence of measures taken by the controller to mitigate the risk.
(2) Before starting the processing, the controller must consult the Authority giving the following information in writing:
(a) where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the proposed processing, in particular for processing within a group of undertakings;
(b) a copy of the data protection impact assessment;
(c) the contact details of any data protection officer; and
(d) any other information required by the Authority.
(3) Where the Authority considers that the proposed processing would be in contravention of this Law, in particular where the controller has insufficiently identified or mitigated the risk, the Authority:
(a) must give written notice of its opinion to the controller and, where applicable to the processor; and
(b) may exercise any power conferred on the Authority by this Law or the Authority Law in relation to a contravention or potential contravention of a requirement of this Law.
(4) The Authority must give the notice required by paragraph (3)(a):
(a) without undue delay; and
(b) in any event within 8 weeks of receiving the information from the controller under paragraph (2).
(5) The Authority may extend the period in paragraph (4)(b) by a further 6 weeks taking into account the complexity of the intended processing, but in this case, the Authority must inform the controller and, where applicable, the processor, of the extension and the reasons for it within 4 weeks of receiving the information from the controller under paragraph (2).
(6) If the Authority has requested information from the controller or the processor for the purposes of the consultation, any period of time spent awaiting the provision of that information must be discounted from each period specified in paragraph (4)(b) or (5).
18.- Prior consultation required for high risk legislation
(1) This Article applies where any draft Law or Regulations, or any proposal under Article 31 of the States of Jersey Law 2005 [6], is or are to be lodged au Greffe in accordance with standing orders [7] made under Article 48 of that Law, or any draft Jersey legislation that a Minister is responsible for making is to be made:
(a) that would require, authorize or otherwise relate to the processing of personal data; and
(b) taking into account the nature, scope and purposes of the processing, is likely to result in a high risk to the rights and freedom of natural persons.
(2) The Minister or other person responsible for the lodging or making, as the case may be, must consult the Authority by means of a written notice, to be known as a “consultation notice”.
(3) The consultation notice must include any data protection impact assessment carried out in connection with the proposed processing of personal data mentioned in paragraph (1)(a) and, unless included within such an assessment:
(a) a systematic description of the proposed processing (including the means of processing), its purposes and the objectives of the provisions of the legislation effecting it;
(b) an assessment of the necessity (including proportionality) of the proposed processing in relation to those objectives;
(c) an assessment of the risks to the rights and freedoms of data subjects posed by the processing; and
(d) the measures envisaged to address those risks, including appropriate safeguards, security measures and mechanisms to ensure the protection of personal data and demonstrate compliance with this Law, taking into account the rights and freedoms of data subjects.
19.- Appointment of processor
(1) Where processing is to be carried out on behalf of a controller, the controller must use only processors that provide sufficient guarantees to implement appropriate technical and organizational measures in such a manner that processing will meet the requirements of this Law and ensure the protection of the rights of the data subject.
(2) The processor must not engage another processor without prior specific or general written authorization of the controller, and where the authorization is general, the processor must inform the controller of any intended changes concerning the addition or replacement of other processors, so that the controller may object to the changes.
(3) Processing by a processor must be governed by a contract or other legal act under the relevant law, that:
(a) is binding on the processor with regard to the controller; and
(b) sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller.
(4) The contract or other legal act must, in particular, stipulate that the processor:
(a) processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organization, unless required to do so by the relevant law to which the processor is subject, in which case the processor must inform the controller of that legal requirement before processing, unless that law prohibits such information being given;
(b) ensures that persons authorized to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality;
(c) takes all measures required by Article 21;
(d) respects the conditions referred to in paragraphs (2), (6) and (7) for engaging another processor;
(e) taking into account the nature of the processing, assists the controller by appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of the controller’s obligation to respond to requests for exercising the data subject’s rights set out in Part 6;
(f) assists the controller in ensuring compliance with the obligations under Articles 16, 20 and 21, taking into account the nature of processing and the information available to the processor;
(g) at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless the relevant law requires storage of the personal data;
(h) makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allows for and contributes to audits, including inspections, conducted by the controller or another auditor mandated by the controller.
(5) With respect to paragraph (4)(h), the processor must immediately inform the controller if, in its opinion, an instruction infringes this Law or other data protection provisions of the relevant law.
(6) Where the processor engages another processor the obligations set out in paragraph (4) must, in particular, provide sufficient guarantees to implement appropriate technical and organizational measures in such a manner that the processing will meet the requirements of this Law and where that other processor fails to fulfil those obligations, the initial processor remains fully liable to the controller for the performance of that other processor’s obligations.
(7) Adherence to a code or evidence of certification may provide evidence that an individual processor has complied with paragraphs (1) and (6).
(8) Without limiting the provisions of an individual contract between the controller and the processor, the contract or the other legal act referred to in paragraph (4) may be based, in whole or in part, on standard contractual clauses as referred to in paragraph (9).
(9) The Authority may publish standard contractual clauses for the matters referred to in paragraphs (4) to (6).
(10) The contract or the other legal act referred to in this Article must be in writing.
20.- Notification of breach
(1) In the case of a personal data breach, the controller must, without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach in writing to the Authority in the manner required by the Authority, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons.
(2) If the notification to the Authority is not made within 72 hours, it must be accompanied by reasons for the delay.
(3) The notification referred to in paragraph (1) must:
(a) describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned;
(b) communicate the name and contact details of the data protection officer or other contact point where more information can be obtained;
(c) describe the likely consequences of the personal data breach; and
(d) describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects.
(4) Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay.
(5) The controller must document any personal data breaches, including the facts relating to the personal data breach, its effects and the remedial action taken, in such detail as will enable the Authority to verify compliance with this Article.
(6) If the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller must communicate the breach to the data subject:
(a) without undue delay; and
(b) in clear and plain language describing the nature of the personal data breach; and
(c) giving the information referred to in paragraph (3)(b) to (d).
(7) Despite paragraph (6) communication is not required if:
(a) the controller has implemented proportionate technical and organizational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular measures that render the personal data unintelligible to any person who is not authorized to access it, such as encryption;
(b) the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph (6) is no longer likely to materialize; or
(c) it would involve disproportionate effort, in which case there must instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner.
(8) If the controller has not already communicated the personal data breach to the data subject, the Authority, having considered the likelihood of the personal data breach resulting in a high risk to the rights and freedoms of natural persons, may require it to do so or may decide that any of the conditions referred to in paragraph (7) are met.
PART 4.- JOINT SECURITY DUTY AND DUTIES OF PROCESSORS
21.- Security of personal data
(1) Controllers and processors must implement technical and organizational measures against unauthorized or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data that are proportionate to the risk of harm posed to the rights of data subjects by such events.
(2) The technical measures that the controller may take to ensure a level of security appropriate to the risk include:
(a) the pseudonymization and encryption of personal data;
(b) the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;
(c) the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident;
(d) a process for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the security of the processing.
(3) Adherence to a code or evidence of certification may provide evidence that an individual controller has complied with paragraph (1).
(4) Controllers and processors must take reasonable steps to ensure the proper performance of duties by any person under the controller’s or the processor’s authority.
(5) If processing of personal data is carried out by a processor on behalf of a controller, the controller must:
(a) choose a processor providing sufficient guarantees in respect of the technical and organizational security measures governing the processing to be carried out; and
(b) take reasonable steps to ensure compliance with those measures.
(6) If processing of personal data is carried out by a processor on behalf of a controller, the processing must be carried out under a contract:
(a) that is made or evidenced in writing;
(b) under which the processor is to act only on instructions from the controller; and
(c) that requires the processor to comply with obligations equivalent to those imposed on a controller under this Article.
(7) The Minister may, by Order, amend the technical measures in paragraph (2).
(8) In this Article “proportionate” means proportionate having regard to:
(a) the nature, scope, context and purposes of processing;
(b) the risk and likelihood of prejudice to the rights of data subjects;
(c) best practices in technical and organizational measures;
(d) the state of technological development; and
(e) the costs of implementation.
22.- General obligations on processors
(1) A processor must:
(a) if established in Jersey, cause or permit personal data to be processed only if the processor meets the requirement to be registered under Article 17 of the Authority Law;
(b) pay such charges to the Authority as Regulations under Article 18 of the Authority Law may prescribe;
(c) comply with the requirements on processors set out in Articles 19 and 23;
(d) implement appropriate technical and organizational security measures to protect personal data against accidental or unlawful destruction or loss, alteration, unauthorized disclosure or access;
(e) keep records of the processor’s data processing activities in accordance with this Law and disclose them on request to the Authority;
(f) ensure that any personal data that it processes are kept confidential;
(g) notify the controller without undue delay after becoming aware of a personal data breach;
(h) appoint a data protection officer if required to do so by Article 24;
(i) comply with Article 65 regarding cross-border data transfers;
(j) co-operate with any requests of the Authority under this Law or the Authority Law; and
(k) comply with any order of the Authority under Article 25 of, and an information notice of the Authority under paragraph 1 of Schedule 1 to, the Authority Law.
(2) Paragraph (1)(e) does not apply in the case of organizations with fewer than 250 employees unless the processing:
(a) is likely to result in a risk to the rights and freedoms of data subjects;
(b) is not occasional; or
(c) includes special category data or relates to criminal convictions or related security measures.
(3) A processor is liable to a data subject for any damage suffered as a result of processing that contravenes this Law.
(4) However, the processor is liable for the damage only where:
(a) it has not complied with the obligations placed on processors by this Law; or
(b) it acted outside of or contrary to the lawful instructions of the controller.
(5) Adherence to a code or evidence of certification may provide evidence that an individual processor has complied with a particular obligation of this Article.
(6) Regulations may prescribe mandatory terms that must be implied into processing contracts.
23.- Processing obligations
(1) The processor and any person acting under the authority of the controller or of the processor who has access to personal data, must not process those data unless:
(a) instructed to do so by the controller; or
(b) required to do so by the relevant law.
(2) Unless required to do so by the relevant law, a processor is taken to be a controller if the processor processes personal data other than in accordance with the instructions of the controller.
(3) A processor must maintain a record of all categories of processing activities carried out on behalf of a controller, containing:
(a) the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller’s or the processor’s representative, and the data protection officer;
(b) the categories of processing carried out on behalf of each controller;
(c) where applicable, transfers of personal data to a third country or an international organization, including the identification of that third country or international organization and, in the case of transfers referred to in paragraph 9 of Schedule 3, the documentation of suitable safeguards; and
(d) where possible, a general description of the technical and organizational security measures referred to in Article 21.
PART 5.- DATA PROTECTION OFFICER
24.- Appointment of data protection officer
(1) The controller and the processor must appoint a data protection officer in any case where:
(a) the processing is carried out by a public authority, except for courts acting in their judicial capacity;
(b) the core activities of the controller or the processor consist of processing operations that, by virtue of their nature, scope or purposes, require regular and systematic monitoring of data subjects on a large scale;
(c) the core activities of the controller or the processor consist of processing special category data on a large scale; or
(d) it is required by the relevant law.
(2) A group of undertakings may appoint a single data protection officer provided that the data protection officer is easily accessible from each establishment.
(3) Where the controller or the processor is a public authority, a single data protection officer may be appointed for several such authorities or bodies, taking account of their organizational structure and size.
(4) However, a single data protection officer is permissible in the circumstances set out in paragraph (2) or (3) only if the officer is easily accessible to:
(a) all data subjects;
(b) the Authority; and
(c) the controller or processor who appointed the officer along with such of the controller or processor’s employees as carry out data processing.
(5) In cases other than those referred to in paragraph (1), the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by the relevant law, must, appoint a data protection officer and the data protection officer may act for such associations and other bodies representing controllers or processors.
(6) The data protection officer must be appointed on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the duties set out in Article 26.
(7) The data protection officer may be a staff member of the controller or processor, or fulfil the duties on the basis of a service contract.
(8) The controller or the processor must publish the contact details of the data protection officer and communicate them to the Authority.
(9) Regulations may amend paragraph (1) so as to vary the circumstances in which a data protection officer must be appointed.
(10) In this Article “core activities” means the primary activities of the controller and does not mean the activity of processing of personal data where this is an ancillary activity.
25.- Position of data protection officer
(1) The controller and the processor:
(a) must ensure that the data protection officer is involved, properly and in a timely manner, in all issues that relate to the protection of personal data;
(b) must support the data protection officer in performing the duties set out in Article 26 by providing:
(i) the resources, and
(ii) access to personal data and processing operations, necessary to carry out those duties and to maintain his or her expert knowledge;
(c) must ensure that the data protection officer operates independently and does not receive any instructions regarding the performance of those duties other than to perform them to the best of the officer’s ability and in a professional and competent manner;
(d) must not dismiss or penalize the data protection officer for performing his or her duties other than for failing to perform them as required by sub-paragraph (c).
(2) The data protection officer must directly report to the highest management level of the controller or the processor.
(3) Data subjects may contact the data protection officer with regard to any issue related to processing of their personal data and to the exercise of their rights under this Law.
(4) The data protection officer must treat information relating to the performance of his or her duties as confidential, except to the extent that this would be incompatible with his or her duties under this Law or the Authority Law.
(5) The data protection officer may carry out other functions but the controller or processor must ensure that any such functions do not result in any conflict of interest as regards the data protection officer’s duties under this Law.
26.- Duties of data protection officer
(1) The data protection officer’s duties include:
(a) informing and advising the controller or the processor and the employees who carry out processing of their obligations under the relevant law;
(b) monitoring compliance with this Law and any other enactment relating to data protection and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits;
(c) providing advice where requested as regards a data protection impact assessment and monitoring the process covered by it;
(d) co-operating with the Authority on request;
(e) acting as the contact point for the Authority on data processing matters;
(f) acting as a contact point for data subjects with regard to all issues relating to the processing of their personal data and exercise of their rights under this Law;
(g) with respect to data protection impact assessments, advising on:
(i) whether or not to carry out the assessment,
(ii) the methodology that should be followed in carrying it out,
(iii) whether to carry it out in-house or to outsource it,
(iv) what safeguards (including technical and organizational measures) to apply to mitigate any risks to the rights and interests of data subjects,
(v) whether or not the assessment has been carried out correctly and whether its conclusions (whether or not to go ahead with the processing and what safeguards are to apply) are in compliance with this Law, and
(vi) any consultation with the Authority under Article 17 or 18.
(2) The data protection officer, in the performance of his or her duties, must have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing.
(3) Regulations may amend this Article so as to vary the duties of a data protection officer.
PART 6.- RIGHTS OF DATA SUBJECTS
27.- Handling of requests by data subjects
(1) Where so requested by the data subject under the following provisions of this Part, a controller must take such action as the controller considers appropriate, and provide information on the action taken to that data subject, without undue delay and in any event within 4 weeks of receipt of the request.
(2) The period of 4 weeks may be extended by a further 8 weeks where necessary, taking into account the complexity and number of the requests, and the controller must inform the data subject of any such extension within 4 weeks of receipt of the request, together with the reasons for the delay.
(3) Where the data subject makes the request by electronic means, the information must be provided by electronic means where possible, unless otherwise requested by the data subject.
(4) If the controller does not take any action under paragraph (1), the controller must inform the data subject without delay and at the latest within 4 weeks of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with the Authority and seeking a judicial remedy.
(5) Specified information provided under Article 12 and any communication or other action taken under Article 20 or any provision of this Part must be provided free of charge.
(6) Where requests from a data subject are manifestly vexatious, unfounded or excessive, in particular because of their repetitive character, the burden of proving which is on the controller, the controller may either:
(a) charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the other action requested; or
(b) refuse to act on the request.
(7) Without limiting Article 5, where the controller has reasonable doubts concerning the identity of the individual making any request under this Part, the controller may request the provision of additional information necessary to confirm the identity of the data subject and is not obliged to enable the individual’s rights to be exercised unless supplied with that information.
(8) The controller must communicate any rectification or erasure of personal data or restriction of processing carried out in accordance with Articles 31 to 33 to each recipient to whom the personal data have been disclosed, unless this is impossible or involves disproportionate effort, and must inform the data subject about those recipients if the data subject requests it.
(9) Regulations may amend this Article so as to vary any of the requirements specified, or any provision as to the manner in which requests to exercise those requirements must or may be made.
28.- Right of access requests: general
(1) An individual is entitled to be informed by a controller whether personal data of which that individual is the data subject are being processed by or on behalf of that controller, and, if that is the case, to be given information as to:
(a) the purposes for which they are being or are to be processed by or on behalf of that controller;
(b) the categories of personal data concerned;
(c) the recipients or classes of recipients to whom they are or may be disclosed by or on behalf of that controller, in particular recipients in third countries or international organizations;
(d) where possible, the envisaged period for which the personal data will be stored or, if not possible, the criteria used to determine that period;
(e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject under Articles 31 to 33 or to object to such processing;
(f) the right to lodge a complaint with the Authority;
(g) where the personal data are not collected from the data subject, any available information as to their source; and
(h) the existence of automated decision-making referred to in Article 38(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.
(2) Where personal data are transferred to a third country or to an international organization, the data subject has the right to be informed of the appropriate safeguards under Article 67 relating to the transfer.
(3) Without limiting the rights and freedoms of other persons, a data subject is entitled to obtain from the relevant controller the following in intelligible form:
(a) the information constituting any personal data of which the individual is the data subject and a copy of that data; and
(b) further copies of those data on payment of a fee of such amount as will enable the controller to cover its administrative costs.
(4) If the supplying of information under this Article would require the disclosing of information relating to another individual who can be identified from that information, the controller is not obliged to enable such information to be supplied unless:
(a) the other individual has consented to the disclosure of the information to the person making the request; or
(b) it is reasonable in all the circumstances to do so without the consent of the other individual.
(5) In paragraph (4), the reference to information relating to another individual includes a reference to information identifying that individual as the source of the information sought in the request.
(6) Paragraph (4) is not to be construed as excusing a controller from communicating so much of the information sought in the request as can be communicated without disclosing the identity of the other individual concerned, whether by the omission of names or other identifying particulars or otherwise.
(7) For the purposes of paragraph (4)(b), regard must be had, in particular, to:
(a) any duty of confidentiality owed to the other individual;
(b) any steps taken by the controller to seek the consent of the other individual;
(c) whether the other individual is capable of giving consent; and
(d) any express refusal of consent by the other individual.
29.- Right of access requests: information contained in health records
(1) A controller who is not a health professional must not, on the ground of the exemption in Article 61(2), refuse a request under Article 28 for information contained in a health record unless:
(a) after receiving the request, the controller consulted the appropriate health professional on the question whether the exemption applies and obtained his or her a written opinion that it does so apply; or
(b) the following conditions are satisfied:
(i) the controller consulted a health professional before receiving the request,
(ii) the health professional was the health professional who would, if the controller had carried out the consultation under sub-paragraph (a), have been the appropriate health professional, and
(iii) the controller obtained a written opinion from the health professional that the exemption applied to the information.
(2) The conditions referred to in paragraph (1)(b) are taken not to be satisfied if the opinion was obtained:
(a) before the start of the period of 26 weeks that ends at the beginning of the 4-week period referred to in Article 27(1) in respect of the request; or
(b) within that period of 26 weeks but it is reasonable in all the circumstances to consult the appropriate health professional again.
(3) A controller who is not a health professional must not supply information contained in a health record in response to a request under Article 28 unless the controller has first consulted the appropriate health professional on the question whether the exemption set out in Article 61(2) applies with respect to the information.
(4) Paragraph (3) does not operate in relation to a request to the extent that the request relates to information that the controller is satisfied has previously been supplied to the data subject or is already within the knowledge of the data subject.
(5) Paragraph (3) does not operate in relation to a request if the following conditions are satisfied:
(a) the controller consulted a health professional before receiving the request;
(b) the health professional was the health professional who would, if the controller had carried out the consultation under paragraph (3), have been the appropriate health professional;
(c) the controller obtained a written opinion from the health professional that the exemption set out in Article 61(2) did not apply with respect to the information that is the subject of the request.
(6) In this Article, “appropriate health professional” means:
(a) if the controller is the Minister for Social Security and the personal data are processed in connection with the exercise of the functions conferred on him or her in respect of health insurance or social security, a health professional who appears to the controller to have the necessary experience and qualifications to advise on the matters to which the information relates;
(b) in other cases, the health professional who appears to the controller to be currently or to have been most recently responsible for the clinical care of the data subject in connection with the matters to which the information relates.
(7) If, in the application of paragraph (6), more than one health professional would be chosen, the appropriate health professional is the one who appears to the controller to be the most suitable to advise on the matters to which the information relates.
(8) If, in the application of paragraph (6), no health professional would be chosen, the appropriate health professional is a health professional who appears to the controller to have the necessary experience and qualifications to advise on the matters to which the information relates.
30.- Treatment of right of access requests
(1) Regulations may provide that, in such cases as may be prescribed, a request under Article 28 for information referred to in any provision of Article 28 is to be treated as a request for information referred to in any other provision of Article 28.
(2) Article 28(1)(h) is not to be regarded as requiring the provision of information as to the logic involved in any decision-taking to the extent that the information constitutes a trade secret.
(3) Information supplied under Article 28 must be supplied by reference to the data in question at the time when the request for the data is received, except that account may be taken of any amendment or deletion made between that time and the time when the information is supplied, being an amendment or deletion that would have been made regardless of the receipt of the request.
(4) For the purposes of Article 28(5) and (7), another individual can be identified from the information being disclosed if the individual can be identified from that information, or from that and any other information that, in the reasonable belief of the controller, is likely to be in, or to come into, the possession of the data subject making the request.
31.- Right to rectification
(1) A data subject who disputes the accuracy or completeness of personal data may make a written request to the controller to rectify or change the personal data, stating the inaccuracy or explaining why the personal data is incomplete.
(2) Before complying with a request under paragraph (1) the controller may require from the data subject such further information as may be appropriate regarding the purposes of processing the data in order to verify that the requested rectification or completion is accurate.
(3) On consideration of a request under paragraph (1), the controller must:
(a) where the controller is able, by taking reasonable steps, to confirm that the personal data are inaccurate or incomplete, rectify or complete the data;
(b) where the controller is satisfied as to the accuracy and completeness of the personal data, take no action regarding the data; or
(c) where it is not reasonable to expect the controller to confirm or verify the accuracy or completeness of the personal data, add to the personal data a statement to the effect that the data subject disputes the accuracy or (as the case may be) completeness of that personal data.
(4) Without limiting paragraph (2), before taking any action under paragraph (3)(c) the controller may request that the data subject provide a written statement that includes information as to the additional data needed to rectify or complete it.
32.- Right to erasure
(1) Where so required by the data subject the controller must erase personal data without undue delay where one of the following grounds applies:
(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
(b) the data subject withdraws consent given under paragraph 1 or 6 of Schedule 2 and there is no other legal ground for the processing;
(c) the data subject objects to the processing:
(i) under Article 35, where there are no overriding legitimate grounds or reasons of public interest for the processing, or
(ii) under Article 36;
(d) the personal data have been unlawfully processed;
(e) the personal data have to be erased for compliance with a legal obligation under the relevant law to which the controller is subject;
(f) the personal data have been collected in relation to the offer of information society services directly to a child who is unable to give valid consent under Article 11(4).
(2) Where the controller has made the personal data public and is obliged under paragraph (1) to erase it, the controller, taking account of available technology and the cost of implementation, must take reasonable steps, including technical measures, to inform other controllers that are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.
(3) Paragraphs (1) and (2) do not apply to the extent that processing is necessary:
(a) for exercising the rights of freedom of expression and information;
(b) for compliance with a legal obligation which requires processing by the relevant law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
(c) for reasons of public interest in the area of public health in accordance with paragraph 16 of Schedule 2;
(d) for any purposes described in paragraph 17 of Schedule 2 (archiving and research) in so far as the right referred to in paragraph (1) is likely to render impossible or seriously impair the achievement of the objectives of that processing; or
(e) for the establishment, exercise or defence of legal claims.
(4) Regulations may prescribe further circumstances in which the right to erasure of personal data may or may not be exercised including the establishment of time limits for that erasure.
33.- Right to restriction of processing
(1) The data subject has the right to obtain from the controller restriction of processing where one of the following circumstances applies:
(a) the accuracy of the personal data is contested by the data subject, for such a period as will enable the controller to verify the accuracy of the personal data;
(b) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;
(c) the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims;
(d) the data subject has objected to processing under Articles 35 pending the verification whether the legitimate grounds or reasons of public interest of the controller override those of the data subject.
(2) Where processing has been restricted under paragraph (1), the personal data affected, with the exception of storage, may be processed only:
(a) with the data subject’s consent;
(b) for the purposes set out in paragraph 12 of Schedule 2 (legal proceedings etc.);
(c) for the purposes set out in paragraph 3 or 9 of Schedule 2 (vital interests); or
(d) for the purposes set out in paragraph 14 of Schedule 2 (public interest).
(3) The controller must inform a data subject who has obtained restriction of processing under paragraph (1) before lifting the restriction of processing.
34.- Right to data portability
(1) Where paragraph (2) applies the data subject has the right:
(a) to receive the personal data concerning him or her that he or she has provided to a controller in a structured, commonly used and machine-readable format; and
(b) to transmit those data to another controller where technically feasible without hindrance from the controller to which the personal data have been provided.
(2) This paragraph applies where:
(a) the processing is based on consent under paragraph 1 or 6 of Schedule 2 or on a contract under paragraph 2 of that Schedule; and
(b) the processing is carried out by automated means.
(3) In exercising his or her right to data portability under paragraph (1), the data subject has the right to have the personal data transmitted directly from one controller to another, where technically feasible.
(4) The exercise of the right referred to in paragraph (1) does not affect the right to erasure under Article 32 save that the right to erasure does not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.
(5) The right referred to in paragraph (1) does not apply to the extent that to comply with it would adversely affect the rights and freedoms of others.
35.- Right to object to processing for purpose of public functions or legitimate interests
(1) Where the processing of any personal data is based exclusively on the conditions in paragraph 4 (public functions) or 5 (legitimate interests) of Schedule 2, or any combination of those conditions:
(a) the data subject has the right to object to the processing; and
(b) the controller must notify the data subject of the processing and the data subject’s right to object to it.
(2) The notification required by paragraph (1)(b) must be given to the data subject:
(a) at or before the time of the controller’s first communication with the data subject;
(b) explicitly; and
(c) separately from any other matters notified to the data subject.
(3) Subject to paragraph (4), the controller must cease the processing if the data subject objects to the processing in accordance with paragraph (1)(a) by written notice to the controller, including, where the processing is in the context of information society services, by notice given by automated means and, if appropriate, using technical specifications to do so.
(4) Paragraph (3) does not apply where the controller demonstrates that there are compelling legitimate or public interests in continuing to process the data that:
(a) outweigh the interests, rights and freedoms of the data subject; or
(b) are necessary for the establishment, exercise or defence of legal claims.
36.- Right to object to processing for direct marketing purposes
(1) Where the processing of any personal data is for direct marketing purposes:
(a) the data subject has the right to object to the processing to the extent that it is related to that direct marketing; and
(b) the controller must notify the data subject of the processing and the right to object.
(2) The notification required by paragraph (1)(b) must be given to the data subject:
(a) at or before the time of the controller’s first communication with the data subject;
(b) explicitly; and
(c) separately from any other matters notified to the data subject.
(3) The controller must cease the processing if the data subject objects to the processing in accordance with paragraph (1)(a) by written notice to the controller, including, where the processing is in the context of information society services, notice given by automated means and, if appropriate, using technical specifications to do so.
37.- Right to object to processing for historical or scientific purposes
(1) A data subject has the right to object to any processing of personal data where the lawfulness of the processing is based solely on the processing being necessary for any of the purposes set out in paragraph 17 of Schedule 2 (archiving and research).
(2) Where a data subject has objected in accordance with paragraph (1) to any processing, the controller must cease the processing unless:
(a) the purpose for which the personal data is processed relates to an objective that is in the public interest; and
(b) the public interest in the objective outweighs the data subject’s interests.
38.- Right regarding automated individual decision-making
(1) The data subject has the right not to be subject to a decision based solely on automated processing that produces legal effects or similarly significantly affects him or her.
(2) Paragraph (1) does not apply if the decision:
(a) is necessary for entering into, or performance of, a contract between the data subject and a controller;
(b) is authorized by the relevant law to which the controller is subject and which also lays down suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests; or
(c) is based on the data subject’s explicit consent.
(3) In the cases referred to in paragraph (2)(a) and (c), the controller must implement suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests, including the right to obtain human intervention on the part of the controller, so that the data subject can express his or her point of view and contest the decision.
(4) Decisions referred to in paragraph (2) must not be based on special category data unless paragraph 6 (consent) or 14 (public interest) of Schedule 2 applies and appropriate safeguards of the data subject’s rights and freedoms and legitimate interests are in place.
39.- Certain contractual terms relating to health records void
(1) A term or condition of a contract is void in so far as it purports to require an individual to supply, or produce, to any other person a record to which this Article applies, or with a copy of such a record or a part of such a record.
(2) This Article applies to any record that may be obtained by a data subject in the exercise of the right conferred by Article 28 and consists of the information contained in any health record.
PART 7.- EXEMPTIONS
DIVISION 1.- GENERAL AND WIDER EXEMPTIONS
40.- Effect of this Part
Except as provided by or under this Part, the transparency and subject rights provisions have effect despite any enactment or rule of law (whether an enactment or rule of law of Jersey or of another jurisdiction) prohibiting or restricting the disclosure, or authorizing the withholding, of information.
41.- National security
(1) The processing of personal data necessary for the purpose of safeguarding national security is exempt from:
(a) the data protection principles;
(b) the transparency and subject rights provisions;
(c) the offence in Article 71; and
(d) Parts 3 and 4 of the Authority Law.
(2) A certificate signed by the Minister for Home Affairs certifying that exemption from all or any of those provisions is or at any time was required for the purpose there mentioned in respect of any personal data is sufficient evidence of that fact.
(3) The certificate may identify the personal data to which it applies by means of a general description and may, but need not, be expressed to have prospective effect.
(4) A person directly affected by the issue of the certificate may apply to the Royal Court for review of the decision to issue the certificate.
(5) If, on such an application, the Court finds that the Minister for Home Affairs did not have reasonable grounds for the decision to issue the certificate, the Court may quash the decision and void the certificate.
(6) The certificate is conclusively presumed to apply unless a court determines otherwise.
(7) In proceedings under paragraph (4) a party may claim that a certificate identifying the personal data to which it applies by means of a general description does not apply to the personal data in question.
(8) A document purporting to be a certificate under this Article must be received in evidence and taken to be such a certificate unless the contrary is proved.
(9) A document that purports to be certified by or on behalf of the Minister for Home Affairs as a true copy of a certificate is evidence of the certificate in any legal proceedings.
(10) No power conferred by any provision of Part 9 of this Law or Part 4 of the Authority Law may be exercised in relation to personal data that are exempt from that provision under this Article.
42.- Criminal record certifications
Despite anything to the contrary in this Law a person may require another person to provide any criminal record certificate that may lawfully be obtained by, or in relation to, the data subject under any provision of the Police Act 1997 of the United Kingdom as it extends to Jersey.
43.- Manual data held by public authorities
Personal data falling within paragraph (d) of the definition “data” in Article 1(1) are exempt from the provisions of this Law except for Articles 28 to 31, this Part and Articles 68 and 71.
44.- Academic, journalistic, literary or artistic material
(1) Personal data that are processed only for special purposes are exempt from the provisions of this Law except for Articles 68 and 69 if:
(a) the processing is undertaken with a view to the publication by any person of any academic, journalistic, literary or artistic material;
(b) having regard in particular to the importance of freedom of expression, the publication of the data would be in the public interest; and
(c) that public interest outweighs the interests of the data subject and the application of those provisions.
(2) In considering whether publication would be in the public interest, regard may be had to the controller’s compliance with any code of practice that is relevant to the publication in question and the extent to which publication is regulated by any other body, whether in Jersey or not.
(3) Regulations may make such further provision as may be necessary or expedient as to the balancing of the rights of data subjects and the public interest in freedom of expression in relation to the processing of data for special purposes.
(4) In this Article “freedom of expression” means the right protected under Article 10 of the European Convention of Human Rights and Fundamental Freedoms as incorporated in the Human Rights (Jersey) Law 2000 [8].
DIVISION 2.- EXEMPTIONS FROM TRANSPARENCY AND SUBJECT RIGHTS PROVISIONS
45.- Crime and taxation
(1) The processing of personal data is exempt from the transparency and subject rights provisions where it is carried out for any of the following purposes:
(a) the prevention, detection, or investigation, anywhere of crime;
(b) the apprehension, or prosecution, anywhere of persons who have committed or are alleged to have committed, an offence anywhere;
(c) the assessment, or collection, anywhere of any tax or duty, or of any imposition of a similar nature, wherever due;
(d) the disclosure to a police officer under Article 32 or 34A, or any Order made under Article 37, of the Proceeds of Crime (Jersey) Law 1999 [9]; or
(e) the reporting of suspicious activities under any Tax Information Exchange Agreement, if the application of those provisions would be likely to prejudice any of those purposes.
(2) Personal data that:
(a) are processed for the purpose of discharging functions under any Law; and
(b) consist of information obtained for such a purpose from a person who had it in the person’s possession for any of the purposes referred to in paragraph (1)(a) to (e), are exempt from the transparency and subject rights provisions to the same extent as personal data processed for any of the purposes referred to in paragraph (1)(a) to (e) if the application of those provisions would be likely to prejudice any of those purposes.
(3) Personal data processed by a public authority are exempt from the transparency and subject rights provisions to the extent to which:
(a) they consist of a classification applied to the data subject as part of a system of risk assessment operated by that authority for any of the purposes set out in paragraph (4); and
(b) the exemption is required in the interests of the operation of the system.
(4) The purposes are:
(a) the assessment or collection of any tax or duty or any imposition of a similar nature;
(b) the prevention or detection of crime; or
(c) the apprehension or prosecution of persons who commit an offence, if the offence concerned involves any unlawful claim for any payment out of, or any unlawful application of, public funds.
46.- Corporate finance
(1) If personal data are processed for the purposes of, or in connection with, a corporate finance service provided by a relevant person:
(a) the data are exempt from the transparency and subject rights provisions in any case to the extent to which either:
(i) the application of those provisions to the data could affect the price of any instrument already in existence or that is to be or may be created, or
(ii) the controller reasonably believes that the application of those provisions to the data could affect the price of any such instrument; and
(b) to the extent that the data are not exempt from the transparency and subject rights provisions by virtue of sub-paragraph (a), they are exempt from those provisions if the exemption is required for the purpose of safeguarding an important economic or financial interest of Jersey.
(2) For the purposes of paragraph (1)(b) a matter may adversely affect an important economic or financial interest of Jersey if it has an inevitable prejudicial effect on:
(a) the orderly functioning of financial markets whether in Jersey or elsewhere; or
(b) the efficient allocation of capital within an economy whether in Jersey or elsewhere, that would result from the application (whether on an occasional or on a regular basis) of the transparency and subject rights provisions to data to which paragraph (3) applies.
(3) The data to which this paragraph applies are any personal data to which the application of the transparency and subject rights provisions could, in the reasonable belief of the relevant person affect:
(a) a decision, in Jersey or elsewhere, of a person whether or not to deal in, subscribe for, or issue, an instrument that is already in existence or is to be or may be created; or
(b) a decision, in Jersey or elsewhere, of a person to act or not to act in a way that is likely to have an effect on a business activity including an effect on:
(i) the industrial strategy of a person (whether the strategy is, or is to be, pursued independently or in association with others),
(ii) the capital structure of a business, or
(iii) the legal or beneficial ownership of a business or asset.
(4) In this Article:
“corporate finance service” means a service consisting in:
(a) underwriting in respect of issues of, or the placing of issues of, any instrument;
(b) advice to businesses on capital structure, industrial strategy and related matters and advice and service relating to mergers and the purchase of businesses; or
(c) services relating to such underwriting as is mentioned in paragraph (a);
“instrument” means an instrument listed in section B of the Annex to the European Council Directive on investment services in the securities field (93/22/EEC) or an investment within the meaning of the Financial Services (Jersey) Law 1998 [10];
“price” includes value;
“relevant person” means:
(a) a registered person within the meaning of the Financial Services (Jersey) Law 1998 (being a person registered under that Law in respect of investment business within the meaning of that Law) or a person who is exempted by that Law from the obligation to be registered under that Law in respect of such investment business;
(b) a person who is an authorized person under the Financial Services and Markets Act 2000 of the United Kingdom, or is an exempt person under that Act, in respect of such investment business;
(c) a person who may be prescribed by Regulations for the purposes of this Article;
(d) a person who, in the course of the person’s employment, provides to the person’s employer a service falling within paragraph (b) or (c) of the definition of “corporate finance service”; or
(e) a partner who provides to other partners in the partnership a service falling within either of those paragraphs.
47.- Trusts
Personal data in respect of a trust are exempt from the transparency and subject rights provisions to the extent that:
(a) in the case of a trust the proper law of which is the law of Jersey, the personal data consist of information the withholding of which by the relevant controller is permitted by Article 29 of the Trusts (Jersey) Law 1984 [11] or the disclosure, erasure or rectification of which by the relevant controller would be contrary to a prohibition or restriction under any rule of law of Jersey; or
(b) in the case of a trust the proper law of which is the law of a jurisdiction other than Jersey, the personal data consist of information the withholding of which by the relevant controller is permitted by or under the law of that jurisdiction or the disclosure, erasure or rectification of which by the relevant controller would be contrary to a prohibition or restriction under the law of that jurisdiction.
48.- Financial loss, charities, health and safety, maladministration and practices contrary to fair trading
(1) Personal data processed for the purposes of discharging any of the functions to which this Article applies are exempt from the transparency and subject rights provisions in any case to the extent to which the application of those provisions to the data would be likely to prejudice the proper discharge of the function.
(2) This Article applies to any function listed in paragraph (3) that is:
(a) conferred on any person by or under any enactment;
(b) conferred on the Crown or a public authority; or
(c) of a public nature and exercised in the public interest.
(3) The functions are:
(a) a function designed for protecting members of the public against:
(i) financial loss due to dishonesty, malpractice or other seriously improper conduct by, or the unfitness or incompetence of, persons concerned in the provision of banking, insurance, investment or other financial services or in the management of bodies corporate,
(ii) financial loss due to the conduct of discharged or undischarged bankrupts, or
(iii) dishonesty, malpractice or other seriously improper conduct by, or the unfitness or incompetence of, persons authorized to carry on any profession or other activity;
(b) a function designed for protecting charities against misconduct or mismanagement (whether by trustees or other persons) in their administration;
(c) a function designed for protecting the property of charities from loss or misapplication;
(d) a function designed for the recovery of the property of charities;
(e) a function designed for securing the health, safety or welfare of persons at work;
(f) a function designed for protecting persons other than persons at work against risk to health or safety arising out of or in connection with the actions of persons at work.
(4) This Article applies to a function that is conferred by or under any enactment on a prescribed person, or body that is designed:
(a) to protect members of the public against:
(i) maladministration by public bodies,
(ii) failures in services provided by public bodies, or
(iii) a failure by a public body to provide a service which it was a function of the body to provide;
(b) to protect members of the public against conduct that may adversely affect their interests by persons carrying on a business;
(c) to regulate agreements, or conduct, that have as their object or effect the prevention, restriction or distortion of competition in connection with any commercial activity; or
(d) to regulate conduct on the part of one or more businesses that amounts to the abuse of a dominant position in a market.
(5) This Article also applies to the following functions:
(a) any function relating to an investigation by the Jersey Financial Services Commission under:
(i) Article 22 of the Collective Investment Funds (Jersey) Law 1988 [12],
(ii) Article 28 of the Banking Business (Jersey) Law 1991 [13],
(iii) Part 19 of the Companies (Jersey) Law 1991 [14],
(iv) Article 11 of the Insurance Business (Jersey) Law 1996 [15],
(v) Article 33 of the Financial Services (Jersey) Law 1998 [16],
(vi) Regulation 31 of the Alternative Investment Funds (Jersey) Regulations 2012 [17], including the functions of any inspector or competent person appointed under any of those provisions;
(b) any function conferred on the Jersey Resolution Authority under Article 7 of the Bank (Recovery and Resolution) (Jersey) Law 2017 [18];
(c) any function under the Proceeds of Crime (Supervisory Bodies) (Jersey) Law 2008 [19] of a supervisory body designated under Article 6 of that Law (including the functions of any competent person appointed under Article 31 of that Law);
(d) any function conferred on the Office of the Financial Services Ombudsman or on an Ombudsman, under the Financial Services Ombudsman (Jersey) Law 2014 [20];
(e) any function conferred on the Jersey Financial Services Commission by the Financial Services Commission (Jersey) Law 1998 [21];
(f) any function conferred on the registrar of companies appointed under Article 196 of the Companies (Jersey) Law 1991 [22], arising under that Law or any other enactment;
(g) any function (whether or not under any of the Laws referred to in this paragraph) that may be prescribed by Regulations.
49.- Management forecasts etc.
Personal data processed for the purposes of management forecasting or managing planning to assist the controller in the conduct of any business or other activity are exempt from the transparency and subject rights provisions to the extent to which the application of those provisions would be likely to prejudice the conduct of that business or other activity.
50.- Negotiations
Personal data that consist of records of the intentions of the controller in relation to any negotiations with the data subject are exempt from the transparency and subject rights provisions to the extent to which the application of those provisions would be likely to prejudice those negotiations.
51.- Information available to public by or under enactment
Personal data are exempt from the transparency and subject rights provisions if the data consist of information that the controller is obliged by or under any enactment to make available to the public, whether by making it available for inspection or publishing it in another manner, and whether gratuitously or on payment of a fee.
52.- Disclosure contrary to certain enactments
Personal data that consist of information the disclosure of which by the relevant controller would be contrary to a prohibition or restriction under any of the following enactments are exempt from the transparency and subject rights provisions:
(a) Articles 24(5), 27(12) and 30(4)(b) of the Adoption (Jersey) Law 1961 [23];
(b) Article 19B of the Misuse of Drugs (Jersey) Law 1978 [24];
(c) Article 35 of the Proceeds of Crime (Jersey) Law 1999 [25];
(d) Article 35 of the Terrorism (Jersey) Law 2002 [26].
53.- Confidential references given by the controller
Personal data are exempt from the transparency and subject rights provisions if they consist of a reference given or to be given in confidence by the controller for the purposes of:
(a) the education, training or employment, or prospective education, training or employment, of the data subject;
(b) the appointment, or prospective appointment, of the data subject to any office; or
(c) the provision, or prospective provision, by the data subject of any service.
54.- Examination scripts etc.
Personal data consisting of information recorded by candidates during an academic, professional or other examination are exempt from the transparency and subject rights provisions.
55.- Crown or judicial appointments and honours
Personal data are exempt from the transparency and subject rights provisions if processed for the purposes of assessing a person’s suitability for:
(a) employment by or under the Crown or any office to which appointments are made by Her Majesty;
(b) any judicial office or the office of Queen’s Counsel; or
(c) the conferring by the Crown of any honour or dignity.
56.- Armed forces
Personal data are exempt from the transparency and subject rights provisions to the extent to which the application of those provisions would be likely to prejudice the effectiveness in combat of any of the armed forces of the Crown.
57.- Legal professional privilege
Personal data are exempt from the transparency and subject rights provisions if the data consist of information in respect of which a claim to legal professional privilege could be maintained in legal proceedings.
58.- Self-incrimination
(1) Personal data are exempt from the transparency and subject rights provisions to the extent that compliance would, by revealing evidence of the commission of an offence (other than an offence under this Law or the Authority Law), expose the person to proceedings for that offence.
(2) Information provided in response to a request under the transparency and subject rights provisions or any order enforcing them is not admissible against the person in proceedings for an offence under this Law or the Authority Law.
59.- States Assembly privilege
(1) Personal data are exempt from the transparency and subject rights provisions to the extent required to avoid an infringement of the privileges of the States Assembly.
(2) Except as provided by paragraph (3), a certificate signed by the Greffier of the States certifying that such an exemption is required to avoid an infringement of the privileges of the States Assembly is conclusive evidence of that fact.
(3) A person aggrieved by the decision of the Greffier of the States to issue a certificate under paragraph (2) may appeal to the Royal Court on the grounds that the Greffier did not have reasonable grounds for issuing the certificate.
(4) The decision of the Royal Court on the appeal is final.
DIVISION 3.- EXCEPTIONS TO ARTICLE 27 OR 28
60.- Examination marks
(1) Where a request under Article 28 is made for or in relation to marking data, the application of Article 27 to the request is modified so that if the day when the controller receives the request under that Article falls before the publication day, for the period expressed as “within 4 weeks of receipt of the request” in Article 27(1) there is substituted the period set out in paragraph (2).
(2) The period is:
(a) within 20 weeks of the receipt of the request; or
(b) within 4 weeks of the publication day, whichever ends first.
(3) If by virtue of paragraph (2) a period longer than the period mentioned in Article 27(1) elapses before the request is complied with, the required information must be supplied both by reference to the data in question at the time when the request is received and (if different) by reference to the data as from time to time held in the period beginning when the request is received and ending when it is complied with.
(4) In this Article:
“marking data” means marks or other information processed by the controller:
(a) for the purpose of determining the results of an academic, professional or other examination of a candidate;
(b) for the purpose of enabling such a determination; or
(c) in consequence of such a determination;
“publication day”, in relation to any examination and examination candidate, means the day on which the results of the examination are first published or (if not published) when they are first made available or communicated to the candidate concerned.
61.- Health, education and social work
(1) Personal data are exempt from Article 28 if the data are processed by a court and consist of health, education or social work information that:
(a) is supplied in a report or other evidence given to the court in the course of proceedings relating to families or children; and
(b) the court directs should be withheld from the data subject on the ground that it appears to be:
(i) impracticable to disclose the report or other evidence having regard to the data subject’s age and understanding, or
(ii) undesirable to disclose the report or other evidence having regard to the serious harm that might thereby be suffered by the data subject.
(2) Personal data consisting of health, education or social work information are exempt from Article 28 in any case to the extent to which the application of that Article would be likely to cause serious harm to the physical or mental health of the data subject or any other person.
(3) Where a defined person is enabled by or under any enactment or rule of law to make a request under Article 28 on behalf of a data subject and has made such a request, personal data consisting of information specified in paragraph (4) are exempt from that Article to the extent mentioned in paragraph (4).
(4) The extent of the exemption is:
(a) in the case of information contained in a health record or social work information, the extent to which the application of Article 28 would result in the disclosure of information:
(i) provided by the data subject in the expectation that it would not be disclosed to the person making the request,
(ii) obtained as a result of any examination or investigation to which the data subject consented in the expectation that the information would not be so disclosed, or
(iii) that the data subject has expressly indicated should not be so disclosed;
(b) in the case of information constituting an educational record and being information whether the data subject, when a child, is or has been the subject of or may be at risk of abuse, the extent to which the application of that Article would not be in the interests of the data subject.
(5) Paragraph (4)(a)(i) or (ii) does not apply to the extent that the data subject has expressly indicated that he or she no longer has the expectation there referred to.
(6) In relation to personal data consisting of information contained in a health record, Article 28(4) has effect as if the following word and sub-paragraph were added at the end of that paragraph:
“; or
(c) the information is contained in a health record and the other individual is a health professional who has compiled or contributed to the health record or has been involved in the care of the data subject in the health professional’s capacity as a health professional.”.
(7) In relation to personal data consisting of information constituting either an educational record or social work information:
(a) Article 28(4) has effect as if the following word and sub-paragraph were added at the end of that paragraph:
“; or
(c) the other individual is a relevant person.”;
(b) Article 28 has effect as if the following paragraph were added after paragraph (7):
“(8) A person is a relevant person for the purposes of paragraph (4)(c) if he or she:
(a) in the case of information constituting an educational record, is a teacher or other employee at a school, engaged by the proprietor of a school or working at a school under a contract for the provision of educational services; or
(b) in the case of social work information, is or has been employed in an administration of the States in connection with functions that are or have been exercised in relation to data consisting of an educational record or social work information that relates to him or her or that he or she supplied in his or her official capacity.”.
(8) In this Article:
“abuse” in respect of a person when that person is a child:
(a) includes physical injury to, and physical neglect, emotional neglect, ill-treatment, and sexual abuse, of the person;
(b) does not include accidental injury;
“care” includes examination, investigation, diagnosis and treatment;
“defined person” means a person who:
(a) has parental responsibility for a child who is the data subject; or
(b) has been appointed by a court to manage the affairs of the data subject on account of the data subject being incapable of managing his or her own affairs;
“educational record” means a record of information that:
(a) is processed by or on behalf of the proprietor of, or a teacher at, a school;
(b) relates to a person who is or has been a pupil at the school; and
(c) originated from or was supplied by or on behalf of any of the following:
(i) a teacher or other employee at the school,
(ii) a person engaged by the proprietor of the school under a contract for the provision of educational services,
(iii) the pupil to whom the record relates,
(iv) a parent of that pupil;
“health, education or social work information” means:
(a) a health record;
(b) information constituting an educational record; or
(c) social work information;
“parent” in relation to a pupil of a school, includes a guardian and every person who has actual custody of the pupil;
“proceedings relating to families or children” includes proceedings relating to adoption, matrimonial matters or guardianship;
“social work information” means personal data processed by the States (including an administration of the States) in relation to any of the following matters:
(a) the allocation of housing or other residential accommodation;
(b) the provision of any benefit paid by the Minister for Social Security;
(c) probation;
(d) school attendance;
(e) ensuring that children receive suitable education whether by attendance at school or otherwise;
(f) guardianship;
(g) a function under the Children (Jersey) Law 2002 [27] or any legislation relating to mental health.
62.- Credit reference agency as controller
(1) If a controller is a credit reference agency, Article 28 applies in relation to that controller subject to this Article.
(2) An individual may limit a request to a controller under Article 28 to personal data relevant to the financial standing of the individual, and is taken to have so limited the request unless the request shows a contrary intention.
(3) If personal data are being processed by or on behalf of a controller who receives a request under Article 28 from an individual who is the data subject of those data, the obligation to supply information under that Article includes an obligation to give the individual a statement of any other rights arising in respect of a credit reference agency in any other enactment in such form, and to such extent, as may be prescribed by Regulations.
(4) In this Article “credit reference agency” means a person who carries on the business of providing information about the financial standing of persons.
63.- Unstructured personal data held by scheduled public authorities
(1) A scheduled public authority is not obliged to comply with Article 28(1) in relation to any unstructured personal data unless the request under that Article contains a description of the data.
(2) Even if a request contains a description of data as referred to in paragraph (1), a scheduled public authority is not obliged to comply with Article 28(1) in relation to unstructured personal data if the authority estimates that the cost of complying with the request in so far as it relates to those data would exceed a prescribed limit.
(3) Paragraph (2) does not exempt the scheduled public authority from its obligation under Article 28(1) to inform an individual whether unstructured personal data of which that individual is the data subject are being processed by or on behalf of the controller unless the estimated costs of complying with that obligation alone in relation to those data would exceed a limit specified by the States in Regulations.
(4) Any estimate for the purposes of this Article must be made in accordance with Regulations under Article 16 of the Freedom of Information (Jersey) Law 2011 [28] (whether or not any limit specified in Regulations for the purposes of this Article is the same as any amount determined in accordance with Regulations under that Article).
(5) In this Article “unstructured personal data” means any personal data consisting of recorded information held by a scheduled public authority other than data that is:
(a) processed by automated means in response to instructions given for that purpose or recorded with the intention that it be so processed; or
(b) recorded as part of a filing system or with the intention that it should form part of a filing system.
DIVISION 4.- PERMISSIONS AND EXEMPTIONS BY REGULATIONS
64.- Permitted processing for law enforcement, legal proceedings and public records purposes
(1) Despite any provision of this Law the processing (including the disclosure) of personal data in either of the circumstances set out in paragraph (2) is permitted:
(a) for a purpose other than the purpose for which it was collected; and
(b) without the consent of the data subject.
(2) The circumstances are:
(a) that the processing is for the purposes set out in Article 45(1); or
(b) where disclosure is made for the purposes of paragraph 12 of Schedule 2 (legal proceedings etc.).
(3) Despite the data protection principles set out in Article 8(1)(c), (d) and (e), the processing (including disclosure) of personal data to which paragraph (4) applies is permitted.
(4) This paragraph applies to information that the controller is obliged to make available to the public by or under any enactment, whether by making it available for inspection or publishing it in another manner, and whether it is available gratuitously or on the payment of a fee.
65.- Exemptions by Regulations
(1) Regulations may exempt the processing (including disclosure) of personal data from any provision of this Law.
(2) However, the power to make Regulations under paragraph (1) may be exercised only to the extent that:
(a) it is considered necessary for particular purposes, or in particular circumstances, that are in the public interest; or
(b) the public interest is not outweighed by the public interest in protecting the rights and freedoms of data subjects.
(3) The power to make Regulations under this Article includes a power:
(a) to modify or amend any enactment (including this Law) to the extent that it might otherwise prevent the processing (including disclosure) of personal data; and
(b) to put in place particular safeguards for the rights of data subjects or any other persons with respect to any processing carried out in furtherance of any new permission to process such data.
(4) The States must consult the Authority before making any Regulations under paragraph (3).
PART 8.- CROSS-BORDER DATA TRANSFERS
66.- General principles for cross-border data transfers
(1) A controller or a processor must not transfer personal data for processing or in circumstances where the controller or processor knew or should have known that it will be processed after the transfer to a third country or an international organization, unless that country or organization ensures an adequate level of protection for the rights and freedoms of data subjects in relation to the processing of personal data.
(2) The level of protection referred to in paragraph (1) is adequate if:
(a) the Commission has so decided, by means of an implementing act under Article 45 of the GDPR;
(b) there are appropriate safeguards in place that meet the requirements of Article 66; or
(c) the transfer falls within the exceptions set out in Schedule 3.
(3) Regulations may:
(a) amend Schedule 3;
(b) make further provision about international transfers of data.
67.- Transfer subject to appropriate safeguards
(1) In the absence of an adequacy decision under Article 45 of the GDPR, a controller or processor may transfer personal data to a third country or an international organization only if the controller or processor has provided appropriate safeguards in accordance with this Article, and on condition that enforceable data subject rights and effective legal remedies for data subjects comparable to those under this Law are available in that country or organization.
(2) The appropriate safeguards referred to in paragraph (1) may be provided for, without requiring any specific authorization from the Authority, by:
(a) a legally binding and enforceable instrument between public authorities;
(b) binding corporate rules approved by the Authority as complying with Schedule 4 or approved by another competent supervisory authority under Article 46 of the GDPR, or equivalent statutory provisions;
(c) standard data protection clauses adopted by the Authority or by a competent supervisory authority and approved by the Commission in accordance with the examination procedure referred to in Article 93(2) of the GDPR;
(d) a code or any other code approved by another competent supervisory authority under Article 40 of the GDPR or equivalent statutory provisions, together with binding and enforceable commitments of the controller, processor or recipient in the third country or international organization to apply the appropriate safeguards, including as regards data subjects’ rights; or
(e) the controller, processor or recipient in the third country having been certified in accordance with a certification mechanism either provided for in Regulations under Article 80 or approved by another competent supervisory authority under Article 42 of the GDPR.
(3) Subject to specific authorization from the Authority and where there is a mechanism for data subjects to enforce their data subject rights and obtain effective legal remedies against the controller, processor or recipient of that personal data in the jurisdiction concerned, the appropriate safeguards referred to in paragraph (1) may also be provided for by:
(a) contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organization; or
(b) where both the transferor and the controller, processor or recipient of the personal data in the third country or international organization concerned are public authorities, provisions in administrative arrangements between those public authorities that include enforceable and effective data subject rights.
(4) In determining whether to authorize a transfer under this Article, the Authority must have regard to factors that include, but are not limited to, any opinions or decisions of the European Data Protection Board under Article 64, 65 or 66 of the GDPR that appear to the Authority to be relevant.
PART 9.- REMEDIES AND ENFORCEMENT
68.- Proceedings against controllers
(1) A data subject who considers that the transparency and subject rights provisions have been or will be contravened, may bring proceedings against the controller responsible for the contravention in the Royal Court under this Article.
(2) Where the Royal Court is satisfied that those rights have been or will be contravened the court may make such order as it considers appropriate, including:
(a) an award of compensation for loss, damage or distress in respect of the contravention;
(b) an injunction (including an interim injunction) to restrain any actual or anticipated contravention;
(c) a declaration that the controller is responsible for the contravention or that a particular act, omission or course of conduct on the part of the controller would result in a contravention; and
(d) requiring the controller to give effect to the transparency and subject rights provisions.
(3) Nothing in this Article limits any other right or remedy that a data subject may have against a controller or processor.
(4) Where:
(a) a person has made a right of access request under Article 28; and
(b) the Royal Court is satisfied, on the application of a third party that compliance with that request is likely to cause the third party to suffer serious harm to his or her physical or mental health or condition, the court may order the controller not to comply with the request.
69.- Compensation
(1) Any person who suffers loss, damage or distress by reason of any contravention of this Law by a controller or processor is entitled to compensation.
(2) Controllers or processors against whom any claim for compensation is made under this Article or Article 30 of the Authority Law who prove that they are not responsible for the event giving rise to the loss, damage or distress are exempt from any liability to pay that compensation.
(3) A processor is exempt from liability for damages under any action for loss, damage or distress unless the processor:
(a) has contravened any obligation imposed on processors by this Law; or
(b) has acted outside or contrary to lawful instructions given by the controller.
(4) Where one or more controllers or processors are involved in the same processing that caused the loss, damage or distress, each such controller and processor is jointly and severally liable for the loss, damage or distress.
(5) A controller or processor is entitled to reimbursement, in respect of compensation paid out by that controller or processor from each of the other controllers or processors involved in the processing that gave rise to the liability for compensation, of that part of the compensation corresponding to that other controller or processor’s responsibility for the loss, damage or distress.
70.- Representation of data subjects
(1) Any person who has standing to make a complaint or commence proceedings under this Law or the Authority Law may authorize a data protection organization on that person’s behalf to:
(a) make a complaint against the Authority under Article 19 of the Authority Law; or
(b) bring proceedings (including any appeal proceedings) in respect of a contravention of this Law by a controller or processor, or for compensation, and represent the person in any proceedings arising from that complaint or those proceedings and to exercise any right of the data subject on his or her behalf.
(2) In this Article “data protection organization” means any non-profit association (as described in paragraph 10(a) of Schedule 2) properly constituted in accordance with relevant law that has objectives in the public interest and is active in the field of the protection of data subject rights.
71.- Unlawful obtaining etc. of personal data
(1) A person must not knowingly or recklessly, without the consent of the relevant controller:
(a) obtain or disclose personal data or the information contained in personal data; or
(b) procure the disclosure to another person of the information contained in personal data.
(2) A person who contravenes paragraph (1) is guilty of an offence.
(3) A person does not contravene paragraph (1) if the person shows that:
(a) the obtaining, disclosing or procuring was necessary for the purpose of preventing or detecting crime, or was required or authorized by or under any enactment, by any rule of law or by the order of a court;
(b) the person acted in the reasonable belief that the person had in law the right to obtain or disclose the data or information or, as the case may be, to procure the disclosure of the information to the other person;
(c) the person acted in the reasonable belief that the person would have had the consent of the controller if the controller had known of the obtaining, disclosing or procuring and the circumstances of it; or
(d) in the circumstances of the case, the obtaining, disclosing or procuring was justified as being in the public interest.
(4) A person who sells personal data is guilty of an offence if the person has obtained the data in contravention of paragraph (1).
(5) A person who offers to sell personal data is guilty of an offence if:
(a) the person has obtained the data in contravention of paragraph (1); or
(b) the person subsequently obtains the data in contravention of that paragraph.
(6) For the purposes of paragraph (5), an advertisement indicating that personal data are or may be for sale is an offer to sell the data.
(7) For the purposes of paragraphs (4) to (6), “personal data” includes information extracted from personal data.
72.- Requirement to produce certain records illegal
(1) A person must not, in connection with:
(a) the recruitment of another person as an employee;
(b) the continued employment of another person; or
(c) any contract for the provision of services to the person by another person, require that other person or a third party to supply or produce a relevant record to the first person.
(2) A person concerned with the provision (for payment or not) of goods, facilities or services to the public (or a section of the public) must not, as a condition of providing or offering to provide any goods, facilities or services to another person, require that other person or a third party to supply or produce a relevant record to the first person.
(3) A person does not contravene paragraph (1) or (2) if the person shows that:
(a) the imposition of the requirement was required or authorized by or under any enactment, by any rule of law or by the order of a court; or
(b) in the particular circumstances the imposition of the requirement was justified as being in the public interest.
(4) A person who contravenes paragraph (1) or (2) is guilty of an offence and liable to a fine of level 3 on the standard scale.
(5) For the purposes of this Article, a record that states that a controller is not processing any personal data relating to a particular matter is taken to be a record containing information relating to that matter.
(6) In this Article (including the Table to this Article):
“caution” means a caution given to any person in Jersey in respect of an offence that, at the time when the caution is given, is admitted;
“conviction” has the same meaning as in the Rehabilitation of Offenders (Jersey) Law 2001 [29];
“employee” means an individual who works under a contract of employment, or holds any office, whether or not entitled to remuneration and “employment” shall be construed accordingly;
“relevant record” means any record that:
(a) has been or is to be obtained by a data subject from a controller specified in the first column of the Table to this Article in the exercise of the rights conferred by the transparency and subject rights provisions; and
(b) contains information relating to a matter specified in relation to the controller in the second column of that Table, and includes a copy of such a record or a part of such a record.
(7) A record is not a relevant record to the extent that it relates, or is to relate, only to personal data falling within paragraph (d) of the definition “data” in Article 1(1).
(8) Regulations may amend the Table to this Article and the definitions of “caution” and “conviction” in paragraph (6).
TABLE
Controller Subject-matter
1. Chief Officer of the States of Jersey Police Force Convictions, cautions
2. A member of the honorary police of any of the 12
Parishes of Jersey Cautions
3. Minister for Home Affairs Convictions, cautions, functions of that Minister under the Prison (Jersey) Law 1957
4. Minister for Social Security Convictions, cautions, functions of that Minister under any enactment of Jersey
73.- False information
(1) A person who knowingly or recklessly provides the Authority, or any other person entitled to information under this Law, the Authority Law or Regulations made under those Laws, with information that is false or misleading in a material particular, is guilty of an offence.
(2) However, no offence is committed under paragraph (1) unless the information is provided:
(a) in connection with an application under this Law or the Authority Law;
(b) in purported compliance with a requirement imposed under this Law, the Authority Law or under Regulations made under those Laws; or
(c) otherwise than as mentioned in paragraph (1) but in circumstances in which the person providing the information intends, or could reasonably be expected to know, that the information will be used by the Authority for the purpose of carrying out the Authority’s functions under this Law or the Authority Law.
(3) A person guilty of an offence under this Article is liable to imprisonment for a term of 2 years and to a fine.
74.- Obstruction
(1) A person must not do any of the following in relation to any person to whom this paragraph applies:
(a) intentionally obstruct or impede the person;
(b) interfere with, or cause or knowingly permit to be interfered with, anything done by the person;
(c) fail to give to the person any assistance or information that is reasonably required;
(d) fail to produce a record when required to do so by the person;
(e) fail to co-operate with the exercise of any power under Schedule 1 to the Authority Law.
(2) Paragraph (1) applies to the Authority and any other person acting in the execution or enforcement of this Law or the Authority Law.
(3) A person who contravenes paragraph (1) is guilty of an offence and in the case of an offence under paragraph (1)(a) or (b), is liable to imprisonment for a term of 2 years and to a fine.
75.- General provisions relating to offences
(1) A person guilty of an offence under this Law is liable to a fine except where this Law otherwise provides.
(2) Where an offence under this Law, or under Regulations made under this Law, committed by a limited liability partnership or body corporate or unincorporated body is proved to have been committed with the consent or connivance of, or to be attributable to any neglect on the part of:
(a) a person who is a partner of the limited liability partnership, or director, manager, secretary or other similar officer of the body corporate;
(b) in the case of any other partnership, any partner;
(c) in the case of any other unincorporated body, any officer of that body who is bound to fulfil any duty of which the offence is a breach or, if there is no such officer, any member of the committee or other similar governing body; or
(d) any person purporting to act in any capacity described in sub-paragraph (a), (b) or (c), the person is also guilty of the offence and liable in the same manner as the partnership or body corporate to the penalty provided for that offence.
(3) If the affairs of a body corporate are managed by its members, paragraph (2) applies in relation to acts and defaults of a member in connection with the member’s functions of management as if the member were a director of the body corporate.
(4) Where an offence under this Law is alleged to have been committed by an unincorporated body, proceedings for the offence must, without limiting paragraph (2), be brought in the name of the body and not in the name of any of its members.
(5) A fine imposed on an unincorporated body on its conviction for an offence under this Law must be paid from the funds of the body.
(6) A person who aids, abets, counsels or procures the commission of an offence under this Law is also guilty of the offence and liable in the same manner as a principal offender to the penalty provided for that offence.
76.- Proceedings concerning unincorporated bodies
Subject to Article 75, where a contravention of this Law is alleged to have been committed by an unincorporated body, any complaint, investigation, action, order or notice, or other proceedings, for or otherwise in relation to the contravention must be brought, issued or (as the case may be) served in the name of the body and not in the name of any of its members.
77.- Rules of Court
(1) The power to make Rules of Court under Article 13 of the Royal Court (Jersey) Law 1948 [30] includes the power to make Rules regulating the practice and procedure on any matter relating to the Royal Court under this Law.
(2) The Rules may, in particular, make provision enabling:
(a) directions to be given to withhold material or restrict disclosure of any information relevant to proceedings under this Law from any party (including any representative of any party) to the proceedings; and
(b) the court to conduct such proceedings in the absence of any person, including a party to the proceedings (or any representative of a party to the proceedings).
(3) In making the Rules, regard must be had to:
(a) the need to secure that the decisions that are the subject of such proceedings are properly reviewed; and
(b) the need to secure that disclosures of information are not made where they would be contrary to the public interest.
PART 10.- MISCELLANEOUS
78.- Codes of conduct
(1) The Authority may approve a code of conduct or an amendment or extension of a code of conduct, prepared by any person representing a category of controllers or processors for the purposes of:
(a) encouraging or facilitating compliance with this Law; or
(b) allowing controllers or processors that are not otherwise subject to this Law to demonstrate that they have appropriate safeguards for the protection of personal data, for the purposes of personal data transfers to third countries or international organizations under Article 67.
(2) A code may include any provisions relating to the following:
(a) fair and transparent processing;
(b) the legitimate interests pursued by controllers in specific contexts;
(c) the collection of personal data;
(d) the pseudonymization of personal data;
(e) the information provided to the public and to data subjects;
(f) the exercise of the rights of data subjects;
(g) the information provided to, and the protection of, children, and the manner in which the consent of the persons with parental responsibility for children is to be obtained;
(h) any steps or measures required to be established, taken or carried out by controllers or processors under this Law;
(i) the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects;
(j) the transfer of personal data to third countries or international organizations;
(k) out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without affecting the rights of data subjects under this Law; or
(l) any other matter relating to compliance with this Law or appropriate safeguards for the protection of personal data.
(3) An approval under paragraph (1) is effected by the Authority’s registering and publishing the code in any manner that the Authority considers fit.
(4) The Authority must not approve a code unless:
(a) the code provides for a person accredited by the Authority (or another competent supervisory authority) to monitor compliance with the code by controllers and processors who purport to apply or implement the code;
(b) the code requires any controller or processor established in a third country that purports to apply or implement the code to enter into legally binding and enforceable commitments to apply or implement provisions of the code;
(c) where the code relates to processing operations in a Member State, the Commission has, by way of an implementing act under the GDPR, stated that the code has general validity within the EU; and
(d) The Authority considers that:
(i) the contents of the code comply with this Law, and
(ii) the code provides appropriate safeguards for the protection of personal data.
(5) In determining whether or not to approve a code, the Authority must take into account:
(a) the particular circumstances of the various sectors in which processing or personal data takes place and to which the code relates; and
(b) the needs of different sizes of enterprises or establishments that are controllers or processors to which the code applies.
79.- Accreditation and duties of accredited person
(1) For the purposes of Article 78(4)(a), the Authority may accredit any person (the “accredited person”) to monitor compliance with a code if the Authority considers that the person has:
(a) adequate expertise and independence in relation to the subject-matter of the code;
(b) established procedures that allow it to assess the eligibility of controllers and processors concerned to apply the code, to monitor their compliance with its provisions and to review periodically the implementation of the code;
(c) established procedures and structures to handle complaints about infringements of the code or the manner in which the code has been, or is being, implemented by a controller or processor, and to make those procedures and structures transparent to data subjects and the public; and
(d) no conflict of interests in connection with the discharge or performance of its other tasks and duties.
(2) In cases of infringement of the code by any controller or processor that purports to apply or implement the code, the accredited person must:
(a) take appropriate action including suspension or exclusion from the code where appropriate; and
(b) notify the Authority of any action taken by the person and the reasons for the action.
(3) The Authority may suspend or revoke an accreditation under paragraph (1) if:
(a) the conditions for accreditation are not, or are no longer, met; or
(b) the accredited person contravenes paragraph (2).
80.- Regulations establishing certification mechanism
(1) Regulations may provide for the establishment of mechanisms, seals or marks to certify or signify:
(a) that particular processing operations by controllers or processors comply with this Law; or
(b) the existence of appropriate safeguards for the protection of personal data provided by controllers or processors established in a third country for the purposes of personal data transfers to third countries or international organizations as provided for by Article 66.
(2) Regulations made under paragraph (1) may amend the Authority Law so as to confer or impose functions on the Authority in consequence of the Regulations.
81.- Application to public sector
(1) This Law binds the Crown.
(2) The application of this Law extends to the States and any Minister, department, or administration, of the States, and each such department, or administration is taken to be a separate person.
(3) For the purposes of this Law, if an order, requirement, direction, notice or other instrument is imposed or served on the head of a department of the States or the head of an administration of the States:
(a) it is taken to have been imposed or served on the department or administration of which that person is the head; and
(b) if it requires compliance, the head must ensure that it is complied with.
82.- Service of notices etc.
(1) A notice required by this Law to be given to the Authority is not regarded as given until it is in fact received by the Authority.
(2) A notice or other document required or authorized under this Law or under Regulations made under this Law to be given to the Authority may be given by electronic or any other means by which the Authority may obtain or recreate the notice or document in a form legible to the naked eye.
(3) Any notice, direction or other document required or authorized by or under this Law to be given to or served on any person other than the Authority may be given or served:
(a) by delivering it to the person;
(b) by leaving it at the person’s proper address;
(c) by sending it by post to the person at that address; or
(d) by sending it to the person at that address by electronic or any other means by which the notice, direction or document may be obtained or recreated in a form legible to the naked eye.
(4) Without limiting the generality of paragraph (3), any such notice, direction or other document may be given to or served on a partnership, company incorporated outside Jersey or an unincorporated association by being given to or served:
(a) in any case, on a person who is, or purports (under whatever description) to act as, its secretary, clerk or other similar officer;
(b) in the case of a partnership, on the person having the control or management of the partnership business;
(c) in the case of a partnership or company incorporated outside Jersey, on a person who is a principal person in relation to it (within the meaning of the Financial Services (Jersey) Law 1998); or
(d) by being delivered to the registered or administrative office of a person referred to in sub-paragraph (a), (b) or (c) if the person is a body corporate.
(5) For the purposes of this Article and of Article 7 of the Interpretation (Jersey) Law 1954 [31], the proper address of any person to or on whom a notice, direction or other document is to be given or served by post is the person’s last known address, except that:
(a) in the case of a company (or person referred to in paragraph (4) in relation to a company incorporated outside Jersey) it is the address of the registered or principal office of the company in Jersey; and
(b) in the case of a partnership (or person referred to in paragraph (4) in relation to a partnership) it is the address of the principal office of the partnership in Jersey.
(6) If the person to or on whom any notice, direction or other document referred to in paragraph (3) is to be given or served has notified the Authority of an address within Jersey, other than the person’s proper address within the meaning of paragraph (5), as the one at which the person or someone on the person’s behalf will accept documents of the same description as that notice, direction or other document, that address is also treated for the purposes of this Article and Article 7 of the Interpretation (Jersey) Law 1954 as the person’s proper address.
(7) If the name or the address of any owner, lessee or occupier of premises on whom any notice, direction or other document referred to in paragraph (3) is to be served cannot after reasonable enquiry be ascertained it may be served by:
(a) addressing it to the person on whom it is to be served by the description of “owner”, “lessee” or “occupier” of the premises;
(b) specifying the premises on it; and
(c) delivering it to some responsible person resident or appearing to be resident on the premises or, if there is no person to whom it can be delivered, by affixing it, or a copy of it, to some conspicuous part of the premises.
83.- Regulations: disclosure of information to improve public service delivery
(1) Where they consider that to do so would improve the delivery of public services, the States may by Regulations prescribe the following matters:
(a) the prescribed persons, whether individually or by description, who may disclose to any other prescribed person information held in connection with any function;
(b) the purposes for which any prescribed person, or particular prescribed person may disclose data either to any other prescribed person or to particular prescribed persons;
(c) the safeguards and restrictions on the disclosure of the data by any or all prescribed persons and on the use of the information by any prescribed person;
(d) the circumstances in which information may be disclosed by a prescribed person to a person who is not a prescribed person and the safeguards and restrictions that may be imposed in respect of such disclosures, or further disclosures, as may be necessary or expedient to protect the rights of any person, whether natural or legal.
(2) Before Regulations under paragraph (1) that permit the processing of personal data as part of the information disclosed may be made, the proposer of the Regulations:
(a) must prepare a data protection impact assessment under Article 16; and
(b) where the processing would pose a high risk to rights and freedoms of data subjects, consult the Authority in accordance with Article 17(2).
(3) Regulations under this Article may amend or modify any enactment to the extent that it is necessary or expedient for the purposes of, or will enable the disclosure of, information intended to improve public service delivery other than:
(a) this Law or the Authority Law;
(b) the Police Procedures and Criminal Evidence (Jersey) Law 2003 [32]; or
(c) the Regulation of Investigatory Powers (Jersey) Law 2005 [33].
(4) A person who discloses or uses any information in contravention of Regulations under this Article is guilty of an offence and liable to imprisonment for a term of 2 years and to a fine.
(5) For the purposes of paragraph (1):
“function”, in the case of a person who is a prescribed person only because the person exercises the function of providing services to a public authority, means only that function;
“information” includes personal data and any other information, whether or not relating to identifiable corporate bodies;
“prescribed persons” means public authorities or States’ employees.
84.- Regulations – constitution of Information Board
(1) Regulations may provide that a public authority, States’ employee or any other person providing services to a public authority may individually or collectively constitute an Information Board for the purposes of:
(a) co-ordinating the disclosure of data by prescribed persons to improve the delivery of public services; and
(b) ensuring that the requirements of this Law and any Regulations made under it in relation to the disclosure of information are met.
(2) The Regulations may:
(a) provide for the incorporation of the Information Board; and
(b) confer such rights, obligations and powers on the Board or on any person responsible for operating the Board as may be required to improve the delivery of public services and ensure the requirements of this Law and any Regulations made under it are met.
85.- Regulations and Orders – general
(1) The States may by Regulations and the Minister may by Order make provision for the purpose of carrying this Law into effect and including for or with respect to any matter that may be prescribed under this Law by Regulations or Orders as the case may be.
(2) Without limiting the generality of paragraph (1) the States may by Regulations make any provision they think fit for any or all of the following purposes:
(a) requiring or authorizing a social security number or any other identification number issued by any public authority to be processed in a specified manner;
(b) requiring or authorizing the personal data of employees to be processed in a specified manner in the context of employment, including for the following purposes:
(i) recruitment,
(ii) the performance of a contract of employment, including discharge of obligations laid down by law,
(iii) management, planning and organization of work,
(iv) equality and diversity in the workplace,
(v) health and safety at work,
(vi) protection of the property of employers or customers,
(vii) the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, or
(viii) the termination of the employment relationship;
(c) prohibiting a social security number or any other identification number issued by any public authority to be processed in a specified manner; or
(d) prohibiting the personal data of employees from being processed in a specified manner in the context of employment, including for any of the purposes specified in sub-paragraph (b).
(3) Regulations made under paragraph (2) may include:
(a) safeguards for the rights and freedoms of data subjects;
(b) provisions relating to the transparency of processing;
(c) provisions relating to the transfer of personal data within a group of undertakings or within a group of enterprises engaged in a joint economic activity; or
(d) provisions relating to the monitoring of the application of the Regulations.
(4) Regulations and Orders made under this Law may contain such transitional, consequential, incidental or supplementary provisions as appear to the States to be necessary or expedient for the purposes of the Regulations.
(5) The power in paragraph (2), and in paragraph (4) in respect of Regulations, includes power to:
(a) repeal, revoke or amend any provision of an enactment (including this Law); and
(b) make any other consequential amendments to any other enactment as the States think fit.
(6) Regulations made under this Law may create an offence punishable by a fine of up to level 3 on the standard scale.
86.- Savings and transitional arrangements
(1) Schedule 5 has effect.
(2) Regulations may make provisions of a saving or transitional nature consequent on the enactment of this Law or the Authority Law.
(3) Any provision of Regulations made under this Article may, if the Regulations so provide, come into force on the day on which Schedule 5 comes into force or on a later day.
87.- Repeals and consequential and miscellaneous amendments
(1) The Data Protection (Jersey) Law 2005 [34] is repealed.
(2) Schedule 6 contains amendments to other enactments.
88.- Citation and commencement
(1) This Law may be cited as the Data Protection (Jersey) Law 2018 and subject to paragraphs (2) and (3) comes into force on 25th May 2018.
(2) Part 5 comes into force on 25th November 2018 and Articles 17 and 18 come into force on 25th May 2019.
(3) The modifications in paragraph 11 of Schedule 1, in so far as they relate to the insertion of paragraphs (3B), (3C) and (3D) into the modified version of Article 21, come into force on 6th May 2023.
L.-M. HART
Deputy Greffier of the States
SCHEDULE 1
(Article 4(5))
MODIFICATIONS OF LAW IN CASES OF PROCESSING BY COMPETENT AUTHORITIES
1.- List of competent authorities
The following are the competent authorities for the purposes of Article 4(7)(a):
Andium Homes
Department of the Environment: Environmental Health, Marine Resources, Planning and Building Control, Sea Fisheries, States Vet, Water Resources.
Health and Social Services: Social Services Department
Department for Infrastructure: Driver and Vehicle Standards, Parking Control
Social Security Department
Health & Safety Inspectorate
Income Tax Department
Jersey Customs & Immigration Service
Jersey Financial Services Commission
Jersey Fire and Rescue Service
Jersey Gambling Commission
Jersey Police Complaints Authority
Jersey Probation Service
Judicial Greffe
The Law Officers’ Department
Any Parish
Ports of Jersey
States of Jersey Police
Trading Standards
Viscount’s Department.
2.- Application and power to prescribe time limits
(1) This Schedule applies to the processing of personal data by a controller that is a competent authority for a law enforcement purpose.
(2) This Law applies to that processing subject to the modifications set out in this Schedule.
(3) The Minister may prescribe specific time limits for the erasure or periodic review of the storage by competent authorities of data that are processed for law enforcement purposes.
3.- Article 8 modified
In Article 8:
(a) for paragraph (1)(a) there is substituted the following sub-paragraph:
“(a) processed lawfully and fairly (‘lawfulness and fairness’);”;
(b) after paragraph (2) there is added the following paragraph:
“(3) Contravention of any Order prescribing specific time limits for the erasure or periodic review of the storage by competent authorities of data that are processed for law enforcement purposes is taken to be a breach of the data protection principle relating to storage limitation.”.
4.- Article 9 substituted
For Article 9 there is substituted the following Article:
“9.- Lawful processing
(1) The processing of personal data is lawful only if and to the extent that it is permitted by law and either:
(a) the data subject has given consent to the processing for that purpose; or
(b) the processing is necessary for the performance of a task carried out by a controller for a law enforcement purpose.
(2) The processing of special category data (other than data relating to a natural person’s criminal record or an alleged criminal activity) is lawful only if and to the extent that it is permitted by law and:
(a) is strictly necessary, subject to appropriate safeguards for the rights and freedoms of the data subject;
(b) serves to protect the vital interests of the data subject or another individual; or
(c) the processing relates to data that are manifestly made public by the data subject.
(3) For the purposes of paragraph (2)(a) processing is strictly necessary where it is necessary:
(a) for the purposes of the administration of justice;
(b) for the performance of a function conferred on a person by any enactment;
(c) for the establishment, exercise or defence of a legal claim or whenever a court is acting in its judicial capacity;
(d) for the purposes of preventing any kind of fraud; or
(e) for any of the purposes set out in paragraph 17 of Schedule 2 (archiving and research).
(4) In the case of any of the purposes mentioned in paragraph (3)(e) processing is not permitted if it is carried out:
(a) for the purposes of, or in connection with, measures or decisions with respect to a particular data subject; or
(b) it is likely to cause substantial damage or substantial distress to an individual.”.
5.- Article 10 modified
In Article 10(3) the words “and transparently” are omitted.
6.- Article 12 substituted
For Article 12 there is substituted the following Article:
“12.- Information to be provided to data subject
(1) The controller must make available to data subjects the following information (whether by making the information generally available to the public or in any other way):
(a) the identity and the contact details of the controller;
(b) where applicable, the contact details of the data protection officer;
(c) the purposes for which the controller processes personal data;
(d) the existence of the right to lodge a complaint with the Authority and the contact details of the Authority; and
(e) the existence of the rights of data subjects to request from the controller:
(i) access to personal data,
(ii) rectification of personal data, and
(iii) erasure of personal data or the restriction of its processing.
(2) Except in relation to the processing of relevant personal data in the course of a criminal investigation or criminal proceedings, including proceedings for the purpose of enforcing a criminal penalty, the controller must also, in specific cases for the purpose of enabling the exercise of a data subject’s rights under this Part, give to the data subject the following further information to enable the exercise of his or her rights:
(a) the legal basis for the processing;
(b) the period for which the personal data will be stored, or where that is not possible, the criteria used to determine that period;
(c) where applicable, the categories of recipients of the personal data, including third countries or international organizations;
(d) any further information that is necessary, having regard to the specific circumstances in which the data are or are to be processed, to enable processing in respect of the data subject to be fair.
(3) The information required to be provided under this Article must be provided in an intelligible form using clear language.
(4) The controller may delay, restrict or omit giving any of the information required by paragraph (2) to the extent that, and for as long as, it considers it necessary and proportionate to do so having regard to the fundamental rights and legitimate interests of the data subject concerned, in order to:
(a) avoid obstructing official or legal inquiries, investigations or procedures;
(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;
(c) protect public security;
(d) protect national security; or
(e) protect the rights and freedoms or others.
(5) In paragraph (2), ‘relevant personal data’ means personal data contained in a judicial decision or in other documents relating to the investigation or proceedings which are created by or on behalf of a court or other judicial authority.”.
7.- Article 13 substituted
For Article 13 there is substituted the following Article:
“13.- Purposes of processing
(1) Personal data collected for a law enforcement purpose may be processed for any other law enforcement purpose (whether by the controller that collected the data or by another controller) provided that:
(a) the controller is authorized by law to process the data for the other purpose; and
(b) the processing is necessary and proportionate to that other purpose.
(2) Personal data collected for any of the law enforcement purposes may not be processed for a purpose that is not a law enforcement purpose unless the processing is authorized by law.
(3) The controller must process personal data in a way that makes appropriate distinctions between data relating to different categories of data subjects, including persons suspected of committing, or convicted of, an offence and victims and witnesses, whose data may be processed for different purposes.”.
8.- Article 15 modified
After Article 15(5) there are added the following paragraphs:
“(6) The controller, as far as practicable, must:
(a) verify the quality of personal data before they are transmitted or made available;
(b) when transmitting the data, add such information as is necessary to enable the receiving authority to assess the degree of accuracy, completeness and reliability of that data.
(7) Where incorrect personal data have been transmitted or personal data have been transmitted unlawfully the controller must notify the recipient and must rectify or erase the personal data or restrict processing without the need for any request from the data subject under Article 31 or 32.”.
9.- Article 17 modified
At the end of Article 17(1) there are added the words “and the processing in question consists of a new collection of personal data”.
10.- Article 20 modified
After Article 20(8) there is added the following paragraph:
“(9).- The communication to the data subject referred to in paragraph (6) may be delayed, restricted or omitted to the extent that, and for as long as, the restriction (whether whole or partial) is necessary and proportionate having regard to the fundamental rights and legitimate interests of the data subject concerned, in order to:
(a) avoid obstructing official or legal inquiries, investigations or procedures;
(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the enforcement of criminal penalties;
(c) protect public security;
(d) protect national security; or
(e) protect the rights and freedoms or others.”.
11.- Article 21 modified
After Article 21(3) there are inserted the following paragraphs:
“(3A) In respect of automated processing, the controller, having evaluated the risks, must implement measures designed to:
(a) deny unauthorized persons access to processing equipment used for processing (‘equipment access control’);
(b) prevent the unauthorized reading, copying, modification or removal of data media (‘data media control’);
(c) prevent the unauthorized input of personal data and the unauthorized inspection, modification or deletion of stored personal data (‘storage control’);
(d) prevent the use of automated processing systems by unauthorized persons using data communication equipment (‘user control’);
(e) ensure that persons authorized to use an automated processing system have access only to the personal data covered by their access authorization (‘data access control’);
(f) ensure that it is possible to verify and establish the bodies to which personal data have been or may be transmitted or made available using data communication equipment (‘communication control’);
(g) ensure that it is subsequently possible to verify and establish which personal data have been input into automated processing systems and when and by whom the personal data were input (‘input control’);
(h) prevent the unauthorized reading, copying, modification or deletion of personal data during transfers of personal data or during transportation of data media (‘transport control’);
(i) ensure that installed systems may, in the case of interruption, be restored (‘recovery’);
(j) ensure that the functions of the system perform, that the appearance of faults in the functions is reported (‘reliability’) and that stored personal data cannot be corrupted by means of a malfunctioning of the system (‘integrity’).
(3B) The controller must keep logs for processing operations in automated processing systems consisting of collection, alteration, consultation, disclosure including transfers, combination and erasure of personal data, and in the case of logs of consultation and disclosure, must enable:
(a) the establishment of the justification, date and time of such operations; and
(b) as far as possible, the identification of the person who consulted or disclosed personal data, and the identity of the recipients of such personal data.
(3C) The logs may be used solely for verification of the lawfulness of processing, self-monitoring, ensuring the integrity and security of the personal data, and for criminal proceedings.
(3D) The controller and the processor must make the logs available to the Authority on request.”.
12.- Article 27 modified
In Article 27:
(a) the words in paragraph (1) after the word “undue delay” are omitted;
(b) paragraph (2) is omitted;
(c) in paragraph (4) the words “and at the latest within 4 weeks of receipt of the request” are omitted.
13.- Article 28 modified
In Article 28:
(a) paragraph (1)(h) and (3)(b) are omitted;
(b) after paragraph (7) there are added the following paragraphs:
“(8) The data subject’s right of access is restricted to the extent that, and for as long as, the restriction (whether whole or partial) is necessary and proportionate having regard to the fundamental rights and legitimate interests of the data subject concerned, in order to:
(a) avoid obstructing official or legal inquiries, investigations or procedures;
(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;
(c) protect public security;
(d) protect national security; or
(e) protect the rights and freedoms of others.
(9) The controller must assess, according to individual circumstances, the extent to which a data subject’s rights should be restricted under paragraph (8) and any such restriction must be notified in writing to the data subject with the factual or legal reasons for the restriction.”.
14.- Article 31 modified
After Article 31(4) there are added the following paragraphs:
“(5) The controller must inform the data subject in writing of any refusal of rectification of personal data and the reasons for the refusal unless it considers it necessary and proportionate not to do so having regard to the fundamental rights and legitimate interests of the data subject concerned, in order to:
(a) avoid obstructing official or legal inquiries, investigations or procedures;
(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;
(c) protect public security;
(d) protect national security; or
(e) protect the rights and freedoms of others.
(6) The controller must inform the data subject of his or her right to lodge a complaint with the Authority or to seek a judicial remedy.
(7) The controller must communicate the rectification of inaccurate personal data to the controller from which the inaccurate personal data originate.
(8) Where personal data has been rectified under this Article the controller must notify the recipients of the data and those recipients must rectify the personal data under their responsibility.
(9) Where the controller would be required to rectify personal data under this Article but the personal data must be maintained for the purposes of evidence, the controller must (instead of rectifying the personal data) restrict its processing.”.
15.- Article 32 modified
In Article 32:
(a) for paragraph (1) there is substituted the following paragraph:
“(1) Where so required by the data subject the controller must erase personal data without undue delay where the processing breaches any of the data protection principles.”;
(b) after paragraph (3) there are inserted the following paragraphs:
“(3A) The controller must inform the data subject in writing of any refusal of erasure of personal data and the reasons for the refusal unless it considers it necessary and proportionate not to do so having regard to the fundamental rights and legitimate interests of the data subject concerned, in order to:
(a) avoid obstructing official or legal inquiries, investigations or procedures;
(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;
(c) protect public security;
(d) protect national security; or
(e) protect the rights and freedoms of others.
(3B) The controller must inform the data subject of his or her right to lodge a complaint with the Authority or to seek a judicial remedy.
(3C) Where personal data has been erased under this Article the controller must notify the recipients of the data and those recipients must erase the personal data under their responsibility.
(3D) Where the controller would be required to erase personal data under this Article but the personal data must be maintained for the purposes of evidence, the controller must (instead of erasing the personal data) restrict its processing.”.
16.- Article 33 modified
After Article 33(3) there are added the following paragraphs:
“(4) The controller must restrict processing instead of erasing personal data where:
(a) the accuracy of the personal data is contested by the data subject and the extent of the data’s accuracy cannot be ascertained;
(b) the personal data must be maintained for the purposes of evidence.
(5) Where paragraph (4)(a) applies the controller must inform the data subject before lifting the restriction on processing.
(6) The controller must inform the data subject in writing of any refusal of restriction of processing of personal data and the reasons for the refusal unless it considers it necessary and proportionate not to do so having regard to the fundamental rights and legitimate interests of the data subject concerned, in order to:
(a) avoid obstructing official or legal inquiries, investigations or procedures;
(b) avoid prejudicing the prevention, detection, investigation or prosecution of criminal offences or the execution of criminal penalties;
(c) protect public security;
(d) protect national security; or
(e) protect the rights and freedoms of others.
(7) The controller must inform the data subject of his or her right to lodge a complaint with the Authority or to seek a judicial remedy.
(8) Where the processing of personal data has been restricted under this Article the controller must notify the recipients of the data and those recipients must restrict processing of the personal data under their responsibility.”.
17.- Articles 34 to 37 omitted
Articles 34 to 37 are omitted.
18.- Article 38 modified
For Article 38(1) to (4) there are substituted the following paragraphs:
“(1) A decision based on automated processing that produces an adverse legal effect concerning the data subject or significantly affects the data subject, is prohibited unless:
(a) the decision is authorized by the relevant law to which the controller is subject; and
(b) that law provides adequate safeguards for the rights and freedoms of the data subject, in particular the right to obtain human intervention on the part of the controller.
(2) A decision mentioned in paragraph (1) must not be based on special category data as mentioned in Article 10(2) unless suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place.”.
19.- Part 8 substituted
For Part 8 there is substituted the following Part:
“PART 8.- CROSS-BORDER DATA TRANSFERS
66.- General principles for cross-border data transfers
(1) A controller must not transfer personal data to a third country or to an international organization unless:
(a) the transfer is necessary for any of the law enforcement purposes;
(b) the conditions set out in paragraph (2) are met; and
(c) in a case where the personal data was originally transmitted or otherwise made available to the controller or another competent authority by a Member State, that Member State, or any person based in that Member State that is a competent authority for the purposes of the Law Enforcement Directive, has authorized the transfer in accordance with the law of the Member State.
(2) The conditions are:
(a) that the transfer is based on:
(i) an adequacy decision in accordance with Article 67,
(ii) there being appropriate safeguards as set out in Article 67A, or
(iii) the special circumstances set out in Article 67B; and
(b) the intended recipient is:
(i) a relevant authority in a third country or an international organization that is a relevant international organization, or
(ii) any other person and the additional conditions in Article 67C are met.
(3) Authorization is not required as mentioned in paragraph (1)(c) if:
(a) the transfer is necessary for the prevention of an immediate and serious threat either to the public security of Jersey or a Member State or a third country or to the essential interests of a Member State; and
(b) the authorization cannot be obtained in good time.
(4) Where a transfer is made without the authorization mentioned in paragraph (1)(c), the authority in the Member State which would have been responsible for deciding whether to authorize the transfer must be informed without delay.
(5) In this Article:
‘relevant authority’, in relation to a third country, means any person based in a third country that has (in that country) functions comparable to those of a competent authority;
‘relevant international organization’ means an international organization that carries out functions for any of the law enforcement purposes.
67 .- Transfers on the basis of an adequacy decision
A transfer of personal data to a third country or an international organization is based on an adequacy decision where:
(a) the European Commission has decided, in accordance with Article 36 of the Law Enforcement Directive, that the third country or a territory or one or more specified sectors within that third country, or (as the case may be) the international organization, ensures an adequate level of protection of personal data; and
(b) that decision has not been repealed or suspended, or amended in a way that demonstrates that the Commission no longer considers there to be an adequate level of protection of personal data.
67A .- Transfers on the basis of appropriate safeguards
(1) A transfer of personal data to a third country or an international organization is based on there being appropriate safeguards where:
(a) a legal instrument containing appropriate safeguards for the protection of personal data binds the intended recipient of the data; or
(b) the controller, having assessed all the circumstances surrounding transfers of that type of personal data to the third country or international organization, concludes that appropriate safeguards exist to protect the data.
(2) The controller must inform the Authority about the categories of data transfers that take place in reliance on paragraph (1)(b).
(3) Where a transfer of data takes place in reliance on paragraph (1):
(a) the transfer must be documented;
(b) the documentation must be provided to the Authority on request;
(c) the documentation must include, in particular:
(i) the date and time of the transfer,
(ii) the name of and any other pertinent information about the recipient,
(iii) the justification for the transfer, and
(iv) a description of the personal data transferred.
67B.- Transfers on the basis of special circumstances
(1) A transfer of personal data to a third country or international organization is based on special circumstances where the transfer is necessary:
(a) to protect the vital interests of the data subject or another person;
(b) to safeguard the legitimate interests of the data subject;
(c) for the prevention of an immediate and serious threat to the public security of Jersey, a Member State or a third country;
(d) in individual cases for any of the law enforcement purposes; or
(e) in individual cases for a legal purpose.
(2) But paragraph (1)(d) and (e) do not apply if the controller determines that fundamental rights and freedoms of the data subject override the public interest in the transfer.
(3) Where a transfer of data takes place in reliance on paragraph (1):
(a) the transfer must be documented;
(b) the documentation must be provided to the Authority on request; and
(c) the documentation must include, in particular:
(i) the date and time of the transfer,
(ii) the name of and any other pertinent information about the recipient,
(iii) the justification for the transfer, and
(iv) a description of the personal data transferred.
(4) For the purposes of this Article, a transfer is necessary for a legal purpose if:
(a) it is necessary for the purpose of, or in connection with, any legal proceedings (including prospective legal proceedings) relating to any of the law enforcement purposes;
(b) it is necessary for the purpose of obtaining legal advice in relation to any of the law enforcement purposes; or
(c) it is otherwise necessary for the purposes of establishing, exercising or defending legal rights in relation to any of the law enforcement purposes.
67C .- Transfers of personal data to persons other than relevant authorities
(1) The additional conditions referred to in Article 66(2)(b)(ii) are that:
(a) the transfer is strictly necessary in a specific case for the performance of a task of the transferring controller as provided by law for any of the law enforcement purposes; and
(b) the transferring controller:
(i) has determined that there are no fundamental rights and freedoms of the data subject concerned that override the public interest necessitating the transfer,
(ii) considers that the transfer of the personal data to a relevant authority (within the meaning of Article 66) in the third country would be ineffective or inappropriate (for example, where the transfer could not be made in sufficient time to enable its purpose to be fulfilled), and
(iii) informs the intended recipient of the specific purpose or purposes for which the personal data may, so far as necessary, be processed.
(2) Where personal data are transferred to a person in a third country other than a relevant authority, the transferring controller must inform a relevant authority in that third country without undue delay of the transfer, unless this would be ineffective or inappropriate.
(3) The transferring controller must:
(a) document any transfer to a recipient in a third country other than a relevant authority; and
(b) inform the Authority of the transfer.
(4) This Article does not affect the operation of any international agreement in force in respect of Jersey in the field of judicial co-operation in criminal matters and police co-operation.”.
SCHEDULE 2.-
(Article 9).-
CONDITIONS FOR PROCESSING
PART 1.- CONDITIONS FOR PROCESSING PERSONAL DATA
1.- Consent
The data subject has consented to the processing of his or her data for one or more specific purposes.
2.- Contract
The processing is necessary for:
(a) the performance of a contract to which the data subject is a party; or
(b) the taking of steps at the request of the data subject with a view to entering into a contract.
3.- Vital interests
The processing is necessary to protect the vital interests of the data subject or any other natural person.
4.- Public functions
The processing is necessary for:
(a) the administration of justice;
(b) the exercise of any functions conferred on any person by or under any enactment;
(c) the exercise of any functions of the Crown, the States or any public authority; or
(d) the exercise of any other functions of a public nature with a legal basis in Jersey law to which the controller is subject and exercised in the public interest by any person.
5.- Legitimate interests
(1) The processing is necessary for the purposes of legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, unless:
(a) the processing is unwarranted in any particular case by reason of prejudice to the rights and freedoms or legitimate interests of the data subject, in particular where the subject is a child; or
(b) the controller is a public authority.
(2) The States may by Regulations specify particular circumstances in which the condition set out in sub-paragraph (1)(a) is, or is not, to be taken to be satisfied.
PART 2.- CONDITIONS FOR PROCESSING PERSONAL DATA AND SPECIAL CATEGORY DATA
6.- Consent
The data subject has given explicit consent to the processing for one or more specific purposes.
7.- Other legal obligations
The processing is necessary for compliance with a legal obligation, other than one imposed by contract, to which the controller is subject.
8.- Employment and social fields
The processing is necessary for the purposes of exercising or performing any right, obligation or public function conferred or imposed by law on the controller in connection with employment, social security, social services or social care.
9.- Vital interests
The processing is necessary in order to protect the vital interests of:
(a) the data subject or another person, in a case where consent cannot be given by or on behalf of the data subject, or the controller cannot reasonably be expected to obtain the consent of the data subject; or
(b) another person, in a case where consent by or on behalf of the data subject has been unreasonably withheld.
10.- Non-profit associations
The processing:
(a) is carried out in the course of its legitimate activities by any body, or association, that is not established or conducted for profit, and exists for political, philosophical, religious or trade union purposes;
(b) is carried out with appropriate safeguards for the rights and freedoms of data subjects;
(c) relates only to individuals who are members of the body or association or have regular contact with it in connection with its purposes; and
(d) does not involve disclosure of the personal data to a third party without the consent of the data subject.
11.- Information made public
The information contained in the personal data has been made public as a result of steps deliberately taken by the data subject.
12.- Legal proceedings, etc.
The processing is necessary for the purposes of:
(a) any legal proceedings;
(b) obtaining legal advice; or
(c) establishing, exercising or defending legal rights.
13.- Public functions
The processing is necessary for:
(a) the administration of justice;
(b) the exercise of any functions conferred on any person by or under an enactment; or
(c) the exercise of any functions of the Crown, the States, any administration of the States or any public authority.
14.- Public interest
The processing is necessary for reasons of substantial public interest provided for by law and is subject to appropriate protections to protect the rights and interests of the data subject.
15.- Medical purposes
(1) The processing is necessary for medical purposes and is undertaken by:
(a) a health professional; or
(b) a person who in the circumstances owes a duty of confidentiality equivalent to that which would arise if that person were a health professional.
(2) In paragraph (1) “medical purposes” includes the purposes of preventative medicine, medical diagnosis, medical research, the provision of care and treatment, the management of healthcare services, occupational medicine and the assessment of the working capacity of the employee.
16.- Public health
The processing is necessary for reasons of public interest in the area of public health, including (but not limited to) protecting against cross border threats to health and ensuring a high standard of quality and safety of health care or social care where they are provided for by law and the processing is carried out with appropriate safeguards for the rights and freedoms of data subjects.
17.- Archiving and research
The processing:
(a) is in the public interest;
(b) is necessary for the purposes of archiving or for statistical, scientific or historical research;
(c) does not support measures or decisions with respect to any particular data subject otherwise than with the explicit consent of the data subject; and
(d) is carried out with appropriate safeguards for the rights and freedoms of data subjects.
18.- Avoidance of discrimination
(1) The processing:
(a) consists of information as to:
(i) any protected characteristic within the meaning of the Discrimination (Jersey) Law 2013 [35], or
(ii) a person’s disability, or
(iii) a person’s religious beliefs;
(b) is necessary for the purpose of identifying or keeping under review the existence or absence of equality of opportunity or treatment of persons on grounds of any characteristic described in clause (a)(i) to (iii) with a view to enabling such equality to be promoted or maintained;
(c) does not support measures or decisions with respect to any particular data subject otherwise than with the explicit consent of the data subject; and
(d) is carried out with appropriate safeguards for the rights and freedoms of data subjects.
(2) The processing is not contrary to any notice in writing that an individual has given to the controller requiring the controller to cease processing personal data in respect of which the individual is the data subject, such notice taking effect at the end of a period that is reasonable in the circumstances or, if longer, the period specified in the notice.
19.- Prevention of unlawful acts
The processing:
(a) is in the substantial public interest;
(b) is necessary for the purposes of the prevention or detection of any unlawful act or unlawful omission; and
(c) in order not to prejudice those purposes, is required to be carried out without the controller’s seeking the explicit consent of the data subject.
20.- Protection against malpractice and mismanagement
The processing:
(a) is in the substantial public interest;
(b) is necessary for the discharge of any function that is designed for protecting members of the public against:
(i) dishonesty, malpractice, or other seriously improper conduct by, or the unfitness or incompetence of, any person, or
(ii) mismanagement in the administration of, or failures in services provided by, any body or association; and
(c) in order not to prejudice the discharge of that function, is required to be carried out without the controller’s seeking the explicit consent of the data subject.
21.- Publication about malpractice and mismanagement
(1) The processing:
(a) takes the form of disclosure;
(b) is in the substantial public interest;
(c) is in connection with:
(i) the commission by any person of any unlawful act, or unlawful omission, whether alleged or established,
(ii) dishonesty, malpractice, or other seriously improper conduct by, or the unfitness or incompetence of, any person, whether alleged or established, or
(iii) mismanagement in the administration of, or failures in services provided by, any body or association, whether the mismanagement or failures are alleged or established;
(d) is for the special purposes; and
(e) is made with a view to the publication of those data by any person.
(2) The person who is the controller in relation to the processing reasonably believes that the publication would be in the public interest.
22.- Counselling
(1) The processing:
(a) is in the substantial public interest; and
(b) is necessary for the discharge of any function designed for the provision of confidential counselling, confidential advice, confidential support or a similar confidential service.
(2) One or more of the following conditions is satisfied:
(a) the data subject cannot give consent to the processing;
(b) the controller cannot reasonably be expected to obtain the consent of the data subject to the processing; or
(c) the processing must, in order not to prejudice the discharge of the function referred to in sub-paragraph (1)(b), be carried out without the controller’s seeking the explicit consent of the data subject.
23.- Insurance and pensions: general determinations
(1) The processing:
(a) is necessary for the purpose of:
(i) carrying on insurance business falling within Class I, III or IV of Part 1 of Schedule 1 to the Insurance Business (Jersey) Law 1996 [36] , or within Class 1 or 2 of Part 2 of that Schedule, or
(ii) making determinations in connection with eligibility for, or benefits payable under, an occupational pension scheme, being a scheme, or arrangement, that is constituted in one or more instruments or agreements and has, or is capable of having, effect in relation to one or more descriptions or categories of employments so as to provide benefits, in the form of pensions or otherwise, payable on termination of service, or on death or retirement, to or in respect of earners with qualifying service in an employment of any such description or category; and
(b) does not support measures or decisions that relate in particular to the person who is the data subject in respect of the personal data.
(2) The controller cannot reasonably be expected to obtain the explicit consent of that data subject to the processing and the controller is not aware of the data subject’s withholding his or her consent to the processing.
(3) The personal data consists of information relating to the physical or mental health or condition of a data subject who is the parent, grandparent, great-grandparent or sibling of:
(a) in the case of processing for the purpose referred to in sub-paragraph (1)(a)(i), a person insured (or seeking to be insured) in the course of the insurance business; or
(b) in the case of processing for the purpose referred to in sub-paragraph (1)(a)(ii), a person who is a member of the scheme or seeking to become a member of the scheme.
24.- Insurance and pensions: current processing
(1) The processing:
(a) was already under way in relation to the same data subject and by or on behalf of the same controller immediately before the coming into force of this Schedule; and
(b) is necessary for the purpose of:
(i) carrying on insurance business falling within Class I, III or IV of Part 1 of Schedule 1 to the Insurance Business (Jersey) Law 1996, or
(ii) establishing or administering an occupational pension scheme, being a scheme, or arrangement, that is constituted in one or more instruments or agreements and has, or is capable of having, effect in relation to one or more descriptions or categories of employments so as to provide benefits, in the form of pensions or otherwise, payable on termination of service, or on death or retirement, to or in respect of earners with qualifying service in an employment of any such description or category.
(2) One or both of the following conditions is satisfied:
(a) the controller cannot reasonably be expected to obtain the explicit consent of the data subject to the processing and has not been informed by the data subject that the latter refuses consent to the processing;
(b) the processing must, in order not to prejudice the purpose referred to in sub-paragraph (1)(b), be carried out without the controller’s seeking the explicit consent of the data subject.
25.- Functions of a police officer
The processing is necessary for the exercise of any function conferred on a police officer by or under any enactment or other law.
26.- Regulations
Regulations may:
(a) specify further circumstances in which special category data are processed;
(b) exclude the application of this Schedule in such cases as may be specified;
(c) provide that, in such cases as may be specified, any condition in this Schedule is not to be regarded as satisfied unless such further conditions as may be specified in the Regulations are also satisfied; or
(d) specify circumstances in which processing falling within paragraph 17(a) and (b) is, or is not, to be taken for the purposes of paragraph 17(d) to be carried out with appropriate safeguards for the rights and freedoms of data subjects.
SCHEDULE 3
(Article 66(2)(c))
EXCEPTIONS TO ADEQUACY REQUIREMENTS
1.- Order of court, public authorities etc.
The transfer is specifically required by:
(a) an order or judgment of a court or tribunal having the force of law in Jersey;
(b) an order or judgment of a court or tribunal of a country other than Jersey or a decision of a public authority of such a country having the force of law in Jersey that is based on an international agreement imposing an international obligation on Jersey; or
(c) a decision of a public authority in Jersey that is based on such an international agreement.
2.- Consent
The data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision under Article 45 of the GDPR and appropriate safeguards.
3.- Contract between data subject and controller
The transfer is necessary for:
(a) the performance of a contract between the data subject and the controller; or
(b) the implementation of pre-contractual measures taken at the data subject’s request.
4.- Third-party contract in interest of data subject
The transfer is necessary for the conclusion or performance of a contract between the controller and a person other than the data subject.
5.- Transfer by or on behalf of JFSC
The transfer is necessary for reasons of substantial public interest, which is taken to be the case if all the following circumstances apply:
(a) the transfer is a disclosure that is permitted or required under an enactment in force in Jersey;
(b) the transfer is made by or on behalf of the Jersey Financial Services Commission (the “JFSC”); and
(c) the JFSC has taken reasonable steps to ensure that the transferee will not transfer the personal data to another person except:
(i) with the consent of the JFSC, or
(ii) in order to comply with an order of a court (whether or not a Jersey court) that directs the transferee to transfer the personal data to the other person.
6.- Legal proceedings etc.
The transfer:
(a) is necessary for the purpose of, or in connection with, any legal proceedings (including prospective legal proceedings);
(b) is necessary for the purpose of obtaining legal advice; or
(c) is otherwise necessary for the purposes of establishing, exercising or defending legal rights.
7.- Vital interests
The transfer is necessary in order to protect the vital interests of the data subject or of other persons, where:
(a) the data subject is physically or legally incapable of giving consent;
(b) the data subject has unreasonably withheld consent; or
(c) the controller or processor cannot reasonably be expected to obtain the explicit consent of the data subject.
8.- Public register
(1) The transfer is made from a register that:
(a) according to the relevant law is intended to provide information to the public; and
(b) is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest.
(2) However, a transfer under this paragraph:
(a) may take place only to the extent that the conditions laid down by the relevant law for consultation are fulfilled in the particular case;
(b) must not involve the entirety of the personal data or entire categories of the personal data contained in the register; and
(c) where the register is intended for consultation by persons having a legitimate interest, may be made only at the request of those persons or where they are to be the recipients of the data.
9.- Other exceptions
(1) Where a transfer cannot be based on any other provision of this Law, a transfer to a third country or an international organization may take place only if:
(a) the transfer is not repetitive;
(b) the transfer concerns only a limited number of data subjects;
(c) the transfer is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject; and
(d) the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided appropriate safeguards with regard to the protection of personal data.
(2) Where a transfer is to take place under this paragraph, the controller must:
(a) inform the Authority of the transfer as soon as practicable; and
(b) in addition to providing the information referred to in Article 12, inform the data subject of the transfer and the compelling legitimate interests pursued.
10.- Public authorities
Paragraphs 2, 3, 4 and 9 do not apply to activities carried out by public authorities in the exercise of their public powers.
11.- Recording of assessment
The controller or processor must document the assessment as well as the suitable safeguards referred to in paragraph 9(1)(d) in the records maintained under Article 14(3) or 22(1)(e).
SCHEDULE 4
(Article 67(2)(b))
BINDING CORPORATE RULES
(1) The Authority must approve binding corporate rules, if those rules:
(a) are legally binding and apply to and are enforced by every member concerned of the group, including their employees;
(b) expressly confer enforceable rights on data subjects with regard to the processing of their personal data; and
(c) fulfil the requirements laid down in paragraph (2).
(2) The rules must include the following content:
(a) the structure and contact details of the group and of each of its members;
(b) the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question;
(c) a statement of their legally binding nature, both internally and externally;
(d) the application of the data protection principles, in particular those mentioned in Article 8(1)(b), (c) and (e), matters covered by Articles 15 and 21 and provisions relating to data quality, the legal basis for processing, processing of special categories of personal data and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules;
(e) the rights of data subjects in regard to processing and the means to exercise those rights, including the right:
(i) not to be subject to decisions based solely on automated processing, in accordance with Article 38,
(ii) to lodge a complaint with the Authority under Article 19 of the Authority Law and to bring proceedings under Article 68 of this Law, and
(iii) to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules;
(f) the acceptance by the controller or processor established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member of the group, the controller or the processor being exempt from that liability, in whole or in part, only if it proves that that member is not responsible for the event giving rise to the breach;
(g) how the information on the binding corporate rules, in particular on the provisions referred to in sub-paragraphs (d), (e) and (f) is provided to the data subjects in addition to the matters required by Article 12;
(h) the functions of any data protection officer appointed under Article 24 or any other person or entity in charge of monitoring compliance with the binding corporate rules within the group, as well as monitoring training and complaint-handling;
(i) the complaint procedures;
(j) the mechanisms within the group for ensuring the verification of compliance with the binding corporate rules, which mechanisms must include the following actions:
(i) data protection audits,
(ii) methods for ensuring corrective actions to protect the rights of the data subject,
(iii) communicating the results of such actions to the person or entity referred to in sub-paragraph (h) and to the board of the controlling undertaking of the group, and
(iv) making those results available upon request to the Authority;
(k) the mechanisms for reporting and recording changes to the rules and reporting those changes to the Authority;
(l) the mechanism for co-operating with the Authority to ensure compliance by any member of the group, in particular by making available to the Authority the results of the actions referred to in sub-paragraph (j)(i) and (ii);
(m) the mechanisms for reporting to the Authority any legal requirements to which a member of the group is subject in a third country that are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules; and
(n) the appropriate data protection training to personnel having permanent or regular access to personal data.
(3) In this Schedule “group” means the group of undertakings, or group of enterprises engaged in a joint economic activity to which the binding corporate rules apply.
(4) Regulations may amend the content that the rules must include under this Schedule.
SCHEDULE 5
(Article 86)
SAVINGS AND TRANSITIONAL ARRANGEMENTS
1.- Interpretation
In this Schedule “2005 Law” means the Data Protection (Jersey) Law 2005 [37].
2.- Processing underway at time of commencement of this Law
(1) Where, at the time of commencement of Article 87, consent to the processing of personal data was obtained in compliance with the requirements of the 2005 Law, that consent, to the extent that it was not given in a manner that complies with this Law, has effect up to and including 25th May 2019.
(2) Where, at the time of commencement of Article 87, the specified information (within the meaning of Article 12(4)) was provided by the controller to the data subject in compliance with the requirements of paragraph 2 of Part 2 of Schedule 1 to the 2005 Law, to the extent that the such compliance is not compliance with Article 12 of this Law, the controller is nevertheless treated as complying with it until 25th May 2019.
3.- Request for information and copy of personal data
A request for information and a copy of personal data under Article 7 of the 2005 Law that has not been complied with on the commencement of Article 28 of this Law is treated as a request under Article 28 of this Law save that:
(a) the controller has 40 days to answer the request; and
(b) no fee paid is refundable.
4.- Right to compensation for inaccuracy, loss or unauthorized disclosure
A claim for compensation under Article 13 of the 2005 Law that remains outstanding on the commencement of Article 69 of this Law is treated as if that Article 13 continued in force.
5.- Application for rectification, blocking, erasure or destruction
An application for rectification, blocking, erasure or destruction under Article 14 of the 2005 Law that remains outstanding on the commencement of Articles 31 and 32 of this Law is treated as if that Article 14 continued in force.
6.- Self-incrimination, etc.
(1) In Article 58 of this Law and paragraph 1(9) of Schedule 1 to the Authority Law, any reference to an offence under this Law or the Authority Law includes a reference to an offence under the 2005 Law.
(2) In Article 43(9), Article 44(10) and paragraph 11 of Schedule 7 of the 2005 Law, any reference to an offence under that Law includes a reference to an offence under this Law or the Authority Law.
7.- General: references to Data Protection Commissioner
(1) This paragraph is subject to any express provision, or implication, to the contrary in or under this Law or any other enactment, or in any agreement or other document.
(2) A reference in any enactment, agreement or other document to the Data Protection Commissioner shall, on and from the commencement of the Authority Law, become a reference to the Data Protection Authority.
(3) Accordingly, any application made to the Data Protection Commissioner, any proceedings commenced with the Data Protection Commissioner as party, or anything else involving the Data Protection Commissioner, being an application, proceedings or thing that has not been finally determined, or finished, when the Authority Law comes into force may be determined or continued by the Authority.
(4) Furthermore, any record or requirement made by, any information given to, any document deposited with, any record kept by, or any statement made to, the Data Protection Commissioner in the exercise of any of the Commissioner’s functions before the commencement of Article 2 of the Authority Law is taken, on and from that time, to have been made by, given to, deposited with, kept by or made to, the Authority.
8.- General saving (except for Regulations, Rules or Orders)
(1) Except as provided otherwise in this Schedule and Article 16(7) of, or Schedule 2 to, the Authority Law, anything made or done by any person under any provision of the 2005 Law (being a thing that still had force or effect immediately before the repeal of that provision by this Law), if there is a provision under this Law that gives power to make or do such a thing, is taken to have been made or done under the latter provision.
(2) Subject to paragraph (1), Regulations, Rules, or any Order made under the 2005 Law cease to be in force when this paragraph comes into force.
SCHEDULE 6
(Article 87(2))
CONSEQUENTIAL AND MISCELLANEOUS AMENDMENTS
1.- Consequential amendments to various enactments
(1) In the following provisions for the words “Data Protection (Jersey) Law 2005[38]” there are substituted the words “Data Protection (Jersey) Law 2018 [39]”:
(a) in Article 20(8) of the Civil Aviation (Jersey) Law 2008 [40];
(b) in paragraph 7.5 of the Code set out in Schedule 3 to Regulation of Investigatory Powers (Codes of Practice) (Jersey) Order 2006 [41];
(c) in Articles 12(3)(h)(iii), (4)(f) and 16(3)(a) of the Gambling (Jersey) Law 2012 [42];
(d) in Article 113P(8) of the Companies (Jersey) Law 1991 [43];
(e) in Article 8(9) of the Companies (Takeovers and Mergers Panel) (Jersey) Law 2009 [44];
(f) in Article 133(1) of the Bank (Recovery and Resolution) (Jersey) Law 2017 [45];
(g) in Article 3(7) of the Register of Names and Addresses (Jersey) Law 2012 [46];
(h) in Article 25(2)(a) of the Freedom of Information (Jersey) Law 2011 [47];
(i) in Regulation 48(13) of the EU Legislation (Payment Services: SEPA) (Jersey) Regulations 2015 [48];
(j) in paragraph 15(a)(i) and (b) of the EU Legislation (Information Accompanying Transfers of Funds) (Jersey) Regulations 2017 [49];
(k) in Article 27(2)(a) of the Terrorist Asset-Freezing (Jersey) Law 2011 [50];
(l) in paragraph 2(6) of Schedule 6 to the Medical Practitioners (Registration) (Responsible Officers) (Jersey) Order 2014 [51];
(m) in the definition “health record” in Article 1(1) of the Medicines (Prescription Only) (Jersey) Order 1997 [52];
(n) in Article 3(7) of the Planning and Building (Island Plan) (Jersey) Order 2009 [53];
(o) in Articles 7(8) and 27(4) of the Sex Offenders (Jersey) Law 2010 [54];
(p) in Article 69(5) of the Goods and Services Tax (Jersey) Law 2007 [55];
(q) in Article 1(1) (wherever occurring) and in Articles 20B(9), 27A(9) and 30(7) of the Health Insurance (Jersey) Law 1967 [56];
(r) in Regulation 17(3) of the Health Insurance (Performers List for General Medical Practitioners) (Jersey) Regulations 2014 [57].
(2) In the following provisions for the words “sensitive personal data” there are substituted the words “special category data”:
(a) in paragraph 2(6) of Schedule 6 to the Medical Practitioners (Registration) (Responsible Officers) (Jersey) Order 2014 [58];
(b) in Articles 1(1), 20B(9), 27A(9) and 30(7) of the Health Insurance (Jersey) Law 1967 [59];
(c) in Regulation 17(3) of the Health Insurance (Performers List for General Medical Practitioners) (Jersey) Regulations 2014 [60].
(3) In Article 1(1) of the Health Insurance (Jersey) Law 1967 [61] the definition “special category data” is moved to its correct alphabetical order following the definition “Social Security Tribunal”.
2.- Public Records (Jersey) Law 2002
Article 39 of the Public Records (Jersey) Law 2002 [62] is repealed.
3.- Freedom of Information (Jersey) Law 2011
After Article 25(2) of the Freedom of Information (Jersey) Law 2011 [63] there is added the following paragraph:
“(3) In determining for the purposes of this Article whether the lawfulness principle in Article 8(1)(a) of the Data Protection (Jersey) Law 2018 [64] would be contravened by the disclosure of information, paragraph 5(1) of Schedule 2 to that Law (legitimate interests) is to be read as if sub-paragraph (b) (which disapplies the provision where the controller is a public authority) were omitted.
4.- Medical Practitioners (Registration) (Jersey) Law 1960
In Article 10C(9) of the Medical Practitioners (Registration) (Jersey) Law 1960 [65] for the words “a disclosure of personal data which is exempt from the non-disclosure provisions of the Data Protection (Jersey) Law 2005, by virtue of Article 35(1) of that Law” there are substituted the words “permitted by Article 63 of the Data Protection (Jersey) Law 2018 [66]”.
5.- Firearms (General Provisions) (Jersey) Order 2011
In the forms in Schedules 1 and 2 of the Firearms (General Provisions) (Jersey) Order 2011 [67] for the first sentence there is substituted the following text:
“The Parish is registered with the Data Protection Authority and all information is collected and used in compliance with the Data Protection (Jersey) Law 2018 [68] and the Firearms (Jersey) Law 2000 [69].”.
6.- Goods and Services Tax (Jersey) Law 2007
In Article 69(3) of the Goods and Services Tax (Jersey) Law 2007 [70], the words “, in the Data Protection (Jersey) Law 2005, in Regulations made under that Law,” are deleted.
7.- Health Insurance (Jersey) Law 1967
For Article 20B(3)(e) of the Health Insurance (Jersey) Law 1967 [71] there is substituted the following sub-paragraph:
“(e) require the contractor to make returns to the Minister of data concerning health as defined in Article 1(1) of the Data Protection (Jersey) Law 2018 [72];”.
8.- Miscellaneous amendment: Electronic Communications (Jersey) Law 2000
For Article 2 of the Electronic Communications (Jersey) Law 2000 [73] there is substituted the following Article:
“2.- Power for Regulations to modify legislation
(1) The States may make Regulations amending or extending the interpretation of any expression defined in this Law or defining any expression used in this Law if the States considers it necessary to do so to take into account a change or advancement in technology.
(2) The States may by Regulations modify the provisions of:
(a) any enactment; or
(b) any scheme, licence, authorization or approval issued, granted or given by or under any enactment, in such manner as they may think fit for the purpose of authorizing or facilitating the use of electronic communications or electronic storage (instead of other forms of communication or storage) for any purpose mentioned in paragraph (3).
(3) Those purposes are:
(a) the doing of anything which under any such provisions is required to be or may be done by post or other specified means of delivery;
(b) the doing of anything which under any such provisions is required to be or may be authorized by a person’s signature or seal, or is required to be delivered as a deed or witnessed;
(c) the making of any statement or declaration which under any such provisions is required to be made under oath or to be contained in a statutory declaration;
(d) the keeping, maintenance or preservation, for the purposes or in pursuance of any such provisions, of any account, record, notice, instrument or other document;
(e) the provision, production or publication under any such provisions of any information or other matter;
(f) the making of any payment that is required to be or may be made under any such provisions.
(4) The power to make Regulations under this Article includes, in particular, the power to provide for:
(a) the electronic form to be taken by any electronic communications or electronic storage the use of which is authorized by the Regulations;
(b) the conditions subject to which the use of electronic communications or electronic storage is so authorized;
(c) in relation to cases in which any such conditions are not satisfied, for treating anything for the purposes of which the use of such communications or storage is so authorized as not having been done;
(d) in connection with anything so authorized, a person to be able to refuse to accept receipt of something in electronic form except in such circumstances as may be specified in or determined under the Regulations;
(e) in connection with any use of electronic communications so authorized, intermediaries to be used, or to be capable of being used, the transmission of any data or for establishing the authenticity or integrity of any data;
(f) in connection with any use of electronic storage so authorized, persons satisfying such conditions as may be specified in or determined under the Regulations to carry out functions in relation to the storage;
(g) in relation to cases in which the use of electronic communications or electronic storage is so authorized, the determination of any of the matters mentioned in paragraph (5), or as to the manner in which they may be proved in legal proceedings;
(h) in relation to cases in which fees or charges are or may be imposed in connection with anything for the purposes of which the use of electronic communications or electronic storage is so authorized, different fees or charges to apply where use is made of such communications or storage;
(i) in relation to any criminal or other liabilities that may arise (in respect of the making of false or misleading statements or otherwise) in connection with anything for the purposes of which the use of electronic communications or electronic storage is so authorized, corresponding liabilities to arise in corresponding circumstances where use is made of such communications or storage;
(j) persons to prepare and keep records in connection with any use of electronic communications or electronic storage which is so authorized;
(k) the production of the contents of any records kept in accordance with the Regulations;
(l) a requirement imposed by virtue of sub-paragraph (j) or (k) to be enforceable at the suit or instance of such person as may be specified in or determined in accordance with the Regulations.
(5) The matters referred to in paragraph (4)(g) are:
(a) whether a thing has been done using an electronic communication or electronic storage;
(b) the time at which, or date on which, a thing done using any such communication or storage was done;
(c) the place where a thing done using such communication or storage was done;
(d) the person by whom such a thing was done; and
(e) the contents, authenticity or integrity of any electronic data.
(6) Regulations under this Article may:
(a) provide for any conditions or requirements imposed by the Regulations to be framed by reference to the directions of such persons as may be specified in or determined in accordance with the Regulations;
(b) provide that any such condition or requirement is to be satisfied only where a person so specified or determined is satisfied as to specified matters; and
(c) make such incidental, supplemental, consequential and transitional provision as the States think fit, and the provision that may be made by virtue of sub-paragraph (c) includes provision modifying any enactment or any scheme, licence, authorization or approval issued, granted or given by or under any enactment.”.
[1] L.4/2018
[2] chapter 12.200
[3] chapter 16.300
[4] chapter 16.330
[5] chapter 16.325
[6] chapter 16.800
[7] chapter 16.800.15
[8] chapter 15.350
[9] chapter 08.780
[10] chapter 13.225
[11] chapter 13.875
[12] chapter 13.100
[13] chapter 13.075
[14] chapter 13.125
[15] chapter 13.425
[16] chapter 13.225
[17] chapter 17.245.51
[18] L.10/2017
[19] chapter 08.785
[20] chapter 13.255
[21] chapter 13.250
[22] chapter 13.125
[23] chapter 12.050
[24] chapter 08.680
[25] chapter 08.780
[26] chapter 17.860
[27] chapter 12.200
[28] chapter 16.330
[29] chapter 08.840
[30] chapter 07.770
[31] chapter 15.360
[32] chapter 23.750
[33] chapter 08.830
[34] L.2/2005 (chapter 15.240)
[35] chapter 15.260
[36] chapter 13.425
[37] chapter 15.240
[38] chapter 15.240
[39] L.3/2018
[40] chapter 03.530
[41] chapter 08.830.10
[42] chapter 11.300
[43] chapter 13.125
[44] chapter 13.145
[45] L.10/2017
[46] chapter 15.660
[47] chapter 16.330
[48] chapter 17.245.54
[49] R&O.57/2017
[50] chapter 17.861
[51] chapter 20.600.80
[52] chapter 20.625.95
[53] chapter 22.550.30
[54] chapter 23.815
[55] chapter 24.700
[56] chapter 26.500
[57] chapter 26.500.20
[58] chapter 20.600.80
[59] chapter 26.500
[60] chapter 26.500.20
[61] chapter 26.500
[62] chapter 15.580
[63] chapter 16.330
[64] L.3/2018
[65] chapter 20.600
[66] L.3/2018
[67] chapter 23.200.60
[68] L.3/2018
[69] chapter 23.200
[70] chapter 24.700
[71] chapter 26.500
[72] L.3/2018
[73] chapter 04.280
03Abr/19
Senate Bill nº 1121. Chapter 735, approved by Governor September 23, 2018, published September 24, 2018
California Consumer Privacy Act of 2018. Senate Bill nº 1121. Chapter 735, approved by Governor September 23, 2018, published September 24, 2018.
Senate Bill nº 1121
CHAPTER 735
An act to amend Sections 1798.100, 1798.105, 1798.110, 1798.115, 1798.120, 1798.125, 1798.130, 1798.135, 1798.140, 1798.145, 1798.150, 1798.155, 1798.185, 1798.192, 1798.196, and 1798.198 of, and to add Section 1798.199 to, the Civil Code, relating to personal information, and declaring the urgency thereof, to take effect immediately.
Approved by Governor September 23, 2018. Filed with Secretary of State September 23, 2018.
SB 1121, Dodd. California Consumer Privacy Act of 2018.
(1) Existing law, the California Consumer Privacy Act of 2018, grants, commencing on January 1, 2020, a consumer various rights with regard to personal information relating to that consumer that is held by a business, including the right to request a business to delete any personal information about the consumer collected by the business, and requires the business to comply with a verifiable consumer request to that effect, unless it is necessary for the business or service provider to maintain the customer’s personal information in order to carry out specified acts. The act requires a business that collects personal information about a consumer to disclose the consumer’s right to delete personal information described above on its Internet Web site or in its online privacy policy or policies.
This bill would modify that requirement by requiring a business that collects personal information about a consumer to disclose the consumer’s right to delete personal information in a form that is reasonably accessible to consumers and in accordance with a specified process.
(2) The act establishes several exceptions to the requirements imposed, and rights granted, by the act, including prohibiting the act from being interpreted to restrict the ability of a business to comply with federal, state, or local laws, and by providing that the act does not apply if it is in conflict with the California Constitution.
This bill would provide that the rights afforded to consumers and the obligations imposed on any business under the act does not apply if those rights or obligations would infringe on the noncommercial activities of people and entities described in a specified provision of the California Constitution addressing activities related to newspapers and periodicals. The bill would also prohibit application of the act to personal information collected, processed, sold, or disclosed pursuant to a specified federal law relating to banks, brokerages, insurance companies, and credit reporting agencies, among others, and would also except application of the act to that information pursuant to the California Financial Information Privacy Act. The bill would provide that these exceptions, and the exception provided to information collected, processed, sold, or disclosed pursuant to the Driver’s Privacy Protection Act of 1994, do not apply to specific provisions of the act related to unauthorized theft and disclosure of information. The bill would revise and expand the exception provided for medical information, would except a provider of health care or a covered entity, and would also except information collected as part of clinical trials, as specified. The bill would also clarify that the act does not apply if it is in conflict with the United States Constitution.
(3) The act generally provides for its enforcement by the Attorney General, but also provides for a private right of action in connection with certain unauthorized access and exfiltration, theft, or disclosure of a consumer’s nonencrypted or nonredacted personal information, as defined for this purpose, provided that the consumer bringing an action notify the Attorney General of the action in accordance with a specified process. The act provides that a business, service provider, or other person who violates its provisions, and fails to cure those violations within 30 days, is liable for a civil penalty under laws relating to unfair competition in an action to be brought by the Attorney General. The act prescribes a formula for allocating civil penalties and settlements assessed in these actions with 80% to be allocated to the jurisdictions of the behalf of which the action was brought.
This bill would clarify that the only private right of action permitted under the act is the private right of action described above for violations of unauthorized access and exfiltration, theft, or disclosure of a consumer’s nonencrypted or nonredacted personal information and would delete the requirement that a consumer bringing a private right of action notify the Attorney General. The bill would remove references to laws relating to unfair competition in connection with Attorney General actions described above. The bill would limit the civil penalty to be assessed in an Attorney General action in this context to not more than $2,500 per violation or $7,500 per each intentional violation and would specify that an injunction is also available as remedy. The bill would eliminate the formula for allocating penalties and settlements and would instead provide that all of these moneys be deposited in the Consumer Privacy Fund with the intent to offset costs incurred by the courts and the Attorney General in connection with the act. The bill would also revise timelines and requirements regarding the promulgation of regulations by the Attorney General in connection with the act.
(4) The act makes its provisions operative on January 1, 2020, provided a specified contingency is satisfied. Provisions of the act supersede and preempt laws adopted by local entities regarding the collection and sale of a consumer’s personal information by a business.
This bill would make the provisions of the act that supersede and preempt laws adopted by local entities, as described above, operative on the date the bill becomes effective.
(5) This bill would also make various technical and clarifying changes to the act.
(6) This bill would declare that it is to take effect immediately as an urgency statute.
BILL TEXT.- THE PEOPLE OF THE STATE OF CALIFORNIA DO ENACT AS FOLLOWS:
SECTION 1. Section 1798.100 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.100.
(a) A consumer shall have the right to request that a business that collects a consumer’s personal information disclose to that consumer the categories and specific pieces of personal information the business has collected.
(b) A business that collects a consumer’s personal information shall, at or before the point of collection, inform consumers as to the categories of personal information to be collected and the purposes for which the categories of personal information shall be used. A business shall not collect additional categories of personal information or use personal information collected for additional purposes without providing the consumer with notice consistent with this section.
(c) A business shall provide the information specified in subdivision (a) to a consumer only upon receipt of a verifiable consumer request.
(d) A business that receives a verifiable consumer request from a consumer to access personal information shall promptly take steps to disclose and deliver, free of charge to the consumer, the personal information required by this section. The information may be delivered by mail or electronically, and if provided electronically, the information shall be in a portable and, to the extent technically feasible, in a readily useable format that allows the consumer to transmit this information to another entity without hindrance. A business may provide personal information to a consumer at any time, but shall not be required to provide personal information to a consumer more than twice in a 12-month period.
(e) This section shall not require a business to retain any personal information collected for a single, one-time transaction, if such information is not sold or retained by the business or to reidentify or otherwise link information that is not maintained in a manner that would be considered personal information.
SEC. 2. Section 1798.105 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.105.
(a) A consumer shall have the right to request that a business delete any personal information about the consumer which the business has collected from the consumer.
(b) A business that collects personal information about consumers shall disclose, pursuant to Section 1798.130, the consumer’s rights to request the deletion of the consumer’s personal information.
(c) A business that receives a verifiable consumer request from a consumer to delete the consumer’s personal information pursuant to subdivision (a) of this section shall delete the consumer’s personal information from its records and direct any service providers to delete the consumer’s personal information from their records.
(d) A business or a service provider shall not be required to comply with a consumer’s request to delete the consumer’s personal information if it is necessary for the business or service provider to maintain the consumer’s personal information in order to:
(1) Complete the transaction for which the personal information was collected, provide a good or service requested by the consumer, or reasonably anticipated within the context of a business’s ongoing business relationship with the consumer, or otherwise perform a contract between the business and the consumer.
(2) Detect security incidents, protect against malicious, deceptive, fraudulent, or illegal activity; or prosecute those responsible for that activity.
(3) Debug to identify and repair errors that impair existing intended functionality.
(4) Exercise free speech, ensure the right of another consumer to exercise his or her right of free speech, or exercise another right provided for by law.
(5) Comply with the California Electronic Communications Privacy Act pursuant to Chapter 3.6 (commencing with Section 1546) of Title 12 of Part 2 of the Penal Code.
(6) Engage in public or peer-reviewed scientific, historical, or statistical research in the public interest that adheres to all other applicable ethics and privacy laws, when the businesses’ deletion of the information is likely to render impossible or seriously impair the achievement of such research, if the consumer has provided informed consent.
(7) To enable solely internal uses that are reasonably aligned with the expectations of the consumer based on the consumer’s relationship with the business.
(8) Comply with a legal obligation.
(9) Otherwise use the consumer’s personal information, internally, in a lawful manner that is compatible with the context in which the consumer provided the information.
SEC. 3.
Section 1798.110 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.110.
(a) A consumer shall have the right to request that a business that collects personal information about the consumer disclose to the consumer the following:
(1) The categories of personal information it has collected about that consumer.
(2) The categories of sources from which the personal information is collected.
(3) The business or commercial purpose for collecting or selling personal information.
(4) The categories of third parties with whom the business shares personal information.
(5) The specific pieces of personal information it has collected about that consumer.
(b) A business that collects personal information about a consumer shall disclose to the consumer, pursuant to paragraph (3) of subdivision (a) of Section 1798.130, the information specified in subdivision (a) upon receipt of a verifiable consumer request from the consumer.
(c) A business that collects personal information about consumers shall disclose, pursuant to subparagraph (B) of paragraph (5) of subdivision (a) of Section 1798.130:
(1) The categories of personal information it has collected about that consumer.
(2) The categories of sources from which the personal information is collected.
(3) The business or commercial purpose for collecting or selling personal information.
(4) The categories of third parties with whom the business shares personal information.
(5) The specific pieces of personal information the business has collected about that consumer.
(d) This section does not require a business to do the following:
(1) Retain any personal information about a consumer collected for a single one-time transaction if, in the ordinary course of business, that information about the consumer is not retained.
(2) Reidentify or otherwise link any data that, in the ordinary course of business, is not maintained in a manner that would be considered personal information.
SEC. 4.
Section 1798.115 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.115.
(a) A consumer shall have the right to request that a business that sells the consumer’s personal information, or that discloses it for a business purpose, disclose to that consumer:
(1) The categories of personal information that the business collected about the consumer.
(2) The categories of personal information that the business sold about the consumer and the categories of third parties to whom the personal information was sold, by category or categories of personal information for each third party to whom the personal information was sold.
(3) The categories of personal information that the business disclosed about the consumer for a business purpose.
(b) A business that sells personal information about a consumer, or that discloses a consumer’s personal information for a business purpose, shall disclose, pursuant to paragraph (4) of subdivision (a) of Section 1798.130, the information specified in subdivision (a) to the consumer upon receipt of a verifiable consumer request from the consumer.
(c) A business that sells consumers’ personal information, or that discloses consumers’ personal information for a business purpose, shall disclose, pursuant to subparagraph (C) of paragraph (5) of subdivision (a) of Section 1798.130:
(1) The category or categories of consumers’ personal information it has sold, or if the business has not sold consumers’ personal information, it shall disclose that fact.
(2) The category or categories of consumers’ personal information it has disclosed for a business purpose, or if the business has not disclosed the consumers’ personal information for a business purpose, it shall disclose that fact.
(d) A third party shall not sell personal information about a consumer that has been sold to the third party by a business unless the consumer has received explicit notice and is provided an opportunity to exercise the right to opt-out pursuant to Section 1798.120.
SEC. 5. Section 1798.120 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.120.
(a) A consumer shall have the right, at any time, to direct a business that sells personal information about the consumer to third parties not to sell the consumer’s personal information. This right may be referred to as the right to opt-out.
(b) A business that sells consumers’ personal information to third parties shall provide notice to consumers, pursuant to subdivision (a) of Section 1798.135, that this information may be sold and that consumers have the “right to opt-out” of the sale of their personal information.
(c) Notwithstanding subdivision (a), a business shall not sell the personal information of consumers if the business has actual knowledge that the consumer is less than 16 years of age, unless the consumer, in the case of consumers between 13 and 16 years of age, or the consumer’s parent or guardian, in the case of consumers who are less than 13 years of age, has affirmatively authorized the sale of the consumer’s personal information. A business that willfully disregards the consumer’s age shall be deemed to have had actual knowledge of the consumer’s age. This right may be referred to as the “right to opt-in.”
(d) A business that has received direction from a consumer not to sell the consumer’s personal information or, in the case of a minor consumer’s personal information has not received consent to sell the minor consumer’s personal information shall be prohibited, pursuant to paragraph (4) of subdivision (a) of Section 1798.135, from selling the consumer’s personal information after its receipt of the consumer’s direction, unless the consumer subsequently provides express authorization for the sale of the consumer’s personal information.
SEC. 6.
Section 1798.125 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.125.
(a)
(1) A business shall not discriminate against a consumer because the consumer exercised any of the consumer’s rights under this title, including, but not limited to, by:
(A) Denying goods or services to the consumer.
(B) Charging different prices or rates for goods or services, including through the use of discounts or other benefits or imposing penalties.
(C) Providing a different level or quality of goods or services to the consumer.
(D) Suggesting that the consumer will receive a different price or rate for goods or services or a different level or quality of goods or services.
(2) Nothing in this subdivision prohibits a business from charging a consumer a different price or rate, or from providing a different level or quality of goods or services to the consumer, if that difference is reasonably related to the value provided to the consumer by the consumer’s data.
(b)
(1) A business may offer financial incentives, including payments to consumers as compensation, for the collection of personal information, the sale of personal information, or the deletion of personal information. A business may also offer a different price, rate, level, or quality of goods or services to the consumer if that price or difference is directly related to the value provided to the consumer by the consumer’s data.
(2) A business that offers any financial incentives pursuant to subdivision (a), shall notify consumers of the financial incentives pursuant to Section 1798.135.
(3) A business may enter a consumer into a financial incentive program only if the consumer gives the business prior opt-in consent pursuant to Section 1798.135 which clearly describes the material terms of the financial incentive program, and which may be revoked by the consumer at any time.
(4) A business shall not use financial incentive practices that are unjust, unreasonable, coercive, or usurious in nature.
SEC. 7. Section 1798.130 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.130.
(a) In order to comply with Sections 1798.100, 1798.105, 1798.110, 1798.115, and 1798.125, a business shall, in a form that is reasonably accessible to consumers:
(1) Make available to consumers two or more designated methods for submitting requests for information required to be disclosed pursuant to Sections 1798.110 and 1798.115, including, at a minimum, a toll-free telephone number, and if the business maintains an Internet Web site, a Web site address.
(2) Disclose and deliver the required information to a consumer free of charge within 45 days of receiving a verifiable consumer request from the consumer. The business shall promptly take steps to determine whether the request is a verifiable consumer request, but this shall not extend the business’s duty to disclose and deliver the information within 45 days of receipt of the consumer’s request. The time period to provide the required information may be extended once by an additional 45 days when reasonably necessary, provided the consumer is provided notice of the extension within the first 45-day period. The disclosure shall cover the 12-month period preceding the business’s receipt of the verifiable consumer request and shall be made in writing and delivered through the consumer’s account with the business, if the consumer maintains an account with the business, or by mail or electronically at the consumer’s option if the consumer does not maintain an account with the business, in a readily useable format that allows the consumer to transmit this information from one entity to another entity without hindrance. The business shall not require the consumer to create an account with the business in order to make a verifiable consumer request.
(3) For purposes of subdivision (b) of Section 1798.110:
(A) To identify the consumer, associate the information provided by the consumer in the verifiable consumer request to any personal information previously collected by the business about the consumer.
(B) Identify by category or categories the personal information collected about the consumer in the preceding 12 months by reference to the enumerated category or categories in subdivision (c) that most closely describes the personal information collected.
(4) For purposes of subdivision (b) of Section 1798.115:
(A) Identify the consumer and associate the information provided by the consumer in the verifiable consumer request to any personal information previously collected by the business about the consumer.
(B) Identify by category or categories the personal information of the consumer that the business sold in the preceding 12 months by reference to the enumerated category in subdivision (c) that most closely describes the personal information, and provide the categories of third parties to whom the consumer’s personal information was sold in the preceding 12 months by reference to the enumerated category or categories in subdivision (c) that most closely describes the personal information sold. The business shall disclose the information in a list that is separate from a list generated for the purposes of subparagraph (C).
(C) Identify by category or categories the personal information of the consumer that the business disclosed for a business purpose in the preceding 12 months by reference to the enumerated category or categories in subdivision (c) that most closely describes the personal information, and provide the categories of third parties to whom the consumer’s personal information was disclosed for a business purpose in the preceding 12 months by reference to the enumerated category or categories in subdivision (c) that most closely describes the personal information disclosed. The business shall disclose the information in a list that is separate from a list generated for the purposes of subparagraph (B).
(5) Disclose the following information in its online privacy policy or policies if the business has an online privacy policy or policies and in any California-specific description of consumers’ privacy rights, or if the business does not maintain those policies, on its Internet Web site, and update that information at least once every 12 months:
(A) A description of a consumer’s rights pursuant to Sections 1798.110, 1798.115, and 1798.125 and one or more designated methods for submitting requests.
(B) For purposes of subdivision (c) of Section 1798.110, a list of the categories of personal information it has collected about consumers in the preceding 12 months by reference to the enumerated category or categories in subdivision (c) that most closely describe the personal information collected.
(C) For purposes of paragraphs (1) and (2) of subdivision (c) of Section 1798.115, two separate lists:
(i) A list of the categories of personal information it has sold about consumers in the preceding 12 months by reference to the enumerated category or categories in subdivision (c) that most closely describe the personal information sold, or if the business has not sold consumers’ personal information in the preceding 12 months, the business shall disclose that fact.
(ii) A list of the categories of personal information it has disclosed about consumers for a business purpose in the preceding 12 months by reference to the enumerated category in subdivision (c) that most closely describe the personal information disclosed, or if the business has not disclosed consumers’ personal information for a business purpose in the preceding 12 months, the business shall disclose that fact.
(6) Ensure that all individuals responsible for handling consumer inquiries about the business’s privacy practices or the business’s compliance with this title are informed of all requirements in Sections 1798.110, 1798.115, 1798.125, and this section, and how to direct consumers to exercise their rights under those sections.
(7) Use any personal information collected from the consumer in connection with the business’s verification of the consumer’s request solely for the purposes of verification.
(b) A business is not obligated to provide the information required by Sections 1798.110 and 1798.115 to the same consumer more than twice in a 12-month period.
(c) The categories of personal information required to be disclosed pursuant to Sections 1798.110 and 1798.115 shall follow the definition of personal information in Section 1798.140.
SEC. 8. Section 1798.135 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.135.
(a) A business that is required to comply with Section 1798.120 shall, in a form that is reasonably accessible to consumers:
(1) Provide a clear and conspicuous link on the business’s Internet homepage, titled “Do Not Sell My Personal Information,” to an Internet Web page that enables a consumer, or a person authorized by the consumer, to opt-out of the sale of the consumer’s personal information. A business shall not require a consumer to create an account in order to direct the business not to sell the consumer’s personal information.
(2) Include a description of a consumer’s rights pursuant to Section 1798.120, along with a separate link to the “Do Not Sell My Personal Information” Internet Web page in:
(A) Its online privacy policy or policies if the business has an online privacy policy or policies.
(B) Any California-specific description of consumers’ privacy rights.
(3) Ensure that all individuals responsible for handling consumer inquiries about the business’s privacy practices or the business’s compliance with this title are informed of all requirements in Section 1798.120 and this section and how to direct consumers to exercise their rights under those sections.
(4) For consumers who exercise their right to opt-out of the sale of their personal information, refrain from selling personal information collected by the business about the consumer.
(5) For a consumer who has opted-out of the sale of the consumer’s personal information, respect the consumer’s decision to opt-out for at least 12 months before requesting that the consumer authorize the sale of the consumer’s personal information.
(6) Use any personal information collected from the consumer in connection with the submission of the consumer’s opt-out request solely for the purposes of complying with the opt-out request.
(b) Nothing in this title shall be construed to require a business to comply with the title by including the required links and text on the homepage that the business makes available to the public generally, if the business maintains a separate and additional homepage that is dedicated to California consumers and that includes the required links and text, and the business takes reasonable steps to ensure that California consumers are directed to the homepage for California consumers and not the homepage made available to the public generally.
(c) A consumer may authorize another person solely to opt-out of the sale of the consumer’s personal information on the consumer’s behalf, and a business shall comply with an opt-out request received from a person authorized by the consumer to act on the consumer’s behalf, pursuant to regulations adopted by the Attorney General.
SEC. 9. Section 1798.140 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.140. For purposes of this title:
(a) “Aggregate consumer information” means information that relates to a group or category of consumers, from which individual consumer identities have been removed, that is not linked or reasonably linkable to any consumer or household, including via a device. “Aggregate consumer information” does not mean one or more individual consumer records that have been deidentified.
(b) “Biometric information” means an individual’s physiological, biological or behavioral characteristics, including an individual’s deoxyribonucleic acid (DNA), that can be used, singly or in combination with each other or with other identifying data, to establish individual identity. Biometric information includes, but is not limited to, imagery of the iris, retina, fingerprint, face, hand, palm, vein patterns, and voice recordings, from which an identifier template, such as a faceprint, a minutiae template, or a voiceprint, can be extracted, and keystroke patterns or rhythms, gait patterns or rhythms, and sleep, health, or exercise data that contain identifying information.
(c) “Business” means:
(1) A sole proprietorship, partnership, limited liability company, corporation, association, or other legal entity that is organized or operated for the profit or financial benefit of its shareholders or other owners, that collects consumers’ personal information, or on the behalf of which such information is collected and that alone, or jointly with others, determines the purposes and means of the processing of consumers’ personal information, that does business in the State of California, and that satisfies one or more of the following thresholds:
(A) Has annual gross revenues in excess of twenty-five million dollars ($25,000,000), as adjusted pursuant to paragraph (5) of subdivision (a) of Section 1798.185.
(B) Alone or in combination, annually buys, receives for the business’s commercial purposes, sells, or shares for commercial purposes, alone or in combination, the personal information of 50,000 or more consumers, households, or devices.
(C) Derives 50 percent or more of its annual revenues from selling consumers’ personal information.
(2) Any entity that controls or is controlled by a business, as defined in paragraph (1), and that shares common branding with the business. “Control” or “controlled” means ownership of, or the power to vote, more than 50 percent of the outstanding shares of any class of voting security of a business; control in any manner over the election of a majority of the directors, or of individuals exercising similar functions; or the power to exercise a controlling influence over the management of a company. “Common branding” means a shared name, servicemark, or trademark.
(d) “Business purpose” means the use of personal information for the business’s or a service provider’s operational purposes, or other notified purposes, provided that the use of personal information shall be reasonably necessary and proportionate to achieve the operational purpose for which the personal information was collected or processed or for another operational purpose that is compatible with the context in which the personal information was collected. Business purposes are:
(1) Auditing related to a current interaction with the consumer and concurrent transactions, including, but not limited to, counting ad impressions to unique visitors, verifying positioning and quality of ad impressions, and auditing compliance with this specification and other standards.
(2) Detecting security incidents, protecting against malicious, deceptive, fraudulent, or illegal activity, and prosecuting those responsible for that activity.
(3) Debugging to identify and repair errors that impair existing intended functionality.
(4) Short-term, transient use, provided the personal information that is not disclosed to another third party and is not used to build a profile about a consumer or otherwise alter an individual consumer’s experience outside the current interaction, including, but not limited to, the contextual customization of ads shown as part of the same interaction.
(5) Performing services on behalf of the business or service provider, including maintaining or servicing accounts, providing customer service, processing or fulfilling orders and transactions, verifying customer information, processing payments, providing financing, providing advertising or marketing services, providing analytic services, or providing similar services on behalf of the business or service provider.
(6) Undertaking internal research for technological development and demonstration.
(7) Undertaking activities to verify or maintain the quality or safety of a service or device that is owned, manufactured, manufactured for, or controlled by the business, and to improve, upgrade, or enhance the service or device that is owned, manufactured, manufactured for, or controlled by the business.
(e) “Collects,” “collected,” or “collection” means buying, renting, gathering, obtaining, receiving, or accessing any personal information pertaining to a consumer by any means. This includes receiving information from the consumer, either actively or passively, or by observing the consumer’s behavior.
(f) “Commercial purposes” means to advance a person’s commercial or economic interests, such as by inducing another person to buy, rent, lease, join, subscribe to, provide, or exchange products, goods, property, information, or services, or enabling or effecting, directly or indirectly, a commercial transaction. “Commercial purposes” do not include for the purpose of engaging in speech that state or federal courts have recognized as noncommercial speech, including political speech and journalism.
(g) “Consumer” means a natural person who is a California resident, as defined in Section 17014 of Title 18 of the California Code of Regulations, as that section read on September 1, 2017, however identified, including by any unique identifier.
(h) “Deidentified” means information that cannot reasonably identify, relate to, describe, be capable of being associated with, or be linked, directly or indirectly, to a particular consumer, provided that a business that uses deidentified information:
(1) Has implemented technical safeguards that prohibit reidentification of the consumer to whom the information may pertain.
(2) Has implemented business processes that specifically prohibit reidentification of the information.
(3) Has implemented business processes to prevent inadvertent release of deidentified information.
(4) Makes no attempt to reidentify the information.
(i) “Designated methods for submitting requests” means a mailing address, email address, Internet Web page, Internet Web portal, toll-free telephone number, or other applicable contact information, whereby consumers may submit a request or direction under this title, and any new, consumer-friendly means of contacting a business, as approved by the Attorney General pursuant to Section 1798.185.
(j) “Device” means any physical object that is capable of connecting to the Internet, directly or indirectly, or to another device.
(k) “Health insurance information” means a consumer’s insurance policy number or subscriber identification number, any unique identifier used by a health insurer to identify the consumer, or any information in the consumer’s application and claims history, including any appeals records, if the information is linked or reasonably linkable to a consumer or household, including via a device, by a business or service provider.
(l) “Homepage” means the introductory page of an Internet Web site and any Internet Web page where personal information is collected. In the case of an online service, such as a mobile application, homepage means the application’s platform page or download page, a link within the application, such as from the application configuration, “About,” “Information,” or settings page, and any other location that allows consumers to review the notice required by subdivision (a) of Section 1798.145, including, but not limited to, before downloading the application.
(m) “Infer” or “inference” means the derivation of information, data, assumptions, or conclusions from facts, evidence, or another source of information or data.
(n) “Person” means an individual, proprietorship, firm, partnership, joint venture, syndicate, business trust, company, corporation, limited liability company, association, committee, and any other organization or group of persons acting in concert.
(o)
(1) “Personal information” means information that identifies, relates to, describes, is capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household. Personal information includes, but is not limited to, the following if it identifies, relates to, describes, is capable of being associated with, or could be reasonably linked, directly or indirectly, with a particular consumer or household:
(A) Identifiers such as a real name, alias, postal address, unique personal identifier, online identifier, Internet Protocol address, email address, account name, social security number, driver’s license number, passport number, or other similar identifiers.
(B) Any categories of personal information described in subdivision (e) of Section 1798.80.
(C) Characteristics of protected classifications under California or federal law.
(D) Commercial information, including records of personal property, products or services purchased, obtained, or considered, or other purchasing or consuming histories or tendencies.
(E) Biometric information.
(F) Internet or other electronic network activity information, including, but not limited to, browsing history, search history, and information regarding a consumer’s interaction with an Internet Web site, application, or advertisement.
(G) Geolocation data.
(H) Audio, electronic, visual, thermal, olfactory, or similar information.
(I) Professional or employment-related information.
(J) Education information, defined as information that is not publicly available personally identifiable information as defined in the Family Educational Rights and Privacy Act (20 U.S.C. section 1232g, 34 C.F.R. Part 99).
(K) Inferences drawn from any of the information identified in this subdivision to create a profile about a consumer reflecting the consumer’s preferences, characteristics, psychological trends, predispositions, behavior, attitudes, intelligence, abilities, and aptitudes.
(2) “Personal information” does not include publicly available information. For these purposes, “publicly available” means information that is lawfully made available from federal, state, or local government records, if any conditions associated with such information. “Publicly available” does not mean biometric information collected by a business about a consumer without the consumer’s knowledge. Information is not “publicly available” if that data is used for a purpose that is not compatible with the purpose for which the data is maintained and made available in the government records or for which it is publicly maintained. “Publicly available” does not include consumer information that is deidentified or aggregate consumer information.
(p) “Probabilistic identifier” means the identification of a consumer or a device to a degree of certainty of more probable than not based on any categories of personal information included in, or similar to, the categories enumerated in the definition of personal information.
(q) “Processing” means any operation or set of operations that are performed on personal data or on sets of personal data, whether or not by automated means.
(r) “Pseudonymize” or “Pseudonymization” means the processing of personal information in a manner that renders the personal information no longer attributable to a specific consumer without the use of additional information, provided that the additional information is kept separately and is subject to technical and organizational measures to ensure that the personal information is not attributed to an identified or identifiable consumer.
(s) “Research” means scientific, systematic study and observation, including basic research or applied research that is in the public interest and that adheres to all other applicable ethics and privacy laws or studies conducted in the public interest in the area of public health. Research with personal information that may have been collected from a consumer in the course of the consumer’s interactions with a business’s service or device for other purposes shall be:
(1) Compatible with the business purpose for which the personal information was collected.
(2) Subsequently pseudonymized and deidentified, or deidentified and in the aggregate, such that the information cannot reasonably identify, relate to, describe, be capable of being associated with, or be linked, directly or indirectly, to a particular consumer.
(3) Made subject to technical safeguards that prohibit reidentification of the consumer to whom the information may pertain.
(4) Subject to business processes that specifically prohibit reidentification of the information.
(5) Made subject to business processes to prevent inadvertent release of deidentified information.
(6) Protected from any reidentification attempts.
(7) Used solely for research purposes that are compatible with the context in which the personal information was collected.
(8) Not be used for any commercial purpose.
(9) Subjected by the business conducting the research to additional security controls limit access to the research data to only those individuals in a business as are necessary to carry out the research purpose.
(t) (1) “Sell,” “selling,” “sale,” or “sold,” means selling, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a consumer’s personal information by the business to another business or a third party for monetary or other valuable consideration.
(2) For purposes of this title, a business does not sell personal information when:
(A) A consumer uses or directs the business to intentionally disclose personal information or uses the business to intentionally interact with a third party, provided the third party does not also sell the personal information, unless that disclosure would be consistent with the provisions of this title. An intentional interaction occurs when the consumer intends to interact with the third party, via one or more deliberate interactions. Hovering over, muting, pausing, or closing a given piece of content does not constitute a consumer’s intent to interact with a third party.
(B) The business uses or shares an identifier for a consumer who has opted out of the sale of the consumer’s personal information for the purposes of alerting third parties that the consumer has opted out of the sale of the consumer’s personal information.
(C) The business uses or shares with a service provider personal information of a consumer that is necessary to perform a business purpose if both of the following conditions are met:
(i) The business has provided notice that information being used or shared in its terms and conditions consistent with Section 1798.135.
(ii) The service provider does not further collect, sell, or use the personal information of the consumer except as necessary to perform the business purpose.
(D) The business transfers to a third party the personal information of a consumer as an asset that is part of a merger, acquisition, bankruptcy, or other transaction in which the third party assumes control of all or part of the business, provided that information is used or shared consistently with Sections 1798.110 and 1798.115. If a third party materially alters how it uses or shares the personal information of a consumer in a manner that is materially inconsistent with the promises made at the time of collection, it shall provide prior notice of the new or changed practice to the consumer. The notice shall be sufficiently prominent and robust to ensure that existing consumers can easily exercise their choices consistently with Section 1798.120. This subparagraph does not authorize a business to make material, retroactive privacy policy changes or make other changes in their privacy policy in a manner that would violate the Unfair and Deceptive Practices Act (Chapter 5 (commencing with Section 17200) of Part 2 of Division 7 of the Business and Professions Code).
(u) “Service” or “services” means work, labor, and services, including services furnished in connection with the sale or repair of goods.
(v) “Service provider” means a sole proprietorship, partnership, limited liability company, corporation, association, or other legal entity that is organized or operated for the profit or financial benefit of its shareholders or other owners, that processes information on behalf of a business and to which the business discloses a consumer’s personal information for a business purpose pursuant to a written contract, provided that the contract prohibits the entity receiving the information from retaining, using, or disclosing the personal information for any purpose other than for the specific purpose of performing the services specified in the contract for the business, or as otherwise permitted by this title, including retaining, using, or disclosing the personal information for a commercial purpose other than providing the services specified in the contract with the business.
(w) “Third party” means a person who is not any of the following:
(1) The business that collects personal information from consumers under this title.
(2) (A) A person to whom the business discloses a consumer’s personal information for a business purpose pursuant to a written contract, provided that the contract:
(i) Prohibits the person receiving the personal information from:
(I) Selling the personal information.
(II) Retaining, using, or disclosing the personal information for any purpose other than for the specific purpose of performing the services specified in the contract, including retaining, using, or disclosing the personal information for a commercial purpose other than providing the services specified in the contract.
(III) Retaining, using, or disclosing the information outside of the direct business relationship between the person and the business.
(ii) Includes a certification made by the person receiving the personal information that the person understands the restrictions in subparagraph (A) and will comply with them.
(B) A person covered by this paragraph that violates any of the restrictions set forth in this title shall be liable for the violations. A business that discloses personal information to a person covered by this paragraph in compliance with this paragraph shall not be liable under this title if the person receiving the personal information uses it in violation of the restrictions set forth in this title, provided that, at the time of disclosing the personal information, the business does not have actual knowledge, or reason to believe, that the person intends to commit such a violation.
(x) “Unique identifier” or “Unique personal identifier” means a persistent identifier that can be used to recognize a consumer, a family, or a device that is linked to a consumer or family, over time and across different services, including, but not limited to, a device identifier; an Internet Protocol address; cookies, beacons, pixel tags, mobile ad identifiers, or similar technology; customer number, unique pseudonym, or user alias; telephone numbers, or other forms of persistent or probabilistic identifiers that can be used to identify a particular consumer or device. For purposes of this subdivision, “family” means a custodial parent or guardian and any minor children over which the parent or guardian has custody.
(y) “Verifiable consumer request” means a request that is made by a consumer, by a consumer on behalf of the consumer’s minor child, or by a natural person or a person registered with the Secretary of State, authorized by the consumer to act on the consumer’s behalf, and that the business can reasonably verify, pursuant to regulations adopted by the Attorney General pursuant to paragraph (7) of subdivision (a) of Section 1798.185 to be the consumer about whom the business has collected personal information. A business is not obligated to provide information to the consumer pursuant to Sections 1798.110 and 1798.115 if the business cannot verify, pursuant this subdivision and regulations adopted by the Attorney General pursuant to paragraph (7) of subdivision (a) of Section 1798.185, that the consumer making the request is the consumer about whom the business has collected information or is a person authorized by the consumer to act on such consumer’s behalf.
SEC. 10. Section 1798.145 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.145.
(a) The obligations imposed on businesses by this title shall not restrict a business’s ability to:
(1) Comply with federal, state, or local laws.
(2) Comply with a civil, criminal, or regulatory inquiry, investigation, subpoena, or summons by federal, state, or local authorities.
(3) Cooperate with law enforcement agencies concerning conduct or activity that the business, service provider, or third party reasonably and in good faith believes may violate federal, state, or local law.
(4) Exercise or defend legal claims.
(5) Collect, use, retain, sell, or disclose consumer information that is deidentified or in the aggregate consumer information.
(6) Collect or sell a consumer’s personal information if every aspect of that commercial conduct takes place wholly outside of California. For purposes of this title, commercial conduct takes place wholly outside of California if the business collected that information while the consumer was outside of California, no part of the sale of the consumer’s personal information occurred in California, and no personal information collected while the consumer was in California is sold. This paragraph shall not permit a business from storing, including on a device, personal information about a consumer when the consumer is in California and then collecting that personal information when the consumer and stored personal information is outside of California.
(b) The obligations imposed on businesses by Sections 1798.110 to 1798.135, inclusive, shall not apply where compliance by the business with the title would violate an evidentiary privilege under California law and shall not prevent a business from providing the personal information of a consumer to a person covered by an evidentiary privilege under California law as part of a privileged communication.
(c)
(1) This title shall not apply to any of the following:
(A) Medical information governed by the Confidentiality of Medical Information Act (Part 2.6 (commencing with Section 56) of Division 1) or protected health information that is collected by a covered entity or business associate governed by the privacy, security, and breach notification rules issued by the United States Department of Health and Human Services, Parts 160 and 164 of Title 45 of the Code of Federal Regulations, established pursuant to the Health Insurance Portability and Accountability Act of 1996 (Public Law 104-191) and the Health Information Technology for Economic and Clinical Health Act (Public Law 111-5).
(B) A provider of health care governed by the Confidentiality of Medical Information Act (Part 2.6 (commencing with Section 56) of Division 1) or a covered entity governed by the privacy, security, and breach notification rules issued by the United States Department of Health and Human Services, Parts 160 and 164 of Title 45 of the Code of Federal Regulations, established pursuant to the Health Insurance Portability and Accountability Act of 1996 (Public Law 104-191), to the extent the provider or covered entity maintains patient information in the same manner as medical information or protected health information as described in subparagraph (A) of this section.
(C) Information collected as part of a clinical trial subject to the Federal Policy for the Protection of Human Subjects, also known as the Common Rule, pursuant to good clinical practice guidelines issued by the International Council for Harmonisation or pursuant to human subject protection requirements of the United States Food and Drug Administration.
(2) For purposes of this subdivision, the definitions of “medical information” and “provider of health care” in Section 56.05 shall apply and the definitions of “business associate,” “covered entity,” and “protected health information” in Section 160.103 of Title 45 of the Code of Federal Regulations shall apply.
(d) This title shall not apply to the sale of personal information to or from a consumer reporting agency if that information is to be reported in, or used to generate, a consumer report as defined by subdivision (d) of Section 1681a of Title 15 of the United States Code, and use of that information is limited by the federal Fair Credit Reporting Act (15 U.S.C. Sec. 1681 et seq.).
(e) This title shall not apply to personal information collected, processed, sold, or disclosed pursuant to the federal Gramm-Leach-Bliley Act (Public Law 106-102), and implementing regulations, or the California Financial Information Privacy Act (Division 1.4 (commencing with Section 4050) of the Financial Code). This subdivision shall not apply to Section 1798.150.
(f) This title shall not apply to personal information collected, processed, sold, or disclosed pursuant to the Driver’s Privacy Protection Act of 1994 (18 U.S.C. Sec. 2721 et seq.). This subdivision shall not apply to Section 1798.150.
(g) Notwithstanding a business’s obligations to respond to and honor consumer rights requests pursuant to this title:
(1) A time period for a business to respond to any verified consumer request may be extended by up to 90 additional days where necessary, taking into account the complexity and number of the requests. The business shall inform the consumer of any such extension within 45 days of receipt of the request, together with the reasons for the delay.
(2) If the business does not take action on the request of the consumer, the business shall inform the consumer, without delay and at the latest within the time period permitted of response by this section, of the reasons for not taking action and any rights the consumer may have to appeal the decision to the business.
(3) If requests from a consumer are manifestly unfounded or excessive, in particular because of their repetitive character, a business may either charge a reasonable fee, taking into account the administrative costs of providing the information or communication or taking the action requested, or refuse to act on the request and notify the consumer of the reason for refusing the request. The business shall bear the burden of demonstrating that any verified consumer request is manifestly unfounded or excessive.
(h) A business that discloses personal information to a service provider shall not be liable under this title if the service provider receiving the personal information uses it in violation of the restrictions set forth in the title, provided that, at the time of disclosing the personal information, the business does not have actual knowledge, or reason to believe, that the service provider intends to commit such a violation. A service provider shall likewise not be liable under this title for the obligations of a business for which it provides services as set forth in this title.
(i) This title shall not be construed to require a business to reidentify or otherwise link information that is not maintained in a manner that would be considered personal information.
(j) The rights afforded to consumers and the obligations imposed on the business in this title shall not adversely affect the rights and freedoms of other consumers.
(k) The rights afforded to consumers and the obligations imposed on any business under this title shall not apply to the extent that they infringe on the noncommercial activities of a person or entity described in subdivision (b) of Section 2 of Article I of the California Constitution.
SEC. 11. Section 1798.150 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.150.
(a)
(1) Any consumer whose nonencrypted or nonredacted personal information, as defined in subparagraph (A) of paragraph (1) of subdivision (d) of Section 1798.81.5, is subject to an unauthorized access and exfiltration, theft, or disclosure as a result of the business’s violation of the duty to implement and maintain reasonable security procedures and practices appropriate to the nature of the information to protect the personal information may institute a civil action for any of the following:
(A) To recover damages in an amount not less than one hundred dollars ($100) and not greater than seven hundred and fifty ($750) per consumer per incident or actual damages, whichever is greater.
(B) Injunctive or declaratory relief.
(C) Any other relief the court deems proper.
(2) In assessing the amount of statutory damages, the court shall consider any one or more of the relevant circumstances presented by any of the parties to the case, including, but not limited to, the nature and seriousness of the misconduct, the number of violations, the persistence of the misconduct, the length of time over which the misconduct occurred, the willfulness of the defendant’s misconduct, and the defendant’s assets, liabilities, and net worth.
(b) Actions pursuant to this section may be brought by a consumer if, prior to initiating any action against a business for statutory damages on an individual or class-wide basis, a consumer provides a business 30 days’ written notice identifying the specific provisions of this title the consumer alleges have been or are being violated. In the event a cure is possible, if within the 30 days the business actually cures the noticed violation and provides the consumer an express written statement that the violations have been cured and that no further violations shall occur, no action for individual statutory damages or class-wide statutory damages may be initiated against the business. No notice shall be required prior to an individual consumer initiating an action solely for actual pecuniary damages suffered as a result of the alleged violations of this title. If a business continues to violate this title in breach of the express written statement provided to the consumer under this section, the consumer may initiate an action against the business to enforce the written statement and may pursue statutory damages for each breach of the express written statement, as well as any other violation of the title that postdates the written statement.
(c) The cause of action established by this section shall apply only to violations as defined in subdivision (a) and shall not be based on violations of any other section of this title. Nothing in this title shall be interpreted to serve as the basis for a private right of action under any other law. This shall not be construed to relieve any party from any duties or obligations imposed under other law or the United States or California Constitution.
SEC. 12. Section 1798.155 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.155.
(a) Any business or third party may seek the opinion of the Attorney General for guidance on how to comply with the provisions of this title.
(b) A business shall be in violation of this title if it fails to cure any alleged violation within 30 days after being notified of alleged noncompliance. Any business, service provider, or other person that violates this title shall be subject to an injunction and liable for a civil penalty of not more than two thousand five hundred dollars ($2,500) for each violation or seven thousand five hundred dollars ($7,500) for each intentional violation, which shall be assessed and recovered in a civil action brought in the name of the people of the State of California by the Attorney General. The civil penalties provided for in this section shall be exclusively assessed and recovered in a civil action brought in the name of the people of the State of California by the Attorney General.
(c) Any civil penalty assessed for a violation of this title, and the proceeds of any settlement of an action brought pursuant to subdivision (b), shall be deposited in the Consumer Privacy Fund, created within the General Fund pursuant to subdivision (a) of Section 1798.160 with the intent to fully offset any costs incurred by the state courts and the Attorney General in connection with this title.
SEC. 13. Section 1798.185 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.185.
(a) On or before July 1, 2020, the Attorney General shall solicit broad public participation and adopt regulations to further the purposes of this title, including, but not limited to, the following areas:
(1) Updating as needed additional categories of personal information to those enumerated in subdivision (c) of Section 1798.130 and subdivision (o) of Section 1798.140 in order to address changes in technology, data collection practices, obstacles to implementation, and privacy concerns.
(2) Updating as needed the definition of unique identifiers to address changes in technology, data collection, obstacles to implementation, and privacy concerns, and additional categories to the definition of designated methods for submitting requests to facilitate a consumer’s ability to obtain information from a business pursuant to Section 1798.130.
(3) Establishing any exceptions necessary to comply with state or federal law, including, but not limited to, those relating to trade secrets and intellectual property rights, within one year of passage of this title and as needed thereafter.
(4) Establishing rules and procedures for the following:
(A) To facilitate and govern the submission of a request by a consumer to opt-out of the sale of personal information pursuant to paragraph (1) of subdivision (a) of Section 1798.145.
(B) To govern business compliance with a consumer’s opt-out request.
(C) For the development and use of a recognizable and uniform opt-out logo or button by all businesses to promote consumer awareness of the opportunity to opt-out of the sale of personal information.
(5) Adjusting the monetary threshold in subparagraph (A) of paragraph (1) of subdivision (c) of Section 1798.140 in January of every odd-numbered year to reflect any increase in the Consumer Price Index.
(6) Establishing rules, procedures, and any exceptions necessary to ensure that the notices and information that businesses are required to provide pursuant to this title are provided in a manner that may be easily understood by the average consumer, are accessible to consumers with disabilities, and are available in the language primarily used to interact with the consumer, including establishing rules and guidelines regarding financial incentive offerings, within one year of passage of this title and as needed thereafter.
(7) Establishing rules and procedures to further the purposes of Sections 1798.110 and 1798.115 and to facilitate a consumer’s or the consumer’s authorized agent’s ability to obtain information pursuant to Section 1798.130, with the goal of minimizing the administrative burden on consumers, taking into account available technology, security concerns, and the burden on the business, to govern a business’s determination that a request for information received by a consumer is a verifiable consumer request, including treating a request submitted through a password-protected account maintained by the consumer with the business while the consumer is logged into the account as a verifiable consumer request and providing a mechanism for a consumer who does not maintain an account with the business to request information through the business’s authentication of the consumer’s identity, within one year of passage of this title and as needed thereafter.
(b) The Attorney General may adopt additional regulations as necessary to further the purposes of this title.
(c) The Attorney General shall not bring an enforcement action under this title until six months after the publication of the final regulations issued pursuant to this section or July 1, 2020, whichever is sooner.
SEC. 14. Section 1798.192 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.192. Any provision of a contract or agreement of any kind that purports to waive or limit in any way a consumer’s rights under this title, including, but not limited to, any right to a remedy or means of enforcement, shall be deemed contrary to public policy and shall be void and unenforceable. This section shall not prevent a consumer from declining to request information from a business, declining to opt-out of a business’s sale of the consumer’s personal information, or authorizing a business to sell the consumer’s personal information after previously opting out.
SEC. 15. Section 1798.196 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.196. This title is intended to supplement federal and state law, if permissible, but shall not apply if such application is preempted by, or in conflict with, federal law or the United States or California Constitution.
SEC. 16. Section 1798.198 of the Civil Code, as added by Section 3 of Chapter 55 of the Statutes of 2018, is amended to read:
1798.198.
(a) Subject to limitation provided in subdivision (b), and in Section 1798.199, this title shall be operative January 1, 2020.
(b) This title shall become operative only if initiative measure nº 17-0039, The Consumer Right to Privacy Act of 2018, is withdrawn from the ballot pursuant to Section 9604 of the Elections Code.
SEC. 17. Section 1798.199 is added to the Civil Code, to read:
1798.199. Notwithstanding Section 1798.198, Section 1798.180 shall be operative on the effective date of the act adding this section.
SEC. 18. This act is an urgency statute necessary for the immediate preservation of the public peace, health, or safety within the meaning of Article IV of the California Constitution and shall go into immediate effect. The facts constituting the necessity are:
In order to prevent the confusion created by the enactment of conflicting local laws regarding the collection and sale of personal information, it is necessary that this act take immediate effect.
03Abr/19
Circular Única, de 28 de marzo de 2018, de la Superintendencia de Industria y Comercio.
Circular Única, de 28 de marzo de 2018, de la Superintendencia de Industria y Comercio.
TÍTULO V.- PROTECCIÓN DE DATOS PERSONALES (1)
CAPTÍTULO PRIMERO.- DERECHO DE HÁBEAS DATA PARA INFORMACIÓN FINANCIERA, CREDITICIA, COMERCIAL, DE SERVICIOS Y LA PROVENIENTE DE TERCEROS PAÍSES
El ámbito de aplicación de las siguientes instrucciones se contrae a lo dispuesto en el artículo 2 de la Ley Estatutaria 1266 de 2008, de conformidad con lo establecido por la Corte Constitucional en la sentencia C-1011 de 2008, respecto de los operadores, fuentes y usuarios de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países vigilados por esta Superintendencia.
1.1 Circulación de la información
1.1.1. Entrega de la información a los titulares, a las personas autorizadas por éstos y a sus causahabientes
De conformidad con lo establecido en el literal a) del artículo 5 de la Ley 1266 de 2008, las Entidades que administren bases de datos deben tomar todas las medidas de seguridad razonables para garantizar que la información personal contenida en ellas, sea suministrada, únicamente, a los titulares, a las personas debidamente autorizadas por éstos o a sus causahabientes.
Para tal efecto y como mínimo, los operadores deben tener en cuenta las siguientes reglas al momento de atender las peticiones o consultas que aquellos presenten:
a) Verificar la calidad de titular de quien formula verbalmente una petición o consulta, así:
(i) Si la petición o consulta se realiza personalmente, deberá dejarse constancia de la exhibición de cualquier documento idóneo que permita su identificación.
(ii) Si la petición o consulta se realiza telefónicamente, siempre que el operador de información tenga habilitada esta opción, deberá validarse una información del titular que permita su identificación y conservarse un registro de la conversación.
b) Verificar que las peticiones o consultas escritas estén debidamente suscritas por el titular, quien debe acreditar su calidad así:
(i) Mediante la exhibición de cualquier documento idóneo que permita su identificación; o,
(ii) A través de la presentación de documento que se encuentre debidamente autenticado mediante diligencia notarial de reconocimiento de contenido y firma (presentación personal); o
(iii) Por cualquier otro medio que permita su identificación.
c) Verificar que se allegue el respetivo poder, otorgado con las formalidades de ley, cuando la petición o consulta se presente por escrito, a través de mandatario, apoderado o persona autorizada.
d) Verificar la calidad de causahabiente del titular de la información cuando la petición se presente por escrito por éstos.
e) Verificar que las peticiones o consultas relacionadas con las personas jurídicas se encuentren debidamente suscritas por su representante legal, quien deberá probar su condición con el respectivo documento que acredite la existencia y representación legal de la misma y la exhibición de cualquier documento idóneo que permita su identificación.
No será necesario acompañar el documento que acredite la existencia y representación legal de la persona jurídica cuando el operador ya cuente con éste o cuando la información esté disponible a través del acceso a las bases de datos de las Entidades públicas o privadas que tengan a su cargo el deber de certificarla.
1.1.2. Entrega de información personal a las Entidades públicas del poder ejecutivo, a los órganos de control y demás dependencias de investigación disciplinaria, fiscal o administrativa cuando el conocimiento de dicha información corresponda directamente al cumplimiento de alguna de sus funciones.
De conformidad con lo establecido en los literales d) y e) del artículo 5 de la Ley 1266 de 2008, las entidades públicas del poder ejecutivo y los órganos de control y demás dependencias de investigación disciplinaria, fiscal, o administrativa que soliciten información a un operador, deberán indicar en la correspondiente solicitud, de manera expresa e inequívoca, la finalidad concreta para la cual requieren la información solicitada y las funciones precisas que les han sido conferidas por la ley relacionadas con dicha finalidad. Estas entidades, órganos y dependencias estarán sujetas al cumplimiento de los deberes de los usuarios de información, previstos en la ley.
1.2 Deberes de los operadores
1.2.1. Deber de garantizar en todo tiempo al titular de la información el pleno y efectivo ejercicio del derecho de hábeas data
Los operadores deben informar a los titulares de la información los derechos que la Ley 1266 de 2008 consagra en su favor y el procedimiento para la atención de peticiones, consultas y reclamos.
Para tal efecto, deben publicar tal información en sus sedes, en un lugar visible ubicado en las áreas de atención al público, y en su página web. La información se publicará en lenguaje sencillo de forma que pueda ser comprendida fácilmente por los titulares.
1.2.2. Deber de adoptar una manual interno de políticas y procedimientos, para garantizar el adecuado cumplimiento de la ley, en especial, para la atención de consultas y reclamos por parte de los titulares.
Con el objeto de verificar el cumplimiento de la obligación establecida en el numeral 4 del artículo 7 de la Ley 1266 de 2008, los operadores de información deben remitir a la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio una copia del manual de políticas y procedimientos que hayan adoptado, dentro de los treinta (30) días siguientes a la entrada en vigencia de la presente resolución y, posteriormente, cada vez que realicen cualquier modificación al mismo.
La Superintendencia de Industria y Comercio podrá, en cualquier momento, hacer las observaciones pertinentes para que, si es del caso, el operador de información, en el término establecido por la Entidad, proceda a realizar los ajustes necesarios en aras de garantizar el adecuado cumplimiento de la ley así como el pleno y efectivo ejercicio de los derechos de hábeas data y de petición por parte de los titulares de información.
1.2.3. Deber de solicitar la certificación a la fuente de la existencia de la autorización otorgada por el titular.
Con el fin de verificar el cumplimiento de lo dispuesto en el numeral 5 del artículo 7 de la Ley 1266 de 2008, los operadores de información deben cumplir las siguientes instrucciones:
a) Dentro de los diez (10) primeros días hábiles de los meses de febrero y agosto de cada año deben enviar a la Delegatura para la Protección de Datos Personales de esta Superintendencia una constancia, con corte a 31 de diciembre y 30 de junio, suscrita por su representante legal, en la que se manifieste expresamente que cumplieron con el deber de solicitar a las fuentes de información la certificación semestral de la existencia de la autorización previa y expresa para el reporte de información en sus bases de datos.
b) Dentro de los diez (10) primeros días hábiles de los meses de marzo y septiembre de cada año deben remitir a la Delegatura para la Protección de Datos Personales de esta Superintendencia, en medio magnético, editable, en formatos de Excel, la relación de las fuentes que no cumplieron con la obligación de certificar la existencia de la autorización previa y expresa para el reporte de información de sus titulares. La citada relación debe contener, por lo menos:
(i) El nombre y/o razón social de la fuente de información incumplida.
(ii) El número de identificación.
(iii) La última dirección registrada por la fuente.
(iv) La fecha en la cual se envió la solicitud de remisión de la certificación de la existencia de la autorización previa y expresa.
c) En caso de que las fuentes no envíen la certificación semestral establecida en el numeral 5 del artículo 7 de la Ley 1266 de 2008, dentro del término previsto en el literal a) anterior, los operadores deberán bloquear toda la información reportada sobre la cual la fuente no haya remitido la certificación de que cuenta con autorización. Los operadores procederán a efectuar el bloqueo de la información en un término máximo de veinte (20) días hábiles siguientes al vencimiento del plazo respectivo. Una vez la fuente de información aporte la certificación semestral, el operador deberá desbloquear la información.
1.2.4. Deber de indicar en el respectivo registro individual que determinada información se encuentra en discusión por parte del titular Con fundamento en el deber establecido en el numeral 9 del artículo 7 de la Ley 1266 de 2008 y teniendo en cuenta que la información que reposa en las bases de datos debe ser veraz, completa, exacta, actualizada, comprobable y comprensible, los operadores deben incluir en el historial crediticio de los titulares todas las leyendas relacionadas con la discusión sobre su información.
Las leyendas de advertencia relacionadas con la discusión sobre la existencia y condiciones de la obligación a cargo del titular y la posible suplantación de su identidad, deben permanecer en el historial crediticio hasta que exista pronunciamiento definitivo de la autoridad judicial competente o de la Superintendencia de Industria y Comercio, cuando sea el caso, o cuando caduque el reporte negativo, lo que ocurra primero.
1.3 Deberes de las fuentes de información
1.3.1. Deber de garantizar la calidad de la información que las fuentes suministran a los operadores de los bancos de datos y/o a los usuarios
Las fuentes de información deberán observar los siguientes lineamientos, tendientes a garantizar la calidad de la información que suministran a los operadores de los bancos de datos y/o a los usuarios:
a) Las personas, entidades u organizaciones que actúen como fuentes de información deben tener un vínculo comercial, de servicio o de cualquier otra índole con el titular cuya información reporta y, además, tener disponibles las pruebas necesarias para demostrarlo.
b) La información que reporten a los operadores debe corresponder a las condiciones reales de la obligación al momento del reporte, por lo que la información suministrada debe ser veraz, completa, exacta, actualizada y comprobable y estar sustentada mediante los soportes que permitan demostrar la existencia y las condiciones de la obligación a su favor. No puede reportarse información que carezca de los soportes que demuestren el origen, existencia y condiciones de la obligación. En caso de haberse efectuado el reporte sin contar con los soportes que permitan acreditar la existencia y condiciones de la obligación, deberá eliminarse la información una vez surtido el trámite del reclamo respectivo.
1.3.2. Deber de rectificar la información cuando sea incorrecta e informar lo pertinente a los operadores
La fuente de información que establezca que en las bases de datos de los operadores es incorrecta la información reportada, deberá rectificarla o eliminarla directamente dentro de los cinco (5) días hábiles siguientes contados a partir del momento en que evidenció el error, o instruir al operador en dicho término para que rectifique o elimine dentro de los cinco (5) días siguientes de recibida la instrucción, sin perjuicio de las sanciones a que haya lugar.
1.3.3. Deber de solicitar y conservar copia de la respectiva autorización otorgada por los titulares de la información y de asegurarse de no entregar a los operadores ningún dato cuyo suministro no esté previamente autorizado
Con el fin de dar cumplimiento a lo establecido en el numeral 5 del artículo 8 de la Ley 1266 de 2008, las fuentes de información deben garantizar que todo reporte de información positiva o negativa que repose en la base de datos de un operador de información, sin excepción alguna, cuente con la autorización otorgada por su titular. Dicha autorización debe cumplir con los siguientes requisitos:
a) Ser expresa, es decir, contener la manifestación de una voluntad libre, específica e inequívoca que le permita a la fuente recopilar, disponer o divulgar la información crediticia del titular.
b) Ser previa, esto es, otorgada con antelación al reporte de la información.
La autorización previa y expresa a la que hace referencia el numeral 5 del artículo 8 de la Ley 1266 de 2008 puede ser otorgada de manera verbal o mediante documento físico o electrónico, siempre que cumpla con los siguientes requisitos:
(i) Que la fuente de la información identifique plenamente al titular en el momento en que se otorgue dicha autorización.
(ii) Que el titular exprese su voluntad de manera previa, libre, espontánea, específica e inequívoca en el sentido de autorizar a la fuente para recopilar, usar o divulgar su información.
(iii) Que se informe plenamente al titular acerca de la finalidad para la cual está otorgando la autorización.
(iv) En caso de que la autorización se otorgue por medios electrónicos, que la misma se ajuste a las previsiones contempladas en la Ley 527 de 1999 y demás normas aplicables.
(v) Que se conserve copia de la misma. En los casos en que la autorización se obtenga por vía telefónica, se deberá guardarse la respectiva grabación.
Cualquier dato positivo o negativo que repose en la base de datos de un operador de información sin contar con la autorización otorgada por su titular, debe ser eliminado de manera inmediata, una vez se advierta la ausencia de la misma como consecuencia de la solicitud del titular, surtida a través del respectivo reclamo.
En los casos de enajenación de obligaciones, la autorización previa y expresa otorgada por el titular de la información a la entidad originadora de la obligación, se considera válida para efectos de realizar los reportes de información negativa y/o positiva ante los operadores, sin perjuicio del deber de la fuente de acreditar tal enajenación.
1.3.4. Deber de certificar semestralmente al operador que la información se encuentra en discusión por parte de su titular
La certificación a la que se refiere el numeral 6 del artículo 8 de la Ley 1266 de 2008 puede ser emitida en forma general por las fuentes, manifestando que la información suministrada a los operadores cuenta con la respectiva autorización. Previamente a la expedición de la certificación, la fuente debe verificar la existencia de las correspondientes autorizaciones para cada uno de los datos que informa a los operadores.
1.3.5. Deber de informar al operador que determinada información se encuentra en discusión por parte de su titular
Con fundamento en el deber establecido en el numeral 8 del artículo 8 de la Ley 1266 de 2008, corresponde a las fuentes informar al operador que determinada información se encuentra en discusión por parte de su titular para que incluya la leyenda de “reclamo en trámite”. Si la fuente de información resuelve el reclamo presentado por el titular de información dentro de los dos (2) días hábiles siguientes a la fecha de radicación, no habrá lugar a informar al operador que el reporte se encuentra en discusión.
Al informar al operador sobre la discusión de la información por parte del titular, las fuentes de información deben indicarle la causa de la discusión, de acuerdo al cuadro de tipologías establecido en el numeral 1.9.2 del Capítulo Primero del Título V de esta Circular.
Cuando la Superintendencia de Industria y Comercio comunique a la fuente el inicio de una actuación administrativa o le notifique la apertura de una investigación tendiente a determinar la procedencia de la eliminación, actualización o rectificación del dato de un titular específico, ésta deberá informar al operador dentro de los dos (2) días hábiles siguientes para que éste incluya la leyenda de “actuación administrativa o investigación en trámite”, la cual permanecerá hasta que quede en firme la decisión de la Entidad.
En los casos en que el titular reclame por suplantación de identidad, la fuente debe informar al operador para que incluya la leyenda respectiva respecto del titular y de la obligación u obligaciones que afectan a éste con la suplantación. En todo caso, la fuente debe adelantar el trámite correspondiente con el fin de establecer si hay indicios que lleven a eliminar el reporte de información, tanto positiva como negativa, en el historial crediticio. Si como resultado del trámite determina que no procede la eliminación de la información, el titular podrá acudir a la Superintendencia de Industria y Comercio para que ésta se pronuncie.
1.3.6. Deber de comunicar al titular de la información previamente al reporte En caso de que la Superintendencia de Industria y Comercio requiera a la fuente para que allegue la prueba del envío de la comunicación previa a que hace referencia el artículo 12 de la Ley 1266 de 2008, ésta debe aportar lo siguiente:
a) Copia de la comunicación escrita enviada al titular de la información con la certificación de haber sido remitida a la última dirección registrada ante la fuente y la fecha de envío, o copia del extracto o de la factura enviada al titular de la información, en el cual se incluyó la comunicación previa al reporte, con la certificación de haber sido remitido a la última dirección registrada ante la fuente y la fecha de envío. En este último evento, cuando la comunicación previa se incluya en el extracto o en la factura, el texto de la misma debe ser claro, legible, fácilmente comprensible y ubicarse en un lugar visible del documento.
b) En los casos en que se utilicen otros mecanismos de remisión de la comunicación, se debe allegar la prueba que acredite que la fuente acordó previamente con el titular un mecanismo diferente para informar sobre el eventual reporte negativo a efectuar.
c) En los casos en los que las fuentes de información hayan adquirido la obligación objeto de reporte mediante compraventa, subrogación, cesión de derechos o cualquier otra forma de transferencia del derecho de dominio, se tendrá como válida la comunicación previa remitida por el cedente u originador del crédito, siempre que la información haya continuado en el tiempo y el vendedor de la obligación no la haya eliminado del historial crediticio. En los casos en los cuales el reporte efectuado por el cedente u originador del crédito haya sido realizado antes de la entrada en vigencia de la Ley 1266 de 2008, no se les exigirá dicha comunicación previa.
Cuando la Superintendencia de Industria y Comercio profiera una orden de eliminación de un reporte, como resultado de una actuación administrativa o de una investigación en la que no se haya acreditado la remisión al titular de la comunicación previa, la fuente deberá informar al operador que no cumplió con este requisito y eliminar el reporte negativo hasta tanto se cumpla con él. Cuando la eliminación del reporte tenga como causa el incumplimiento del deber de remitir la comunicación previa, la fuente no podrá reportar esa obligación con información positiva y, en consecuencia, las casillas o vectores correspondientes deberán aparecer sin información.
1.4 Deberes de los usuarios de información
El usuario de información sólo podrá consultar la historia crediticia de un titular en cumplimiento de los principios de finalidad y circulación restringida de la administración de datos personales, establecidos en los literales b) y c) del artículo 4 de la Ley 1266 de 2008. Si la finalidad para la cual consulta la información es diferente al cálculo del riesgo crediticio, deberá acreditar que cuenta con la correspondiente autorización previa y expresa del titular.
1.5 Principio de favorecimiento a una actividad de interés público
Para permitir la consulta gratuita de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países por parte del titular, al menos una (1) vez cada mes calendario, los operadores tendrán en cuenta las siguientes instrucciones:
a) Informar, de manera clara y precisa, a través de la línea de atención al cliente, la página web y en las áreas de servicio para la atención de peticiones, consultas y reclamos, los canales con los que cuenta el titular para acceder de manera gratuita a su información.
b) Los operadores podrán habilitar un canal electrónico, como la página web, para que los titulares puedan acceder a su historia de crédito, siempre y cuando cuenten con las debidas seguridades para verificar la identidad del titular e impedir la pérdida, alteración o uso no autorizado o fraudulento de los registros almacenados.
1.6 Permanencia de la información negativa
La permanencia de la información negativa está sujeta a las siguientes reglas:
a) El término de permanencia de la información negativa no podrá exceder el doble de la mora reportada, cuando la misma sea inferior a dos (2) años.
b) En el caso en que la mora reportada sea igual o superior a dos (2) años, el dato negativo permanecerá por cuatro (4) años más, contados a partir de la fecha en que se extinga la obligación por cualquier modo.
c) En los casos en que la obligación permanezca insoluta, el término de caducidad de los datos negativos de un titular de información será de catorce (14) años contados a partir de la fecha de exigibilidad de la obligación.
Cuando el titular de información presente un reclamo, corresponderá a la fuente pronunciarse dentro del término legal establecido para ello. Si el titular de información no está de acuerdo con la respuesta de la fuente podrá presentar su reclamo ante la Superintendencia de Industria y Comercio para que ésta se pronuncie.
1.7 Peticiones, consultas y reclamos
En el procedimiento para atender las peticiones, consultas y reclamos, los operadores y las fuentes de información deberán atender las siguientes instrucciones:
a) Los operadores de información deben contar en sus sedes con un área de servicios para la atención de peticiones, consultas y reclamos e implementar mecanismos adicionales, como líneas de atención telefónica o medios virtuales, que garanticen la recepción de las peticiones, consultas y reclamos, de modo ágil y eficaz.
b) Las peticiones, consultas y reclamos presentados ante los operadores y/o las fuentes deben ser resueltas de fondo. La respuesta correspondiente debe ser clara, precisa y congruente con lo solicitado.
c) Las respuestas a las peticiones, consultas y reclamos presentados ante los operadores y/o las fuentes deben ser comunicadas al titular de la información, dentro del término establecido en la ley.
Tales respuestas deben ser remitidas a la dirección señalada por el titular en el momento de presentar su solicitud y, en el caso de que no la haya especificado, a la última dirección registrada.
En caso de que las peticiones o los reclamos se presenten por medios electrónicos o verbalmente, podrán resolverse por el mismo medio, para lo cual se debe conservar copia de la respuesta o la grabación respectiva.
De acuerdo con lo señalado en el literal b) del numeral 1.5 del Capítulo Primero del Título V de esta Circular, las consultas podrán atenderse por canales electrónicos, siempre y cuando sea posible verificar la identidad del titular y garantizar la seguridad de la información.
La remisión de las peticiones, consultas y reclamos por parte de los operadores a las fuentes de información no exime a los operadores del deber de responder al titular todas y cada una de las cuestiones planteadas dentro del término señalado en la ley. En tal sentido, los operadores deben informar al titular todo lo manifestado por la fuente expresamente.
Parágrafo Primero: Para garantizar el ejercicio del derecho de los titulares a solicitar rectificaciones, actualizaciones o eliminaciones de sus datos contenidos en las bases de datos, los operadores y fuentes de información deben implementar un sistema para presentar reclamos utilizando diferentes medios informáticos, como internet o correo electrónico y crear formularios claros y sencillos para dicha presentación. En este sistema, además, deberá generarse un número de radicación y una confirmación automática de recepción del reclamo presentado para que el ciudadano pueda hacer seguimiento a su solicitud.
Parágrafo Segundo: Las adecuaciones ordenadas deben realizarse dentro de los seis (6) meses siguientes a la incorporación de las modificaciones introducidas al presente Título.
1.8 Administradores de cartera y afianzadores
Para efectos de dar aplicación a las instrucciones contenidas en el presente Capítulo, se entienden como administradores de cartera las personas naturales y jurídicas de derecho público o privado encargadas de la administración y recaudo de cartera, por cuenta del legítimo acreedor. Por su parte, son afianzadores las personas naturales y jurídicas de derecho público o privado encargadas de garantizar el cumplimiento de todas las obligaciones derivadas de un contrato a través de una fianza.
Con el fin de que los reportes realizados por un administrador de cartera o una entidad afianzadora cumplan con el deber de veracidad del dato, los operadores de información deberán incluir en la respectiva historia crediticia la siguiente información:
a) El nombre o razón social de la fuente de información que deberá corresponder al acreedor actual de la obligación, es decir, a quien adquirió la cartera o a quien realizó el pago de la obligación en calidad de afianzador y se subrogó en la misma por virtud de la ley.
b) El nombre o razón social del administrador de la cartera o el afianzador, si fuera una entidad diferente.
c) El nombre o razón social del acreedor originador de la cartera, en el caso de administradores de cartera.
1.9 Calidad en atención al ciudadano
1.9.1. Remisión de información por parte de los operadores
Dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, los operadores de información deben remitir a la Dirección de Investigación de Protección de Datos Personales de la Superintendencia de Industria y Comercio un informe en medio magnético, editable, en Excel, en el que suministren la siguiente información, relacionada con el semestre calendario inmediatamente anterior (enero – junio y julio – diciembre):
a) El número de reclamos presentados por los titulares directamente ante el operador, especificando el nombre e identificación de la fuente y/o el usuario de información y la causa del reclamo, de acuerdo con las tipologías establecidas en el numeral 1.9.2 siguiente. Cuando se trate de reclamos presentados con base en el reporte de información realizado por una fuente, se deberá informar el número total de titulares reportados por esa fuente.
b) El número de reclamos presentados por los titulares directamente ante las fuentes y/o usuarios de información y registrados en el sistema del operador, especificando el nombre e identificación de la fuente y/o usuario y la causa del reclamo, de acuerdo con las tipologías establecidas en el numeral 1.9.2 siguiente. Cuando se trate de reclamos presentados con base en el reporte de información realizado por una fuente, se deberá informar el número total de titulares reportados por esa fuente.
Para la remisión a la Superintendencia de Industria y Comercio de la información a que se refiere el literal b), el operador deberá adaptar su sistema de información con el fin de que las fuentes y/o usuarios puedan indicar la causa de la reclamación presentada por el titular ante ellos, de acuerdo con las tipologías establecidas en el numeral 1.9.2 siguiente.
Parágrafo: El primer informe que los operadores de información deberán presentar a la Superintendencia de Industria y Comercio será el correspondiente al semestre comprendido entre el 1 de enero y el 30 de junio de 2013 y deberá ser entregado a más tardar dentro de los diez (10) días hábiles siguientes del mes de agosto. A partir del primero (1) de enero de 2013 las fuentes deberán empezar a reportar a los operadores los reclamos presentados ante éstas de acuerdo con las tipologías establecidas en el numeral 1.9.2 siguiente.
1.9.2. Tipología de reclamos
Las fuentes informarán a los operadores los reclamos que les sean presentados de acuerdo con la siguiente tipología, de manera discriminada por subtipología y código numérico, con el fin de que los operadores puedan remitir a la Superintendencia de Industria y Comercio la información solicitada en los literales a) y b) del numeral 1.9.1 anterior:
TIPOLOGÍA DE RECLAMOS SUBTIPOLOGÍA DE RECLAMOS CÓDIGO
NUMÉRICO
Actualizar información No actualización de la información 01
No reporte de información oportuno 02
Reporte de información incompleta o parcial 03
No inclusión de las respectivas leyendas 04
Inconformidad con la permanencia de la
información negativa 05
Rectificar la información No rectificación de información errónea 06
Inexistencia de la obligación reportada
o negación de la relación contractual 07
No contar con los documentos soporte
de la obligación 08
No contar con la autorización previa y
expresa del titular para reportar información 09
No certificar semestralmente al operador
que la información suministrada cuenta
con la respectiva autorización del titular 10
No remitir la comunicación previa al reporte 11
Conocer la información Negación de acceso a la información 12
No atender las peticiones y reclamos
presentados por los titulares de fondo
y oportunamente 13
No adoptar las medidas de seguridad
adecuadas sobre la información obtenida
en las bases de datos de los operadores 14
Utilizar la información para una finalidad
diferente a aquella para la cual fue entregada 15
Consulta de información no autorizada por
el titular, cuando esta sea requerida 16
No contar con medidas adecuadas de
seguridad 17
No informar al titular sobre la utilización que
se le está dando a su información 18
No informar al titular la finalidad de la
recolección de la información 19
No guardar reserva sobre la información
obtenida en las bases de datos de los
operadores 20
Otros (Describir el motivo) 21
CAPTÍTULO SEGUNDO.- REGISTRO NACIONAL DE BASES DE DATOS –RNBD(2)(3)
2.1. Información adicional que deberá inscribirse en el Registro Nacional de Bases de Datos -RNBD
Los Responsables del tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública deben inscribir en el Registro Nacional de Bases de Datos -RNBD- la siguiente información, además de la establecida mediante el Capítulo 26 del Decreto Único 1074 de 2015:
a) Información almacenada en la base de datos. Es la clasificación de los datos personales almacenados en cada base de datos, agrupados por categorías y subcategorías, de acuerdo con la naturaleza de los mismos.
b) Medidas de seguridad de la información. Corresponde a los controles implementados por el Responsable del Tratamiento para garantizar la seguridad de las bases de datos que está registrando, teniendo en cuenta las preguntas dispuestas para el efecto en el RNBD. Tales preguntas no constituyen de ninguna manera instrucciones acerca de las medidas de seguridad que deben implementar los Responsables del Tratamiento de datos personales.
c) Procedencia de los datos personales. La procedencia de los datos se refiere a si estos son recolectados del Titular de la información o suministrados por terceros y si se cuenta con la autorización para el tratamiento o existe una causal de exoneración, de acuerdo con lo establecido en el artículo 10 de la Ley 1581 de 2012.
d) Transferencia internacional de datos personales. La información relacionada con la Transferencia internacional de datos personales comprende la identificación del destinatario como Responsable del Tratamiento, el país en el que este se encuentra ubicado y si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio o por una causal de excepción en los términos señalados en el artículo 26 de la Ley 1581 de 2012.
e) Transmisión internacional de datos personales. La información relacionada con la Transmisión internacional de datos comprende la identificación del destinatario como Encargado del Tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la Sección 5 del Capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio.
f) Reporte de novedades. Se reportarán como novedades los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y/o sus Encargados y los incidentes de seguridad que afecten las bases de datos administradas por cualquier Responsable del Tratamiento, así:
(i) Reclamos presentados por los Titulares. Corresponde a la información de los reclamos presentados por los Titulares ante el Responsable y/o el Encargado del tratamiento, según sea el caso, dentro de un semestre calendario (enero – junio y julio – diciembre). Esta información se reportará teniendo en cuenta lo manifestado por los Titulares y los tipos de reclamos prestablecidos en el RNBD. El reporte deberá ser el resultado de consolidar los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y sus respectivos Encargados del Tratamiento.
(ii) Incidentes de seguridad. Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, que deberán reportarse al RNBD por parte de los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.
Los Responsables del Tratamiento que no se encuentren obligados a registrar sus bases de datos en el RNBD y los Encargados del Tratamiento, deberán hacer el reporte de los incidentes de seguridad que afecten la información contenida en estas mediante el aplicativo dispuesto para tal fin en la página web de la Superintendencia de Industria y Comercio en el micrositio de la Delegatura para la Protección de Datos Personales o mediante cualquiera de los canales habilitados por la entidad para recibir comunicaciones dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.
La información relacionada con las medidas de seguridad, los reclamos presentados por los Titulares y los incidentes de seguridad reportados en el RNBD no estará disponible para consulta pública.
2.2. Procedimiento de inscripción en el Registro Nacional de Bases de Datos -RNBD(4)(5)
Los Responsables del Tratamiento de datos personales, sociedades y entidades sin ánimo de lucro que tengan activos totales o superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública, deberán inscribir sus bases de datos en el RNBD, de acuerdo con las instrucciones contenidas en el “Manual del Usuario del Registro Nacional de Bases de Datos -RNBD” publicado en el sitio Web de la Superintendencia de Industria y Comercio, www.sic.gov.co.
La inscripción se realizará en línea en el portal Web de esta entidad (6).
De acuerdo con lo establecido en el artículo 2.2.2.26.3.1 de la Sección 3 del Capítulo 26 del Decreto 1074 de 2015 (7), dicha inscripción se llevará a cabo en los siguientes plazos:
a) Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario (UVT), deben realizar la referida inscripción a más tardar el treinta (30) de septiembre de 2018.
b) Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 Unidades de Valor Tributario (UVT), deben realizar la referida inscripción a más tardar el treinta (30) de noviembre de 2018.
c) Los Responsables del Tratamiento, personas jurídicas de naturaleza pública, deben realizar la referida inscripción a más tardar el treinta y uno (31) de enero de 2019.
A cada base de datos se le asignará un número de radicado, una vez se finalice el procedimiento de inscripción. La información inscrita en el RNBD estará sujeta a verificación de esta Superintendencia.
2.3. Actualización de la información contenida en el Registro Nacional de Bases de Datos -RNBD(8)
Los responsables de Tratamiento que de conformidad con lo establecido en el Decreto 090 del 18 de enero de 2018 están obligados a registrar sus bases de datos en el RNBD deben actualizar la información registrada, como se indica a continuación:
(i) Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada.
(ii) Anualmente, entre el 2 de enero y el 31 de marzo, a partir de 2020.
Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos personales.
Adicionalmente, dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD deben actualizar la información de los reclamos presentados por los Titulares, referida en el número (i) del literal f) del numeral 2.1 anterior. El primer reporte de reclamos presentados por los Titulares se deberá realizar en el segundo semestre de 2019 con la información que corresponda al primer semestre del 2019.
Los Responsables del Tratamiento que no están obligados a efectuar el registro de sus bases de datos y que realizaron dicho trámite, no están obligados a efectuar la actualización a que hace referencia este numeral y la información por ellos registrada no estará disponible para consulta pública.
2.4. Consulta del Registro Nacional de Bases de Datos RNBD
La consulta del RNBD se encuentra habilitada en el portal web de esta entidad, con el fin de que los Titulares de información y terceros puedan acceder a los registros efectuados por los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD.
2.5. ELIMINADO(9)
2.6. ELIMINADO(10)(11)
2.7. ELIMINADO(12)(13)
CAPTÍTULO TERCERO.- TRANSFERENCIA DE DATOS PERSONALES A TERCEROS PAÍSES (14)
3.1. Estándares de un nivel adecuado de protección del país receptor de la información personal El análisis para establecer sí un país ofrece un nivel adecuado de protección de datos personales, a efectos de realizar una transferencia internacional de datos, estará orientado a determinar si dicho país garantiza la protección de los mismos, con base en los siguientes estándares:
a) Existencia de normas aplicables al tratamiento de datos personales.
b) Consagración normativa de principios aplicables al Tratamiento de datos, entre otros: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
c) Consagración normativa de derechos de los Titulares.
d) Consagración normativa de deberes de los Responsables y Encargados.
e) Existencia de medios y vías judiciales y administrativas para garantizar la tutela efectiva de los derechos de los Titulares y exigir el cumplimiento de la ley.
f) Existencia de autoridad (es) pública (s) encargada (s) de la supervisión del Tratamiento de datos personales, del cumplimiento de la legislación aplicable y de la protección de los derechos de los titulares, que ejerza (n) de manera efectiva sus funciones.
3.2. Países que cuentan con un nivel adecuado de protección de datos personales (15)(16)
Teniendo en cuenta los estándares señalados en el numeral 3.1 anterior y el análisis efectuado por esta Superintendencia, garantizan un nivel adecuado de protección los siguientes países: Alemania; Australia, Austria; Bélgica; Bulgaria; Chipre; Costa Rica; Croacia; Dinamarca; Eslovaquia; Eslovenia; Estonia; España; Estados Unidos de América; Finlandia; Francia; Grecia; Hungría; Irlanda; Islandia; Italia; Japón; Letonia; Lituania; Luxemburgo; Malta; México; Noruega; Países Bajos; Perú; Polonia; Portugal; Reino Unido; República Checa; República de Corea; Rumania; Serbia; Suecia; y los países que han sido declarados con el nivel adecuado de protección por la Comisión Europea.
La Superintendencia de Industria y Comercio ejercerá, en cualquier tiempo, su capacidad regulatoria para revisar la lista anterior y proceder a incluir a quienes no hacen parte de la misma o para excluir a quien se considere conveniente, de acuerdo con los lineamientos establecidos en la ley.
Parágrafo Primero: Sin perjuicio de que las transferencias de datos personales se realicen a países que tienen un nivel adecuado de protección, los Responsables del Tratamiento, en virtud del principio de responsabilidad demostrada, deben ser capaces de demostrar que han implementado medidas apropiadas y efectivas para garantizar el adecuado tratamiento de los datos personales que transfieren a otro país y para otorgar seguridad a los registros al momento de efectuar dicha transferencia.
Parágrafo Segundo: Cuando la Transferencia de datos personales se vaya a realizar a un país que no se encuentre dentro de los relacionados en el presente numeral, corresponderá al Responsable del tratamiento que efectuará la transferencia verificar sí la operación está comprendida dentro de una de las causales de excepción establecidas en el artículo 26 de la Ley 1581 de 2012, o, sí ese país cumple con los estándares fijados en el numeral 3.1 anterior, casos en los cuales podrá realizar la transferencia, o, de no cumplirse ninguna de las condiciones anteriores, solicitar la respectiva declaración de conformidad ante esta Superintendencia.
Parágrafo Tercero: El simple tránsito transfronterizo de datos no comporta una transferencia de datos a terceros países. El tránsito transfronterizo de datos se refiere al simple paso de los datos por uno o varios territorios utilizando la infraestructura compuesta por todas las redes, equipos y servicios requeridos para alcanzar su destino final.
Parágrafo Cuarto: Es posible realizar la transmisión de datos personales a los países que cuentan con un nivel adecuado de protección de datos personales, en los términos que rigen la transferencia de datos personales.
3.3. Declaración de conformidad
Para solicitar la Declaración de Conformidad para la transferencia internacional de datos personales, el Responsable del tratamiento deberá radicar una petición ante la Superintendencia de Industria y Comercio en el Grupo de Gestión Documental y Recursos Físicos de la Entidad, o a través del correo electrónico [email protected], en la que suministre la información contenida en la “Guía para Solicitar la Declaración de Conformidad sobre Transferencias Internacionales de Datos Personales”, publicada en la página web de esta Superintendencia. Los soportes y documentos remitidos deben estar traducidos al castellano.
Este trámite se rige por el Procedimiento Administrativo General establecido en el Código de Procedimiento Administrativo y de lo Contencioso Administrativo.
En todos los casos, la Superintendencia está facultada para requerir información adicional y adelantar las diligencias que considere necesarias, tendientes a establecer el cumplimiento de los presupuestos que requiere la viabilidad de la operación.
Parágrafo: Cuando los Responsables del Tratamiento, que a efectos de cumplir con el principio de responsabilidad demostrada, suscriban un contrato con el Responsable del Tratamiento destinatario de los datos o implementen otro instrumento jurídico mediante el cual señalen las condiciones que regirán la transferencia internacional de datos personales y mediante las cuales garantizarán el cumplimiento de los principios que rigen el tratamiento, así como de las obligaciones que tienen a cargo, se presumirá que la operación es viable y que cuenta con Declaración de Conformidad.
En consecuencia, los Responsables del Tratamiento podrán realizar dicha transferencia, previa comunicación remitida a la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, mediante la cual informen sobre la operación a realizar y declaren que han suscrito el contrato de transferencia u otro instrumento jurídico que garantice la protección de los datos personales objeto de transferencia, lo cual podrá ser verificado en cualquier momento por esta Superintendencia y, en caso de que se evidencie un incumplimiento, podrá adelantar la respectiva investigación e imponer las sanciones que correspondan y ordenar las medidas a que haya lugar.
———————————————————————————————————-
(1) Resolución nº 76434 del 4 de diciembre de 2012. Publicada en el Diario Oficial nº 48635 del 5 de diciembre de 2012. “por la cual se deroga el contenido del Título V de la Circular Única de la Superintendencia de Industria y Comercio, sobre Acreditación, y se imparten instrucciones relativas a la protección de datos personales, en particular, acerca del cumplimiento de la Ley 1266 de 2008, sobre reportes de información financiera, crediticia, comercial, de servicios y la proveniente de terceros países, las cuales se incorporan en el citado Título”.
(2) Circular Externa nº 02 del 3 de noviembre de 2015. Publicada en el Diario Oficial nº 49686 del 4 de noviembre de 2015 que “Adiciona el Capítulo Segundo en el Título V de la Circular Única, sobre el Registro Nacional de Bases de Datos –RNBD.
(3) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4 y elimina los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única.
(4) Circular Externa nº 01 del 11 de Enero de 2017. Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017. Que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única.
(5) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4 y elimina los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única.
(6) www.sic.gov.co. Se ingresa por el micrositio de “Protección de datos personales” ubicado en la barra horizontal superior y luego por “Registro Bases de Datos”.
(7) Modificado por el Decreto 1759 del 8 de noviembre de 2016.
(8) Circular Externa nº 01 del 11 de Enero de 2017. Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017. Que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única.
(9) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4, Se eliminó el numeral 2.5. Información adicional que deberá inscribirse en el Registro Nacional de Bases de Datos RNBD, del Capítulo Segundo del Título V de la Circular Única.
(10) Circular Externa nº. 01 del 11 de Enero de 2017. Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017. Que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única.
(11) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4, Se eliminó el numeral 2.6. Procedimiento de inscripción en el Registro Nacional de Bases de Datos – RNBD-, del Capítulo Segundo del Título V de la Circular Única.
(12) Circular Externa nº 01 del 11 de Enero de 2017. Publicada en el Diario Oficial nº 50114 del 12 de enero de 2017. Que modifica los numerales 2.2, 2.3, 2.6 y 2.7 del Capítulo Segundo del Título V de la Circular Única.
(13) Circular Externa nº 03 del 1 de agosto de 2018. Publicada en el Diario Oficial nº 50672 del 1 de agosto de 2018. Mediante la cual se Modifica los numerales 2.1 al 2.4, Se eliminó el numeral 2.7. Actualización de la información contenida en el Registro Nacional de Bases de Datos -RNBD-, del Capítulo Segundo del Título V de la Circular Única.
(14) Circular Externa nº 05 del 10 de agosto de 2017. Publicada en el Diario Oficial nº 50321 del 10 de agosto de 2017. “Que adiciona un Capítulo Tercero al Título V de la Circular Única”
(15) Circular Externa nº 08 del 15 de diciembre de 2017. Publicada en el Diario Oficial nº 50448 del 15 de diciembre de 2017. Mediante la cual se modifica el numeral 3.2 del Capítulo Tercero del Título V de la Circular Única.
(16) Circular Externa nº 02 del 23 de marzo de 2018. Publicada en el Diario Oficial nº 50544 del 23 de marzo de 2018. Mediante la cual se modifica el numeral 3.2 del Capítulo Tercero del Título V de la Circular Única con el fin de incluir el país de “Australia” dentro de la lista de países contenida en este numeral.
02Abr/19
Circular Externa 3 de 1 de agosto de 2018, que modifica los numerales 2.1 al 2.4 y elimina los numerales 2.5 al 2.7 del Capítulo Segundo, del Título V de la Circular Única de la Superintendencia de Industria y Comercio
Bogotá, D. C. 1 de agosto de 2018
Para: Responsables del tratamiento de datos personales: Sociedades y entidades sin ánimo de lucro con activos totales superiores a 100.000 UVT y personas jurídicas de naturaleza pública.
Asunto: Modificar los numerales 2.1. al 2.4. y eliminar los numerales 2.5. al 2.7. del Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio.
1.- Objeto
Modificar los numerales 2.1 al 2.4 y eliminar los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio, relacionado con el Registro Nacional de Bases de Datos -RNBD, teniendo en cuenta lo señalado por el Decreto 090 de 2018 que modificó los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.
2.- Fundamento Legal
La Ley 1581 de 2012, por la cual se dictan disposiciones generales para la protección de datos personales establece en su artículo 19 que “La Superintendencia de Industria y Comercio, a través de una Delegatura para la protección de Datos Personales, ejercerá la vigilancia para garantizar que en el tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley” e incluye dentro del listado de funciones atribuidas a esta entidad (1), la de “administrar el Registro Nacional de Bases de Datos y emitir las órdenes y actos necesarios para su administración y funcionamiento”.
Así mismo, el artículo 25 de la ley en mención, creó el Registro Nacional de Bases de Datos -RNBD-, y lo definió como el directorio público de las bases de datos personales sujetas a Tratamiento que operan en el país precisando que el Gobierno Nacional debía reglamentar “la información mínima que debe contener el Registro y los términos y condiciones bajo los cuales se deben inscribir en éste los Responsables del Tratamiento”.
Por su parte, el Capítulo 26 del Decreto Único 1074 de 2015 reglamentó el artículo 25 de la Ley 1581 de 2012 indicando el objeto del Registro Nacional de Bases de Datos, el ámbito de aplicación del mismo, así como los términos y condiciones de inscripción, entre otros.
En particular, el artículo 2.2.2.26.1.2 del Decreto Único 1074 de 2015 (2) señaló lo siguiente:
“Artículo 2.2.2.26.1.2. Ámbito de aplicación. Serán objeto de inscripción en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo tratamiento automatizado o manual sea realizado por los Responsables del tratamiento que reúnan las siguientes características:
a) Sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT).
b) Personas Jurídicas de naturaleza pública”.
Así mismo, el artículo 2.2.2.26.3.1. del mencionado Decreto estableció el siguiente plazo para llevar a cabo el registro de las bases de datos:
“Plazo de inscripción. La inscripción de las bases de datos en el Registro Nacional de Bases de Datos se llevará a cabo en los siguientes plazos:
a. Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario, deberán realizar la referida inscripción a más tardar el treinta (30) de septiembre de 2018, de acuerdo con las instrucciones impartidas por la Superintendencia de Industria y Comercio.
b. Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT), deberán realizar la referida inscripción a más tardar el treinta (30) de noviembre de 2018, de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio.
c. Los Responsables del Tratamiento, personas jurídicas de naturaleza pública, deberán realizar la referida inscripción a más tardar el treinta y uno (31) de enero de 2019, de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio.
Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos en los literales a), b) y c) del presente artículo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación.
De acuerdo con lo expuesto en la parte considerativa del Decreto 090 del 18 de enero de 2018, las personas jurídicas y naturales que se exceptúan de efectuar el registro mediante ese Decreto, no quedan relevadas del cumplimiento de los demás deberes establecidos para los Responsables del Tratamiento de datos personales. En consecuencia, si bien no están obligadas a registrar sus bases de datos ante la Superintendencia de Industria y Comercio, siguen sujetas al cumplimiento de las disposiciones contenidas en la Ley 1581 de 2012.
Así las cosas, se hace necesario modificar las instrucciones impartidas por la Superintendencia de Industria y Comercio de acuerdo con lo establecido en el citado decreto reglamentario para que los sujetos obligados realicen la inscripción de sus bases de datos.
3. Instructivo
Modificar los numerales 2.1 al 2.4 y eliminar los numerales 2.5 al 2.7 del Capítulo Segundo del Título V de la Circular Única de la Superintendencia de Industria y Comercio el cual quedará así:
“CAPÍTULO SEGUNDO: REGISTRO NACIONAL DE BASES DE DATOS-RNBD
2.1. Información adicional que deberá inscribirse en el Registro Nacional de Bases de Datos -RNBD
Los Responsables del tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública deben inscribir en el Registro Nacional de Bases de Datos -RNBD- la siguiente información, además de la establecida mediante el Capítulo 26 del Decreto Único 1074 de 2015.
a) Información almacenada en la base de datos. Es la clasificación de los datos personales almacenados en cada base de datos, agrupados por categorías y subcategorías, de acuerdo con la naturaleza de los mismos.
b) Medidas de seguridad de la información. Corresponde a los controles implementados por el Responsable del Tratamiento para garantizar la seguridad de las bases de datos que está registrando, teniendo en cuenta las preguntas dispuestas para el efecto en el RNBD. Tales preguntas no constituyen de ninguna manera instrucciones acerca de las medidas de seguridad que deben implementar los Responsables del Tratamiento de datos personales.
c) Procedencia de los datos personales. La procedencia de los datos se refiere a si estos son recolectados del Titular de la información o suministrados por terceros y si se cuenta con la autorización para el tratamiento o existe una causal de exoneración, de acuerdo con lo establecido en el artículo 10 de la Ley 1581 de 2012.
d) Transferencia internacional de datos personales. La información relacionada con la Transferencia internacional de datos personales comprende la identificación del destinatario como Responsable del Tratamiento, el país en el que este se encuentra ubicado y si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio o por una causal de excepción en los términos señalados en el artículo 26 de la Ley 1581 de 2012.
e) Transmisión internacional de datos personales. La información relacionada con la Transmisión Internacional de datos comprende la identificación del destinatario como Encargado del Tratamiento, el país en el que este se encuentra ubicado, si se tiene un contrato de transmisión de datos en los términos señalados en el artículo 2.2.2.25.5.2 de la Sección 5 del Capítulo 25 del Decreto Único 1074 de 2015 o si la operación está cobijada por una declaración de conformidad emitida por la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio.
f) Reporte de novedades. Se reportarán como novedades los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y/o sus Encargados y los incidentes de seguridad que afecten las bases de datos administradas por cualquier Responsable del Tratamiento, así:
i) Reclamos presentados por los Titulares: Corresponde a la información de los reclamos presentados por los Titulares ante el Responsable y/o Encargado del tratamiento, según sea el caso, dentro de un semestre calendario (enero-junio y julio-diciembre). Esta información se reportará teniendo en cuenta los manifestado por los Titulares y los tipos de reclamos prestablecidos en el RNBD. El reporte deberá ser el resuelto de consolidar los reclamos presentados por los Titulares ante los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD y sus respectivos Encargados del Tratamiento.
ii) Incidentes de seguridad: Se refiere a la violación de los códigos de seguridad o la pérdida, robo y/o acceso no autorizado de información de una base de datos administrada por el Responsable del Tratamiento o por su Encargado, que deberán reportarse al RNBD por parte de los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.
Los Responsables del Tratamiento que no se encuentren obligados a registrar sus bases de datos en el RNBD y los Encargados del Tratamiento, deberán hacer el reporte de los incidentes de seguridad que afecten la información contenida en estas mediante el aplicativo dispuesto para tal fin en la página web de la Superintendencia de Industria y Comercio en el micrositio de la Delegatura para la Protección de Datos Personales o mediante cualquiera de los canales habilitados por la entidad para recibir comunicaciones dentro de los quince (15) días hábiles siguientes al momento en que se detecten y sean puestos en conocimiento de la persona o área encargada de atenderlos.
La información relacionada con las medidas de seguridad, los reclamos presentados por los Titulares y los incidentes de seguridad reportados en el RNBD no estará disponible para consulta pública.
2.2. Procedimiento de inscripción en el Registro Nacional de Bases de Datos -RNBD
Los Responsables del Tratamiento de datos personales, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT) y personas jurídicas de naturaleza pública, deberán inscribir sus bases de datos en el RNBD, de acuerdo con las instrucciones contenidas en el “Manual del Usuario del Registro Nacional de Bases de Datos -RNBD” publicado en el sitio Web de la Superintendencia de Industria y Comercio. www.sic.gov.co.
La inscripción se realiza en línea en el portal Web de esta entidad (3).
De acuerdo con lo establecido en el artículo 2.2.2.26.3.1 de la sección 3 del Capítulo 26 del Decreto 1074 de 2015 (4), dicha inscripción se llevará a cabo en los siguientes plazos:
a) Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario (UVT), deben realizar la referida inscripción a más tardar el treinta (30) de septiembre de 2018.
b) Los Responsables de Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 Unidades de Valor Tributario (UVT), deben realizar la referida inscripción a más tardar el treinta (30) de noviembre de 2018.
c) Los Responsables del Tratamiento, personas jurídicas de naturaleza pública, deben realizar la referida inscripción a más tardar el treinta y uno (31) de enero de 2019.
A cada base de datos se le asignará un número de radicado una vez se finalice el procedimiento de inscripción. La información inscrita en el RNBD estará sujeta a verificación de esta Superintendencia.
2.3. Actualización de la información contenida en el Registro Nacional de Bases de Datos -RNBD
Los Responsables de Tratamiento que de conformidad con lo establecido en el Decreto 090 del 18 de enero de 2018 están obligados a registrar sus bases de datos en el RNBD deben actualizar la información registrada, como se indica a continuación:
i) Dentro de los primeros diez (10) días hábiles de cada mes, a partir de la inscripción de la base de datos, cuando se realicen cambios sustanciales en la información registrada.
ii) Anualmente, entre el 2 de enero y el 31 de marzo, a partir del 2020.
Son cambios sustanciales los que se relacionen con la finalidad de la base de datos, el Encargado del Tratamiento, los canales de atención al Titular, la clasificación o tipos de datos personales almacenados en cada base de datos, las medidas de seguridad de la información implementadas, la Política de Tratamiento de la Información y la transferencia y transmisión internacional de datos personales.
Adicionalmente, dentro de los quince (15) primeros días hábiles de los meses de febrero y agosto de cada año, a partir de su inscripción, los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD deben actualizar la información de los reclamos presentados por los Titulares, referida en el número (i) del literal f) del numeral 2.1 anterior. El primer reporte de reclamos presentados por los Titulares se deberá realizar en el segundo semestre de 2019 con la información que corresponda al primer semestre de 2019.
Los Responsables del Tratamiento que no están obligados a efectuar el registro de sus bases de datos y que realizaron dicho trámite, no están obligados a efectuar la actualización a que hace referencia este numeral y la información por ellos registrada no estará disponible para consulta pública.
2.4 Consulta del Registro Nacional de Bases de Datos RNBD
La consulta del RNBD se encuentra habilitada en el portal web de esta entidad con el fin de que los Titulares de información y terceros puedan acceder a los registros efectuados por los Responsables del Tratamiento que se encuentran obligados a registrar sus bases de datos en el RNBD”.
4. Vigencia
La presente circular externa entra a regir a partir de la fecha de su publicación en el Diario Oficial.
Atentamente
PABLO FELIPE ROBLEDO DEL CASTILLO
Superintendente de Industria y Comercio
(1) Literal h) Artículo 21 Ley 1581 de 2012
(2) Modificado por el Decreto 090 del 18 de enero de 2018
(3) www.sic.gov.co. Se ingresa por el micrositio de “Protección de datos personales” ubicado en la barra horizontal superior y luego por “Registro Bases de Datos”
(4) Modificado por el Decreto 090 del 18 de enero de 2018
02Abr/19
Circular externa nº 1, de 16 de enero de 2019, de la Superintendencia de Industria y Comercio de Colombia, sobre la obligación de registro de bases de datos
CIRCULAR EXTERNA Nº 1
Para: Responsables y encargados del tratamiento de datos personales de las entidades de la rama ejecutiva del orden nacional
Asunto: Obligación de registro de bases de datos
De manera atenta se recuerda que el próximo 31 de enero de 2019 vence el plazo para efectuar la inscripción de sus bases de datos ante el Registro Nacional de Bases de Datos (RNBD), administrado por la Superintendencia de Industria y Comercio (SIC), de conformidad con lo previsto por el Artículo 25 de la Ley 1581 de 2012, y el Decreto de 2018.
La información necesaria se encuentra disponible en la página web de la SIC (www.sic.gov.co.) -link “Protección de Datos Personales”-, en donde se puede consultar el video tutorial y el manual de ayuda para realizar el registro. En igual sentido se reitera que hay disponibles capacitaciones presenciales y virtuales en la materia. Para el efecto, pueden comunicarse a la línea gratuita nacional 018000-910165, el contact center (571) 592 04 00, o el correo: [email protected].
Efectuar dicho registro es obligatorio y su verificación es competencia de la SIC de conformidad con lo previsto por el Artículo 23 de la Ley 1581 de 2012.
Cordial saludo, 16 de enero de 2019
ANDRÉS BARRETO GONZÁLEZ
Superintendencia de Industria y Comercio.
Copyright, Designs and Patents Act 1988. 1988 CHAPTER 48. Last amended: 27th September 2017
Copyright, Designs and Patents Act 1988. 1988 CHAPTER 48. Last amended: 27th September 2017
An Act to restate the law of copyright, with amendments; to make fresh provision as to the rights of performers and others in performances; to confer a design right in original designs; to amend the Registered Designs Act 1949; to make provision with respect to patent agents and trade mark agents; to confer patents and designs jurisdiction on certain county courts; to amend the law of patents; to make provision with respect to devices designed to circumvent copy-protection of works in electronic form; to make fresh provision penalising the fraudulent reception of transmissions; to make the fraudulent application or use of a trade mark an offence; to make provision for the benefit of the Hospital for Sick Children, Great Ormond Street, London; to enable financial assistance to be given to certain international bodies; and for connected purposes.
[15th November 1988]Be it enacted by the Queen’s most Excellent Majesty, by and with the advice and consent of the Lords Spiritual and Temporal, and Commons, in this present Parliament assembled, and by the authority of the same, as follows::
Part I.- Copyright
Chapter I.- Subsistence, ownership and duration of copyright
Introductory
1.- Copyright and copyright works.
(1) Copyright is a property right which subsists in accordance with this Part in the following descriptions of work:
(a) original literary, dramatic, musical or artistic works,
(b) sound recordings, films [F1or broadcasts], and
(c) the typographical arrangement of published editions.
(2) In this Part “copyright work” means a work of any of those descriptions in which copyright subsists.
(3) Copyright does not subsist in a work unless the requirements of this Part with respect to qualification for copyright protection are met (see section 153 and the provisions referred to there).
2.- Rights subsisting in copyright works.
(1) The owner of the copyright in a work of any description has the exclusive right to do the acts specified in Chapter II as the acts restricted by the copyright in a work of that description.
(2) In relation to certain descriptions of copyright work the following rights conferred by Chapter IV (moral rights) subsist in favour of the author, director or commissioner of the work, whether or not he is the owner of the copyright:
(a) section 77 (right to be identified as author or director),
(b) section 80 (right to object to derogatory treatment of work), and
(c) section 85 (right to privacy of certain photographs and films).
Descriptions of work and related provisions
3.- Literary, dramatic and musical works.
(1) In this Part:
“literary work” means any work, other than a dramatic or musical work, which is written, spoken or sung, and accordingly includes:
(a) a table or compilation [F2other than a database], F3. . .
(b) a computer program; F4. . .[F5(c) preparatory design material for a computer program][F6and
F6(d) a database]
“dramatic work” includes a work of dance or mime; and
“musical work” means a work consisting of music, exclusive of any words or action intended to be sung, spoken or performed with the music.
(2) Copyright does not subsist in a literary, dramatic or musical work unless and until it is recorded, in writing or otherwise; and references in this Part to the time at which such a work is made are to the time at which it is so recorded.
(3) It is immaterial for the purposes of subsection (2) whether the work is recorded by or with the permission of the author; and where it is not recorded by the author, nothing in that subsection affects the question whether copyright subsists in the record as distinct from the work recorded.
[F73A.- Databases
(1) In this Part “database” means a collection of independent works, data or other materials which:
(a) are arranged in a systematic or methodical way, and
(b) are individually accessible by electronic or other means.
(2) For the purposes of this Part a literary work consisting of a database is original if, and only if, by reason of the selection or arrangement of the contents of the database the database constitutes the author’s own intellectual creation.]
4.- Artistic works.
(1) In this Part “artistic work” means:
(a) a graphic work, photograph, sculpture or collage, irrespective of artistic quality,
(b) a work of architecture being a building or a model for a building, or
(c) a work of artistic craftsmanship.
(2) In this Part:
“building” includes any fixed structure, and a part of a building or fixed structure;
“graphic work” includes:
(a) any painting, drawing, diagram, map, chart or plan, and
(b) any engraving, etching, lithograph, woodcut or similar work;
“photograph” means a recording of light or other radiation on any medium on which an image is produced or from which an image may by any means be produced, and which is not part of a film;
“sculpture” includes a cast or model made for purposes of sculpture.
[F85A.- Sound recordings.
(1) In this Part “sound recording” means:
(a) a recording of sounds, from which the sounds may be reproduced, or
(b) a recording of the whole or any part of a literary, dramatic or musical work, from which sounds reproducing the work or part may be produced,regardless of the medium on which the recording is made or the method by which the sounds are reproduced or produced.
(2) Copyright does not subsist in a sound recording which is, or to the extent that it is, a copy taken from a previous sound recording.][F9
5B.- Films.
(1) In this Part “film” means a recording on any medium from which a moving image may by any means be produced.
(2) The sound track accompanying a film shall be treated as part of the film for the purposes of this Part.
(3) Without prejudice to the generality of subsection (2), where that subsection applies:
(a) references in this Part to showing a film include playing the film sound track to accompany the film,
[F10(b) references in this Part to playing a sound recording, or to communicating a sound recording to the public, do not include playing or communicating the film sound track to accompany the film,
(c) references in this Part to copying a work, so far as they apply to a sound recording, do not include copying the film sound track to accompany the film, and
(d) references in this Part to the issuing, rental or lending of copies of a work, so far as they apply to a sound recording, do not include the issuing, rental or lending of copies of the sound track to accompany the film.]
(4) Copyright does not subsist in a film which is, or to the extent that it is, a copy taken from a previous film.
(5) Nothing in this section affects any copyright subsisting in a film sound track as a sound recording.]
5. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.- Broadcasts.
[F11(1) In this Part a “ broadcast ” means an electronic transmission of visual images, sounds or other information which:
(a) is transmitted for simultaneous reception by members of the public and is capable of being lawfully received by them, or
(b) is transmitted at a time determined solely by the person making the transmission for presentation to members of the public,and which is not excepted by subsection (1A); and references to broadcasting shall be construed accordingly.
(1A) Excepted from the definition of “broadcast” is any internet transmission unless it is:
(a) a transmission taking place simultaneously on the internet and by other means,
(b) a concurrent transmission of a live event, or
(c) a transmission of recorded moving images or sounds forming part of a programme service offered by the person responsible for making the transmission, being a service in which programmes are transmitted at scheduled times determined by that person.]
(2) An encrypted transmission shall be regarded as capable of being lawfully received by members of the public only if decoding equipment has been made available to members of the public by or with the authority of the person making the transmission or the person providing the contents of the transmission.
(3) References in this Part to the person making a broadcast, [F12or a transmission which is a broadcast] are:
(a) to the person transmitting the programme, if he has responsibility to any extent for its contents, and
(b) to any person providing the programme who makes with the person transmitting it the arrangements necessary for its transmission;and references in this Part to a programme, in the context of broadcasting, are to any item included in a broadcast.
F13[
(4) For the purposes of this Part, the place from which a [F14wireless] broadcast is made is the place where, under the control and responsibility of the person making the broadcast, the programme-carrying signals are introduced into an uninterrupted chain of communication (including, in the case of a satellite transmission, the chain leading to the satellite and down towards the earth).]
F15[
(4A) Subsections (3) and (4) have effect subject to section 6A (safeguards in case of certain satellite broadcasts).]
(5) References in this Part to the reception of a broadcast include reception of a broadcast relayed by means of a telecommunications system.
[F16(5A) The relaying of a broadcast by reception and immediate re-transmission shall be regarded for the purposes of this Part as a separate act of broadcasting from the making of the broadcast which is so re-transmitted.]
(6) Copyright does not subsist in a broadcast which infringes, or to the extent that it infringes, the copyright in another broadcast F17. . . .
[F18(6A) Safeguards in case of certain satellite broadcasts.
(1) This section applies where the place from which a broadcast by way of satellite transmission is made is located in a country other than an EEA State and the law of that country fails to provide at least the following level of protection:
(a) exclusive rights in relation to [F19wireless] broadcasting equivalent to those conferred by section 20 ([F20infringement by communication to the public]) on the authors of literary, dramatic, musical and artistic works, films and broadcasts;
(b) a right in relation to live [F21wireless] broadcasting equivalent to that conferred on a performer by section 182(1)(b) (consent required for live broadcast of performance); and
(c) a right for authors of sound recordings and performers to share in a single equitable remuneration in respect of the [F21wireless] broadcasting of sound recordings.
(2) Where the place from which the programme-carrying signals are transmitted to the satellite (“the uplink station”) is located in an EEA State:
(a) that place shall be treated as the place from which the broadcast is made, and
(b) the person operating the uplink station shall be treated as the person making the broadcast.
(3) Where the uplink station is not located in an EEA State but a person who is established in an EEA State has commissioned the making of the broadcast:
(a) that person shall be treated as the person making the broadcast, and
(b) the place in which he has his principal establishment in the European Economic Area shall be treated as the place from which the broadcast is made.]
7.- Cable programmes.
F22. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.- Published editions.
(1) In this Part “published edition”, in the context of copyright in the typographical arrangement of a published edition, means a published edition of the whole or any part of one or more literary, dramatic or musical works.
(2) Copyright does not subsist in the typographical arrangement of a published edition if, or to the extent that, it reproduces the typographical arrangement of a previous edition.
Authorship and ownership of copyright
9.- Authorship of work.
(1) In this Part “author”, in relation to a work, means the person who creates it.
(2) That person shall be taken to be:
F23 [F23( aa ) in the case of a sound recording, the producer;
F23( ab ) in the case of a film, the producer and the principal director;]
(b) in the case of a broadcast, the person making the broadcast (see section 6(3)) or, in the case of a broadcast which relays another broadcast by reception and immediate re-transmission, the person making that other broadcast;
(c) F24. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(d) in the case of the typographical arrangement of a published edition, the publisher.
(3) In the case of a literary, dramatic, musical or artistic work which is computer-generated, the author shall be taken to be the person by whom the arrangements necessary for the creation of the work are undertaken.
(4) For the purposes of this Part a work is of “unknown authorship” if the identity of the author is unknown or, in the case of a work of joint authorship, if the identity of none of the authors is known.
(5) For the purposes of this Part the identity of an author shall be regarded as unknown if it is not possible for a person to ascertain his identity by reasonable inquiry; but if his identity is once known it shall not subsequently be regarded as unknown.
10.- Works of joint authorship.
(1) In this Part a “work of joint authorship” means a work produced by the collaboration of two or more authors in which the contribution of each author is not distinct from that of the other author or authors.
F25 [(
1A ) A film shall be treated as a work of joint authorship unless the producer and the principal director are the same person.]
(2) A broadcast shall be treated as a work of joint authorship in any case where more than one person is to be taken as making the broadcast (see section 6(3)).
(3) References in this Part to the author of a work shall, except as otherwise provided, be construed in relation to a work of joint authorship as references to all the authors of the work.
[F2610A.- Works of co-authorship
(1) In this Part a “work of co-authorship” means a work produced by the collaboration of the author of a musical work and the author of a literary work where the two works are created in order to be used together.
(2) References in this Part to a work or the author of a work shall, except as otherwise provided, be construed in relation to a work of co-authorship as references to each of the separate musical and literary works comprised in the work of co-authorship and to each of the authors of such works.]
11.- First ownership of copyright.
(1) The author of a work is the first owner of any copyright in it, subject to the following provisions.
(2) Where a literary, dramatic, musical or artistic work [F27, or a film,] is made by an employee in the course of his employment, his employer is the first owner of any copyright in the work subject to any agreement to the contrary.
(3) This section does not apply to Crown copyright or Parliamentary copyright (see sections 163 and 165) or to copyright which subsists by virtue of section 168 (copyright of certain international organisations).
Duration of copyright
[F2812.- Duration of copyright in literary, dramatic, musical or artistic works.
(1) The following provisions have effect with respect to the duration of copyright in a literary, dramatic, musical or artistic work.
(2) Copyright expires at the end of the period of 70 years from the end of the calendar year in which the author dies, subject as follows.
(3) If the work is of unknown authorship, copyright expires:
(a) at the end of the period of 70 years from the end of the calendar year in which the work was made, or
(b) if during that period the work is made available to the public, at the end of the period of 70 years from the end of the calendar year in which it is first so made available,subject as follows.
(4) Subsection (2) applies if the identity of the author becomes known before the end of the period specified in paragraph (a) or (b) of subsection (3).
(5) For the purposes of subsection (3) making available to the public includes:
(a) in the case of a literary, dramatic or musical work:
(i) performance in public, or
[F29(ii) communication to the public;]
(b) in the case of an artistic work:
(i) exhibition in public,
(ii) a film including the work being shown in public, or
[F30(iii) communication to the public;]but in determining generally for the purposes of that subsection whether a work has been made available to the public no account shall be taken of any unauthorised act.
(6) Where the country of origin of the work is not an EEA state and the author of the work is not a national of an EEA state, the duration of copyright is that to which the work is entitled in the country of origin, provided that does not exceed the period which would apply under subsections (2) to (5).
(7) If the work is computer-generated the above provisions do not apply and copyright expires at the end of the period of 50 years from the end of the calendar year in which the work was made.
(8) The provisions of this section are adapted as follows in relation to a work of joint authorship [F31or a work of co-authorship]:
(a) the reference in subsection (2) to the death of the author shall be construed:
(i) if the identity of all the authors is known, as a reference to the death of the last of them to die, and
(ii) if the identity of one or more of the authors is known and the identity of one or more others is not, as a reference to the death of the last whose identity is known;
(b) the reference in subsection (4) to the identity of the author becoming known shall be construed as a reference to the identity of any of the authors becoming known;
(c) the reference in subsection (6) to the author not being a national of an EEA state shall be construed as a reference to none of the authors being a national of an EEA state.
(9) This section does not apply to Crown copyright or Parliamentary copyright (see sections 163 to [F32166D]) or to copyright which subsists by virtue of section 168 (copyright of certain international organisations).][F33
13A.- Duration of copyright in sound recordings.
(1) The following provisions have effect with respect to the duration of copyright in a sound recording.
[F34(2) Subject to subsections (4) and (5) [F35and section 191HA(4)], copyright expires:
(a) at the end of the period of 50 years from the end of the calendar year in which the recording is made, or
(b) if during that period the recording is published, [F3670] years from the end of the calendar year in which it is first published, or
(c) if during that period the recording is not published but is made available to the public by being played in public or communicated to the public, [F3770] years from the end of the calendar year in which it is first so made available,but in determining whether a sound recording has been published, played in public or communicated to the public, no account shall be taken of any unauthorised act.]
(3) F38 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(4) Where the author of a sound recording is not a national of an EEA state, the duration of copyright is that to which the sound recording is entitled in the country of which the author is a national, provided that does not exceed the period which would apply under [F39 subsection (2)].
(5) If or to the extent that the application of subsection (4) would be at variance with an international obligation to which the United Kingdom became subject prior to 29th October 1993, the duration of copyright shall be as specified in [F39subsection (2)].][F40
13B.- Duration of copyright in films.
(1) The following provisions have effect with respect to the duration of copyright in a film.
(2) Copyright expires at the end of the period of 70 years from the end of the calendar year in which the death occurs of the last to die of the following persons:
(a) the principal director,
(b) the author of the screenplay,
(c) the author of the dialogue, or
(d) the composer of music specially created for and used in the film;subject as follows.
(3) If the identity of one or more of the persons referred to in subsection (2)(a) to (d) is known and the identity of one or more others is not, the reference in that subsection to the death of the last of them to die shall be construed as a reference to the death of the last whose identity is known.
(4) If the identity of the persons referred to in subsection (2)(a) to (d) is unknown, copyright expires at:
(a) the end of the period of 70 years from the end of the calendar year in which the film was made, or
(b) if during that period the film is made available to the public, at the end of the period of 70 years from the end of the calendar year in which it is first so made available.
(5) Subsections (2) and (3) apply if the identity of any of those persons becomes known before the end of the period specified in paragraph (a) or (b) of subsection (4).
(6) For the purposes of subsection (4) making available to the public includes:
(a) showing in public, or
[F41(b) communicating to the public;]but in determining generally for the purposes of that subsection whether a film has been made available to the public no account shall be taken of any unauthorised act.
(7) Where the country of origin is not an EEA state and the author of the film is not a national of an EEA state, the duration of copyright is that to which the work is entitled in the country of origin, provided that does not exceed the period which would apply under subsections (2) to (6).
(8) In relation to a film of which there are joint authors, the reference in subsection (7) to the author not being a national of an EEA state shall be construed as a reference to none of the authors being a national of an EEA state.
(9) If in any case there is no person falling within paragraphs (a) to (d) of subsection (2), the above provisions do not apply and copyright expires at the end of the period of 50 years from the end of the calendar year in which the film was made.
(10) For the purposes of this section the identity of any of the persons referred to in subsection (2)(a) to (d) shall be regarded as unknown if it is not possible for a person to ascertain his identity by reasonable inquiry; but if the identity of any such person is once known it shall not subsequently be regarded as unknown.]
13.-. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[F4314.- Duration of copyright in broadcasts F42. . . .
(1) The following provisions have effect with respect to the duration of copyright in a broadcast F44. . . .
(2) Copyright in a broadcast F44. . . expires at the end of the period of 50 years from the end of the calendar year in which the broadcast was made F45. . . , subject as follows.
(3) Where the author of the broadcast F44. . . is not a national of an EEA state, the duration of copyright in the broadcast F44. . . is that to which it is entitled in the country of which the author is a national, provided that does not exceed the period which would apply under subsection (2).
(4) If or to the extent that the application of subsection (3) would be at variance with an international obligation to which the United Kingdom became subject prior to 29th October 1993, the duration of copyright shall be as specified in subsection (2).
(5) Copyright in a repeat broadcast F44. . . expires at the same time as the copyright in the original broadcast F44. . . ; and accordingly no copyright arises in respect of a repeat broadcast F44. . . which is broadcast F46. . . after the expiry of the copyright in the original broadcast F44. . . .
(6) A repeat broadcast F44. . . means one which is a repeat F47. . . of a broadcast previously made F47. . . .]
15.- Duration of copyright in typographical arrangement of published editions.
Copyright in the typographical arrangement of a published edition expires at the end of the period of 25 years from the end of the calendar year in which the edition was first published.
[F4815A.- Meaning of country of origin.
(1) For the purposes of the provisions of this Part relating to the duration of copyright the country of origin of a work shall be determined as follows.
(2) If the work is first published in a Berne Convention country and is not simultaneously published elsewhere, the country of origin is that country.
(3) If the work is first published simultaneously in two or more countries only one of which is a Berne Convention country, the country of origin is that country.
(4) If the work is first published simultaneously in two or more countries of which two or more are Berne Convention countries, then:
(a) if any of those countries is an EEA state, the country of origin is that country; and
(b) if none of those countries is an EEA state, the country of origin is the Berne Convention country which grants the shorter or shortest period of copyright protection.
(5) If the work is unpublished or is first published in a country which is not a Berne Convention country (and is not simultaneously published in a Berne Convention country), the country of origin is:
(a) if the work is a film and the maker of the film has his headquarters in, or is domiciled or resident in a Berne Convention country, that country;
(b) if the work is:
(i) a work of architecture constructed in a Berne Convention country, or
(ii) an artistic work incorporated in a building or other structure situated in a Berne Convention country,that country;
(c) in any other case, the country of which the author of the work is a national.
(6) In this section:
(a) a “Berne Convention country” means a country which is a party to any Act of the International Convention for the Protection of Literary and Artistic Works signed at Berne on 9th September 1886; and
(b) references to simultaneous publication are to publication within 30 days of first publication.]
Chapter II.- Rights of Copyright Owner
The acts restricted by copyright
16.- The acts restricted by copyright in a work.
(1) The owner of the copyright in a work has, in accordance with the following provisions of this Chapter, the exclusive right to do the following acts in the United Kingdom:
(a) to copy the work (see section 17);
(b) to issue copies of the work to the public (see section 18);
F49[
(ba) to rent or lend the work to the public (see section 18A);]
(c) to perform, show or play the work in public (see section 19);
[F50(d) to communicate the work to the public (see section 20);]
(e) to make an adaptation of the work or do any of the above in relation to an adaptation (see section 21);and those acts are referred to in this Part as the “acts restricted by the copyright”.
(2) Copyright in a work is infringed by a person who without the licence of the copyright owner does, or authorises another to do, any of the acts restricted by the copyright.
(3) References in this Part to the doing of an act restricted by the copyright in a work are to the doing of it:
(a) in relation to the work as a whole or any substantial part of it, and
(b) either directly or indirectly;and it is immaterial whether any intervening acts themselves infringe copyright.
(4) This Chapter has effect subject to:
(a) the provisions of Chapter III (acts permitted in relation to copyright works), and
(b) the provisions of Chapter VII (provisions with respect to copyright licensing).
17.- Infringement of copyright by copying.
(1) The copying of the work is an act restricted by the copyright in every description of copyright work; and references in this Part to copying and copies shall be construed as follows.
(2) Copying in relation to a literary, dramatic, musical or artistic work means reproducing the work in any material form.This includes storing the work in any medium by electronic means.
(3) In relation to an artistic work copying includes the making of a copy in three dimensions of a two-dimensional work and the making of a copy in two dimensions of a three-dimensional work.
(4) Copying in relation to a film [F51or broadcast] includes making a photograph of the whole or any substantial part of any image forming part of the film [F51or broadcast].
(5) Copying in relation to the typographical arrangement of a published edition means making a facsimile copy of the arrangement.
(6) Copying in relation to any description of work includes the making of copies which are transient or are incidental to some other use of the work.
18.- Infringement by issue of copies to the public.
(1) The issue to the public of copies of the work is an act restricted by the copyright in every description of copyright work.
[F52[F53(2) References in this Part to the issue to the public of copies of a work are to the act of putting into circulation in the United Kingdom copies not previously put into circulation in the EEA by or with the consent of the copyright owner.]
(3) References in this P art to the issue to the public of copies of a work do not include:
(a) any subsequent distribution, sale, hiring or loan of copies previously put into circulation (but see section 18A: infringement by rental or lending) F54…
F55
(b). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .F56…]
F57[
(4) References in this Part to the issue of copies of a work include the issue of the original.][F58
18A Infringement by rental or lending of work to the public.
(1) The rental or lending of copies of the work to the public is an act restricted by the copyright in:
(a) a literary, dramatic or musical work,
(b) an artistic work, other than:
(i) a work of architecture in the form of a building or a model for a building, or
(ii) a work of applied art, or
(c) a film or a sound recording.
(2) In this Part, subject to the following provisions of this section:
(a) “rental” means making a copy of the work available for use, on terms that it will or may be returned, for direct or indirect economic or commercial advantage, and
(b) “lending” means making a copy of the work available for use, on terms that it will or may be returned, otherwise than for direct or indirect economic or commercial advantage, through an establishment which is accessible to the public.
(3) The expressions “rental” and “lending” do not include:
(a) making available for the purpose of public performance, playing or showing in public [F59or communication to the public];
(b) making available for the purpose of exhibition in public; or
(c) making available for on-the-spot reference use.
(4) The expression “lending” does not include making available between establishments which are accessible to the public.
(5) Where lending by an establishment accessible to the public gives rise to a payment the amount of which does not go beyond what is necessary to cover the operating costs of the establishment, there is no direct or indirect economic or commercial advantage for the purposes of this section.
(6) References in this Part to the rental or lending of copies of a work include the rental or lending of the original.]
19.- Infringement by performance, showing or playing of work in public.
(1) The performance of the work in public is an act restricted by the copyright in a literary, dramatic or musical work.
(2) In this Part “performance”, in relation to a work:
(a) includes delivery in the case of lectures, addresses, speeches and sermons, and
(b) in general, includes any mode of visual or acoustic presentation, including presentation by means of a sound recording, film [F60or broadcast] of the work.
(3) The playing or showing of the work in public is an act restricted by the copyright in a sound recording, film [F60or broadcast].
(4) Where copyright in a work is infringed by its being performed, played or shown in public by means of apparatus for receiving visual images or sounds conveyed by electronic means, the person by whom the visual images or sounds are sent, and in the case of a performance the performers, shall not be regarded as responsible for the infringement.
[F6120.- Infringement by communication to the public
(1) The communication to the public of the work is an act restricted by the copyright in:
(a) a literary, dramatic, musical or artistic work,
(b) a sound recording or film, or
(c) a broadcast.
(2) References in this Part to communication to the public are to communication to the public by electronic transmission, and in relation to a work include:
(a) the broadcasting of the work;
(b) the making available to the public of the work by electronic transmission in such a way that members of the public may access it from a place and at a time individually chosen by them.]
21.- Infringement by making adaptation or act done in relation to adaptation.
(1) The making of an adaptation of the work is an act restricted by the copyright in a literary, dramatic or musical work.For this purpose an adaptation is made when it is recorded, in writing or otherwise.
(2) The doing of any of the acts specified in sections 17 to 20, or subsection (1) above, in relation to an adaptation of the work is also an act restricted by the copyright in a literary, dramatic or musical work.For this purpose it is immaterial whether the adaptation has been recorded, in writing or otherwise, at the time the act is done.
(3) In this Part “adaptation”:
(a) in relation to a literary [F62work, [F63other than a computer program or a database, or in relation to a]] dramatic work, means:
(i) a translation of the work;
(ii) a version of a dramatic work in which it is converted into a non-dramatic work or, as the case may be, of a non-dramatic work in which it is converted into a dramatic work;
(iii) a version of the work in which the story or action is conveyed wholly or mainly by means of pictures in a form suitable for reproduction in a book, or in a newspaper, magazine or similar periodical;
F64[
(ab) in relation to a computer program, means an arrangement or altered version of the program or a translation of it;]
F65[
(ac) in relation to a database, means an arrangement or altered version of the database or a translation of it;]
(b) in relation to a musical work, means an arrangement or transcription of the work.
(4) In relation to a computer program a “translation” includes a version of the program in which it is converted into or out of a computer language or code or into a different computer language or code F66. . .
(5) No inference shall be drawn from this section as to what does or does not amount to copying a work.
Secondary infringement of copyright
22.- Secondary infringement: importing infringing copy.
The copyright in a work is infringed by a person who, without the licence of the copyright owner, imports into the United Kingdom, otherwise than for his private and domestic use, an article which is, and which he knows or has reason to believe is, an infringing copy of the work.
23.- Secondary infringement: possessing or dealing with infringing copy.
The copyright in a work is infringed by a person who, without the licence of the copyright owner:
(a) possesses in the course of a business,
(b) sells or lets for hire, or offers or exposes for sale or hire,
(c) in the course of a business exhibits in public or distributes, or
(d) distributes otherwise than in the course of a business to such an extent as to affect prejudicially the owner of the copyright,an article which is, and which he knows or has reason to believe is, an infringing copy of the work.
24.- Secondary infringement: providing means for making infringing copies.
(1) Copyright in a work is infringed by a person who, without the licence of the copyright owner:
(a) makes,
(b) imports into the United Kingdom,
(c) possesses in the course of a business, or
(d) sells or lets for hire, or offers or exposes for sale or hire,an article specifically designed or adapted for making copies of that work, knowing or having reason to believe that it is to be used to make infringing copies.
(2) Copyright in a work is infringed by a person who without the licence of the copyright owner transmits the work by means of a telecommunications system (otherwise than by [F67communication to the public]), knowing or having reason to believe that infringing copies of the work will be made by means of the reception of the transmission in the United Kingdom or elsewhere.
25.- Secondary infringement: permitting use of premises for infringing performance.
(1) Where the copyright in a literary, dramatic or musical work is infringed by a performance at a place of public entertainment, any person who gave permission for that place to be used for the performance is also liable for the infringement unless when he gave permission he believed on reasonable grounds that the performance would not infringe copyright.
(2) In this section “place of public entertainment” includes premises which are occupied mainly for other purposes but are from time to time made available for hire for the purposes of public entertainment.
26.- Secondary infringement: provision of apparatus for infringing performance, &c.
(1) Where copyright in a work is infringed by a public performance of the work, or by the playing or showing of the work in public, by means of apparatus for:
(a) playing sound recordings,
(b) showing films, or
(c) receiving visual images or sounds conveyed by electronic means,the following persons are also liable for the infringement.
(2) A person who supplied the apparatus, or any substantial part of it, is liable for the infringement if when he supplied the apparatus or part:
(a) he knew or had reason to believe that the apparatus was likely to be so used as to infringe copyright, or
(b) in the case of apparatus whose normal use involves a public performance, playing or showing, he did not believe on reasonable grounds that it would not be so used as to infringe copyright.
(3) An occupier of premises who gave permission for the apparatus to be brought onto the premises is liable for the infringement if when he gave permission he knew or had reason to believe that the apparatus was likely to be so used as to infringe copyright.
(4) A person who supplied a copy of a sound recording or film used to infringe copyright is liable for the infringement if when he supplied it he knew or had reason to believe that what he supplied, or a copy made directly or indirectly from it, was likely to be so used as to infringe copyright.
Infringing copies
27.- Meaning of “infringing copy”.
(1) In this Part “infringing copy”, in relation to a copyright work, shall be construed in accordance with this section.
(2) An article is an infringing copy if its making constituted an infringement of the copyright in the work in question.
(3) F68. . . An article is also an infringing copy if:
(a) it has been or is proposed to be imported into the United Kingdom, and
(b) its making in the United Kingdom would have constituted an infringement of the copyright in the work in question, or a breach of an exclusive licence agreement relating to that work.
F69
(3A). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(4) Where in any proceedings the question arises whether an article is an infringing copy and it is shown:
(a) that the article is a copy of the work, and
(b) that copyright subsists in the work or has subsisted at any time,it shall be presumed until the contrary is proved that the article was made at a time when copyright subsisted in the work.
(5) Nothing in subsection (3) shall be construed as applying to an article which may lawfully be imported into the United Kingdom by virtue of any enforceable [F70EU] right within the meaning of section 2(1) of the M1European Communities Act 1972.
(6) In this Part “infringing copy” includes a copy falling to be treated as an infringing copy by virtue of any of the following provisions :
[F71 section 29A(3) (copies for text and data analysis for non-commercial research),][F72 section 28B(7) and (9) (personal copies for private use),][F73 section 31A(5) and (6) (disabled persons: copies of works for personal use),][F74 section 31B(11) (making and supply of accessible copies by authorised bodies),][F71 section 35(5) (recording by educational establishments of broadcasts),][F71 section 36(8) (copying and use of extracts of works by educational establishments),][F71 section 42A(5)(b) (copying by librarians: single copies of published works),][F71 section 61(6)(b) (recordings of folksongs),]F75…
F76…
F76…
F76…
F76…
section 56(2) (further copies, adaptations, &c. of work in electronic form retained on transfer of principal copy),
section 63(2) (copies made for purpose of advertising artistic work for sale),
section 68(4) (copies made for purpose of broadcast F77 . . . ),
[F78 section 70(2) (recording for the purposes of time-shifting),section 71(2) (photographs of broadcasts), or]
any provision of an order under section 141 (statutory licence for certain reprographic copying by educational establishments).
Chapter III.- Acts Permitted in relation to Copyright Works
Introductory
28.- Introductory provisions.
(1) The provisions of this Chapter specify acts which may be done in relation to copyright works notwithstanding the subsistence of copyright; they relate only to the question of infringement of copyright and do not affect any other right or obligation restricting the doing of any of the specified acts.
(2) Where it is provided by this Chapter that an act does not infringe copyright, or may be done without infringing copyright, and no particular description of copyright work is mentioned, the act in question does not infringe the copyright in a work of any description.
(3) No inference shall be drawn from the description of any act which may by virtue of this Chapter be done without infringing copyright as to the scope of the acts restricted by the copyright in any description of work.
(4) The provisions of this Chapter are to be construed independently of each other, so that the fact that an act does not fall within one provision does not mean that it is not covered by another provision.
General
[F7928A.- Making of temporary copies
Copyright in a literary work, other than a computer program or a database, or in a dramatic, musical or artistic work, the typographical arrangement of a published edition, a sound recording or a film, is not infringed by the making of a temporary copy which is transient or incidental, which is an integral and essential part of a technological process and the sole purpose of which is to enable:
(a) a transmission of the work in a network between third parties by an intermediary; or
(b) a lawful use of the work;and which has no independent economic significance.][F80
28B.- Personal copies for private use
(1) The making of a copy of a work, other than a computer program, by an individual does not infringe copyright in the work provided that the copy:
(a) is a copy of:
(i) the individual’s own copy of the work, or
(ii) a personal copy of the work made by the individual,
(b) is made for the individual’s private use, and
(c) is made for ends which are neither directly nor indirectly commercial.
(2) In this section “the individual’s own copy” is a copy which:
(a) has been lawfully acquired by the individual on a permanent basis,
(b) is not an infringing copy, and
(c) has not been made under any provision of this Chapter which permits the making of a copy without infringing copyright.
(3) In this section a “personal copy” means a copy made under this section.
(4) For the purposes of subsection (2)(a), a copy “lawfully acquired on a permanent basis”:
(a) includes a copy which has been purchased, obtained by way of a gift, or acquired by means of a download resulting from a purchase or a gift (other than a download of a kind mentioned in paragraph (b)); and
(b) does not include a copy which has been borrowed, rented, broadcast or streamed, or a copy which has been obtained by means of a download enabling no more than temporary access to the copy.
(5) In subsection (1)(b) “private use” includes private use facilitated by the making of a copy:
(a) as a back up copy,
(b) for the purposes of format-shifting, or
(c) for the purposes of storage, including in an electronic storage area accessed by means of the internet or similar means which is accessible only by the individual (and the person responsible for the storage area).
(6) Copyright in a work is infringed if an individual transfers a personal copy of the work to another person (otherwise than on a private and temporary basis), except where the transfer is authorised by the copyright owner.
(7) If copyright is infringed as set out in subsection (6), a personal copy which has been transferred is for all purposes subsequently treated as an infringing copy.
(8) Copyright in a work is also infringed if an individual, having made a personal copy of the work, transfers the individual’s own copy of the work to another person (otherwise than on a private and temporary basis) and, after that transfer and without the licence of the copyright owner, retains any personal copy.
(9) If copyright is infringed as set out in subsection (8), any retained personal copy is for all purposes subsequently treated as an infringing copy.
(10) To the extent that a term of a contract purports to prevent or restrict the making of a copy which, by virtue of this section, would not infringe copyright, that term is unenforceable.]
29.- Research and private study.
[F81(1) Fair dealing with a F82… work for the purposes of research for a non-commercial purpose does not infringe any copyright in the work provided that it is accompanied by a sufficient acknowledgement.][F83
(1B) No acknowledgement is required in connection with fair dealing for the purposes mentioned in subsection (1) where this would be impossible for reasons of practicality or otherwise.
(1C) Fair dealing with a F84… work for the purposes of private study does not infringe any copyright in the work.]
F85
(2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(3) Copying by a person other than the researcher or student himself is not fair dealing if:
[F86(a) in the case of a librarian, or a person acting on behalf of a librarian, that person does anything which is not permitted under section 42A (copying by librarians: single copies of published works), or]
(b) in any other case, the person doing the copying knows or has reason to believe that it will result in copies of substantially the same material being provided to more than one person at substantially the same time and for substantially the same purpose.
F87 [
(4) It is not fair dealing:
(a) to convert a computer program expressed in a low level language into a version expressed in a higher level language, or
(b) incidentally in the course of so converting the program, to copy it,(these acts being permitted if done in accordance with section 50B (decompilation)).][F88
(4A) It is not fair dealing to observe, study or test the functioning of a computer program in order to determine the ideas and principles which underlie any element of the program (these acts being permitted if done in accordance with section 50BA (observing, studying and testing)).][F89
(4B) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this section, would not infringe copyright, that term is unenforceable.]
(5) F90. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[F9129A.- Copies for text and data analysis for non-commercial research
(1) The making of a copy of a work by a person who has lawful access to the work does not infringe copyright in the work provided that:
(a) the copy is made in order that a person who has lawful access to the work may carry out a computational analysis of anything recorded in the work for the sole purpose of research for a non-commercial purpose, and
(b) the copy is accompanied by a sufficient acknowledgement (unless this would be impossible for reasons of practicality or otherwise).
(2) Where a copy of a work has been made under this section, copyright in the work is infringed if:
(a) the copy is transferred to any other person, except where the transfer is authorised by the copyright owner, or
(b) the copy is used for any purpose other than that mentioned in subsection (1)(a), except where the use is authorised by the copyright owner.
(3) If a copy made under this section is subsequently dealt with:
(a) it is to be treated as an infringing copy for the purposes of that dealing, and
(b) if that dealing infringes copyright, it is to be treated as an infringing copy for all subsequent purposes.
(4) In subsection (3) “dealt with” means sold or let for hire, or offered or exposed for sale or hire.
(5) To the extent that a term of a contract purports to prevent or restrict the making of a copy which, by virtue of this section, would not infringe copyright, that term is unenforceable.]
30.- Criticism, review [F92, quotation] and news reporting.
(1) Fair dealing with a work for the purpose of criticism or review, of that or another work or of a performance of a work, does not infringe any copyright in the work provided that it is accompanied by a sufficient acknowledgement [F93 (unless this would be impossible for reasons of practicality or otherwise)] [F94 and provided that the work has been made available to the public].
[F95(1ZA) Copyright in a work is not infringed by the use of a quotation from the work (whether for criticism or review or otherwise) provided that:(a) the work has been made available to the public,
(b) the use of the quotation is fair dealing with the work,
(c) the extent of the quotation is no more than is required by the specific purpose for which it is used, and
(d) the quotation is accompanied by a sufficient acknowledgement (unless this would be impossible for reasons of practicality or otherwise).][F96
(1A) For the purposes of [F97subsections (1) and (1ZA)] a work has been made available to the public if it has been made available by any means, including:
(a) the issue of copies to the public;
(b) making the work available by means of an electronic retrieval system;
(c) the rental or lending of copies of the work to the public;
(d) the performance, exhibition, playing or showing of the work in public;
(e) the communication to the public of the work,but in determining generally for the purposes of [F98those subsections] whether a work has been made available to the public no account shall be taken of any unauthorised act.]
(2) Fair dealing with a work (other than a photograph) for the purpose of reporting current events does not infringe any copyright in the work provided that (subject to subsection (3)) it is accompanied by a sufficient acknowledgement.
(3) No acknowledgement is required in connection with the reporting of current events by means of a sound recording, film [F99 or broadcast where this would be impossible for reasons of practicality or otherwise].
[F100(4) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of subsection (1ZA), would not infringe copyright, that term is unenforceable.][F101
30A.- Caricature, parody or pastiche
(1) Fair dealing with a work for the purposes of caricature, parody or pastiche does not infringe copyright in the work.
(2) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this section, would not infringe copyright, that term is unenforceable.]
31.- Incidental inclusion of copyright material.
(1) Copyright in a work is not infringed by its incidental inclusion in an artistic work, sound recording, film [F102or broadcast].
(2) Nor is the copyright infringed by the issue to the public of copies, or the playing, showing [F103or communication to the public], of anything whose making was, by virtue of subsection (1), not an infringement of the copyright.
(3) A musical work, words spoken or sung with music, or so much of a sound recording [F102or broadcast] as includes a musical work or such words, shall not be regarded as incidentally included in another work if it is deliberately included.
[F104 Disability][F10531A.- Disabled persons: copies of works for personal use
(1) This section applies if:
(a) a disabled person has lawful [F106access to] a copy of the whole or part of a work, and
(b) the person’s disability prevents the person from enjoying the work to [F107substantially] the same degree as a person who does not have that disability.
(2) The making of an accessible copy of the copy of the work referred to in subsection (1)(a) does not infringe copyright if:
(a) the copy is made by the disabled person [F108and] or by a person acting on behalf of the disabled person,
(b) the copy is made for the disabled person’s personal use F109…
F110(c). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F111(3). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(4) Copyright is infringed by the transfer of an accessible copy of a work made under this section to any person other than:
(a) a person by or for whom an accessible copy of the work may be made under this section, or
(b) a person who intends to transfer the copy to a person falling within paragraph (a),except where the transfer is authorised by the copyright owner.
(5) An accessible copy of a work made under this section is to be treated for all purposes as an infringing copy if it is held by a person at a time when the person does not fall within subsection (4)(a) or (b).
(6) If an accessible copy made under this section is subsequently dealt with:
(a) it is to be treated as an infringing copy for the purposes of that dealing, and
(b) if that dealing infringes copyright, it is to be treated as an infringing copy for all subsequent purposes.
(7) In this section “dealt with” means sold or let for hire or offered or exposed for sale or hire.][F112
31B.- Making [F113, communicating, making available, distributing or lending] of accessible copies by authorised bodies
[F114(1) If:(a) an authorised body has lawful access to the whole or part of a work which has been published or otherwise made available, and
(b) the body complies with subsection (1A),the body may, without infringing copyright, make, communicate, make available, distribute or lend accessible copies of the work on a non-profit basis for the personal use of disabled persons in the United Kingdom or another member State of the European Union.
(1A) An authorised body complies with this subsection if it:
(a) distributes, communicates, makes available or lends accessible copies only to disabled persons or other authorised bodies,
(b) takes appropriate steps to discourage the unauthorised reproduction, distribution, communication to the public or making available to the public of accessible copies,
(c) demonstrates due care in, and maintains records of, its handling of works and accessible copies, and
(d) publishes and updates, on its website if appropriate, or through other online or offline channels, information on how it complies with the obligations in paragraphs (a), (b) and (c).]
F115
(2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F115
(3). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F115
(4). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(5) For the purposes of [F116subsection (1)], [F117to communicate, make available, distribute or lend] “for the personal use of disabled persons” [F118includes to communicate, make available, distribute or lend] to a person acting on behalf of a disabled person.
F119
(6). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F119
(7). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F119
(8). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(9) An authorised body which has made an accessible copy of a work under this section may [F120communicate, make available, distribute or lend] it to another authorised body [F121established in the United Kingdom or another member State of the European Union] which is entitled to make accessible copies of the work under this section for the purposes of enabling that other body to make accessible copies of the work.
F122
(10). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(11) If an accessible copy made under this section is subsequently dealt with:
(a) it is to be treated as an infringing copy for the purposes of that dealing, and
(b) if that dealing infringes copyright, it is to be treated as an infringing copy for all subsequent purposes.
(12) In this section “dealt with” means sold or let for hire or offered or exposed for sale or hire.
31BA.- Making [F123, communicating, making available, distributing or lending] of intermediate copies by authorised bodies
(1) An authorised body which is entitled to make an accessible copy of a work under section 31B may, without infringing copyright, make a copy of the work (“an intermediate copy”) if this is necessary in order to make the accessible copy.
(2) An authorised body which has made an intermediate copy of a work under this section may [F124communicate, make available, distribute or lend it on a non-profit basis] to another authorised body which is entitled to make accessible copies of the work under section 31B for the purposes of enabling that other body to make accessible copies of the work.
(3) Copyright is infringed by the transfer of an intermediate copy made under this section to a person other than another authorised body as permitted by subsection (2), except where the transfer is authorised by the copyright owner.
(4)F125 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31BB.- Accessible and intermediate copies: records and notification
(1) [F126A person listed in subsection (3) may request an authorised body:
(a) making accessible copies under section 31B, or
(b) making intermediate copies under section 31BA,to provide the person with the information in subsection (4).
(2) On receipt of a request under subsection (1), an authorised body must provide the information to the person in an accessible way within a reasonable time.
(3) The persons who may make a request under subsection (1) are:
(a) disabled person;
(b) another authorised body;
(c) rightholders.
(4) The information that must be provided by the authorised body is:
(a) the list of works for which it has accessible copies and the available formats, and
(b) the name and contact details of any authorised body established in another member State of the European Union from which, or to which, it has imported, exported or accessed an accessible copy.]]
F127
31C.-
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F127
31D.-
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F127
31E.-
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[F12831F.- Sections 31A to 31BB: interpretation and general
(1) This section supplements sections 31A to 31BB and includes definitions.
(2) “Disabled person” means a person who has a physical or mental impairment which prevents the person from enjoying a copyright work to [F129substantially] the same degree as a person who does not have that impairment, and “disability” is to be construed accordingly.
(3) But a person is not to be regarded as disabled by reason only of an impairment of visual function which can be improved, [F130for example] by the use of corrective lenses, to a level that is normally acceptable for reading without a special level or kind of light.
(4) An “accessible copy” of a copyright work means a version of the work which enables [F131disabled persons to access the work, including accessing it as feasibly and comfortably as a person who is not a disabled person].
(5) An accessible copy:
(a) may include facilities for navigating around the version of the work, but
(b) must not include any changes to the work which are not necessary to overcome the problems suffered by the disabled persons for whom the accessible copy is intended.
(6) “Authorised body” means:
(a) an educational establishment, or
(b) a body that is not conducted for profit.
F132
(7). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(8) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of section [F13327,] 31A, 31B or 31BA, would not infringe copyright, that term is unenforceable.]
Education
[F13432.- Illustration for instruction
(1) Fair dealing with a work for the sole purpose of illustration for instruction does not infringe copyright in the work provided that the dealing is:
(a) for a non-commercial purpose,
(b) by a person giving or receiving instruction (or preparing for giving or receiving instruction), and
(c) accompanied by a sufficient acknowledgement (unless this would be impossible for reasons of practicality or otherwise).
(2) For the purposes of subsection (1), “giving or receiving instruction” includes setting examination questions, communicating the questions to pupils and answering the questions.
(3) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this section, would not infringe copyright, that term is unenforceable.]
33.- Anthologies for educational use.
(1) The inclusion of a short passage from a published literary or dramatic work in a collection which:
(a) is intended for use in educational establishments and is so described in its title, and in any advertisements issued by or on behalf of the publisher, and
(b) consists mainly of material in which no copyright subsists,does not infringe the copyright in the work if the work itself is not intended for use in such establishments and the inclusion is accompanied by a sufficient acknowledgement.
(2) Subsection (1) does not authorise the inclusion of more than two excerpts from copyright works by the same author in collections published by the same publisher over any period of five years.
(3) In relation to any given passage the reference in subsection (2) to excerpts from works by the same author:
(a) shall be taken to include excerpts from works by him in collaboration with another, and
(b) if the passage in question is from such a work, shall be taken to include excerpts from works by any of the authors, whether alone or in collaboration with another.
(4) References in this section to the use of a work in an educational establishment are to any use for the educational purposes of such an establishment.
34.- Performing, playing or showing work in course of activities of educational establishment.
(1) The performance of a literary, dramatic or musical work before an audience consisting of teachers and pupils at an educational establishment and other persons directly connected with the activities of the establishment:
(a) by a teacher or pupil in the course of the activities of the establishment, or
(b) at the establishment by any person for the purposes of instruction,is not a public performance for the purposes of infringement of copyright.
(2) The playing or showing of a sound recording, film [F135or broadcast] before such an audience at an educational establishment for the purposes of instruction is not a playing or showing of the work in public for the purposes of infringement of copyright.
(3) A person is not for this purpose directly connected with the activities of the educational establishment simply because he is the parent of a pupil at the establishment.
[F13635.- Recording by educational establishments of broadcasts
(1) A recording of a broadcast, or a copy of such a recording, may be made by or on behalf of an educational establishment for the educational purposes of that establishment without infringing copyright in the broadcast, or in any work included in it, provided that:
(a) the educational purposes are non-commercial, and
(b) the recording or copy is accompanied by a sufficient acknowledgement (unless this would be impossible for reasons of practicality or otherwise).
(2) Copyright is not infringed where a recording of a broadcast or a copy of such a recording, made under subsection (1), is communicated by or on behalf of the educational establishment to its pupils or staff for the non-commercial educational purposes of that establishment.
(3) Subsection (2) only applies to a communication received outside the premises of the establishment if that communication is made by means of a secure electronic network accessible only by the establishment’s pupils and staff.
(4) Acts which would otherwise be permitted by this section are not permitted if, or to the extent that, licences are available authorising the acts in question and the educational establishment responsible for those acts knew or ought to have been aware of that fact.
(5) If a copy made under this section is subsequently dealt with:
(a) it is to be treated as an infringing copy for the purposes of that dealing, and
(b) if that dealing infringes copyright, it is to be treated as an infringing copy for all subsequent purposes.
(6) In this section “dealt with” means:
(a) sold or let for hire,
(b) offered or exposed for sale or hire, or
(c) communicated otherwise than as permitted by subsection (2).][F137
36 Copying and use of extracts of works by educational establishments
(1) The copying of extracts of a relevant work by or on behalf of an educational establishment does not infringe copyright in the work, provided that:
(a) the copy is made for the purposes of instruction for a non-commercial purpose, and
(b) the copy is accompanied by a sufficient acknowledgement (unless this would be impossible for reasons of practicality or otherwise).
(2) Copyright is not infringed where a copy of an extract made under subsection (1) is communicated by or on behalf of the educational establishment to its pupils or staff for the purposes of instruction for a non-commercial purpose.
(3) Subsection (2) only applies to a communication received outside the premises of the establishment if that communication is made by means of a secure electronic network accessible only by the establishment’s pupils and staff.
(4) In this section “relevant work” means a copyright work other than:
(a) a broadcast, or
(b) an artistic work which is not incorporated into another work.
(5) Not more than 5% of a work may be copied under this section by or on behalf of an educational establishment in any period of 12 months, and for these purposes a work which incorporates another work is to be treated as a single work.
(6) Acts which would otherwise be permitted by this section are not permitted if, or to the extent that, licences are available authorising the acts in question and the educational establishment responsible for those acts knew or ought to have been aware of that fact.
(7)The terms of a licence granted to an educational establishment authorising acts permitted by this section are of no effect so far as they purport to restrict the proportion of a work which may be copied (whether on payment or free of charge) to less than that which would be permitted by this section.
(8) If a copy made under this section is subsequently dealt with:
(a) it is to be treated as an infringing copy for the purposes of that dealing, and
(b) if that dealing infringes copyright, it is to be treated as an infringing copy for all subsequent purposes.
(9) In this section “dealt with” means:
(a) sold or let for hire,
(b) offered or exposed for sale or hire, or
(c) communicated otherwise than as permitted by subsection (2).][F138
36A.- Lending of copies by educational establishments
Copyright in a work is not infringed by the lending of copies of the work by an educational establishment.]
Libraries and archives
F139
37.- Libraries and archives: introductory.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F139
38.- Copying by librarians: articles in periodicals.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F139.-
39.- Copying by librarians: parts of published works.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F139.-
40.- Restriction on production of multiple copies of the same material.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[F140.-40A.- Lending of copies by libraries or archives.
[F141.-
(1) Copyright in a work of any description is not infringed by the following acts by a public library in relation to a book within the public lending right scheme:
(a) lending the book;
(b) in relation to an audio-book or e-book, copying or issuing a copy of the book as an act incidental to lending it.
[F142(1ZA) Subsection (1) applies to an e-book or an e-audio-book only if:(a) the book has been lawfully acquired by the library, and
(b) the lending is in compliance with any purchase or licensing terms to which the book is subject.]
(1A) In [F143subsections (1) and (1ZA)] :
(a) “ book ”, “ audio-book ” and “ e-book ” have the meanings given in section 5 of the Public Lending Right Act 1979,
[F144(aa) “e-audio-book” means an audio-book (as defined in paragraph (a)) in a form enabling lending of the book by electronic transmission,]
(b) “the public lending right scheme” means the scheme in force under section 1 of that Act,
(c) a book is within the public lending right scheme if it is a book within the meaning of the provisions of the scheme relating to eligibility, whether or not it is in fact eligible, and
(d) “lending” is to be read in accordance with the definition of “lent out” in section 5 of that Act (and section 18A of this Act does not apply). ]
(2) Copyright in a work is not infringed by the lending of copies of the work by a F145 …library or archive (other than a public library) which is not conducted for profit. ][F146
40B.- Libraries and educational establishments etc : making works available through dedicated terminals
(1) Copyright in a work is not infringed by an institution specified in subsection (2) communicating the work to the public or making it available to the public by means of a dedicated terminal on its premises, if the conditions in subsection (3) are met.
(2) The institutions are:
(a) a library,
(b) an archive,
(c) a museum, and
(d) an educational establishment.
(3) The conditions are that the work or a copy of the work:
(a) has been lawfully acquired by the institution,
(b) is communicated or made available to individual members of the public for the purposes of research or private study, and
(c) is communicated or made available in compliance with any purchase or licensing terms to which the work is subject.][F147
41.- Copying by librarians: supply of single copies to other libraries
(1) A librarian may, if the conditions in subsection (2) are met, make a single copy of the whole or part of a published work and supply it to another library, without infringing copyright in the work.
(2) The conditions are:
(a) the copy is supplied in response to a request from a library which is not conducted for profit, and
(b) at the time of making the copy the librarian does not know, or could not reasonably find out, the name and address of a person entitled to authorise the making of a copy of the work.
(3) The condition in subsection (2)(b) does not apply where the request is for a copy of an article in a periodical.
(4) Where a library makes a charge for supplying a copy under this section, the sum charged must be calculated by reference to the costs attributable to the production of the copy.
(5) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this section, would not infringe copyright, that term is unenforceable.
42.- Copying by librarians etc : replacement copies of works
(1) A librarian, archivist or curator of a library, archive or museum may, without infringing copyright, make a copy of an item in that institution’s permanent collection:
(a) in order to preserve or replace that item in that collection, or
(b) where an item in the permanent collection of another library, archive or museum has been lost, destroyed or damaged, in order to replace the item in the collection of that other library, archive or museum,provided that the conditions in subsections (2) and (3) are met.
(2) The first condition is that the item is:
(a) included in the part of the collection kept wholly or mainly for the purposes of reference on the institution’s premises,
(b) included in a part of the collection not accessible to the public, or
(c) available on loan only to other libraries, archives or museums.
(3) The second condition is that it is not reasonably practicable to purchase a copy of the item to achieve either of the purposes mentioned in subsection (1).
(4) The reference in subsection (1)(b) to a library, archive or museum is to a library, archive or museum which is not conducted for profit.
(5) Where an institution makes a charge for supplying a copy to another library, archive or museum under subsection (1)(b), the sum charged must be calculated by reference to the costs attributable to the production of the copy.
(6) In this section “item” means a work or a copy of a work.
(7) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this section, would not infringe copyright, that term is unenforceable.
42A.- Copying by librarians: single copies of published works
(1) A librarian of a library which is not conducted for profit may, if the conditions in subsection
(2) are met, make and supply a single copy of:
(a) one article in any one issue of a periodical, or
(b) a reasonable proportion of any other published work,without infringing copyright in the work.
(2) The conditions are:
(a) the copy is supplied in response to a request from a person who has provided the librarian with a declaration in writing which includes the information set out in subsection (3), and
(b) the librarian is not aware that the declaration is false in a material particular.
(3) The information which must be included in the declaration is:
(a) the name of the person who requires the copy and the material which that person requires,
(b) a statement that the person has not previously been supplied with a copy of that material by any library,
(c) a statement that the person requires the copy for the purposes of research for a non-commercial purpose or private study, will use it only for those purposes and will not supply the copy to any other person, and
(d) a statement that to the best of the person’s knowledge, no other person with whom the person works or studies has made, or intends to make, at or about the same time as the person’s request, a request for substantially the same material for substantially the same purpose.
(4) Where a library makes a charge for supplying a copy under this section, the sum charged must be calculated by reference to the costs attributable to the production of the copy.
(5) Where a person (“P”) makes a declaration under this section that is false in a material particular and is supplied with a copy which would have been an infringing copy if made by P:
(a) P is liable for infringement of copyright as if P had made the copy, and
(b) the copy supplied to P is to be treated as an infringing copy for all purposes.
(6) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this section, would not infringe copyright, that term is unenforceable.
43.- Copying by librarians or archivists: single copies of unpublished works
(1) A librarian or archivist may make and supply a single copy of the whole or part of a work without infringing copyright in the work, provided that:
(a) the copy is supplied in response to a request from a person who has provided the librarian or archivist with a declaration in writing which includes the information set out in subsection (2), and
(b) the librarian or archivist is not aware that the declaration is false in a material particular.
(2) The information which must be included in the declaration is:
(a) the name of the person who requires the copy and the material which that person requires,
(b) a statement that the person has not previously been supplied with a copy of that material by any library or archive, and
(c) a statement that the person requires the copy for the purposes of research for a non-commercial purpose or private study, will use it only for those purposes and will not supply the copy to any other person.
(3) But copyright is infringed if:
(a) the work had been published or communicated to the public before the date it was deposited in the library or archive, or
(b) the copyright owner has prohibited the copying of the work,and at the time of making the copy the librarian or archivist is, or ought to be, aware of that fact.
(4) Where a library or archive makes a charge for supplying a copy under this section, the sum charged must be calculated by reference to the costs attributable to the production of the copy.
(5) Where a person (“P”) makes a declaration under this section that is false in a material particular and is supplied with a copy which would have been an infringing copy if made by P:
(a) P is liable for infringement of copyright as if P had made the copy, and
(b) the copy supplied to P is to be treated as an infringing copy for all purposes.
43A.- Sections 40A to 43: interpretation
(1) The following definitions have effect for the purposes of sections 40A to 43.
(2) “Library” means:
(a) a library which is publicly accessible, or
(b) a library of an educational establishment.
(3) “Museum” includes a gallery.
(4) “Conducted for profit”, in relation to a library, archive or museum, means a body of that kind which is established or conducted for profit or which forms part of, or is administered by, a body established or conducted for profit.
(5) References to a librarian, archivist or curator include a person acting on behalf of a librarian, archivist or curator.]
44.- Copy of work required to be made as condition of export.
If an article of cultural or historical importance or interest cannot lawfully be exported from the United Kingdom unless a copy of it is made and deposited in an appropriate library or archive, it is not an infringement of copyright to make that copy.
[F14844A.- Legal deposit libraries
(1) Copyright is not infringed by the copying of a work from the internet by a deposit library or person acting on its behalf if:
(a) the work is of a description prescribed by regulations under section 10(5) of the 2003 Act,
(b) its publication on the internet, or a person publishing it there, is connected with the United Kingdom in a manner so prescribed, and
(c) the copying is done in accordance with any conditions so prescribed.
(2) Copyright is not infringed by the doing of anything in relation to relevant material permitted to be done under regulations under section 7 of the 2003 Act.
(3) The Secretary of State may by regulations make provision excluding, in relation to prescribed activities done in relation to relevant material, the application of such of the provisions of this Chapter as are prescribed.
(4) Regulations under subsection (3) may in particular make provision prescribing activities:
(a) done for a prescribed purpose,
(b) done by prescribed descriptions of reader,
(c) done in relation to prescribed descriptions of relevant material,
(d) done other than in accordance with prescribed conditions.
(5) Regulations under this section may make different provision for different purposes.
(6) Regulations under this section shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
(7) In this section:
(a) “the 2003 Act” means the Legal Deposit Libraries Act 2003;
(b) “deposit library”, “ reader ” and “ relevant material ” have the same meaning as in section 7 of the 2003 Act;
(c) “prescribed” means prescribed by regulations made by the Secretary of State. ]
44B.- Permitted uses of orphan works
(1) Copyright in an orphan work is not infringed by a relevant body in the circumstances set out in paragraph 1(1) of Schedule ZA1 (subject to paragraph 6 of that Schedule).
(2) “Orphan work” and “relevant body” have the meanings given by that Schedule.]
Public administration
45.- Parliamentary and judicial proceedings.
(1) Copyright is not infringed by anything done for the purposes of parliamentary or judicial proceedings.
(2) Copyright is not infringed by anything done for the purposes of reporting such proceedings; but this shall not be construed as authorising the copying of a work which is itself a published report of the proceedings.
46.- Royal Commissions and statutory inquiries.
(1) Copyright is not infringed by anything done for the purposes of the proceedings of a Royal Commission or statutory inquiry.
(2) Copyright is not infringed by anything done for the purpose of reporting any such proceedings held in public; but this shall not be construed as authorising the copying of a work which is itself a published report of the proceedings.
(3) Copyright in a work is not infringed by the issue to the public of copies of the report of a Royal Commission or statutory inquiry containing the work or material from it.
(4) In this section:
“Royal Commission” includes a Commission appointed for Northern Ireland by the Secretary of State in pursuance of the prerogative powers of Her Majesty delegated to him under section 7(2) of the M2Northern Ireland Constitution Act 1973; and
“statutory inquiry” means an inquiry held or investigation conducted in pursuance of a duty imposed or power conferred by or under an enactment.
47.- Material open to public inspection or on official register.
(1) Where material is open to public inspection pursuant to a statutory requirement, or is on a statutory register, any copyright in the material as a literary work is not infringed by the copying of so much of the material as contains factual information of any description, by or with the authority of the appropriate person, for a purpose which does not involve the issuing of copies to the public.
[F150(2) Where material is open to public inspection pursuant to a statutory requirement, copyright in the material is not infringed by an act to which subsection (3A) applies provided that:
(a) the act is done by or with the authority of the appropriate person,
(b) the purpose of the act is:
(i) to enable the material to be inspected at a more convenient time or place, or
(ii) to otherwise facilitate the exercise of any right for the purpose of which the statutory requirement is imposed, and
(c) in the case of the act specified in subsection (3A)(c), the material is not commercially available to the public by or with the authority of the copyright owner.
(3) Where material which contains information about matters of general scientific, technical, commercial or economic interest is on a statutory register or is open to public inspection pursuant to a statutory requirement, copyright in the material is not infringed by an act to which subsection (3A) applies provided that:
(a) the act is done by or with the authority of the appropriate person,
(b) the purpose of the act is to disseminate that information, and
(c) in the case of the act specified in subsection (3A)(c), the material is not commercially available to the public by or with the authority of the copyright owner.
(3A) This subsection applies to any of the following acts:
(a) copying the material,
(b) issuing copies of the material to the public, and
(c) making the material (or a copy of it) available to the public by electronic transmission in such a way that members of the public may access it from a place and at a time individually chosen by them.]
(4) The Secretary of State may by order provide that subsection (1), (2) or (3) shall, in such cases as may be specified in the order, apply only to copies marked in such manner as may be so specified.
(5) The Secretary of State may by order provide that subsections (1) to (3) apply, to such extent and with such modifications as may be specified in the order:
(a) to material made open to public inspection by:
(i) an international organisation specified in the order, or
(ii) a person so specified who has functions in the United Kingdom under an international agreement to which the United Kingdom is party, or
(b) to a register maintained by an international organisation specified in the order,as they apply in relation to material open to public inspection pursuant to a statutory requirement or to a statutory register.
(6) In this section:
“appropriate person” means the person required to make the material open to public inspection or, as the case may be, the person maintaining the register;
“statutory register” means a register maintained in pursuance of a statutory requirement; and
“statutory requirement” means a requirement imposed by provision made by or under an enactment.
(7) An order under this section shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
48.- Material communicated to the Crown in the course of public business.
(1) This section applies where a literary, dramatic, musical or artistic work has in the course of public business been communicated to the Crown for any purpose, by or with the licence of the copyright owner and a document or other material thing recording or embodying the work is owned by or in the custody or control of the Crown.
[F151(2) The Crown may, without infringing copyright in the work, do an act specified in subsection (3) provided that:
(a) the act is done for the purpose for which the work was communicated to the Crown, or any related purpose which could reasonably have been anticipated by the copyright owner, and
(b) the work has not been previously published otherwise than by virtue of this section.][F151
(3) The acts referred to in subsection (2) are:
(a) copying the work,
(b) issuing copies of the work to the public, and
(c) making the work (or a copy of it) available to the public by electronic transmission in such a way that members of the public may access it from a place and at a time individually chosen by them.]
(4) In subsection (1) “public business” includes any activity carried on by the Crown.
(5) This section has effect subject to any agreement to the contrary between the Crown and the copyright owner.
[F152(6) In this section “the Crown” includes a health service body, as defined in section 60(7) of the National Health Service and Community Care Act 1990, [F153the National Health Service Commissioning Board, a clinical commissioning group established under section 14D of the National Health Service Act 2006,] F154… , the Care Quality Commission [F155, Health Education England ] [F156, the Health Research Authority] and a National Health Service trust established under [F157 section 25 of the National Health Service Act 2006, section 18 of the National Health Service (Wales) Act 2006 ] or the National Health Service (Scotland) Act 1978 [F158 and an NHS foundation trust ] [F159 and also includes a health and social services body, as defined in Article 7(6) of the Health and Personal Social Services (Northern Ireland) Order 1991, and a Health and Social Services trust established under that Order ], and the reference in subsection (1) above to public business shall be construed accordingly. ]
49.- Public records.
Material which is comprised in public records within the meaning of the M3Public Records Act 1958, the M4Public Records (Scotland) Act 1937 or the M5Public Records Act (Northern Ireland) 1923 [F160, or in Welsh public records (as defined in the [F161the Government of Wales Act 2006]),] which are open to public inspection in pursuance of that Act, may be copied, and a copy may be supplied to any person, by or with the authority of any officer appointed under that Act, without infringement of copyright.
50.- Acts done under statutory authority.
(1) Where the doing of a particular act is specifically authorised by an Act of Parliament, whenever passed, then, unless the Act provides otherwise, the doing of that act does not infringe copyright.
(2) Subsection (1) applies in relation to an enactment contained in Northern Ireland legislation as it applies in relation to an Act of Parliament.
(3) Nothing in this section shall be construed as excluding any defence of statutory authority otherwise available under or by virtue of any enactment.
[F162 Computer programs: lawful usersF163
50A.- Back up copies.
(1) It is not an infringement of copyright for a lawful user of a copy of a computer program to make any back up copy of it which it is necessary for him to have for the purposes of his lawful use.
(2) For the purposes of this section and sections 50B [F164, 50BA] and 50C a person is a lawful user of a computer program if (whether under a licence to do any acts restricted by the copyright in the program or otherwise), he has a right to use the program.
(3) Where an act is permitted under this section, it is irrelevant whether or not there exists any term or condition in an agreement which purports to prohibit or restrict the act (such terms being, by virtue of section 296A, void).
F165
50B.- Decompilation.
(1) It is not an infringement of copyright for a lawful user of a copy of a computer program expressed in a low level language:
(a) to convert it into a version expressed in a higher level language, or
(b) incidentally in the course of so converting the program, to copy it,(that is, to “decompile” it), provided that the conditions in subsection (2) are met.
(2) The conditions are that:
(a) it is necessary to decompile the program to obtain the information necessary to create an independent program which can be operated with the program decompiled or with another program (“the permitted objective”); and
(b) the information so obtained is not used for any purpose other than the permitted objective.
(3) In particular, the conditions in subsection (2) are not met if the lawful user:
(a) has readily available to him the information necessary to achieve the permitted objective;
(b) does not confine the decompiling to such acts as are necessary to achieve the permitted objective;
(c) supplies the information obtained by the decompiling to any person to whom it is not necessary to supply it in order to achieve the permitted objective; or
(d) uses the information to create a program which is substantially similar in its expression to the program decompiled or to do any act restricted by copyright.
(4) Where an act is permitted under this section, it is irrelevant whether or not there exists any term or condition in an agreement which purports to prohibit or restrict the act (such terms being, by virtue of section 296A, void).
[F16650BA.- Observing, studying and testing of computer programs
(1) It is not an infringement of copyright for a lawful user of a copy of a computer program to observe, study or test the functioning of the program in order to determine the ideas and principles which underlie any element of the program if he does so while performing any of the acts of loading, displaying, running, transmitting or storing the program which he is entitled to do.
(2) Where an act is permitted under this section, it is irrelevant whether or not there exists any term or condition in an agreement which purports to prohibit or restrict the act (such terms being, by virtue of section 296A, void).]
F167
50C.- Other acts permitted to lawful users.
(1) It is not an infringement of copyright for a lawful user of a copy of a computer program to copy or adapt it, provided that the copying or adapting:
(a) is necessary for his lawful use; and
(b) is not prohibited under any term or condition of an agreement regulating the circumstances in which his use is lawful.
(2) It may, in particular, be necessary for the lawful use of a computer program to copy it or adapt it for the purpose of correcting errors in it.
(3) This section does not apply to any copying or adapting permitted under [F168section 50A, 50B or 50BA].][F169 Databases: permitted acts]
50D.-
[F170 Acts permitted in relation to databases.](1) It is not an infringement of copyright in a database for a person who has a right to use the database or any part of the database, (whether under a licence to do any of the acts restricted by the copyright in the database or otherwise) to do, in the exercise of that right, anything which is necessary for the purposes of access to and use of the contents of the database or of that part of the database.
(2) Where an act which would otherwise infringe copyright in a database is permitted under this section, it is irrelevant whether or not there exists any term or condition in any agreement which purports to prohibit or restrict the act (such terms being, by virtue of section 296B, void).
Designs
51.- Design documents and models.
(1) It is not an infringement of any copyright in a design document or model recording or embodying a design for anything other than an artistic work or a typeface to make an article to the design or to copy an article made to the design.
(2) Nor is it an infringement of the copyright to issue to the public, or include in a film [F171or communicate to the public], anything the making of which was, by virtue of subsection (1), not an infringement of that copyright.
(3) In this section:
“design” means the design of F172…the shape or configuration (whether internal or external) of the whole or part of an article, other than surface decoration; and
“design document” means any record of a design, whether in the form of a drawing, a written description, a photograph, data stored in a computer or otherwise.
F173
52.- Effect of exploitation of design derived from artistic work.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53.- Things done in reliance on registration of design.
(1) The copyright in an artistic work is not infringed by anything done:
(a) in pursuance of an assignment or licence made or granted by a person registered[F174 :
(i)] under the M6Registered Designs Act 1949 as the proprietor of a corresponding design, and[F175, or
(ii) under the Community Design Regulation as the right holder of a corresponding registered Community design]
(b) in good faith in reliance on the registration and without notice of any proceedings for the cancellation [F176or invalidation] of the registration or[F177, in a case of registration under the 1949 Act,] for rectifying the relevant entry in the register of designs;and this is so notwithstanding that the person registered as the proprietor was not the proprietor of the design for the purposes of the 1949 Act[F178 or, in a case of registration under the Community Design Regulation, that the person registered as the right holder was not the right holder of the design for the purposes of the Regulation].
(2) In subsection (1) a “corresponding design”, in relation to an artistic work, means a design within the meaning of the 1949 Act which if applied to an article would produce something which would be treated for the purposes of this Part as a copy of the artistic work.
[F179(3) In subsection (1), a “ corresponding registered Community design ”, in relation to an artistic work, means a design within the meaning of the Community Design Regulation which if applied to an article would produce something which would be treated for the purposes of this Part as a copy of the artistic work. ][F180
(4) In this section, “ the Community Design Regulation” means Council Regulation ( EC ) nº 6/2002 of 12 December 2001 on Community designs.]
Typefaces
54.- Use of typeface in ordinary course of printing.
(1) It is not an infringement of copyright in an artistic work consisting of the design of a typeface:
(a) to use the typeface in the ordinary course of typing, composing text, typesetting or printing,
(b) to possess an article for the purpose of such use, or
(c) to do anything in relation to material produced by such use;and this is so notwithstanding that an article is used which is an infringing copy of the work.
(2) However, the following provisions of this Part apply in relation to persons making, importing or dealing with articles specifically designed or adapted for producing material in a particular typeface, or possessing such articles for the purpose of dealing with them, as if the production of material as mentioned in subsection (1) did infringe copyright in the artistic work consisting of the design of the typeface:
section 24 (secondary infringement: making, importing, possessing or dealing with article for making infringing copy),
sections 99 and 100 (order for delivery up and right of seizure),
section 107(2) (offence of making or possessing such an article), and
section 108 (order for delivery up in criminal proceedings).
(3) The references in subsection (2) to “dealing with” an article are to selling, letting for hire, or offering or exposing for sale or hire, exhibiting in public, or distributing.
55.- Articles for producing material in particular typeface.
(1) This section applies to the copyright in an artistic work consisting of the design of a typeface where articles specifically designed or adapted for producing material in that typeface have been marketed by or with the licence of the copyright owner.
(2) After the period of 25 years from the end of the calendar year in which the first such articles are marketed, the work may be copied by making further such articles, or doing anything for the purpose of making such articles, and anything may be done in relation to articles so made, without infringing copyright in the work.
(3) In subsection (1) “marketed” means sold, let for hire or offered or exposed for sale or hire, in the United Kingdom or elsewhere.
Works in electronic form
56.- Transfers of copies of works in electronic form.
(1) This section applies where a copy of a work in electronic form has been purchased on terms which, expressly or impliedly or by virtue of any rule of law, allow the purchaser to copy the work, or to adapt it or make copies of an adaptation, in connection with his use of it.
(2) If there are no express terms:
(a) prohibiting the transfer of the copy by the purchaser, imposing obligations which continue after a transfer, prohibiting the assignment of any licence or terminating any licence on a transfer, or
(b) providing for the terms on which a transferee may do the things which the purchaser was permitted to do,anything which the purchaser was allowed to do may also be done without infringement of copyright by a transferee; but any copy, adaptation or copy of an adaptation made by the purchaser which is not also transferred shall be treated as an infringing copy for all purposes after the transfer.
(3) The same applies where the original purchased copy is no longer usable and what is transferred is a further copy used in its place.
(4) The above provisions also apply on a subsequent transfer, with the substitution for references in subsection (2) to the purchaser of references to the subsequent transferor.
Miscellaneous: literary, dramatic, musical and artistic works
57.- Anonymous or pseudonymous works: acts permitted on assumptions as to expiry of copyright or death of author.
(1) Copyright in a literary, dramatic, musical or artistic work is not infringed by an act done at a time when, or in pursuance of arrangements made at a time when:
(a) it is not possible by reasonable inquiry to ascertain the identity of the author, and
(b) it is reasonable to assume:
(i) that copyright has expired, or
(ii) that the author died [F18170 years] or more before the beginning of the calendar year in which the act is done or the arrangements are made.
(2) Subsection (1)(b)(ii) does not apply in relation to:
(a) a work in which Crown copyright subsists, or
(b) a work in which copyright originally vested in an international organisation by virtue of section 168 and in respect of which an Order under that section specifies a copyright period longer than [F18170 years].
(3) In relation to a work of joint authorship:
(a) the reference in subsection (1) to its being possible to ascertain the identity of the author shall be construed as a reference to its being possible to ascertain the identity of any of the authors, and
(b) the reference in subsection (1)(b)(ii) to the author having died shall be construed as a reference to all the authors having died.
58.- Use of notes or recordings of spoken words in certain cases.
(1) Where a record of spoken words is made, in writing or otherwise, for the purpose:
(a) of reporting current events, or
(b) of [F182communicating to the public] the whole or part of the work,it is not an infringement of any copyright in the words as a literary work to use the record or material taken from it (or to copy the record, or any such material, and use the copy) for that purpose, provided the following conditions are met.
(2) The conditions are that:
(a) the record is a direct record of the spoken words and is not taken from a previous record or from a broadcast F183. . . ;
(b) the making of the record was not prohibited by the speaker and, where copyright already subsisted in the work, did not infringe copyright;
(c) the use made of the record or material taken from it is not of a kind prohibited by or on behalf of the speaker or copyright owner before the record was made; and
(d) the use is by or with the authority of a person who is lawfully in possession of the record.
59.- Public reading or recitation.
(1) The reading or recitation in public by one person of a reasonable extract from a published literary or dramatic work does not infringe any copyright in the work if it is accompanied by a sufficient acknowledgement.
(2) Copyright in a work is not infringed by the making of a sound recording, or the [F184communication to the public], of a reading or recitation which by virtue of subsection (1) does not infringe copyright in the work, provided that the recording [F185or communication to the public] consists mainly of material in relation to which it is not necessary to rely on that subsection.
60.- Abstracts of scientific or technical articles.
(1) Where an article on a scientific or technical subject is published in a periodical accompanied by an abstract indicating the contents of the article, it is not an infringement of copyright in the abstract, or in the article, to copy the abstract or issue copies of it to the public.
(2) This section does not apply if or to the extent that there is a licensing scheme certified for the purposes of this section under section 143 providing for the grant of licences.
61.- Recordings of folksongs.
(1) A sound recording of a performance of a song may be made for the purpose of including it in an archive maintained by a [F186body not established or conducted for profit] without infringing any copyright in the words as a literary work or in the accompanying musical work, provided the conditions in subsection (2) below are met.
(2) The conditions are that:
(a) the words are unpublished and of unknown authorship at the time the recording is made,
(b) the making of the recording does not infringe any other copyright, and
(c) its making is not prohibited by any performer.
[F187(3) A single copy of a sound recording made in reliance on subsection (1) and included in an archive referred to in that subsection may be made and supplied by the archivist without infringing copyright in the recording or the works included in it, provided that:
(a) the copy is supplied in response to a request from a person who has provided the archivist with a declaration in writing which includes the information set out in subsection (4), and
(b) the archivist is not aware that the declaration is false in a material particular.
(4) The information which must be included in the declaration is:
(a) the name of the person who requires the copy and the sound recording which is the subject of the request,
(b) a statement that the person has not previously been supplied with a copy of that sound recording by any archivist, and
(c) a statement that the person requires the copy for the purposes of research for a non-commercial purpose or private study, will use it only for those purposes and will not supply the copy to any other person.
(5) Where an archive makes a charge for supplying a copy under this section, the sum charged must be calculated by reference to the costs attributable to the production of the copy.
(6) Where a person (“P”) makes a declaration under this section that is false in a material particular and is supplied with a copy which would have been an infringing copy if made by P:
(a) P is liable for infringement of copyright as if P had made the copy, and
(b) the copy supplied to P is to be treated as an infringing copy for all purposes.
(7) In this section references to an archivist include a person acting on behalf of an archivist.]
62.- Representation of certain artistic works on public display.
(1) This section applies to:
(a) buildings, and
(b) sculptures, models for buildings and works of artistic craftsmanship, if permanently situated in a public place or in premises open to the public.
(2) The copyright in such a work is not infringed by:
(a) making a graphic work representing it,
(b) making a photograph or film of it, or
(c)[F188 making a broadcast of] a visual image of it.
(3) Nor is the copyright infringed by the issue to the public of copies, or the [F189communication to the public], of anything whose making was, by virtue of this section, not an infringement of the copyright.
63.- Advertisement of sale of artistic work.
(1) It is not an infringement of copyright in an artistic work to copy it, or to issue copies to the public, for the purpose of advertising the sale of the work.
(2) Where a copy which would otherwise be an infringing copy is made in accordance with this section but is subsequently dealt with for any other purpose, it shall be treated as an infringing copy for the purposes of that dealing, and if that dealing infringes copyright for all subsequent purposes.For this purpose “dealt with” means sold or let for hire, offered or exposed for sale or hire, exhibited in public [F190, distributed or communicated to the public].
64.- Making of subsequent works by same artist.
Where the author of an artistic work is not the copyright owner, he does not infringe the copyright by copying the work in making another artistic work, provided he does not repeat or imitate the main design of the earlier work.
65.- Reconstruction of buildings.
Anything done for the purposes of reconstructing a building does not infringe any copyright:
(a)in the building, or
(b) in any drawings or plans in accordance with which the building was, by or with the licence of the copyright owner, constructed.
F191 [ Miscellaneous: lending of works and playing of sound recordings ]
66.- [F192 Lending to public of copies of certain works.]
(1) The Secretary of State may by order provide that in such cases as may be specified in the order the lending to the public of copies of literary, dramatic, musical or artistic works, sound recordings or films shall be treated as licensed by the copyright owner subject only to the payment of such reasonable royalty or other payment as may be agreed or determined in default of agreement by the Copyright Tribunal.
(2) No such order shall apply if, or to the extent that, there is a licensing scheme certified for the purposes of this section under section 143 providing for the grant of licences.
(3) An order may make different provision for different cases and may specify cases by reference to any factor relating to the work, the copies lent, the lender or the circumstances of the lending.
(4) An order shall be made by statutory instrument; and no order shall be made unless a draft of it has been laid before and approved by a resolution of each House of Parliament.
(5) Nothing in this section affects any liability under section 23 (secondary infringement: possessing or dealing with infringing copy) in respect of the lending of infringing copies.
[F193 MISCellaneous: films and sound recordings]66A.- [F194 Films: acts permitted on assumptions as to expiry of copyright, &c.]
(1) Copyright in a film is not infringed by an act done at a time when, or in pursuance of arrangements made at a time when:
(a) it is not possible by reasonable inquiry to ascertain the identity of any of the persons referred to in section 13B(2)(a) to (d) (persons by reference to whose life the copyright period is ascertained), and
(b) it is reasonable to assume:
(i) that copyright has expired, or
(ii) that the last to die of those persons died 70 years or more before the beginning of the calendar year in which the act is done or the arrangements are made.
(2) Subsection (1)(b)(ii) does not apply in relation to:
(a) a film in which Crown copyright subsists, or
(b) a film in which copyright originally vested in an international organisation by virtue of section 168 and in respect of which an Order under that section specifies a copyright period longer than 70 years.
67.- Playing of sound recordings for purposes of club, society, &c.
F195. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Miscellaneous: broadcasts F196. . .
68.- Incidental recording for purposes of broadcast F197. . . .
(1) This section applies where by virtue of a licence or assignment of copyright a person is authorised to broadcast F198. . . :
(a) a literary, dramatic or musical work, or an adaptation of such a work,
(b) an artistic work, or
(c) a sound recording or film.
(2) He shall by virtue of this section be treated as licensed by the owner of the copyright in the work to do or authorise any of the following for the purposes of the broadcast F198. . . :
(a) in the case of a literary, dramatic or musical work, or an adaptation of such a work, to make a sound recording or film of the work or adaptation;
(b) in the case of an artistic work, to take a photograph or make a film of the work;
(c) in the case of a sound recording or film, to make a copy of it.
(3) That licence is subject to the condition that the recording, film, photograph or copy in question:
(a) shall not be used for any other purpose, and
(b) shall be destroyed within 28 days of being first used for broadcasting the work F198. . . .
(4) A recording, film, photograph or copy made in accordance with this section shall be treated as an infringing copy:
(a) for the purposes of any use in breach of the condition mentioned in subsection (3)(a), and
(b) for all purposes after that condition or the condition mentioned in subsection (3)(b) is broken.
69.- Recording for purposes of supervision and control of broadcasts and [F199other services].
(1) Copyright is not infringed by the making or use by the British Broadcasting Corporation, for the purpose of maintaining supervision and control over programmes broadcast by them [F200 or included in any on-demand programme service provided by them], of recordings of those programmes.
F201 [F202
(2)Copyright is not infringed by anything done in pursuance of:
[F203(a) section 167(1) of the Broadcasting Act 1990, section 115(4) or (6) or 117 of the Broadcasting Act 1996 or paragraph 20 of Schedule 12 to the Communications Act 2003;]
(b) a condition which, [F204 by virtue of section 334(1) of the Communications Act 2003 ] , is included in a licence granted under Part I or III of that Act or Part I or II of the Broadcasting Act 1996; F205 . . .
(c) a direction given under section 109(2) of the Broadcasting Act 1990 (power of [F206OFCOM] to require production of recordings etc ).
[F207(d) section 334(3) [F208, 368O(1) or (3)] of the Communications Act 2003.][F202
(3) Copyright is not infringed by the use by OFCOM in connection with the performance of any of their functions under the Broadcasting Act 1990, the Broadcasting Act 1996 or the Communications Act 2003 of:
(a) any recording, script or transcript which is provided to them under or by virtue of any provision of those Acts; or
(b) any existing material which is transferred to them by a scheme made under section 30 of the Communications Act 2003.]]
(4) In subsection (3), “existing material” means:
(a) any recording, script or transcript which was provided to the Independent Television Commission or the Radio Authority under or by virtue of any provision of the Broadcasting Act 1990 or the Broadcasting Act 1996; and
(b) any recording or transcript which was provided to the Broadcasting Standards Commission under section 115(4) or (6) or 116(5) of the Broadcasting Act 1996.
[F209(5) Copyright is not infringed by the use by an appropriate regulatory authority designated under section 368B of the Communications Act 2003, in connection with the performance of any of their functions under that Act, of any recording, script or transcript which is provided to them under or by virtue of any provision of that Act.
(6) In this section “ on-demand programme service ” has the same meaning as in the Communications Act 2003 (see section 368A of that Act). ]
70.- Recording for purposes of time-shifting.
[F210(1)] The making [F211 in domestic premises] for private and domestic use of a recording of a broadcast F212. . . solely for the purpose of enabling it to be viewed or listened to at a more convenient time does not infringe any copyright in the broadcast F212. . . or in any work included in it.
[F213(2) Where a copy which would otherwise be an infringing copy is made in accordance with this section but is subsequently dealt with:
(a) it shall be treated as an infringing copy for the purposes of that dealing; and
(b) if that dealing infringes copyright, it shall be treated as an infringing copy for all subsequent purposes.
(3) In subsection (2), “ dealt with ” means sold or let for hire, offered or exposed for sale or hire or communicated to the public. ][F214
71.- Photographs of broadcasts
(1) The making in domestic premises for private and domestic use of a photograph of the whole or any part of an image forming part of a broadcast, or a copy of such a photograph, does not infringe any copyright in the broadcast or in any film included in it.
(2) Where a copy which would otherwise be an infringing copy is made in accordance with this section but is subsequently dealt with:
(a) it shall be treated as an infringing copy for the purposes of that dealing; and
(b) if that dealing infringes copyright, it shall be treated as an infringing copy for all subsequent purposes.
(3) In subsection (2), “ dealt with ” means sold or let for hire, offered or exposed for sale or hire or communicated to the public. ]
72.- Free public showing or playing of broadcast F215. . . .
(1) The showing or playing in public of a broadcast F216. . . to an audience who have not paid for admission to the place where the broadcast F216. . . is to be seen or heard does not infringe any copyright in:
[F217(a) the broadcast; [F218or]
(b)any sound recording (except so far as it is an excepted sound recording) included in it F219…
F220(c). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .][F221
(1A) For the purposes of this Part an “excepted sound recording” is a sound recording:
(a) whose author is not the author of the broadcast in which it is included; and
(b) which is a recording of music with or without words spoken or sung.
(1B) Where by virtue of subsection (1) the copyright in a broadcast shown or played in public is not infringed, copyright in any [F222film or] excepted sound recording included in it is not infringed if the playing or showing of that broadcast in public:
(a)F223 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(b) is necessary for the purposes of:
(i) repairing equipment for the reception of broadcasts;
(ii) demonstrating that a repair to such equipment has been carried out; or
(iii) demonstrating such equipment which is being sold or let for hire or offered or exposed for sale or hire.]
(2) The audience shall be treated as having paid for admission to a place:
(a) if they have paid for admission to a place of which that place forms part; or
(b)i f goods or services are supplied at that place (or a place of which it forms part):
(i) at prices which are substantially attributable to the facilities afforded for seeing or hearing the broadcast F224. . . , or
(ii) at prices exceeding those usually charged there and which are partly attributable to those facilities.
(3) The following shall not be regarded as having paid for admission to a place:
(a) persons admitted as residents or inmates of the place;
(b) persons admitted as members of a club or society where the payment is only for membership of the club or society and the provision of facilities for seeing or hearing broadcasts F225. . . is only incidental to the main purposes of the club or society.
(4) Where the making of the broadcast F226. . . was an infringement of the copyright in a sound recording or film, the fact that it was heard or seen in public by the reception of the broadcast F226. . . shall be taken into account in assessing the damages for that infringement.
F227
73.- Reception and re-transmission of wireless broadcast by cable.
F228
73A.- Royalty or other sum payable in pursuance of section 73(4).
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F229
74.-
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[F23075.- Recording of broadcast for archival purposes
(1) A recording of a broadcast or a copy of such a recording may be made for the purpose of being placed in an archive maintained by a body which is not established or conducted for profit without infringing any copyright in the broadcast or in any work included in it.
(2) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this section, would not infringe copyright, that term is unenforceable.]
Adaptations
76.- Adaptations.
An act which by virtue of this Chapter may be done without infringing copyright in a literary, dramatic or musical work does not, where that work is an adaptation, infringe any copyright in the work from which the adaptation was made.
[F231CHAPTER 3A.- CERTAIN PERMITTED USES OF ORPHAN WORKS76A.- Certain permitted uses of orphan works
Schedule ZA1 makes provision about the use by relevant bodies of orphan works.]
Chapter IV.- Moral Rights
Right to be identified as author or director
77.- Right to be identified as author or director.
(1) The author of a copyright literary, dramatic, musical or artistic work, and the director of a copyright film, has the right to be identified as the author or director of the work in the circumstances mentioned in this section; but the right is not infringed unless it has been asserted in accordance with section 78.
(2) The author of a literary work (other than words intended to be sung or spoken with music) or a dramatic work has the right to be identified whenever:
(a) the work is published commercially, performed in public [F232or communicated to the public]; or
(b) copies of a film or sound recording including the work are issued to the public;and that right includes the right to be identified whenever any of those events occur in relation to an adaptation of the work as the author of the work from which the adaptation was made.
(3) The author of a musical work, or a literary work consisting of words intended to be sung or spoken with music, has the right to be identified whenever:
(a) the work is published commercially;
(b) copies of a sound recording of the work are issued to the public; or
(c) a film of which the sound-track includes the work is shown in public or copies of such a film are issued to the public;and that right includes the right to be identified whenever any of those events occur in relation to an adaptation of the work as the author of the work from which the adaptation was made.
(4) The author of an artistic work has the right to be identified whenever:
(a) the work is published commercially or exhibited in public, or a visual image of it is [F233communicated to the public];
(b) a film including a visual image of the work is shown in public or copies of such a film are issued to the public; or
(c) in the case of a work of architecture in the form of a building or a model for a building, a sculpture or a work of artistic craftsmanship, copies of a graphic work representing it, or of a photograph of it, are issued to the public.
(5) The author of a work of architecture in the form of a building also has the right to be identified on the building as constructed or, where more than one building is constructed to the design, on the first to be constructed.
(6) The director of a film has the right to be identified whenever the film is shown in public [F232or communicated to the public] or copies of the film are issued to the public.
(7) The right of the author or director under this section is:
(a) in the case of commercial publication or the issue to the public of copies of a film or sound recording, to be identified in or on each copy or, if that is not appropriate, in some other manner likely to bring his identity to the notice of a person acquiring a copy,
(b) in the case of identification on a building, to be identified by appropriate means visible to persons entering or approaching the building, and
(c) in any other case, to be identified in a manner likely to bring his identity to the attention of a person seeing or hearing the performance, exhibition, showing [F234or communication to the public] in question;and the identification must in each case be clear and reasonably prominent.
(8) If the author or director in asserting his right to be identified specifies a pseudonym, initials or some other particular form of identification, that form shall be used; otherwise any reasonable form of identification may be used.
(9) This section has effect subject to section 79 (exceptions to right).
78.- Requirement that right be asserted.
(1) A person does not infringe the right conferred by section 77 (right to be identified as author or director) by doing any of the acts mentioned in that section unless the right has been asserted in accordance with the following provisions so as to bind him in relation to that act.
(2) The right may be asserted generally, or in relation to any specified act or description of acts:
(a) on an assignment of copyright in the work, by including in the instrument effecting the assignment a statement that the author or director asserts in relation to that work his right to be identified, or
(b) by instrument in writing signed by the author or director.
(3) The right may also be asserted in relation to the public exhibition of an artistic work:
(a) by securing that when the author or other first owner of copyright parts with possession of the original, or of a copy made by him or under his direction or control, the author is identified on the original or copy, or on a frame, mount or other thing to which it is attached, or
(b) by including in a licence by which the author or other first owner of copyright authorises the making of copies of the work a statement signed by or on behalf of the person granting the licence that the author asserts his right to be identified in the event of the public exhibition of a copy made in pursuance of the licence.
(4) The persons bound by an assertion of the right under subsection (2) or (3) are:
(a) in the case of an assertion under subsection (2)(a), the assignee and anyone claiming through him, whether or not he has notice of the assertion;
(b) in the case of an assertion under subsection (2)(b), anyone to whose notice the assertion is brought;
(c) in the case of an assertion under subsection (3)(a), anyone into whose hands that original or copy comes, whether or not the identification is still present or visible;
(d) in the case of an assertion under subsection (3)(b), the licensee and anyone into whose hands a copy made in pursuance of the licence comes, whether or not he has notice of the assertion.
(5) In an action for infringement of the right the court shall, in considering remedies, take into account any delay in asserting the right.
79.- Exceptions to right.
(1) The right conferred by section 77 (right to be identified as author or director) is subject to the following exceptions.
(2) The right does not apply in relation to the following descriptions of work:
(a) a computer program;
(b) the design of a typeface;
(c) any computer-generated work.
(3) The right does not apply to anything done by or with the authority of the copyright owner where copyright in the work originally [F235 vested in the author’s or director’s employer by virtue of section 11(2) (works produced in the course of employment).]
(4) The right is not infringed by an act which by virtue of any of the following provisions would not infringe copyright in the work:
(a) section 30 (fair dealing for certain purposes), so far as it relates to the reporting of current events by means of a sound recording, film [F236or broadcast];
(b) section 31 (incidental inclusion of work in an artistic work, sound recording, film [F236or broadcast]);
F237(c). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(d) section 45 (parliamentary and judicial proceedings);
(e) section 46(1) or (2) (Royal Commissions and statutory inquiries);
(f) section 51 (use of design documents and models);
F238
(g). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(h)[F239 section 57 or 66A (acts permitted on assumptions as to expiry of copyright, &c.)];
[F240(4A) The right is also not infringed by any act done for the purposes of an examination which by virtue of any provision of Chapter 3 of Part 1 would not infringe copyright.]
(5) The right does not apply in relation to any work made for the purpose of reporting current events.
(6) The right does not apply in relation to the publication in:
(a) a newspaper, magazine or similar periodical, or
(b) an encyclopaedia, dictionary, yearbook or other collective work of reference,of a literary, dramatic, musical or artistic work made for the purposes of such publication or made available with the consent of the author for the purposes of such publication.
(7) The right does not apply in relation to:
(a) a work in which Crown copyright or Parliamentary copyright subsists, or
(b) a work in which copyright originally vested in an international organisation by virtue of section 168,unless the author or director has previously been identified as such in or on published copies of the work.
Right to object to derogatory treatment of work
80.- Right to object to derogatory treatment of work.
(1) The author of a copyright literary, dramatic, musical or artistic work, and the director of a copyright film, has the right in the circumstances mentioned in this section not to have his work subjected to derogatory treatment.
(2) For the purposes of this section:
(a) “treatment” of a work means any addition to, deletion from or alteration to or adaptation of the work, other than:
(i) a translation of a literary or dramatic work, or
(ii) an arrangement or transcription of a musical work involving no more than a change of key or register; and
(b) the treatment of a work is derogatory if it amounts to distortion or mutilation of the work or is otherwise prejudicial to the honour or reputation of the author or director;and in the following provisions of this section references to a derogatory treatment of a work shall be construed accordingly.
(3) In the case of a literary, dramatic or musical work the right is infringed by a person who:
(a) publishes commercially, performs in public [F241or communicates to the public] a derogatory treatment of the work; or
(b) issues to the public copies of a film or sound recording of, or including, a derogatory treatment of the work.
(4) In the case of an artistic work the right is infringed by a person who:
(a) publishes commercially or exhibits in public a derogatory treatment of the work, [F242or communicates to the public] a visual image of a derogatory treatment of the work,
(b) shows in public a film including a visual image of a derogatory treatment of the work or issues to the public copies of such a film, or
(c) in the case of:
(i) a work of architecture in the form of a model for a building,
(ii) a sculpture, or
(iii) a work of artistic craftsmanship,issues to the public copies of a graphic work representing, or of a photograph of, a derogatory treatment of the work.
(5) Subsection (4) does not apply to a work of architecture in the form of a building; but where the author of such a work is identified on the building and it is the subject of derogatory treatment he has the right to require the identification to be removed.
(6) In the case of a film, the right is infringed by a person who:
(a) shows in public [F241or communicates to the public] a derogatory treatment of the film; or
(b) issues to the public copies of a derogatory treatment of the film,F243. . .
(7) The right conferred by this section extends to the treatment of parts of a work resulting from a previous treatment by a person other than the author or director, if those parts are attributed to, or are likely to be regarded as the work of, the author or director.
(8) This section has effect subject to sections 81 and 82 (exceptions to and qualifications of right).
81.- Exceptions to right.
(1) The right conferred by section 80 (right to object to derogatory treatment of work) is subject to the following exceptions.
(2) The right does not apply to a computer program or to any computer-generated work.
(3) The right does not apply in relation to any work made for the purpose of reporting current events.
(4) The right does not apply in relation to the publication in:
(a) a newspaper, magazine or similar periodical, or
(b) an encyclopaedia, dictionary, yearbook or other collective work of reference,of a literary, dramatic, musical or artistic work made for the purposes of such publication or made available with the consent of the author for the purposes of such publication.
Nor does the right apply in relation to any subsequent exploitation elsewhere of such a work without any modification of the published version.
(5) The right is not infringed by an act which by virtue of [F244section 57 or 66A (acts permitted on assumptions as to expiry of copyright, &c.)] would not infringe copyright.
(6) The right is not infringed by anything done for the purpose of:
(a) avoiding the commission of an offence,
(b) complying with a duty imposed by or under an enactment, or
(c) in the case of the British Broadcasting Corporation, avoiding the inclusion in a programme broadcast by them of anything which offends against good taste or decency or which is likely to encourage or incite to crime or to lead to disorder or to be offensive to public feeling,provided, where the author or director is identified at the time of the relevant act or has previously been identified in or on published copies of the work, that there is a sufficient disclaimer.
82.- Qualification of right in certain cases.
(1) This section applies to:
(a) works in which copyright originally vested in the author’s [F245 or director’s] employer by virtue of section 11(2) (works produced in course of employment) F246. . .
(b) works in which Crown copyright or Parliamentary copyright subsists, and
(c) works in which copyright originally vested in an international organisation by virtue of section 168.
(2) The right conferred by section 80 (right to object to derogatory treatment of work) does not apply to anything done in relation to such a work by or with the authority of the copyright owner unless the author or director:
(a) is identified at the time of the relevant act, or
(b) has previously been identified in or on published copies of the work;and where in such a case the right does apply, it is not infringed if there is a sufficient disclaimer.
83.- Infringement of right by possessing or dealing with infringing article.
(1) The right conferred by section 80 (right to object to derogatory treatment of work) is also infringed by a person who:
(a) possesses in the course of a business, or
(b) sells or lets for hire, or offers or exposes for sale or hire, or
(c) in the course of a business exhibits in public or distributes, or
(d) distributes otherwise than in the course of a business so as to affect prejudicially the honour or reputation of the author or director,an article which is, and which he knows or has reason to believe is, an infringing article.
(2) An “infringing article” means a work or a copy of a work which:
(a) has been subjected to derogatory treatment within the meaning of section 80, and
(b) has been or is likely to be the subject of any of the acts mentioned in that section in circumstances infringing that right.
False attribution of work
84.- False attribution of work.
(1) A person has the right in the circumstances mentioned in this section:
(a) not to have a literary, dramatic, musical or artistic work falsely attributed to him as author, and
(b) not to have a film falsely attributed to him as director;and in this section an “attribution”, in relation to such a work, means a statement (express or implied) as to who is the author or director.
(2)The right is infringed by a person who:
(a) issues to the public copies of a work of any of those descriptions in or on which there is a false attribution, or
(b) exhibits in public an artistic work, or a copy of an artistic work, in or on which there is a false attribution.
(3) The right is also infringed by a person who:
(a) in the case of a literary, dramatic or musical work, performs the work in public [F247or communicates it to the public] as being the work of a person, or
(b) in the case of a film, shows it in public [F247or communicates it to the public] as being directed by a person,knowing or having reason to believe that the attribution is false.
(4) The right is also infringed by the issue to the public or public display of material containing a false attribution in connection with any of the acts mentioned in subsection (2) or (3).
(5) The right is also infringed by a person who in the course of a business:
(a) possesses or deals with a copy of a work of any of the descriptions mentioned in subsection (1) in or on which there is a false attribution, or
(b) in the case of an artistic work, possesses or deals with the work itself when there is a false attribution in or on it,knowing or having reason to believe that there is such an attribution and that it is false.
(6) In the case of an artistic work the right is also infringed by a person who in the course of a business:
(a) deals with a work which has been altered after the author parted with possession of it as being the unaltered work of the author, or
(b) deals with a copy of such a work as being a copy of the unaltered work of the author,knowing or having reason to believe that that is not the case.
(7) References in this section to dealing are to selling or letting for hire, offering or exposing for sale or hire, exhibiting in public, or distributing.
(8) This section applies where, contrary to the fact:
(a) a literary, dramatic or musical work is falsely represented as being an adaptation of the work of a person, or
(b) a copy of an artistic work is falsely represented as being a copy made by the author of the artistic work,as it applies where the work is falsely attributed to a person as author.
Right to privacy of certain photographs and films
85.- Right to privacy of certain photographs and films.
(1) A person who for private and domestic purposes commissions the taking of a photograph or the making of a film has, where copyright subsists in the resulting work, the right not to have:
(a) copies of the work issued to the public,
(b) the work exhibited or shown in public, or
(c) the work [F248communicated to the public]; and, except as mentioned in subsection (2), a person who does or authorises the doing of any of those acts infringes that right.
(2) The right is not infringed by an act which by virtue of any of the following provisions would not infringe copyright in the work:
(a) section 31 (incidental inclusion of work in an artistic work, film [F249or broadcast]);
(b) section 45 (parliamentary and judicial proceedings);
(c) section 46 (Royal Commissions and statutory inquiries);
(d) section 50 (acts done under statutory authority);
(e)[F250 section 57 or 66A (acts permitted on assumptions as to expiry of copyright, &c.)].
Supplementary
86.- Duration of rights.
(1) The rights conferred by section 77 (right to be identified as author or director), section 80 (right to object to derogatory treatment of work) and section 85 (right to privacy of certain photographs and films) continue to subsist so long as copyright subsists in the work.
(2) The right conferred by section 84 (false attribution) continues to subsist until 20 years after a person’s death.
87.- Consent and waiver of rights.
(1) It is not an infringement of any of the rights conferred by this Chapter to do any act to which the person entitled to the right has consented.
(2) Any of those rights may be waived by instrument in writing signed by the person giving up the right.
(3) A waiver:
(a) may relate to a specific work, to works of a specified description or to works generally, and may relate to existing or future works, and
(b) may be conditional or unconditional and may be expressed to be subject to revocation;and if made in favour of the owner or prospective owner of the copyright in the work or works to which it relates, it shall be presumed to extend to his licensees and successors in title unless a contrary intention is expressed.
(4) Nothing in this Chapter shall be construed as excluding the operation of the general law of contract or estoppel in relation to an informal waiver or other transaction in relation to any of the rights mentioned in subsection (1).
88.- Application of provisions to joint works.
(1) The right conferred by section 77 (right to be identified as author or director) is, in the case of a work of joint authorship, a right of each joint author to be identified as a joint author and must be asserted in accordance with section 78 by each joint author in relation to himself.
(2) The right conferred by section 80 (right to object to derogatory treatment of work) is, in the case of a work of joint authorship, a right of each joint author and his right is satisfied if he consents to the treatment in question.
(3) A waiver under section 87 of those rights by one joint author does not affect the rights of the other joint authors.
(4) The right conferred by section 84 (false attribution) is infringed, in the circumstances mentioned in that section:
(a) by any false statement as to the authorship of a work of joint authorship, and
(b) by the false attribution of joint authorship in relation to a work of sole authorship;and such a false attribution infringes the right of every person to whom authorship of any description is, whether rightly or wrongly, attributed.
(5) The above provisions also apply (with any necessary adaptations) in relation to a film which was, or is alleged to have been, jointly directed, as they apply to a work which is, or is alleged to be, a work of joint authorship.A film is “jointly directed” if it is made by the collaboration of two or more directors and the contribution of each director is not distinct from that of the other director or directors.
(6) The right conferred by section 85 (right to privacy of certain photographs and films) is, in the case of a work made in pursuance of a joint commission, a right of each person who commissioned the making of the work, so that:
(a) the right of each is satisfied if he consents to the act in question, and
(b) a waiver under section 87 by one of them does not affect the rights of the others.
89.- Application of provisions to parts of works.
(1) The rights conferred by section 77 (right to be identified as author or director) and section 85 (right to privacy of certain photographs and films) apply in relation to the whole or any substantial part of a work.
(2) The rights conferred by section 80 (right to object to derogatory treatment of work) and section 84 (false attribution) apply in relation to the whole or any part of a work.
Chapter V.- Dealings with Rights in Copyright Works
Copyright
90.- Assignment and licences.
(1) Copyright is transmissible by assignment, by testamentary disposition or by operation of law, as personal or moveable property.
(2) An assignment or other transmission of copyright may be partial, that is, limited so as to apply:
(a) to one or more, but not all, of the things the copyright owner has the exclusive right to do;
(b) to part, but not the whole, of the period for which the copyright is to subsist.
(3) An assignment of copyright is not effective unless it is in writing signed by or on behalf of the assignor.
(4) A licence granted by a copyright owner is binding on every successor in title to his interest in the copyright, except a purchaser in good faith for valuable consideration and without notice (actual or constructive) of the licence or a person deriving title from such a purchaser; and references in this Part to doing anything with, or without, the licence of the copyright owner shall be construed accordingly.
91.- Prospective ownership of copyright.
(1) Where by an agreement made in relation to future copyright, and signed by or on behalf of the prospective owner of the copyright, the prospective owner purports to assign the future copyright (wholly or partially) to another person, then if, on the copyright coming into existence, the assignee or another person claiming under him would be entitled as against all other persons to require the copyright to be vested in him, the copyright shall vest in the assignee or his successor in title by virtue of this subsection.
(2) In this Part:
“future copyright” means copyright which will or may come into existence in respect of a future work or class of works or on the occurrence of a future event; and
“prospective owner” shall be construed accordingly, and includes a person who is prospectively entitled to copyright by virtue of such an agreement as is mentioned in subsection (1).
(3) A licence granted by a prospective owner of copyright is binding on every successor in title to his interest (or prospective interest) in the right, except a purchaser in good faith for valuable consideration and without notice (actual or constructive) of the licence or a person deriving title from such a purchaser; and references in this Part to doing anything with, or without, the licence of the copyright owner shall be construed accordingly.
92.- Exclusive licences.
(1) In this Part an “exclusive licence” means a licence in writing signed by or on behalf of the copyright owner authorising the licensee to the exclusion of all other persons, including the person granting the licence, to exercise a right which would otherwise be exercisable exclusively by the copyright owner.
(2) The licensee under an exclusive licence has the same rights against a successor in title who is bound by the licence as he has against the person granting the licence.
93.- Copyright to pass under will with unpublished work.
Where under a bequest (whether specific or general) a person is entitled, beneficially or otherwise, to:
(a) an original document or other material thing recording or embodying a literary, dramatic, musical or artistic work which was not published before the death of the testator, or
(b) an original material thing containing a sound recording or film which was not published before the death of the testator,the bequest shall, unless a contrary intention is indicated in the testator’s will or a codicil to it, be construed as including the copyright in the work in so far as the testator was the owner of the copyright immediately before his death.
[F25193A.- Presumption of transfer of rental right in case of film production agreement.
(1) Where an agreement concerning film production is concluded between an author and a film producer, the author shall be presumed, unless the agreement provides to the contrary, to have transferred to the film producer any rental right in relation to the film arising by virtue of the inclusion of a copy of the author’s work in the film.
(2) In this section “author” means an author, or prospective author, of a literary, dramatic, musical or artistic work.
(3) Subsection (1) does not apply to any rental right in relation to the film arising by virtue of the inclusion in the film of the screenplay, the dialogue or music specifically created for and used in the film.
(4) Where this section applies, the absence of signature by or on behalf of the author does not exclude the operation of section 91(1) (effect of purported assignment of future copyright).
(5) The reference in subsection (1) to an agreement concluded between an author and a film producer includes any agreement having effect between those persons, whether made by them directly or through intermediaries.
(6) Section 93B (right to equitable remuneration on transfer of rental right) applies where there is a presumed transfer by virtue of this section as in the case of an actual transfer.]
F252 [Right to equitable remuneration where rental right transferred
F253
93B.- Right to equitable remuneration where rental right transferred.
(1) Where an author to whom this section applies has transferred his rental right concerning a sound recording or a film to the producer of the sound recording or film, he retains the right to equitable remuneration for the rental.The authors to whom this section applies are:
(a) the author of a literary, dramatic, musical or artistic work, and
(b) the principal director of a film.
(2) The right to equitable remuneration under this section may not be assigned by the author except to a collecting society for the purpose of enabling it to enforce the right on his behalf.The right is, however, transmissible by testamentary disposition or by operation of law as personal or moveable property; and it may be assigned or further transmitted by any person into whose hands it passes.
(3) Equitable remuneration under this section is payable by the person for the time being entitled to the rental right, that is, the person to whom the right was transferred or any successor in title of his.
(4) The amount payable by way of equitable remuneration is as agreed by or on behalf of the persons by and to whom it is payable, subject to section 93C (reference of amount to Copyright Tribunal).
(5) An agreement is of no effect in so far as it purports to exclude or restrict the right to equitable remuneration under this section.
(6) References in this section to the transfer of rental right by one person to another include any arrangement having that effect, whether made by them directly or through intermediaries.
(7) In this section a “collecting society” means a society or other organisation which has as its main object, or one of its main objects, the exercise of the right to equitable remuneration under this section on behalf of more than one author.
F254
93C.- Equitable remuneration: reference of amount to Copyright Tribunal.
(1) In default of agreement as to the amount payable by way of equitable remuneration under section 93B, the person by or to whom it is payable may apply to the Copyright Tribunal to determine the amount payable.
(2) A person to or by whom equitable remuneration is payable under that section may also apply to the Copyright Tribunal:
(a) to vary any agreement as to the amount payable, or
(b) to vary any previous determination of the Tribunal as to that matter; but except with the special leave of the Tribunal no such application may be made within twelve months from the date of a previous determination.An order made on an application under this subsection has effect from the date on which it is made or such later date as may be specified by the Tribunal.
(3) On an application under this section the Tribunal shall consider the matter and make such order as to the method of calculating and paying equitable remuneration as it may determine to be reasonable in the circumstances, taking into account the importance of the contribution of the author to the film or sound recording.
(4) Remuneration shall not be considered inequitable merely because it was paid by way of a single payment or at the time of the transfer of the rental right.
(5) An agreement is of no effect in so far as it purports to prevent a person questioning the amount of equitable remuneration or to restrict the powers of the Copyright Tribunal under this section.]
Moral rights
94.- Moral rights not assignable.
The rights conferred by Chapter IV (moral rights) are not assignable.
95.- Transmission of moral rights on death.
(1) On the death of a person entitled to the right conferred by section 77 (right to identification of author or director), section 80 (right to object to derogatory treatment of work) or section 85 (right to privacy of certain photographs and films):
(a) the right passes to such person as he may by testamentary disposition specifically direct,
(b) if there is no such direction but the copyright in the work in question forms part of his estate, the right passes to the person to whom the copyright passes, and
(c) if or to the extent that the right does not pass under paragraph (a) or (b) it is exercisable by his personal representatives.
(2) Where copyright forming part of a person’s estate passes in part to one person and in part to another, as for example where a bequest is limited so as to apply:
(a) to one or more, but not all, of the things the copyright owner has the exclusive right to do or authorise, or
(b) to part, but not the whole, of the period for which the copyright is to subsist,any right which passes with the copyright by virtue of subsection (1) is correspondingly divided.
(3 )Where by virtue of subsection (1)(a) or (b) a right becomes exercisable by more than one person:
(a) it may, in the case of the right conferred by section 77 (right to identification of author or director), be asserted by any of them;
(b) it is, in the case of the right conferred by section 80 (right to object to derogatory treatment of work) or section 85 (right to privacy of certain photographs and films), a right exercisable by each of them and is satisfied in relation to any of them if he consents to the treatment or act in question; and
(c) any waiver of the right in accordance with section 87 by one of them does not affect the rights of the others.
(4) A consent or waiver previously given or made binds any person to whom a right passes by virtue of subsection (1).
(5) Any infringement after a person’s death of the right conferred by section 84 (false attribution) is actionable by his personal representatives.
(6) Any damages recovered by personal representatives by virtue of this section in respect of an infringement after a person’s death shall devolve as part of his estate as if the right of action had subsisted and been vested in him immediately before his death.
Chapter VI.- Remedies for Infringement
Rights and remedies of copyright owner
96.- Infringement actionable by copyright owner.
(1) An infringement of copyright is actionable by the copyright owner.
(2) In an action for infringement of copyright all such relief by way of damages, injunctions, accounts or otherwise is available to the plaintiff as is available in respect of the infringement of any other property right.
(3) This section has effect subject to the following provisions of this Chapter.
97.- Provisions as to damages in infringement action.
(1) Where in an action for infringement of copyright it is shown that at the time of the infringement the defendant did not know, and had no reason to believe, that copyright subsisted in the work to which the action relates, the plaintiff is not entitled to damages against him, but without prejudice to any other remedy.
(2) The court may in an action for infringement of copyright having regard to all the circumstances, and in particular to:
(a) the flagrancy of the infringement, and
(b) any benefit accruing to the defendant by reason of the infringement,award such additional damages as the justice of the case may require.
[F25597A.- Injunctions against service providers
(1) The High Court (in Scotland, the Court of Session) shall have power to grant an injunction against a service provider, where that service provider has actual knowledge of another person using their service to infringe copyright.
(2) In determining whether a service provider has actual knowledge for the purpose of this section, a court shall take into account all matters which appear to it in the particular circumstances to be relevant and, amongst other things, shall have regard to:
(a) whether a service provider has received a notice through a means of contact made available in accordance with regulation 6(1)(c) of the Electronic Commerce (EC Directive) Regulations 2002 (SI 2002/2013); and
(b )the extent to which any notice includes:
(i) the full name and address of the sender of the notice;
(ii) details of the infringement in question.
(3) In this section “ service provider ” has the meaning given to it by regulation 2 of the Electronic Commerce ( EC Directive) Regulations 2002. ]
98.- Undertaking to take licence of right in infringement proceedings.
(1) If in proceedings for infringement of copyright in respect of which a licence is available as of right under section 144 (powers exercisable in consequence of report of [F256Competition and Markets Authority]) the defendant undertakes to take a licence on such terms as may be agreed or, in default of agreement, settled by the Copyright Tribunal under that section:
(a) no injunction shall be granted against him,
(b) no order for delivery up shall be made under section 99, and
(c) the amount recoverable against him by way of damages or on an account of profits shall not exceed double the amount which would have been payable by him as licensee if such a licence on those terms had been granted before the earliest infringement.
(2) An undertaking may be given at any time before final order in the proceedings, without any admission of liability.
(3) Nothing in this section affects the remedies available in respect of an infringement committed before licences of right were available.
99.- Order for delivery up.
(1) Where a person:
(a) has an infringing copy of a work in his possession, custody or control in the course of a business, or
(b) has in his possession, custody or control an article specifically designed or adapted for making copies of a particular copyright work, knowing or having reason to believe that it has been or is to be used to make infringing copies,the owner of the copyright in the work may apply to the court for an order that the infringing copy or article be delivered up to him or to such other person as the court may direct.
(2) An application shall not be made after the end of the period specified in section 113 (period after which remedy of delivery up not available); and no order shall be made unless the court also makes, or it appears to the court that there are grounds for making, an order under section 114 (order as to disposal of infringing copy or other article).
(3) A person to whom an infringing copy or other article is delivered up in pursuance of an order under this section shall, if an order under section 114 is not made, retain it pending the making of an order, or the decision not to make an order, under that section.
(4) Nothing in this section affects any other power of the court.
100.- Right to seize infringing copies and other articles.
(1) An infringing copy of a work which is found exposed or otherwise immediately available for sale or hire, and in respect of which the copyright owner would be entitled to apply for an order under section 99, may be seized and detained by him or a person authorised by him.The right to seize and detain is exercisable subject to the following conditions and is subject to any decision of the court under section 114.
(2) Before anything is seized under this section notice of the time and place of the proposed seizure must be given to a local police station.
(3) A person may for the purpose of exercising the right conferred by this section enter premises to which the public have access but may not seize anything in the possession, custody or control of a person at a permanent or regular place of business of his, and may not use any force.
(4) At the time when anything is seized under this section there shall be left at the place where it was seized a notice in the prescribed form containing the prescribed particulars as to the person by whom or on whose authority the seizure is made and the grounds on which it is made.
(5) In this section:
“premises” includes land, buildings, moveable structures, vehicles, vessels, aircraft and hovercraft; and “prescribed” means prescribed by order of the Secretary of State.
(6) An order of the Secretary of State under this section shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
Rights and remedies of exclusive licensee
101.- Rights and remedies of exclusive licensee.
(1) An exclusive licensee has, except against the copyright owner, the same rights and remedies in respect of matters occurring after the grant of the licence as if the licence had been an assignment.
(2) His rights and remedies are concurrent with those of the copyright owner; and references in the relevant provisions of this Part to the copyright owner shall be construed accordingly.
(3) In an action brought by an exclusive licensee by virtue of this section a defendant may avail himself of any defence which would have been available to him if the action had been brought by the copyright owner.
[F257101A.- Certain infringements actionable by a non-exclusive licensee
(1) A non-exclusive licensee may bring an action for infringement of copyright if:
(a) the infringing act was directly connected to a prior licensed act of the licensee; and
(b) the licence:
(i) is in writing and is signed by or on behalf of the copyright owner; and
(ii) expressly grants the non-exclusive licensee a right of action under this section.
(2) In an action brought under this section, the non-exclusive licensee shall have the same rights and remedies available to him as the copyright owner would have had if he had brought the action.
(3) The rights granted under this section are concurrent with those of the copyright owner and references in the relevant provisions of this Part to the copyright owner shall be construed accordingly.
(4) In an action brought by a non-exclusive licensee by virtue of this section a defendant may avail himself of any defence which would have been available to him if the action had been brought by the copyright owner.
(5) Subsections (1) to (4) of section 102 shall apply to a non-exclusive licensee who has a right of action by virtue of this section as it applies to an exclusive licensee.
(6) In this section a “ non-exclusive licensee ” means the holder of a licence authorising the licensee to exercise a right which remains exercisable by the copyright owner. ]
102.- Exercise of concurrent rights.
(1) Where an action for infringement of copyright brought by the copyright owner or an exclusive licensee relates (wholly or partly) to an infringement in respect of which they have concurrent rights of action, the copyright owner or, as the case may be, the exclusive licensee may not, without the leave of the court, proceed with the action unless the other is either joined as a plaintiff or added as a defendant.
(2) A copyright owner or exclusive licensee who is added as a defendant in pursuance of subsection (1) is not liable for any costs in the action unless he takes part in the proceedings.
(3) The above provisions do not affect the granting of interlocutory relief on an application by a copyright owner or exclusive licensee alone.
(4) Where an action for infringement of copyright is brought which relates (wholly or partly) to an infringement in respect of which the copyright owner and an exclusive licensee have or had concurrent rights of action:
(a) the court shall in assessing damages take into account:
(i) the terms of the licence, and
(ii) any pecuniary remedy already awarded or available to either of them in respect of the infringement;
(b) no account of profits shall be directed if an award of damages has been made, or an account of profits has been directed, in favour of the other of them in respect of the infringement; and
(c) the court shall if an account of profits is directed apportion the profits between them as the court considers just, subject to any agreement between them;and these provisions apply whether or not the copyright owner and the exclusive licensee are both parties to the action.
(5) The copyright owner shall notify any exclusive licensee having concurrent rights before applying for an order under section 99 (order for delivery up) or exercising the right conferred by section 100 (right of seizure); and the court may on the application of the licensee make such order under section 99 or, as the case may be, prohibiting or permitting the exercise by the copyright owner of the right conferred by section 100, as it thinks fit having regard to the terms of the licence.
Remedies for infringement of moral rights
103.- Remedies for infringement of moral rights.
(1) An infringement of a right conferred by Chapter IV (moral rights) is actionable as a breach of statutory duty owed to the person entitled to the right.
(2) In proceedings for infringement of the right conferred by section 80 (right to object to derogatory treatment of work) the court may, if it thinks it is an adequate remedy in the circumstances, grant an injunction on terms prohibiting the doing of any act unless a disclaimer is made, in such terms and in such manner as may be approved by the court, dissociating the author or director from the treatment of the work.
Presumptions
104.- Presumptions relevant to literary, dramatic, musical and artistic works.
(1) The following presumptions apply in proceedings brought by virtue of this Chapter with respect to a literary, dramatic, musical or artistic work.
(2) Where a name purporting to be that of the author appeared on copies of the work as published or on the work when it was made, the person whose name appeared shall be presumed, until the contrary is proved:
(a) to be the author of the work;
(b) to have made it in circumstances not falling within section 11(2), 163, 165 or 168 (works produced in course of employment, Crown copyright, Parliamentary copyright or copyright of certain international organisations).
(3) In the case of a work alleged to be a work of joint authorship, subsection (2) applies in relation to each person alleged to be one of the authors.
(4) Where no name purporting to be that of the author appeared as mentioned in subsection (2) but:
(a) the work qualifies for copyright protection by virtue of section 155 (qualification by reference to country of first publication), and
(b) a name purporting to be that of the publisher appeared on copies of the work as first published,the person whose name appeared shall be presumed, until the contrary is proved, to have been the owner of the copyright at the time of publication.
(5) If the author of the work is dead or the identity of the author cannot be ascertained by reasonable inquiry, it shall be presumed, in the absence of evidence to the contrary:
(a) that the work is an original work, and
(b) that the plaintiff’s allegations as to what was the first publication of the work and as to the country of first publication are correct.
105.- Presumptions relevant to sound recordings and films.
(1) In proceedings brought by virtue of this Chapter with respect to a sound recording, where copies of the recording as issued to the public bear a label or other mark stating:
(a) that a named person was the owner of copyright in the recording at the date of issue of the copies, or
(b) that the recording was first published in a specified year or in a specified country,the label or mark shall be admissible as evidence of the facts stated and shall be presumed to be correct until the contrary is proved.
(2) In proceedings brought by virtue of this Chapter with respect to a film, where copies of the film as issued to the public bear a statement:
(a) that a named person was the [F258director or producer] of the film,
F259[
(aa) that a named person was the principal director, the author of the screenplay, the author of the dialogue or the composer of music specifically created for and used in the film,]
(b) that a named person was the owner of copyright in the film at the date of issue of the copies, or
(c) that the film was first published in a specified year or in a specified country,the statement shall be admissible as evidence of the facts stated and shall be presumed to be correct until the contrary is proved.
(3) In proceedings brought by virtue of this Chapter with respect to a computer program, where copies of the program are issued to the public in electronic form bearing a statement:
(a) that a named person was the owner of copyright in the program at the date of issue of the copies, or
(b) that the program was first published in a specified country or that copies of it were first issued to the public in electronic form in a specified year,the statement shall be admissible as evidence of the facts stated and shall be presumed to be correct until the contrary is proved.
(4) The above presumptions apply equally in proceedings relating to an infringement alleged to have occurred before the date on which the copies were issued to the public.
(5) In proceedings brought by virtue of this Chapter with respect to a film, where the film as shown in public [F260or communicated to the public] bears a statement:
(a) that a named person was the [F258director or producer] of the film, or
F261[
(aa) that a named person was the principal director of the film, the author of the screenplay, the author of the dialogue or the composer of music specifically created for and used in the film, or,]
(b) that a named person was the owner of copyright in the film immediately after it was made,the statement shall be admissible as evidence of the facts stated and shall be presumed to be correct until the contrary is proved.
This presumption applies equally in proceedings relating to an infringement alleged to have occurred before the date on which the film was shown in public, broadcast or included in a cable programme service.
F262[
(6) For the purposes of this section, a statement that a person was the director of a film shall be taken, unless a contrary indication appears, as meaning that he was the principal director of the film.]
106.- Presumptions relevant to works subject to Crown copyright.
In proceedings brought by virtue of this Chapter with respect to a literary, dramatic or musical work in which Crown copyright subsists, where there appears on printed copies of the work a statement of the year in which the work was first published commercially, that statement shall be admissible as evidence of the fact stated and shall be presumed to be correct in the absence of evidence to the contrary.
Offences
107.- Criminal liability for making or dealing with infringing articles, &c.
(1) A person commits an offence who, without the licence of the copyright owner:
(a) makes for sale or hire, or
(b )imports into the United Kingdom otherwise than for his private and domestic use, or
(c) possesses in the course of a business with a view to committing any act infringing the copyright, or
(d) in the course of a business :
(i) sells or lets for hire, or
(ii) offers or exposes for sale or hire, or
(iii) exhibits in public, or
(iv) distributes, or
(e) distributes otherwise than in the course of a business to such an extent as to affect prejudicially the owner of the copyright,an article which is, and which he knows or has reason to believe is, an infringing copy of a copyright work.
(2) A person commits an offence who:
(a) makes an article specifically designed or adapted for making copies of a particular copyright work, or
(b) has such an article in his possession,knowing or having reason to believe that it is to be used to make infringing copies for sale or hire or for use in the course of a business.
[F263(2A) A person (“P”) who infringes copyright in a work by communicating the work to the public commits an offence if P:
(a) knows or has reason to believe that P is infringing copyright in the work, and
(b) either:
(i) intends to make a gain for P or another person, or
(ii) knows or has reason to believe that communicating the work to the public will cause loss to the owner of the copyright, or will expose the owner of the copyright to a risk of loss.
(2B) For the purposes of subsection (2A):
(a) “gain” and “loss”:
(i) extend only to gain or loss in money, and
(ii) include any such gain or loss whether temporary or permanent, and
(b) “loss” includes a loss by not getting what one might get.]
(3) Where copyright is infringed (otherwise than by reception of a [F264communication to the public]):
(a) by the public performance of a literary, dramatic or musical work, or
(b) by the playing or showing in public of a sound recording or film,any person who caused the work to be so performed, played or shown is guilty of an offence if he knew or had reason to believe that copyright would be infringed.
(4) A person guilty of an offence under subsection (1)(a), (b), (d)(iv) or (e) is liable:
(a) on summary conviction to imprisonment for a term not exceeding six months or [F265a fine], or both;
(b) on conviction on indictment to a fine or imprisonment for a term not exceeding [F266ten] years, or both.
[F267(4A) A person guilty of an offence under subsection (2A) is liable:
(a) on summary conviction to imprisonment for a term not exceeding three months or [F268a fine], or both;
(b) on conviction on indictment to a fine or imprisonment for a term not exceeding [F269ten] years, or both.]
(5) A person guilty of any other offence under this section is liable on summary conviction to imprisonment for a term not exceeding [F270three] months or a fine not exceeding level 5 on the standard scale, or both.
(6) Sections 104 to 106 (presumptions as to various matters connected with copyright) do not apply to proceedings for an offence under this section; but without prejudice to their application in proceedings for an order under section 108 below.
[F271107.- A Enforcement by local weights and measures authority.
(1) It is the duty of every local weights and measures authority to enforce within their area the provisions of section 107.
F272
(2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(3) Subsection (1) above does not apply in relation to the enforcement of section 107 in Northern Ireland, but it is the duty of the Department of Economic Development to enforce that section in Northern Ireland.F273…
[F274(3A) For the investigatory powers available to a local weights and measures authority or the Department of Enterprise, Trade and Investment in Northern Ireland for the purposes of the duties in this section, see Schedule 5 to the Consumer Rights Act 2015.]
(4) Any enactment which authorises the disclosure of information for the purpose of facilitating the enforcement of the Trade Descriptions Act 1968 shall apply as if section 107 were contained in that Act and as if the functions of any person in relation to the enforcement of that section were functions under that Act.
(5) Nothing in this section shall be construed as authorising a local weights and measures authority to bring proceedings in Scotland for an offence.]
108.- Order for delivery up in criminal proceedings.
(1) The court before which proceedings are brought against a person for an offence under section 107 may, if satisfied that at the time of his arrest or charge:
(a) he had in his possession, custody or control in the course of a business an infringing copy of a copyright work, or
(b) he had in his possession, custody or control an article specifically designed or adapted for making copies of a particular copyright work, knowing or having reason to believe that it had been or was to be used to make infringing copies,order that the infringing copy or article be delivered up to the copyright owner or to such other person as the court may direct.
(2) For this purpose a person shall be treated as charged with an offence:
(a) in England, Wales and Northern Ireland, when he is orally charged or is served with a summons or indictment;
(b) in Scotland, when he is cautioned, charged or served with a complaint or indictment.
(3) An order may be made by the court of its own motion or on the application of the prosecutor (or, in Scotland, the Lord Advocate or procurator-fiscal), and may be made whether or not the person is convicted of the offence, but shall not be made:
(a) after the end of the period specified in section 113 (period after which remedy of delivery up not available), or
(b) if it appears to the court unlikely that any order will be made under section 114 (order as to disposal of infringing copy or other article).
(4) An appeal lies from an order made under this section by a magistrates’ court:
(a) in England and Wales, to the Crown Court, and
(b) in Northern Ireland, to the county court;and in Scotland, where an order has been made under this section, the person from whose possession, custody or control the infringing copy or article has been removed may, without prejudice to any other form of appeal under any rule of law, appeal against that order in the same manner as against sentence.
(5) A person to whom an infringing copy or other article is delivered up in pursuance of an order under this section shall retain it pending the making of an order, or the decision not to make an order, undersection 114.
(6) Nothing in this section affects the powers of the court under [F275section 143 of the Powers of Criminal Courts (Sentencing)Act 2000], [F276Part II of the Proceeds of Crime (Scotland) Act 1995] or [F277Article 11 of the Criminal Justice (Northern Ireland) Order 1994] (general provisions as to forfeiture in criminal proceedings).
109.- Search warrants.
(1) Where a justice of the peace (in Scotland, a sheriff or justice of the peace) is satisfied by information on oath given by a constable (in Scotland, by evidence on oath) that there are reasonable grounds for believing:
(a )that an offence under [F278section 107(1), (2) or (2A)] has been or is about to be committed in any premises, and
(b) that evidence that such an offence has been or is about to be committed is in those premises,he may issue a warrant authorising a constable to enter and search the premises, using such reasonable force as is necessary.
(2) The power conferred by subsection (1) does not, in England and Wales, extend to authorising a search for material of the kinds mentioned in section 9(2) of the M7Police and Criminal Evidence Act 1984 (certain classes of personal or confidential material).
(3) A warrant under this section:
(a) may authorise persons to accompany any constable executing the warrant, and
(b) remains in force for [F279three months] from the date of its issue.
(4) In executing a warrant issued under this section a constable may seize an article if he reasonably believes that it is evidence that any offence under [F280section 107(1), (2) or (2A)] has been or is about to be committed.
(5) In this section “premises” includes land, buildings [F281fixed or], moveable structures, vehicles, vessels, aircraft and hovercraft.
110.- Offence by body corporate: liability of officers.
(1) Where an offence under section 107 committed by a body corporate is proved to have been committed with the consent or connivance of a director, manager, secretary or other similar officer of the body, or a person purporting to act in any such capacity, he as well as the body corporate is guilty of the offence and liable to be proceeded against and punished accordingly.
(2) In relation to a body corporate whose affairs are managed by its members “director” means a member of the body corporate.
Provision for preventing importation of infringing copies
111.- Infringing copies may be treated as prohibited goods.
(1) The owner of the copyright in a published literary, dramatic or musical work may give notice in writing to the Commissioners of Customs and Excise:
(a) that he is the owner of the copyright in the work, and
(b) that he requests the Commissioners, for a period specified in the notice, to treat as prohibited goods printed copies of the work which are infringing copies.
(2) The period specified in a notice under subsection (1) shall not exceed five years and shall not extend beyond the period for which copyright is to subsist.
(3) The owner of the copyright in a sound recording or film may give notice in writing to the Commissioners of Customs and Excise:
(a) that he is the owner of the copyright in the work,
(b) that infringing copies of the work are expected to arrive in the United Kingdom at a time and a place specified in the notice, and
(c) that he requests the Commissioners to treat the copies as prohibited goods.
[F282(3A) The Commissioners may treat as prohibited goods only infringing copies of works which arrive in the United Kingdom:
(a) from outside the European Economic Area, or
(b) from within that Area but not having been entered for free circulation.
[F283(3B) This section does not apply to goods placed in, or expected to be placed in, one of the situations referred to in Article 1(1), in respect of which an application may be made under [F284Article 3 of Regulation (EU) No 608/2013 of the European Parliament and of the Council of 12 June 2013 concerning customs enforcement of intellectual property rights].]]
(4) When a notice is in force under this section the importation of goods to which the notice relates, otherwise than by a person for his private and domestic use, [F285subject to subsections (3A) and (3B), is prohibited]; but a person is not by reason of the prohibition liable to any penalty other than forfeiture of the goods.
112.- Power of Commissioners of Customs and Excise to make regulations.
(1) The Commissioners of Customs and Excise may make regulations prescribing the form in which notice is to be given under section 111 and requiring a person giving notice:
(a) to furnish the Commissioners with such evidence as may be specified in the regulations, either on giving notice or when the goods are imported, or at both those times, and
(b) to comply with such other conditions as may be specified in the regulations.
(2) The regulations may, in particular, require a person giving such a notice:
(a) to pay such fees in respect of the notice as may be specified by the regulations;
(b) to give such security as may be so specified in respect of any liability or expense which the Commissioners may incur in consequence of the notice by reason of the detention of any article or anything done to an article detained;
(c) to indemnify the Commissioners against any such liability or expense, whether security has been given or not.
(3) The regulations may make different provision as respects different classes of case to which they apply and may include such incidental and supplementary provisions as the Commissioners consider expedient.
(4) Regulations under this section shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
(5) F286. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Supplementary
113.- Period after which remedy of delivery up not available.
(1) An application for an order under section 99 (order for delivery up in civil proceedings) may not be made after the end of the period of six years from the date on which the infringing copy or article in question was made, subject to the following provisions.
(2) If during the whole or any part of that period the copyright owner:
(a) is under a disability, or
(b) is prevented by fraud or concealment from discovering the facts entitling him to apply for an order,an application may be made at any time before the end of the period of six years from the date on which he ceased to be under a disability or, as the case may be, could with reasonable diligence have discovered those facts.
(3) In subsection (2) “disability”:
(a) in England and Wales, has the same meaning as in the M8Limitation Act 1980;
(b) in Scotland, means legal disability within the meaning of the M9Prescription and Limitation (Scotland) Act 1973;
(c) in Northern Ireland, has the same meaning as in the M10Statute of Limitations (Northern Ireland) 1958.
(4) An order under section 108 (order for delivery up in criminal proceedings) shall not, in any case, be made after the end of the period of six years from the date on which the infringing copy or article in question was made.
114.- Order as to disposal of infringing copy or other article.
(1) An application may be made to the court for an order that an infringing copy or other article delivered up in pursuance of an order under section 99 or 108, or seized and detained in pursuance of the right conferred by section 100, shall be:
(a) forfeited to the copyright owner, or
(b) destroyed or otherwise dealt with as the court may think fit,or for a decision that no such order should be made.
(2) In considering what order (if any) should be made, the court shall consider whether other remedies available in an action for infringement of copyright would be adequate to compensate the copyright owner and to protect his interests.
(3) Provision shall be made by rules of court as to the service of notice on persons having an interest in the copy or other articles, and any such person is entitled:
(a) to appear in proceedings for an order under this section, whether or not he was served with notice, and
(b) to appeal against any order made, whether or not he appeared;and an order shall not take effect until the end of the period within which notice of an appeal may be given or, if before the end of that period notice of appeal is duly given, until the final determination or abandonment of the proceedings on the appeal.
(4) Where there is more than one person interested in a copy or other article, the court shall make such order as it thinks just and may (in particular) direct that the article be sold, or otherwise dealt with, and the proceeds divided.
(5) If the court decides that no order should be made under this section, the person in whose possession, custody or control the copy or other article was before being delivered up or seized is entitled to its return.
(6) References in this section to a person having an interest in a copy or other article include any person in whose favour an order could be made in respect of it
[F287(a) under this section or under section 204 or 231 of this Act;
(b) under section 24D of the Registered Designs Act 1949;
(c) under section 19 of Trade Marks Act 1994 (including that section as applied by regulation 4 of the Community Trade Mark Regulations 2006 (SI 2006/1027)); or
(d) under regulation 1C of the Community Design Regulations 2005 (SI 2005/2339).][F288
114A.- Forfeiture of infringing copies, etc.: England and Wales or Northern Ireland
(1) In England and Wales or Northern Ireland where there have come into the possession of any person in connection with the investigation or prosecution of a relevant offence:
(a) infringing copies of a copyright work, or
(b) articles specifically designed or adapted for making copies of a particular copyright work,that person may apply under this section for an order for the forfeiture of the infringing copies or articles.
(2) For the purposes of this section “relevant offence” means:
(a) an offence under [F289section 107(1), (2) or (2A)] (criminal liability for making or dealing with infringing articles, etc.),
(b) an offence under the Trade Descriptions Act 1968 (c. 29),
[F290(ba) an offence under the Business Protection from Misleading Marketing Regulations 2008,
(bb) an offence under the Consumer Protection from Unfair Trading Regulations 2008, or]
(c) an offence involving dishonesty or deception.
(3) An application under this section may be made:
(a) where proceedings have been brought in any court for a relevant offence relating to some or all of the infringing copies or articles, to that court, or
(b) where no application for the forfeiture of the infringing copies or articles has been made under paragraph (a), by way of complaint to a magistrates’ court.
(4) On an application under this section, the court shall make an order for the forfeiture of any infringing copies or articles only if it is satisfied that a relevant offence has been committed in relation to the infringing copies or articles.
(5) A court may infer for the purposes of this section that such an offence has been committed in relation to any infringing copies or articles if it is satisfied that such an offence has been committed in relation to infringing copies or articles which are representative of the infringing copies or articles in question (whether by reason of being of the same design or part of the same consignment or batch or otherwise).
(6) Any person aggrieved by an order made under this section by a magistrates’ court, or by a decision of such a court not to make such an order, may appeal against that order or decision:
(a) in England and Wales, to the Crown Court, or
(b) in Northern Ireland, to the county court.
(7) An order under this section may contain such provision as appears to the court to be appropriate for delaying the coming into force of the order pending the making and determination of any appeal (including any application under section 111 of the Magistrates’ Courts Act 1980 (c. 43) or Article 146 of the Magistrates’ Courts (Northern Ireland) Order 1981 (S.I. 1981/1675 (N.I. 26)) (statement of case)).
(8) Subject to subsection (9), where any infringing copies or articles are forfeited under this section they shall be destroyed in accordance with such directions as the court may give.
(9) On making an order under this section the court may direct that the infringing copies or articles to which the order relates shall (instead of being destroyed) be forfeited to the owner of the copyright in question or dealt with in such other way as the court considers appropriate.]
F291
114B.- Forfeiture of infringing copies, etc.: Scotland
(1) In Scotland the court may make an order under this section for the forfeiture of any:
(a) infringing copies of a copyright work, or
(b) articles specifically designed or adapted for making copies of a particular copyright work.
(2) An order under this section may be made:
(a) on an application by the procurator-fiscal made in the manner specified in section 134 of the Criminal Procedure (Scotland) Act 1995 (c. 46), or
(b) where a person is convicted of a relevant offence, in addition to any other penalty which the court may impose.
(3) On an application under subsection (2)(a), the court shall make an order for the forfeiture of any infringing copies or articles only if it is satisfied that a relevant offence has been committed in relation to the infringing copies or articles.
(4) The court may infer for the purposes of this section that such an offence has been committed in relation to any infringing copies or articles if it is satisfied that such an offence has been committed in relation to infringing copies or articles which are representative of the infringing copies or articles in question (whether by reason of being of the same design or part of the same consignment or batch or otherwise).
(5) The procurator-fiscal making the application under subsection (2)(a) shall serve on any person appearing to him to be the owner of, or otherwise to have an interest in, the infringing copies or articles to which the application relates a copy of the application, together with a notice giving him the opportunity to appear at the hearing of the application to show cause why the infringing copies or articles should not be forfeited.
(6) Service under subsection (5) shall be carried out, and such service may be proved, in the manner specified for citation of an accused in summary proceedings under the Criminal Procedure (Scotland) Act 1995.
(7) Any person upon whom notice is served under subsection (5) and any other person claiming to be the owner of, or otherwise to have an interest in, infringing copies or articles to which an application under this section relates shall be entitled to appear at the hearing of the application to show cause why the infringing copies or articles should not be forfeited.
(8) The court shall not make an order following an application under subsection (2)(a):
(a) if any person on whom notice is served under subsection (5) does not appear, unless service of the notice on that person is proved, or
(b) if no notice under subsection (5) has been served, unless the court is satisfied that in the circumstances it was reasonable not to serve such notice.
(9) Where an order for the forfeiture of any infringing copies or articles is made following an application under subsection (2)(a), any person who appeared, or was entitled to appear, to show cause why infringing copies or articles should not be forfeited may, within 21 days of the making of the order, appeal to the High Court by Bill of Suspension.
(10) Section 182(5)(a) to (e) of the Criminal Procedure (Scotland) Act 1995 (c. 46) shall apply to an appeal under subsection (9) as it applies to a stated case under Part 2 of that Act.
(11) An order following an application under subsection (2)(a) shall not take effect:
(a) until the end of the period of 21 days beginning with the day after the day on which the order is made, or
(b) if an appeal is made under subsection (9) above within that period, until the appeal is determined or abandoned.
(12) An order under subsection (2)(b) shall not take effect:
(a) until the end of the period within which an appeal against the order could be brought under the Criminal Procedure (Scotland) Act 1995, or
(b) if an appeal is made within that period, until the appeal is determined or abandoned.
(13) Subject to subsection (14), infringing copies or articles forfeited under this section shall be destroyed in accordance with such directions as the court may give.
(14) On making an order under this section the court may direct that the infringing copies or articles to which the order relates shall (instead of being destroyed) be forfeited to the owner of the copyright in question or dealt with in such other way as the court considers appropriate.
(15) For the purposes of this section:
[F292“relevant offence” means:(a) an offence under section 107(1), (2) or (2A) (criminal liability for making or dealing with infringing articles, etc),
(b) an offence under the Trade Descriptions Act 1968,
(c) an offence under the Business Protection from Misleading Marketing Regulations 2008,
(d) an offence under the Consumer Protection from Unfair Trading Regulations 2008, or
(e) any offence involving dishonesty or deception;]
“the court” means:
(a) in relation to an order made on an application under subsection (2)(a), the sheriff, and
(b) in relation to an order made under subsection (2)(b), the court which imposed the penalty.
115.- Jurisdiction of county court and sheriff court.
(1) In England [F293and Wales the county court and in] Northern Ireland a county court may entertain proceedings under:
section 99 (order for delivery up of infringing copy or other article),
section 102(5) (order as to exercise of rights by copyright owner where exclusive licensee has concurrent rights), or
section 114 (order as to disposal of infringing copy or other article),
[F294 save that, in Northern Ireland, a county court may entertain such proceedings only] where the value of the infringing copies and other articles in question does not exceed the county court limit for actions in tort.(2) In Scotland proceedings for an order under any of those provisions may be brought in the sheriff court.
(3) Nothing in this section shall be construed as affecting the jurisdiction of the High Court or, in Scotland, the Court of Session.
Chapter VII.- Copyright Licensing
Licensing schemes and licensing bodies
116.- Licensing schemes and licensing bodies.
(1) In this Part a “licensing scheme” means a scheme setting out:
(a) the classes of case in which the operator of the scheme, or the person on whose behalf he acts, is willing to grant copyright licences, and
(b) the terms on which licences would be granted in those classes of case;and for this purpose a “scheme” includes anything in the nature of a scheme, whether described as a scheme or as a tariff or by any other name.
(2) In this Chapter a “licensing body” means
[F295(a) a society or other organisation which has as its main object, or one of its main objects, the negotiation or granting, either as owner or prospective owner of copyright or as agent for him, of copyright licences, and whose objects include the granting of licences covering works of more than one author] [F296, or,
(b) any other organisation which is a collective management organisation as defined by regulation 2 of the Collective Management of Copyright (EU Directive) Regulations 2016].
(3) In this section “copyright licences” means licences to do, or authorise the doing of, any of the acts restricted by copyright.
(4) References in this Chapter to licences or licensing schemes covering works of more than one author do not include licences or schemes covering only:
(a) a single collective work or collective works of which the authors are the same, or
(b) works made by, or by employees of or commissioned by, a single individual, firm, company or group of companies.For this purpose a group of companies means a holding company and its subsidiaries, within the meaning of [F297section 1159 of the Companies Act 2006].
[F298(5) Schedule A1 confers powers to provide for the regulation of licensing bodies.][F299 Orphan works licensing and extended collective licensing
116A.- Power to provide for licensing of orphan works
(1) The Secretary of State may by regulations provide for the grant of licences in respect of works that qualify as orphan works under the regulations.
(2) The regulations may:
(a) specify a person or a description of persons authorised to grant licences, or
(b) provide for a person designated in the regulations to specify a person or a description of persons authorised to grant licences
(3) The regulations must provide that, for a work to qualify as an orphan work, it is a requirement that the owner of copyright in it has not been found after a diligent search made in accordance with the regulations.
(4) The regulations may provide for the granting of licences to do, or authorise the doing of, any act restricted by copyright that would otherwise require the consent of the missing owner.
(5) The regulations must provide for any licence:
(a) to have effect as if granted by the missing owner;
(b) not to give exclusive rights;
(c) not to be granted to a person authorised to grant licences.
(6) The regulations may apply to a work although it is not known whether copyright subsists in it, and references to a missing owner and a right or interest of a missing owner are to be read as including references to a supposed owner and a supposed right or interest.
116B.- Extended collective licensing
(1) The Secretary of State may by regulations provide for a licensing body that applies to the Secretary of State under the regulations to be authorised to grant copyright licences in respect of works in which copyright is not owned by the body or a person on whose behalf the body acts.
(2) An authorisation must specify:
(a) the types of work to which it applies, and
(b) the acts restricted by copyright that the licensing body is authorised to license.
(3) The regulations must provide for the copyright owner to have a right to limit or exclude the grant of licences by virtue of the regulations.
(4) The regulations must provide for any licence not to give exclusive rights.
(5) In this section “ copyright licences ” has the same meaning as in section 116.
(6) Nothing in this section applies in relation to Crown copyright or Parliamentary copyright.
116C.- General provision about licensing under sections 116A and 116B
(1) This section and section 116D apply to regulations under sections 116A and 116B.
(2) The regulations may provide for a body to be or remain authorised to grant licences only if specified requirements are met, and for a question whether they are met to be determined by a person, and in a manner, specified in the regulations.
(3) The regulations may specify other matters to be taken into account in any decision to be made under the regulations as to whether to authorise a person to grant licences.
(4) The regulations must provide for the treatment of any royalties or other sums paid in respect of a licence, including:
(a) the deduction of administrative costs;
(b) the period for which sums must be held;
(c) the treatment of sums after that period (as bona vacantia or otherwise).
(5) The regulations must provide for circumstances in which an authorisation to grant licences may be withdrawn, and for determining the rights and obligations of any person if an authorisation is withdrawn.
(6) The regulations may include other provision for the purposes of authorisation and licensing, including in particular provision:
(a) for determining the rights and obligations of any person if a work ceases to qualify as an orphan work (or ceases to qualify by reference to any copyright owner), or if a rights owner exercises the right referred to in section 116B(3), while a licence is in force;
(b) about maintenance of registers and access to them;
(c) permitting the use of a work for incidental purposes including an application or search;
(d) for a right conferred by section 77 to be treated as having been asserted in accordance with section 78;
(e) for the payment of fees to cover administrative expenses.
116D.-Regulations under sections 116A and 116B
(1)The power to make regulations includes power:
(a) to make incidental, supplementary or consequential provision, including provision extending or restricting the jurisdiction of the Copyright Tribunal or conferring powers on it;
(b) to make transitional, transitory or saving provision;
(c) to make different provision for different purposes.
(2) Regulations under any provision may amend this Part, or any other enactment or subordinate legislation passed or made before that provision comes into force, for the purpose of making consequential provision or extending or restricting the jurisdiction of the Copyright Tribunal or conferring powers on it.
(3) Regulations may make provision by reference to guidance issued from time to time by any person.
(4) The power to make regulations is exercisable by statutory instrument.
(5) A statutory instrument containing regulations may not be made unless a draft of the instrument has been laid before and approved by a resolution of each House of Parliament.]
References and applications with respect to licensing schemes
[F300117.- Licensing schemes to which following sections apply.
Sections 118 to 123 (references and applications with respect to licensing schemes) apply to licensing schemes which are operated by licensing bodies and cover works of more than one author, so far as they relate to licences for:
(a) copying the work,
(b) rental or lending of copies of the work to the public,
(c) performing, showing or playing the work in public, or
[F301(d) communicating the work to the public;]and references in those sections to a licensing scheme shall be construed accordingly.]
118.- Reference of proposed licensing scheme to tribunal.
(1) The terms of a licensing scheme proposed to be operated by a licensing body may be referred to the Copyright Tribunal by an organisation claiming to be representative of persons claiming that they require licences in cases of a description to which the scheme would apply, either generally or in relation to any description of case.
(2) The Tribunal shall first decide whether to entertain the reference, and may decline to do so on the ground that the reference is premature.
(3) If the Tribunal decides to entertain the reference it shall considerthe matter referred and make such order, either confirming or varying the proposed scheme, either generally or so far as it relates to cases of the description to which the reference relates, as the Tribunal may determine to be reasonable in the circumstances.
(4) The order may be made so as to be in force indefinitely or for such period as the Tribunal may determine.
119.- Reference of licensing scheme to tribunal.
(1) If while a licensing scheme is in operation a dispute arises between the operator of the scheme and:
(a) a person claiming that he requires a licence in a case of a description to which the scheme applies, or
(b) an organisation claiming to be representative of such persons,that person or organisation may refer the scheme to the Copyright Tribunal in so far as it relates to cases of that description.
(2) A scheme which has been referred to the Tribunal under this section shall remain in operation until proceedings on the reference are concluded.
(3) The Tribunal shall consider the matter in dispute and make such order, either confirming or varying the scheme so far as it relates to cases of the description to which the reference relates, as the Tribunal may determine to be reasonable in the circumstances.
(4) The order may be made so as to be in force indefinitely or for such period as the Tribunal may determine.
120.- Further reference of scheme to tribunal.
(1) Where the Copyright Tribunal has on a previous reference of a licensing scheme under [F302section 118, 119 or 128A], or under this section, made an order with respect to the scheme, then, while the order remains in force:
(a) the operator of the scheme,
(b) a person claiming that he requires a licence in a case of the description to which the order applies, or
(c) an organisation claiming to be representative of such persons,may refer the scheme again to the Tribunal so far as it relates to cases of that description.
(2) A licensing scheme shall not, except with the special leave of the Tribunal, be referred again to the Tribunal in respect of the same description of cases:
(a) within twelve months from the date of the order on the previous reference, or
(b) if the order was made so as to be in force for 15 months or less, until the last three months before the expiry of the order.
(3) A scheme which has been referred to the Tribunal under this section shall remain in operation until proceedings on the reference are concluded.
(4) The Tribunal shall consider the matter in dispute and make such order, either confirming, varying or further varying the scheme so far as it relates to cases of the description to which the reference relates, as the Tribunal may determine to be reasonable in the circumstances.
(5) The order may be made so as to be in force indefinitely or for such period as the Tribunal may determine.
121.- Application for grant of licence in connection with licensing scheme.
(1) A person who claims, in a case covered by a licensing scheme, that the operator of the scheme has refused to grant him or procure the grant to him of a licence in accordance with the scheme, or has failed to do so within a reasonable time after being asked, may apply to the Copyright Tribunal.
(2) A person who claims, in a case excluded from a licensing scheme, that the operator of the scheme either:
(a) has refused to grant him a licence or procure the grant to him of a licence, or has failed to do so within a reasonable time of being asked, and that in the circumstances it is unreasonable that a licence should not be granted, or
(b) proposes terms for a licence which are unreasonable,may apply to the Copyright Tribunal.
(3) A case shall be regarded as excluded from a licensing scheme for the purposes of subsection (2) if:
(a) the scheme provides for the grant of licences subject to terms excepting matters from the licence and the case falls within such an exception, or
(b) the case is so similar to those in which licences are granted under the scheme that it is unreasonable that it should not be dealt with in the same way.
(4) If the Tribunal is satisfied that the claim is well-founded, it shall make an order declaring that, in respect of the matters specified in the order, the applicant is entitled to a licence on such terms as the Tribunal may determine to be applicable in accordance with the scheme or, as the case may be, to be reasonable in the circumstances.
(5) The order may be made so as to be in force indefinitely or for such period as the Tribunal may determine.
122.- Application for review of order as to entitlement to licence.
- Where the Copyright Tribunal has made an order under section 121 that a person is entitled to a licence under a licensing scheme, the operator of the scheme or the original applicant may apply to the Tribunal to review its order.
(2) An application shall not be made, except with the special leave of the Tribunal:
(a) within twelve months from the date of the order, or of the decision on a previous application under this section, or
(b) if the order was made so as to be in force for 15 months or less, or as a result of the decision on a previous application under this section is due to expire within 15 months of that decision, until the last three months before the expiry date.
(3) The Tribunal shall on an application for review confirm or vary its order as the Tribunal may determine to be reasonable having regard to the terms applicable in accordance with the licensing scheme or, as the case may be, the circumstances of the case.
123.- Effect of order of tribunal as to licensing scheme.
(1)A licensing scheme which has been confirmed or varied by the Copyright Tribunal:
(a) under section 118 (reference of terms of proposed scheme), or
(b) under section 119 or 120 (reference of existing scheme to Tribunal),shall be in force or, as the case may be, remain in operation, so far as it relates to the description of case in respect of which the order was made, so long as the order remains in force.
(2) While the order is in force a person who in a case of a class to which the order applies:
(a) pays to the operator of the scheme any charges payable under the scheme in respect of a licence covering the case in question or, if the amount cannot be ascertained, gives an undertaking to the operator to pay them when ascertained, and
(b) complies with the other terms applicable to such a licence under the scheme,shall be in the same position as regards infringement of copyright as if he had at all material times been the holder of a licence granted by the owner of the copyright in question in accordance with the scheme.
(3) The Tribunal may direct that the order, so far as it varies the amount of charges payable, has effect from a date before that on which it is made, but not earlier than the date on which the reference was made or, if later, on which the scheme came into operation.If such a direction is made:
(a) any necessary repayments, or further payments, shall be made in respect of charges already paid, and
(b) the reference in subsection (2)(a) to the charges payable under the scheme shall be construed as a reference to the charges so payable by virtue of the order.No such direction may be made where subsection (4) below applies.
(4) An order of the Tribunal under section 119 or 120 made with respect to a scheme which is certified for any purpose under section 143 has effect, so far as it varies the scheme by reducing the charges payable for licences, from the date on which the reference was made to the Tribunal.
(5) Where the Tribunal has made an order under section 121 (order as to entitlement to licence under licensing scheme) and the order remains in force, the person in whose favour the order is made shall if he:
(a) pays to the operator of the scheme any charges payable in accordance with the order or, if the amount cannot be ascertained, gives an undertaking to pay the charges when ascertained, and
(b) complies with the other terms specified in the order,be in the same position as regards infringement of copyright as if he had at all material times been the holder of a licence granted by the owner of the copyright in question on the terms specified in the order.
References and applications with respect to licensing by licensing bodies
[F303124.- Licences to which following sections apply.
Sections 125 to 128 (references and applications with respect to licensing by licensing bodies) apply to licences which are granted by a licensing body otherwise than in pursuance of a licensing scheme and cover works of more than one author, so far as they authorise:
(a) copying the work,
(b) rental or lending of copies of the work to the public,
(c) performing, showing or playing the work in public, or
[F304(d) communicating the work to the public;]and references in those sections to a licence shall be construed accordingly.]
125.- Reference to tribunal of proposed licence.
(1) The terms on which a licensing body proposes to grant a licence may be referred to the Copyright Tribunal by the prospective licensee.
(2) The Tribunal shall first decide whether to entertain the reference, and may decline to do so on the ground that the reference is premature.
(3) If the Tribunal decides to entertain the reference it shall consider the terms of the proposed licence and make such order, either confirming or varying the terms, as it may determine to be reasonable in the circumstances.
(4) The order may be made so as to be in force indefinitely or for such period as the Tribunal may determine.
126.- Reference to tribunal of expiring licence.
(1) A licensee under a licence which is due to expire, by effluxion of time or as a result of notice given by the licensing body, may apply to the Copyright Tribunal on the ground that it is unreasonable in the circumstances that the licence should cease to be in force.
(2) Such an application may not be made until the last three months before the licence is due to expire.
(3) A licence in respect of which a reference has been made to the Tribunal shall remain in operation until proceedings on the reference are concluded.
(4) If the Tribunal finds the application well-founded, it shall make an order declaring that the licensee shall continue to be entitled to the benefit of the licence on such terms as the Tribunal may determine to be reasonable in the circumstances.
(5) An order of the Tribunal under this section may be made so as to be in force indefinitely or for such period as the Tribunal may determine.
127.- Application for review of order as to licence.
(1) Where the Copyright Tribunal has made an order under [F305section 125, 126 or 128B (where that order did not relate to a licensing scheme)], the licensing body or the person entitled to the benefit of the order may apply to the Tribunal to review its order.
(2) An application shall not be made, except with the special leave of the Tribunal:
(a) within twelve months from the date of the order or of the decision on a previous application under this section, or
(b) if the order was made so as to be in force for 15 months or less, or as a result of the decision on a previous application under this section is due to expire within 15 months of that decision, until the last three months before the expiry date.
- The Tribunal shall on an application for review confirm or vary its order as the Tribunal may determine to be reasonable in the circumstances.
128.- Effect of order of tribunal as to licence.
(1) Where the Copyright Tribunal has made an order under section 125 or 126 and the order remains in force, the person entitled to the benefit of the order shall if he:
(a) pays to the licensing body any charges payable in accordance with the order or, if the amount cannot be ascertained, gives an undertaking to pay the charges when ascertained, and
(b) complies with the other terms specified in the order,be in the same position as regards infringement of copyright as if he had at all material times been the holder of a licence granted by the owner of the copyright in question on the terms specified in the order.
(2) The benefit of the order may be assigned:
(a) in the case of an order under section 125, if assignment is not prohibited under the terms of the Tribunal’s order; and
(b) in the case of an order under section 126, if assignment was not prohibited under the terms of the original licence.
(3) The Tribunal may direct that an order under section 125 or 126, or an order under section 127 varying such an order, so far as it varies the amount of charges payable, has effect from a date before that on which it is made, but not earlier than the date on which the reference or application was made or, if later, on which the licence was granted or, as the case may be, was due to expire.If such a direction is made:
(a) any necessary repayments, or further payments, shall be made in respect of charges already paid, and
(b) the reference in subsection (1)(a) to the charges payable in accordance with the order shall be construed, where the order is varied by a later order, as a reference to the charges so payable by virtue of the later order.
[F306128A.- Notification of licence or licensing scheme for excepted sound recordings
F307 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
128B.- References to the Tribunal by the Secretary of State under section 128A
F308 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ]
Factors to be taken into account in certain classes of case
129.- General considerations: unreasonable discrimination.
In determining what is reasonable on a reference or application under this Chapter relating to a licensing scheme or licence, the Copyright Tribunal shall have regard to:
(a) the availability of other schemes, or the granting of other licences, to other persons in similar circumstances, and
(b) the terms of those schemes or licences,and shall exercise its powers so as to secure that there is no unreasonable discrimination between licensees, or prospective licensees, under the scheme or licence to which the reference or application relates and licensees under other schemes operated by, or other licences granted by, the same person.
130 Licences for reprographic copying.
Where a reference or application is made to the Copyright Tribunal under this Chapter relating to the licensing of reprographic copying of published literary, dramatic, musical or artistic works, or the typographical arrangement of published editions, the Tribunal shall have regard to:
(a) the extent to which published editions of the works in question are otherwise available,
(b) the proportion of the work to be copied, and
(c) the nature of the use to which the copies are likely to be put.
131.- Licences for educational establishments in respect of works included in broadcasts F309. . . .
(1) This section applies to references or applications under this Chapter relating to licences for the recording by or on behalf of educational establishments of broadcasts F310. . . which include copyright works, or the making of copies of such recordings, for educational purposes.
(2) The Copyright Tribunal shall, in considering what charges (if any) should be paid for a licence, have regard to the extent to which the owners of copyright in the works included in the broadcast F310. . . have already received, or are entitled to receive, payment in respect of their inclusion.
132.- Licences to reflect conditions imposed by promoters of events.
(1) This section applies to references or applications under this Chapter in respect of licences relating to sound recordings, films [F311or broadcasts] which include, or are to include, any entertainment or other event.
(2) The Copyright Tribunal shall have regard to any conditions imposed by the promoters of the entertainment or other event; and, in particular, the Tribunal shall not hold a refusal or failure to grant a licence to be unreasonable if it could not have been granted consistently with those conditions.
(3) Nothing in this section shall require the Tribunal to have regard to any such conditions in so far as they:
(a) purport to regulate the charges to be imposed in respect of the grant of licences, or
(b) relate to payments to be made to the promoters of any event in consideration of the grant of facilities for making the recording, film [F312or broadcast].
133.- Licences to reflect payments in respect of underlying rights.
F313 [
(1) In considering what charges should be paid for a licence:
(a) on a reference or application under this Chapter relating to licences for the rental or lending of copies of a work, or
(b) on an application under section 142 (royalty or other sum payable for lending of certain works), the Copyright Tribunal shall take into account any reasonable payments which the owner of the copyright in the work is liable to make in consequence of the granting of the licence, or of the acts authorised by the licence, to owners of copyright in works included in that work.]
(2) On any reference or application under this Chapter relating to licensing in respect of the copyright in sound recordings, films [F314or broadcasts], the Copyright Tribunal shall take into account, in considering what charges should be paid for a licence, any reasonable payments which the copyright owner is liable to make in consequence of the granting of the licence, or of the acts authorised by the licence, in respect of any performance included in the recording, film [F315or broadcast].
134.- Licences in respect of works included in re-transmissions.
(1) F316… this section applies to references or applications under this Chapter relating to licences to include in a broadcast F317. . . :
(a) literary, dramatic, musical or artistic works, or,
(b) sound recordings or films,where one broadcast F317. . . (“the first transmission”) is, by reception and immediate re-transmission, to be further broadcast F317. . . (“the further transmission”).
(2) So far as the further transmission is to the same area as the first transmission, the Copyright Tribunal shall, in considering what charges (if any) should be paid for licences for either transmission, have regard to the extent to which the copyright owner has already received, or is entitled to receive, payment for the other transmission which adequately remunerates him in respect of transmissions to that area.
(3) So far as the further transmission is to an area outside that to which the first transmission was made, the Tribunal shall F317. . . leave the further transmission out of account in considering what charges (if any) should be paid for licences for the first transmission.
F318
(3A ). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F319
(4). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
135.- Mention of specific matters not to exclude other relevant considerations.
The mention in sections 129 to 134 of specific matters to which the Copyright Tribunal is to have regard in certain classes of case does not affect the Tribunal’s general obligation in any case to have regard to all relevant considerations.
[F320 Use as of right of sound recordings in broadcasts F321 . . .135A.- Circumstances in which right available.
(1) Section 135C applies to the inclusion in a broadcast F322 . . . of any sound recordings if:
(a) a licence to include those recordings in the broadcast F322 . . . could be granted by a licensing body or such a body could procure the grant of a licence to do so,
(b) the condition in subsection (2) or (3) applies, and
(c) the person including those recordings in the broadcast F322 . . . has complied with section 135B.
(2) Where the person including the recordings in the broadcast F322 . . . does not hold a licence to do so, the condition is that the licensing body refuses to grant, or procure the grant of, such a licence, being a licence:
(a) whose terms as to payment for including the recordings in the broadcast F322 . . . would be acceptable to him or comply with an order of the Copyright Tribunal under section 135D relating to such a licence or any scheme under which it would be granted, and
(b) allowing unlimited needletime or such needletime as he has demanded.
(3) Where he holds a licence to include the recordings in the broadcast F322 . . . , the condition is that the terms of the licence limit needletime and the licensing body refuses to substitute or procure the substitution of terms allowing unlimited needletime or such needletime as he has demanded, or refuses to do so on terms that fall within subsection (2)(a).
(4) The references in subsection (2) to refusing to grant, or procure the grant of, a licence, and in subsection (3) to refusing to substitute or procure the substitution of terms, include failing to do so within a reasonable time of being asked.
(5) In the group of sections from this section to section 135G:
[F323 “ broadcast ” does not include any broadcast which is a transmission of the kind specified in section 6(1A)(b) or (c); ]“ needletime ” means the time in any period (whether determined as a number of hours in the period or a proportion of the period, or otherwise) in which any recordings may be included in a broadcast F322 . . . ;
“ sound recording ” does not include a film sound track when accompanying a film.
(6) In sections 135B to 135G, “ terms of payment ” means terms as to payment for including sound recordings in a broadcast F322 . . . . ][F324
135B.- Notice of intention to exercise right.
(1) A person intending to avail himself of the right conferred by section 135C must:
(a) give notice to the licensing body of his intention to exercise the right, asking the body to propose terms of payment, and
(b) after receiving the proposal or the expiry of a reasonable period, give reasonable notice to the licensing body of the date on which he proposes to begin exercising that right, and the terms of payment in accordance with which he intends to do so.
(2) Where he has a licence to include the recordings in a broadcast F325 . . . , the date specified in a notice under subsection (1)(b) must not be sooner than the date of expiry of that licence except in a case falling within section 135A(3).
(3) Before the person intending to avail himself of the right begins to exercise it, he must:
(a) give reasonable notice to the Copyright Tribunal of his intention to exercise the right, and of the date on which he proposes to begin to do so, and
(b) apply to the Tribunal under section 135D to settle the terms of payment.][F326
135C.- Conditions for exercise of right.
(1) A person who, on or after the date specified in a notice under section 135B(1)(b), includes in a broadcast F327 . . . any sound recordings in circumstances in which this section applies, and who:
(a) complies with any reasonable condition, notice of which has been given to him by the licensing body, as to inclusion in the broadcast F327 . . . of those recordings,
(b) provides that body with such information about their inclusion in the broadcast F327 . . . as it may reasonably require, and
(c) makes the payments to the licensing body that are required by this section,shall be in the same position as regards infringement of copyright as if he had at all material times been the holder of a licence granted by the owner of the copyright in question.
(2) Payments are to be made at not less than quarterly intervals in arrears.
(3) The amount of any payment is that determined in accordance with any order of the Copyright Tribunal under section 135D or, if no such order has been made:
(a) in accordance with any proposal for terms of payment made by the licensing body pursuant to a request under section 135B, or
(b) where no proposal has been so made or the amount determined in accordance with the proposal so made is unreasonably high, in accordance with the terms of payment notified to the licensing body under section 135B(1)(b).
(4) Where this section applies to the inclusion in a broadcast F327 . . . of any sound recordings, it does so in place of any licence. ][F328
135D.- Applications to settle payments.
(1) On an application to settle the terms of payment, the Copyright Tribunal shall consider the matter and make such order as it may determine to be reasonable in the circumstances.
(2) An order under subsection (1) has effect from the date the applicant begins to exercise the right conferred by section 135C and any necessary repayments, or further payments, shall be made in respect of amounts that have fallen due.][F329
135E.- References etc. about conditions, information and other terms.
(1) A person exercising the right conferred by section 135C, or who has given notice to the Copyright Tribunal of his intention to do so, may refer to the Tribunal:
(a) any question whether any condition as to the inclusion in a broadcast F330 . . . of sound recordings, notice of which has been given to him by the licensing body in question, is a reasonable condition, or
(b) any question whether any information is information which the licensing body can reasonably require him to provide.
(2) On a reference under this section, the Tribunal shall consider the matter and make such order as it may determine to be reasonable in the circumstances.][F331
135F.- Application for review of order.
(1) A person exercising the right conferred by section 135C or the licensing body may apply to the Copyright Tribunal to review any order under section 135D or 135E.
(2) An application shall not be made, except with the special leave of the Tribunal:
(a) within twelve months from the date of the order, or of the decision on a previous application under this section, or
(b) if the order was made so as to be in force for fifteen months or less, or as a result of a decision on a previous application is due to expire within fifteen months of that decision, until the last three months before the expiry date.
(3) On the application the Tribunal shall consider the matter and make such order confirming or varying the original order as it may determine to be reasonable in the circumstances.
(4) An order under this section has effect from the date on which it is made or such later date as may be specified by the Tribunal.][F332
135G.- Factors to be taken into account.
(1) In determining what is reasonable on an application or reference under section 135D or 135E, or on reviewing any order under section 135F, the Copyright Tribunal shall:
(a) have regard to the terms of any orders which it has made in the case of persons in similar circumstances exercising the right conferred by section 135C, and
(b) exercise its powers so as to secure that there is no unreasonable discrimination between persons exercising that right against the same licensing body.
(2) In settling the terms of payment under section 135D, the Tribunal shall not be guided by any order it has made under any enactment other than that section.
(3) Section 134 (factors to be taken into account: retransmissions) applies on an application or reference under sections 135D to 135F as it applies on an application or reference relating to a licence.][F333
135H.- Power to amend sections 135A to 135G.
(1) The Secretary of State may by order, subject to such transitional provision as appears to him to be appropriate, amend sections 135A to 135G so as:
(a) to include in any reference to sound recordings any works of a description specified in the order; or
(b) to exclude from any reference to a broadcast F334 . . . any broadcast F334 . . . of a description so specified.
(2) An order shall be made by statutory instrument; and no order shall be made unless a draft of it has been laid before and approved by resolution of each House of Parliament.]
Implied indemnity in schemes or licences for reprographic copying
136.- Implied indemnity in certain schemes and licences for reprographic copying.
(1) This section applies to:
(a) schemes for licensing reprographic copying of published literary, dramatic, musical or artistic works, or the typographical arrangement of published editions, and
(b) licences granted by licensing bodies for such copying,where the scheme or licence does not specify the works to which it applies with such particularity as to enable licensees to determine whether a work falls within the scheme or licence by inspection of the scheme or licence and the work.
(2)There is implied:
(a) in every scheme to which this section applies an undertaking by the operator of the scheme to indemnify a person granted a licence under the scheme, and
(b) in every licence to which this section applies an undertaking by the licensing body to indemnify the licensee,against any liability incurred by him by reason of his having infringed copyright by making or authorising the making of reprographic copies of a work in circumstances within the apparent scope of his licence.
(3) The circumstances of a case are within the apparent scope of a licence if:
(a) it is not apparent from inspection of the licence and the work that it does not fall within the description of works to which the licence applies; and
(b) the licence does not expressly provide that it does not extend to copyright of the description infringed.
(4) In this section “liability” includes liability to pay costs; and this section applies in relation to costs reasonably incurred by a licensee in connection with actual or contemplated proceedings against him for infringement of copyright as it applies to sums which he is liable to pay in respect of such infringement.
(5) A scheme or licence to which this section applies may contain reasonable provision:
(a) with respect to the manner in which, and time within which, claims under the undertaking implied by this section are to be made;
(b) enabling the operator of the scheme or, as the case may be, the licensing body to take over the conduct of any proceedings affecting the amount of his liability to indemnify.
Reprographic copying by educational establishments
137.- Power to extend coverage of scheme or licence.
(1) This section applies to:
(a) a licensing scheme to which sections 118 to 123 apply (see section 117) and which is operated by a licensing body, or
(b) a licence to which sections 125 to 128 apply (see section 124),so far as it provides for the grant of licences, or is a licence, authorising the making by or on behalf of educational establishments for the purposes of instruction of reprographic copies of published literary, dramatic, musical or artistic works, or of the typographical arrangement of published editions.
(2) If it appears to the Secretary of State with respect to a scheme or licence to which this section applies that:
(a) works of a description similar to those covered by the scheme or licence are unreasonably excluded from it, and
(b) making them subject to the scheme or licence would not conflict with the normal exploitation of the works or unreasonably prejudice the legitimate interests of the copyright owners,he may by order provide that the scheme or licence shall extend to those works.
(3) Where he proposes to make such an order, the Secretary of State shall give notice of the proposal to:
(a) the copyright owners,
(b) the licensing body in question, and
(c) such persons or organisations representative of educational establishments, and such other persons or organisations, as the Secretary of State thinks fit.
(4) The notice shall inform those persons of their right to make written or oral representations to the Secretary of State about the proposal within six months from the date of the notice; and if any of them wishes to make oral representations, the Secretary of State shall appoint a person to hear the representations and report to him.
(5) In considering whether to make an order the Secretary of State shall take into account any representations made to him in accordance with subsection (4), and such other matters as appear to him to be relevant.
138.- Variation or discharge of order extending scheme or licence.
(1) The owner of the copyright in a work in respect of which an order is in force under section 137 may apply to the Secretary of State for the variation or discharge of the order, stating his reasons for making the application.
(2) The Secretary of State shall not entertain an application made within two years of the making of the original order, or of the making of an order on a previous application under this section, unless it appears to him that the circumstances are exceptional.
(3) On considering the reasons for the application the Secretary of State may confirm the order forthwith; if he does not do so, he shall give notice of the application to:
(a) the licensing body in question, and
(b) such persons or organisations representative of educational establishments, and such other persons or organisations, as he thinks fit.
(4) The notice shall inform those persons of their right to make written or oral representations to the Secretary of State about the application within the period of two months from the date of the notice; and if any of them wishes to make oral representations, the Secretary of State shall appoint a person to hear the representations and report to him.
(5) In considering the application the Secretary of State shall take into account the reasons for the application, any representations made to him in accordance with subsection (4), and such other matters as appear to him to be relevant.
(6) The Secretary of State may make such order as he thinks fit confirming or discharging the order (or, as the case may be, the order as previously varied), or varying (or further varying) it so as to exclude works from it.
139.- Appeals against orders.
(1) The owner of the copyright in a work which is the subject of an order under section 137 (order extending coverage of scheme or licence) may appeal to the Copyright Tribunal which may confirm or discharge the order, or vary it so as to exclude works from it, as it thinks fit having regard to the considerations mentioned in subsection (2) of that section.
(2) Where the Secretary of State has made an order under section 138 (order confirming, varying or discharging order extending coverage of scheme or licence):
(a) the person who applied for the order, or
(b) any person or organisation representative of educational establishments who was given notice of the application for the order and made representations in accordance with subsection (4) of that section,may appeal to the Tribunal which may confirm or discharge the order or make any other order which the Secretary of State might have made.
(3) An appeal under this section shall be brought within six weeks of the making of the order or such further period as the Tribunal may allow.
(4) An order under section 137 or 138 shall not come into effect until the end of the period of six weeks from the making of the order or, if an appeal is brought before the end of that period, until the appeal proceedings are disposed of or withdrawn.
(5) If an appeal is brought after the end of that period, any decision of the Tribunal on the appeal does not affect the validity of anything done in reliance on the order appealed against before that decision takes effect.
140.- Inquiry whether new scheme or general licence required.
(1) The Secretary of State may appoint a person to inquire into the question whether new provision is required (whether by way of a licensing scheme or general licence) to authorise the making by or on behalf of educational establishments for the purposes of instruction of reprographic copies of:
(a) published literary, dramatic, musical or artistic works, or
(b) the typographical arrangement of published editions,of a description which appears to the Secretary of State not to be covered by an existing licensing scheme or general licence and not to fall within the power conferred by section 137 (power to extend existing schemes and licences to similar works).
(2) The procedure to be followed in relation to an inquiry shall be such as may be prescribed by regulations made by the Secretary of State.
(3) The regulations shall, in particular, provide for notice to be given to:
(a) persons or organisations appearing to the Secretary of State to represent the owners of copyright in works of that description, and
(b) persons or organisations appearing to the Secretary of State to represent educational establishments,and for the making of written or oral representations by such persons; but without prejudice to the giving of notice to, and the making of representations by, other persons and organisations.
(4) The person appointed to hold the inquiry shall not recommend the making of new provision unless he is satisfied:
(a) that it would be of advantage to educational establishments to be authorised to make reprographic copies of the works in question, and
(b) that making those works subject to a licensing scheme or general licence would not conflict with the normal exploitation of the works or unreasonably prejudice the legitimate interests of the copyright owners.
(5) If he does recommend the making of new provision he shall specify any terms, other than terms as to charges payable, on which authorisation under the new provision should be available.
(6) Regulations under this section shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
(7) In this section (and section 141) a “general licence” means a licence granted by a licensing body which covers all works of the description to which it applies.
141.- Statutory licence where recommendation not implemented.
(1) The Secretary of State may, within one year of the making of a recommendation under section 140 by order provide that if, or to the extent that, provision has not been made in accordance with the recommendation, the making by or on behalf of an educational establishment, for the purposes of instruction, of reprographic copies of the works to which the recommendation relates shall be treated as licensed by the owners of the copyright in the works.
(2) For that purpose provision shall be regarded as having been made in accordance with the recommendation if:
(a) a certified licensing scheme has been established under which a licence is available to the establishment in question, or
(b) a general licence has been:
(i) granted to or for the benefit of that establishment, or
(ii) referred by or on behalf of that establishment to the Copyright Tribunal under section 125 (reference of terms of proposed licence), or
(iii) offered to or for the benefit of that establishment and refused without such a reference,and the terms of the scheme or licence accord with the recommendation.
(3) The order shall also provide that any existing licence authorising the making of such copies (not being a licence granted under a certified licensing scheme or a general licence) shall cease to have effect to the extent that it is more restricted or more onerous than the licence provided for by the order.
(4) The order shall provide for the licence to be free of royalty but, as respects other matters, subject to any terms specified in the recommendation and to such other terms as the Secretary of State may think fit.
(5) The order may provide that where a copy which would otherwise be an infringing copy is made in accordance with the licence provided by the order but is subsequently dealt with, it shall be treated as an infringing copy for the purposes of that dealing, and if that dealing infringes copyright for all subsequent purposes.In this subsection “dealt with” means sold or let for hire, offered or exposed for sale or hire, or exhibited in public.
(6) The order shall not come into force until at least six months after it is made.
(7) An order may be varied from time to time, but not so as to include works other than those to which the recommendation relates or remove any terms specified in the recommendation, and may be revoked.
(8) An order under this section shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
(9) In this section a “certified licensing scheme” means a licensing scheme certified for the purposes of this section under section 143.
F335 [ Royalty or other sum payable for lending of certain works ]
142.- [F336 Royalty or other sum payable for lending of certain works.]
(1) An application to settle the royalty or other sum payable in pursuance of section 66 (lending of copies of certain copyright works) may be made to the Copyright Tribunal by the copyright owner or the person claiming to be treated as licensed by him.
(2) (2) The Tribunal shall consider the matter and make such order as it may determine to be reasonable in the circumstances.
(3) Either party may subsequently apply to the Tribunal to vary the order, and the Tribunal shall consider the matter and make such order confirming or varying the original order as it may determine to be reasonable in the circumstances.
(4) An application under subsection (3) shall not, except with the special leave of the Tribunal, be made within twelve months from the date of the original order or of the order on a previous application under that subsection.
(5) An order under subsection (3) has effect from the date on which it is made or such later date as may be specified by the Tribunal.
Certification of licensing schemes
143.- Certification of licensing schemes.
(1) A person operating or proposing to operate a licensing scheme may apply to the Secretary of State to certify the scheme for the purposes of:
F337
(a). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(b) section 60 (abstracts of scientific or technical articles),
[F338(c) section 66 (lending to public of copies of certain works),]
F339
(d). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(e) section 141 (reprographic copying of published works by educational establishments).
(2) The Secretary of State shall by order made by statutory instrument certify the scheme if he is satisfied that it:
(a) enables the works to which it relates to be identified with sufficient certainty by persons likely to require licences, and
(b) sets out clearly the charges (if any) payable and the other terms on which licences will be granted.
(3) The scheme shall be scheduled to the order and the certification shall come into operation for the purposes of section F340… 60, 66F341… or 141, as the case may be:
(a) on such date, not less than eight weeks after the order is made, as may be specified in the order, or
(b) if the scheme is the subject of a reference under section 118 (reference of proposed scheme), any later date on which the order of the Copyright Tribunal under that section comes into force or the reference is withdrawn.
(4) A variation of the scheme is not effective unless a corresponding amendment of the order is made; and the Secretary of State shall make such an amendment in the case of a variation ordered by the Copyright Tribunal on a reference under section 118, 119 or 120, and may do so in any other case if he thinks fit.
(5) The order shall be revoked if the scheme ceases to be operated and may be revoked if it appears to the Secretary of State that it is no longer being operated according to its terms.
Powers exercisable in consequence of competition report
144.- Powers exercisable in consequence of report of [F342Competition and Markets Authority].
[F343(1)Subsection (1A) applies where whatever needs to be remedied, mitigated or prevented by the Secretary of State [F344or (as the case may be) the Competition and Markets Authority] under section 12(5) of the Competition Act 1980 or section 41(2), 55(2), 66(6), 75(2), 83(2), 138(2), 147(2)[F345, 147A(2)] or 160(2) of, or paragraph 5(2) or 10(2) of Schedule 7 to, the Enterprise Act 2002 (powers to take remedial action following references to the [F346Competition and Markets Authority] in connection with public bodies and certain other persons, mergers or market investigations) consists of or includes:
(a)conditions in licences granted by the owner of copyright in a work restricting the use of the work by the licensee or the right of the copyright owner to grant other licences; or
(b) a refusal of a copyright owner to grant licences on reasonable terms.
(1A) The powers conferred by Schedule 8 to the Enterprise Act 2002 include power to cancel or modify those conditions and, instead or in addition, to provide that licences in respect of the copyright shall be available as of right.
(2) The references to anything permitted by Schedule 8 to the Enterprise Act 2002 in section 12(5A) of the Competition Act 1980 and in sections 75(4)(a), 83(4)(a), 84(2)(a), 89(1), 160(4)(a), 161(3)(a) and 164(1) of, and paragraphs 5, 10 and 11 of Schedule 7 to, the Act of 2002 shall be construed accordingly.]
(2) The references in sections 56(2) and 73(2) of that Act, and [F347section] 12(5) of the M11Competition Act 1980, to the powers specified in that Part of that Schedule shall be construed accordingly.
(3) [F348The Secretary of State [F349or (as the case may be) the Competition and Markets Authority]] shall only exercise the powers available by virtue of this section if he [F350or it] is satisfied that to do so does not contravene any Convention relating to copyright to which the United Kingdom is a party.
(4) The terms of a licence available by virtue of this section shall, in default of agreement, be settled by the Copyright Tribunal on an application by the person requiring the licence; and terms so settled shall authorise the licensee to do everything in respect of which a licence is so available.
(5) Where the terms of a licence are settled by the Tribunal, the licence has effect from the date on which the application to the Tribunal was made.
[F351 Compulsory collective administration of certain rights][F352144A.- Collective exercise of certain rights in relation to cable re-transmission.
(1) This section applies to the right of the owner of copyright in a literary, dramatic, musical or artistic work, sound recording or film to grant or refuse authorisation for cable re-transmission of a [F353wireless] broadcast from another EEA F354. . . state in which the work is included. That right is referred to below as “cable re-transmission right”.
(2) Cable re-transmission right may be exercised against a cable operator only through a licensing body.
(3) Where a copyright owner has not transferred management of his cable re-transmission right to a licensing body, the licensing body which manages rights of the same category shall be deemed to be mandated to manage his right. Where more than one licensing body manages rights of that category, he may choose which of them is deemed to be mandated to manage his right.
(4) A copyright owner to whom subsection (3) applies has the same rights and obligations resulting from any relevant agreement between the cable operator and the licensing body as have copyright owners who have transferred management of their cable re-transmission right to that licensing body.
(5) Any rights to which a copyright owner may be entitled by virtue of subsection (4) must be claimed within the period of three years beginning with the date of the cable re-transmission concerned.
(6) This section does not affect any rights exercisable by the maker of the broadcast, whether in relation to the broadcast or a work included in it.
[F355(7) In this section:
“ cable operator ” means a person responsible for cable re-transmission of a wireless broadcast; and
“ cable re-transmission ” means the reception and immediate re-transmission by cable, including the transmission of microwave energy between terrestrial fixed points, of a wireless broadcast. ]]
Chapter VIII.- The Copyright Tribunal
The Tribunal
145.- The Copyright Tribunal.
(1) The Tribunal established under section 23 of the M12Copyright Act 1956 is renamed the Copyright Tribunal.
(2) The Tribunal shall consist of a chairman and two deputy chairmen appointed by the Lord Chancellor, after consultation with the Lord Advocate, and not less than two or more than eight ordinary members appointed by the Secretary of State.
(3) A person is not eligible for appointment as chairman or deputy chairman [F356unless:
[F357(a) he satisfies the judicial-appointment eligibility condition on a 5-year basis;]
(b) he is an advocate or solicitor in Scotland of at least [F3585] years’ standing;
(c) he is a member of the Bar of Northern Ireland or [F359solicitor of the Court of Judicature of Northern Ireland] of at least [F3585] years’ standing; or
(d) he has held judicial office.]
146.- Membership of the Tribunal.
(1) The members of the Copyright Tribunal shall hold and vacate office in accordance with their terms of appointment, subject to the following provisions.
(2) A member of the Tribunal may resign his office by notice in writing to the Secretary of State or, in the case of the chairman or a deputy chairman, to the Lord Chancellor.
(3) The Secretary of State or, in the case of the chairman or a deputy chairman, the Lord Chancellor may by notice in writing to the member concerned remove him from office if:
(a) he has become bankrupt or made an arrangement with his creditors or, in Scotland, his estate has been sequestrated or he has executed a trust deed for his creditors or entered into a composition contract, or
(b) he is incapacitated by physical or mental illness,or if he is in the opinion of the Secretary of State or, as the case may be, the Lord Chancellor otherwise unable or unfit to perform his duties as member.
[F360(3A) A person who is the chairman or a deputy chairman of the Tribunal shall vacate his office on the day on which he attains the age of 70 years; but this subsection is subject to section 26(4) to (6) of the Judicial Pensions and Retirement Act 1993 (power to authorise continuance in office up to the age of 75 years).]
(4) If a member of the Tribunal is by reason of illness, absence or other reasonable cause for the time being unable to perform the duties of his office, either generally or in relation to particular proceedings, a person may be appointed to discharge his duties for a period not exceeding six months at one time or, as the case may be, in relation to those proceedings.
(5) The appointment shall be made:
(a) in the case of the chairman or deputy chairman, by the Lord Chancellor, who shall appoint a person who would be eligible for appointment to that office, and
(b) in the case of an ordinary member, by the Secretary of State;and a person so appointed shall have during the period of his appointment, or in relation to the proceedings in question, the same powers as the person in whose place he is appointed.
(6) The Lord Chancellor shall consult the Lord Advocate before exercising his powers under this section.
[F361(7) The Lord Chancellor may exercise his powers to remove a person under subsection (3) or to appoint a person under subsection (4) only with the concurrence of the appropriate senior judge.
(8) The appropriate senior judge is the Lord Chief Justice of England and Wales, unless:
(a) the person to be removed exercises functions [F362, or the person to be appointed is to exercise functions,] wholly or mainly in Scotland, in which case it is the Lord President of the Court of Session, or
(b) the person to be removed exercises functions [F362, or the person to be appointed is to exercise functions,] wholly or mainly in Northern Ireland, in which case it is the Lord Chief Justice of Northern Ireland.
(9) The Lord Chief Justice of England and Wales may nominate a judicial office holder (as defined in section 109(4) of the Constitutional Reform Act 2005) to exercise his functions under subsection (7) in relation to the appointment of a person under subsection (4).
(10) The Lord President of the Court of Session may nominate a judge of the Court of Session who is a member of the First or Second Division of the Inner House of that Court to exercise his functions under subsection (7) in relation to the appointment of a person under subsection (4).
(11) The Lord Chief Justice of Northern Ireland may nominate any of the following to exercise his functions under subsection (7) in relation to the appointment of a person under subsection (4):
(a) the holder of one of the offices listed in Schedule 1 to the Justice (Northern Ireland) Act 2002;
(b) a Lord Justice of Appeal (as defined in section 88 of that Act).]
147.- Financial provisions.
(1) There shall be paid to the members of the Copyright Tribunal such remuneration (whether by way of salaries or fees), and such allowances, as the Secretary of State with the approval of the Treasury may determine.
(2) The Secretary of State may appoint such staff for the Tribunal as, with the approval of the Treasury as to numbers and remuneration, he may determine.
(3) The remuneration and allowances of members of the Tribunal, the remuneration of any staff and such other expenses of the Tribunal as the Secretary of State with the approval of the Treasury may determine shall be paid out of money provided by Parliament.
148.- Constitution for purposes of proceedings.
(1) For the purposes of any proceedings the Copyright Tribunal shall consist of:
(a) a chairman, who shall be either the chairman or a deputy chairman of the Tribunal, and
(b) two or more ordinary members.
(2) If the members of the Tribunal dealing with any matter are not unanimous, the decision shall be taken by majority vote; and if, in such a case, the votes are equal the chairman shall have a further, casting vote.
(3) Where part of any proceedings before the Tribunal has been heard and one or more members of the Tribunal are unable to continue, the Tribunal shall remain duly constituted for the purpose of those proceedings so long as the number of members is not reduced to less than three.
(4) If the chairman is unable to continue, the chairman of the Tribunal shall:
(a) appoint one of the remaining members to act as chairman, and
(b) appoint a suitably qualified person to attend the proceedings and advise the members on any questions of law arising.
(5) A person is “suitably qualified” for the purposes of subsection (4)(b) if he is, or is eligible for appointment as, a deputy chairman of the Tribunal.
Jurisdiction and procedure
149.- Jurisdiction of the Tribunal.
[F363 The Copyright Tribunal has jurisdiction under this Part] to hear and determine proceedings under:F364(za). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F365 [( zb )section 93C (application to determine amount of equitable remuneration under section 93B);]
(a) section 118, 119, or 120 (reference of licensing scheme);
(b) section 121 or 122 (application with respect to entitlement to licence under licensing scheme);
(c) section 125, 126 or 127 (reference or application with respect to licensing by licensing body);
[F366(ca) section 128B (reference by the Secretary of State under section 128A);][F367(cc) section 135D or 135E (application or reference with respect to use as of right of sound recordings in broadcasts F368 . . . ); ](d) section 139 (appeal against order as to coverage of licensing scheme or licence);
(e) section 142 (application to settle royalty or other sum payable for [F369lending of certain works];
(f) section 144(4) (application to settle terms of copyright licence available as of right);
[F370(fa) paragraph 7 of Schedule ZA1 (application to determine compensation for use of orphan works).]F371(g). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F371(h). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
150.- General power to make rules.
(1) The Lord Chancellor may, after consultation with the Lord Advocate, make rules for regulating proceedings before the Copyright Tribunal and, subject to the approval of the Treasury, as to the fees chargeable in respect of such proceedings.
F372[
(2) The rules may apply in relation to the Tribunal, as respects proceedings in England and Wales or Northern Ireland, any of the provisions of Part I of the Arbitration Act 1996.]
(3) Provision shall be made by the rules:
(a) prohibiting the Tribunal from entertaining a reference under section 118, 119 or 120 by a representative organisation unless the Tribunal is satisfied that the organisation is reasonably representative of the class of persons which it claims to represent;
(b) specifying the parties to any proceedings and enabling the Tribunal to make a party to the proceedings any person or organisation satisfying the Tribunal that they have a substantial interest in the matter; and
(c) requiring the Tribunal to give the parties to proceedings an opportunity to state their case, in writing or orally as the rules may provide.
(4) The rules may make provision for regulating or prescribing any matters incidental to or consequential upon any appeal from the Tribunal under section 152 (appeal to the court on point of law).
(5) Rules under this section shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
151.- Costs, proof of orders, &c.
(1) The Copyright Tribunal may order that the costs of a party to proceedings before it shall be paid by such other party as the Tribunal may direct; and the Tribunal may tax or settle the amount of the costs, or direct in what manner they are to be taxed.
(2) A document purporting to be a copy of an order of the Tribunal and to be certified by the chairman to be a true copy shall, in any proceedings, be sufficient evidence of the order unless the contrary is proved.
(3) As respect proceedings in Scotland, the Tribunal has the like powers for securing the attendance of witnesses and the production of documents, and with regard to the examination of witnesses on oath, as an arbiter under a submission.
[F373151A.- Award of interest.
(1) Any of the following, namely:
(a) a direction under section 123(3) so far as relating to a licence for [F374communicating a work to the public];
(b) a direction under section 128(3) so far as so relating;
(c) an order under section 135D(1); and
(d) an order under section 135F confirming or varying an order under section 135D(1),may award simple interest at such rate and for such period, beginning not earlier than the relevant date and ending not later than the date of the order, as the Copyright Tribunal thinks reasonable in the circumstances.
(2) In this section “ the relevant date ” means:
(a) in relation to a direction under section 123(3), the date on which the reference was made;
(b) in relation to a direction under section 128(3), the date on which the reference or application was made;
(c) in relation to an order section 135D(1), the date on which the first payment under section 135C(2) became due; and
(d) in relation to an order under section 135F, the date on which the application was made.]
Appeals
152.- Appeal to the court on point of law.
(1) An appeal lies on any point of law arising from a decision of the Copyright Tribunal to the High Court or, in the case of proceedings of the Tribunal in Scotland, to the Court of Session.
(2) Provision shall be made by rules under section 150 limiting the time within which an appeal may be brought.
(3) Provision may be made by rules under that section:
(a) for suspending, or authorising or requiring the Tribunal to suspend, the operation of orders of the Tribunal in cases where its decision is appealed against;
(b) for modifying in relation to an order of the Tribunal whose operation is suspended the operation of any provision of this Act as to the effect of the order;
(c) for the publication of notices or the taking of other steps for securing that persons affected by the suspension of an order of the Tribunal will be informed of its suspension.
Chapter IX.- Qualification for and Extent of Copyright Protection
Qualification for copyright protection
153.- Qualification for copyright protection.
(1) Copyright does not subsist in a work unless the qualification requirements of this Chapter are satisfied as regards:
(a) the author (see section 154), or
(b) the country in which the work was first published (see section 155), or
(c) in the case of a broadcast F375. . . , the country from which the broadcast was made F375. . . (see section 156).
(2) Subsection (1) does not apply in relation to Crown copyright or Parliamentary copyright (see sections 163 to [F376166D]) or to copyright subsisting by virtue of section 168 (copyright of certain international organisations).
(3) If the qualification requirements of this Chapter, or section 163, 165 or 168, are once satisfied in respect of a work, copyright does not cease to subsist by reason of any subsequent event.
154.- Qualification by reference to author.
(1) A work qualifies for copyright protection if the author was at the material time a qualifying person, that is:
(a) a British citizen, [F377a national of another EEA state,] a British Dependent Territories citizen, a British National (Overseas), a British Overseas citizen, a British subject or a British protected person within the meaning of the M13British Nationality Act 1981, or
[F378(b) an individual domiciled or resident in the United Kingdom or another EEA state or in the Channel Islands, the Isle of Man or Gibraltar or in a country to which the relevant provisions of this Part extend,] or
[F379(c) a body incorporated under the law of a part of the United Kingdom or another EEA state or of the Channel Islands, the Isle of Man or Gibraltar or of a country to which the relevant provisions of this Part extend.]
(2) Where, or so far as, provision is made by Order under section 159 (application of this Part to countries to which it does not extend), a work also qualifies for copyright protection if at the material time the author was a citizen or subject of, an individual domiciled or resident in, or a body incorporated under the law of, a country to which the Order relates.
(3) A work of joint authorship qualifies for copyright protection if at the material time any of the authors satisfies the requirements of subsection (1) or (2); but where a work qualifies for copyright protection only under this section, only those authors who satisfy those requirements shall be taken into account for the purposes of:
section 11(1) and (2) (first ownership of copyright; entitlement of author or author’s employer),
[F380 section 12 (duration of copyright), and section 9(4) (meaning of “unknown authorship”) so far as it applies for the purposes of section 12, and]section 57 (anonymous or pseudonymous works: acts permitted on assumptions as to expiry of copyright or death of author).
(4) The material time in relation to a literary, dramatic, musical or artistic work is:
(a) in the case of an unpublished work, when the work was made or, if the making of the work extended over a period, a substantial part of that period;
(b) in the case of a published work, when the work was first published or, if the author had died before that time, immediately before his death.
(5) The material time in relation to other descriptions of work is as follows:
(a) in the case of a sound recording or film, when it was made;
(b) in the case of a broadcast, when the broadcast was made;
(c)F381. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(d) in the case of the typographical arrangement of a published edition, when the edition was first published.
155.- Qualification by reference to country of first publication.
(1) A literary, dramatic, musical or artistic work, a sound recording or film, or the typographical arrangement of a published edition, qualifies for copyright protection if it is first published:
(a) in the United Kingdom[F382, another EEA state, the Channel Islands, the Isle of Man or Gibraltar], or
(b) in [F383a country] to which the relevant provisions of this Part extend.
(2) Where, or so far as, provision is made by Order under section 159 (application of this Part to countries to which it does not extend), such a work also qualifies for copyright protection if it is first published in a country to which the Order relates.
(3) For the purposes of this section, publication in one country shall not be regarded as other than the first publication by reason of simultaneous publication elsewhere; and for this purpose publication elsewhere within the previous 30 days shall be treated as simultaneous.
156.- Qualification by reference to place of transmission.
(1) F384A broadcast qualifies for copyright protection if it is made from . . . a place in:
(a) the United Kingdom[F385, another EEA state, the Channel Islands, the Isle of Man or Gibraltar], or
(b)[F386a country] to which the relevant provisions of this Part extend.
(2) Where, or so far as, provision is made by Order under section 159 (application of this Part to countries to which it does not extend), a broadcast F384. . . also qualifies for copyright protection if it is made from F384. . . a place in a country to which the Order relates.
Extent and application of this Part
157.- Countries to which this Part extends.
(1) This Part extends to England and Wales, Scotland and Northern Ireland.
(2) Her Majesty may by Order in Council direct that this Part shall extend, subject to such exceptions and modifications as may be specified in the Order, to:
(a) any of the Channel Islands,
(b) the Isle of Man, or
(c) any colony.
(3) That power includes power to extend, subject to such exceptions and modifications as may be specified in the Order, any Order in Council made under the following provisions of this Chapter.
(4) The legislature of a country to which this Part has been extended may modify or add to the provisions of this Part, in their operation as part of the law of that country, as the legislature may consider necessary to adapt the provisions to the circumstances of that country:
(a) as regards procedure and remedies, or
(b) as regards works qualifying for copyright protection by virtue of a connection with that country.
(5) Nothing in this section shall be construed as restricting the extent of paragraph 36 of Schedule 1 (transitional provisions: dependent territories where the M14Copyright Act 1956 or the M15Copyright Act 1911 remains in force) in relation to the law of a dependent territory to which this Part does not extend.
158.- Countries ceasing to be colonies.
(1) The following provisions apply where a country to which this Part has been extended ceases to be a colony of the United Kingdom.
(2) As from the date on which it ceases to be a colony it shall cease to be regarded as a country to which this Part extends for the purposes of:
(a) section 160(2)(a) (denial of copyright protection to citizens of countries not giving adequate protection to British works), and
(b) sections 163 and 165 (Crown and Parliamentary copyright).
(3) But it shall continue to be treated as a country to which this Part extends for the purposes of sections 154 to 156 (qualification for copyright protection) until:
(a) an Order in Council is made in respect of that country under section 159 (application of this Part to countries to which it does not extend), or
(b) an Order in Council is made declaring that it shall cease to be so treated by reason of the fact that the provisions of this Part as part of the law of that country have been repealed or amended.
(4) A statutory instrument containing an Order in Council under subsection (3)(b) shall be subject to annulment in pursuance of a resolution of either House of Parliament.
[F387159.- Application of this Part to countries to which it does not extend
(1) Where a country is a party to the Berne Convention or a member of the World Trade Organisation, this Part, so far as it relates to literary, dramatic, musical and artistic works, films and typographical arrangements of published editions:
(a) applies in relation to a citizen or subject of that country or a person domiciled or resident there as it applies in relation to a person who is a British citizen or is domiciled or resident in the United Kingdom,
(b) applies in relation to a body incorporated under the law of that country as it applies in relation to a body incorporated under the law of a part of the United Kingdom, and
(c) applies in relation to a work first published in that country as it applies in relation to a work first published in the United Kingdom.
(2) Where a country is a party to the Rome Convention, this Part, so far as it relates to sound recordings and broadcasts:
(a) applies in relation to that country as mentioned in paragraphs (a), (b) and (c) of subsection (1), and
(b) applies in relation to a broadcast made from that country as it applies to a broadcast made from the United Kingdom.
(3) Where a country is a party to the WPPT, this Part, so far as relating to sound recordings, applies in relation to that country as mentioned in paragraphs (a), (b) and (c) of subsection (1).
(4) Her Majesty may by Order in Council:
(a) make provision for the application of this Part to a country by subsection (1), (2) or (3) to be subject to specified restrictions;
(b) make provision for applying this Part, or any of its provisions, to a specified country;
(c) make provision for applying this Part, or any of its provisions, to any country of a specified description;
(d) make provision for the application of legislation to a country under paragraph (b) or (c) to be subject to specified restrictions.
(5) Provision made under subsection (4) may apply generally or in relation to such classes of works, or other classes of case, as are specified.
(6) Her Majesty may not make an Order in Council containing provision under subsection (4)(b) or (c) unless satisfied that provision has been or will be made under the law of the country or countries in question, in respect of the classes to which the provision under subsection (4)(b) or (c) relates, giving adequate protection to the owners of copyright under this Part.
(7) Application under subsection (4)(b) or (c) is in addition to application by subsections (1) to (3).
(8) Provision made under subsection (4)(c) may cover countries that become (or again become) of the specified description after the provision comes into force.
(9) In this section:
“the Berne Convention” means any Act of the International Convention for the Protection of Literary and Artistic Works signed at Berne on 9 September 1886;
“the Rome Convention” means the International Convention for the Protection of Performers, Producers of Phonograms and Broadcasting Organisations done at Rome on 26 October 1961;
“the WPPT” means the World Intellectual Property Organisation Performances and Phonograms Treaty adopted in Geneva on 20 December 1996.
(10) A statutory instrument containing an Order in Council under this section is subject to annulment in pursuance of a resolution of either House of Parliament.]
160.- Denial of copyright protection to citizens of countries not giving adequate protection to British works.
(1) If it appears to Her Majesty that the law of a country fails to give adequate protection to British works to which this section applies, or to one or more classes of such works, Her Majesty may make provision by Order in Council in accordance with this section restricting the rights conferred by this Part in relation to works of authors connected with that country.
(2) An Order in Council under this section shall designate the country concerned and provide that, for the purposes specified in the Order, works first published after a date specified in the Order shall not be treated as qualifying for copyright protection by virtue of such publication if at that time the authors are:
(a) citizens or subjects of that country (not domiciled or resident in the United Kingdom or another country to which the relevant provisions of this Part extend), or
(b) bodies incorporated under the law of that country;and the Order may make such provision for all the purposes of this Part or for such purposes as are specified in the Order, and either generally or in relation to such class of cases as are specified in the Order, having regard to the nature and extent of that failure referred to in subsection (1).
(3) This section applies to literary, dramatic, musical and artistic works, sound recordings and films; and “British works” means works of which the author was a qualifying person at the material time within the meaning of section 154.
(4)A statutory instrument containing an Order in Council under this section shall be subject to annulment in pursuance of a resolution of either House of Parliament.
Supplementary
161.- Territorial waters and the continental shelf.
(1) For the purposes of this Part the territorial waters of the United Kingdom shall be treated as part of the United Kingdom.
(2) This Part applies to things done in the United Kingdom sector of the continental shelf on a structure or vessel which is present there for purposes directly connected with the exploration of the sea bed or subsoil or the exploitation of their natural resources as it applies to things done in the United Kingdom.
(3) The United Kingdom sector of the continental shelf means the areas designated by order under section 1(7) of the M16Continental Shelf Act 1964.
162.- British ships, aircraft and hovercraft.
(1) This Part applies to things done on a British ship, aircraft or hovercraft as it applies to things done in the United Kingdom.
(2) In this section:
“British ship” means a ship which is a British ship for the purposes of the [F388Merchant Shipping Act 1995] otherwise than by virtue of registration in a country outside the United Kingdom; and
“British aircraft” and “British hovercraft” mean an aircraft or hovercraft registered in the United Kingdom.
Chapter X.- Miscellaneous and General
Crown and Parliamentary copyright
163.- Crown copyright.
(1) Where a work is made by Her Majesty or by an officer or servant of the Crown in the course of his duties:
(a) the work qualifies for copyright protection notwithstanding section 153(1) (ordinary requirement as to qualification for copyright protection), and
(b) Her Majesty is the first owner of any copyright in the work.
(1A) F389. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(2) Copyright in such a work is referred to in this Part as “Crown copyright”, notwithstanding that it may be, or have been, assigned to another person.
(3) Crown copyright in a literary, dramatic, musical or artistic work continues to subsist:
(a) until the end of the period of 125 years from the end of the calendar year in which the work was made, or
(b) if the work is published commercially before the end of the period of 75 years from the end of the calendar year in which it was made, until the end of the period of 50 years from the end of the calendar year in which it was first so published.
(4) In the case of a work of joint authorship where one or more but not all of the authors are persons falling within subsection (1), this section applies only in relation to those authors and the copyright subsisting by virtue of their contribution to the work.
(5) Except as mentioned above, and subject to any express exclusion elsewhere in this Part, the provisions of this Part apply in relation to Crown copyright as to other copyright.
(6) This section does not apply to a work if, or to the extent that, Parliamentary copyright subsists in the work (see sections 165 [F390to [F391166D]]).
164.- Copyright in Acts and Measures.
(1) Her Majesty is entitled to copyright in every Act of Parliament [F392Act of the Scottish Parliament][F393, [F394Measure of the National Assembly for Wales, Act of the National Assembly for Wales,] Act of the Northern Ireland Assembly] or Measure of the General Synod of the Church of England.
(2) The copyright subsists
[F395(a) in the case of an Act or a Measure of the General Synod of the Church of England, until the end of the period of 50 years from the end of the calendar year in which Royal Assent was given, and
(b) in the case of a Measure of the National Assembly for Wales, until the end of the period of 50 years from the end of the calendar year in which the Measure was approved by Her Majesty in Council.]
(3) References in this Part to Crown copyright (except in section 163) include copyright under this section; and, except as mentioned above, the provisions of this Part apply in relation to copyright under this section as to other Crown copyright.
(4) No other copyright, or right in the nature of copyright, subsists in an Act or Measure.
165.- Parliamentary copyright.
(1) Where a work is made by or under the direction or control of the House of Commons or the House of Lords:
(a) the work qualifies for copyright protection notwithstanding section 153(1) (ordinary requirement as to qualification for copyright protection), and
(b) the House by whom, or under whose direction or control, the work is made is the first owner of any copyright in the work, and if the work is made by or under the direction or control of both Houses, the two Houses are joint first owners of copyright.
(2) Copyright in such a work is referred to in this Part as “Parliamentary copyright”, notwithstanding that it may be, or have been, assigned to another person.
(3) Parliamentary copyright in a literary, dramatic, musical or artistic work continues to subsist until the end of the period of 50 years from the end of the calendar year in which the work was made.
(4) For the purposes of this section, works made by or under the direction or control of the House of Commons or the House of Lords include:
(a) any work made by an officer or employee of that House in the course of his duties, and
(b) any sound recording, film [F396or live broadcast] of the proceedings of that House;but a work shall not be regarded as made by or under the direction or control of either House by reason only of its being commissioned by or on behalf of that House.
(5) In the case of a work of joint authorship where one or more but not all of the authors are acting on behalf of, or under the direction or control of, the House of Commons or the House of Lords, this section applies only in relation to those authors and the copyright subsisting by virtue of their contribution to the work.
(6) Except as mentioned above, and subject to any express exclusion elsewhere in this Part, the provisions of this Part apply in relation to Parliamentary copyright as to other copyright.
(7) The provisions of this section also apply, subject to any exceptions or modifications specified by Order in Council, to works made by or under the direction or control of any other legislative body of a country to which this Part extends; and references in this Part to “Parliamentary copyright” shall be construed accordingly.
(8)A statutory instrument containing an Order in Council under subsection (7) shall be subject to annulment in pursuance of a resolution of either House of Parliament.
166.- Copyright in Parliamentary Bills.
(1) Copyright in every Bill introduced into Parliament belongs, in accordance with the following provisions, to one or both of the Houses of Parliament.
(2) Copyright in a public Bill belongs in the first instance to the House into which the Bill is introduced, and after the Bill has been carried to the second House to both Houses jointly, and subsists from the time when the text of the Bill is handed in to the House in which it is introduced.
(3) Copyright in a private Bill belongs to both Houses jointly and subsists from the time when a copy of the Bill is first deposited in either House.
(4) Copyright in a personal Bill belongs in the first instance to the House of Lords, and after the Bill has been carried to the House of Commons to both Houses jointly, and subsists from the time when it is given a First Reading in the House of Lords.
(5) Copyright under this section ceases:
(a) on Royal Assent, or
(b) if the Bill does not receive Royal Assent, on the withdrawal or rejection of the Bill or the end of the Session:
Provided that, copyright in a Bill continues to subsist notwithstanding its rejection in any Session by the House of Lords if, by virtue of the Parliament Acts 1911 and 1949, it remains possible for it to be presented for Royal Assent in that Session.
(6) References in this Part to Parliamentary copyright (except in section 165) include copyright under this section; and, except as mentioned above, the provisions of this Part apply in relation to copyright under this section as to other Parliamentary copyright.
(7) No other copyright, or right in the nature of copyright, subsists in a Bill after copyright has once subsisted under this section; but without prejudice to the subsequent operation of this section in relation to a Bill which, not having passed in one Session, is reintroduced in a subsequent Session.
[F397166A.- Copyright in Bills of the Scottish Parliament.
(1) Copyright in every Bill introduced into the Scottish Parliament belongs to the Scottish Parliamentary Corporate Body.
(2) Copyright under this section subsists from the time when the text of the Bill is handed in to the Parliament for introduction:
(a) until the Bill receives Royal Assent, or
(b) if the Bill does not receive Royal Assent, until it is withdrawn or rejected or no further parliamentary proceedings may be taken in respect of it.
(3) References in this Part to Parliamentary copyright (except in section 165) include copyright under this section; and, except as mentioned above, the provisions of this Part apply in relation to copyright under this section as to other Parliamentary copyright.
(4) No other copyright, or right in the nature of copyright, subsists in a Bill after copyright has once subsisted under this section; but without prejudice to the subsequent operation of this section in relation to a Bill which, not having received Royal Assent, is later reintroduced into the Parliament.][F398
166B.- Copyright in Bills of the Northern Ireland Assembly.
(1) Copyright in every Bill introduced into the Northern Ireland Assembly belongs to the Northern Ireland Assembly Commission.
(2) Copyright under this section subsists from the time when the text of the Bill is handed in to the Assembly for introduction:
(a) until the Bill receives Royal Assent, or
(b) if the Bill does not receive Royal Assent, until it is withdrawn or rejected or no further proceedings of the Assembly may be taken in respect of it.
(3) References in this Part to Parliamentary copyright (except in section 165) include copyright under this section; and, except as mentioned above, the provisions of this Part apply in relation to copyright under this section as to other Parliamentary copyright.
(4) No other copyright, or right in the nature of copyright, subsists in a Bill after copyright has once subsisted under this section; but without prejudice to the subsequent operation of this section in relation to a Bill which, not having received Royal Assent, is later reintroduced into the Assembly.][F399
166C.- Copyright in proposed Measures of the National Assembly for Wales
(1) Copyright in every proposed Assembly Measure introduced into the National Assembly for Wales belongs to the National Assembly for Wales Commission.
(2) Copyright under this section subsists from the time when the text of the proposed Assembly Measure is handed in to the Assembly for introduction:
(a) until the proposed Assembly Measure is approved by Her Majesty in Council, or
(b) if the proposed Assembly Measure is not approved by Her Majesty in Council, until it is withdrawn or rejected or no further proceedings of the Assembly may be taken in respect of it.
(3) References in this Part to Parliamentary copyright (except in section 165) include copyright under this section; and, except as mentioned above, the provisions of this Part apply in relation to copyright under this section as to other Parliamentary copyright.
(4) No other copyright, or right in the nature of copyright, subsists in a proposed Assembly Measure after copyright has once subsisted under this section; but without prejudice to the subsequent operation of this section in relation to a proposed Assembly Measure which, not having been approved by Her Majesty in Council, is later reintroduced into the Assembly.
166D.-Copyright in Bills of the National Assembly for Wales
(1) Copyright in every Bill introduced into the National Assembly for Wales belongs to the National Assembly for Wales Commission.
(2) Copyright under this section subsists from the time when the text of the Bill is handed in to the Assembly for introduction:
(a) until the Bill receives Royal Assent, or
(b )if the Bill does not receive Royal Assent, until it is withdrawn or rejected or no further proceedings of the Assembly may be taken in respect of it.
(3) References in this Part to Parliamentary copyright (except in section 165) include copyright under this section; and, except as mentioned above, the provisions of this Part apply in relation to copyright under this section as to other Parliamentary copyright.
(4) No other copyright, or right in the nature of copyright, subsists in a Bill after copyright has once subsisted under this section; but without prejudice to the subsequent operation of this section in relation to a Bill which, not having received Royal Assent, is later reintroduced into the Assembly.]
167.- Houses of Parliament: supplementary provisions with respect to copyright.
(1) For the purposes of holding, dealing with and enforcing copyright, and in connection with all legal proceedings relating to copyright, each House of Parliament shall be treated as having the legal capacities of a body corporate, which shall not be affected by a prorogation or dissolution.
(2) The functions of the House of Commons as owner of copyright shall be exercised by the Speaker on behalf of the House; and if so authorised by the Speaker, or in case of a vacancy in the office of Speaker, those functions may be discharged by the Chairman of Ways and Means or a Deputy Chairman.
(3) For this purpose a person who on the dissolution of Parliament was Speaker of the House of Commons, Chairman of Ways and Means or a Deputy Chairman may continue to act until the corresponding appointment is made in the next Session of Parliament.
(4) The functions of the House of Lords as owner of copyright shall be exercised by the Clerk of the Parliaments on behalf of the House; and if so authorised by him, or in case of a vacancy in the office of Clerk of the Parliaments, those functions may be discharged by the Clerk Assistant or the Reading Clerk.
(5) Legal proceedings relating to copyright:
(a) shall be brought by or against the House of Commons in the name of “The Speaker of the House of Commons”; and
(b) shall be brought by or against the House of Lords in the name of “The Clerk of the Parliaments”.
Other miscellaneous provisions
168.- Copyright vesting in certain international organisations.
(1) Where an original literary, dramatic, musical or artistic work:
(a) is made by an officer or employee of, or is published by, an international organisation to which this section applies, and
(b) does not qualify for copyright protection under section 154 (qualification by reference to author) or section 155 (qualification by reference to country of first publication),copyright nevertheless subsists in the work by virtue of this section and the organisation is first owner of that copyright.
(2) The international organisations to which this section applies are those as to which Her Majesty has by Order in Council declared that it is expedient that this section should apply.
(3) Copyright of which an international organisation is first owner by virtue of this section continues to subsist until the end of the period of 50 years from the end of the calendar year in which the work was made or such longer period as may be specified by Her Majesty by Order in Council for the purpose of complying with the international obligations of the United Kingdom.
(4) An international organisation to which this section applies shall be deemed to have, and to have had at all material times, the legal capacities of a body corporate for the purpose of holding, dealing with and enforcing copyright and in connection with all legal proceedings relating to copyright.
(5) A statutory instrument containing an Order in Council under this section shall be subject to annulment in pursuance of a resolution of either House of Parliament.
169.- Folklore, &c.: anonymous unpublished works.
(1) Where in the case of an unpublished literary, dramatic, musical or artistic work of unknown authorship there is evidence that the author (or, in the case of a joint work, any of the authors) was a qualifying individual by connection with a country outside the United Kingdom, it shall be presumed until the contrary is proved that he was such a qualifying individual and that copyright accordingly subsists in the work, subject to the provisions of this Part.
(2) If under the law of that country a body is appointed to protect and enforce copyright in such works, Her Majesty may by Order in Council designate that body for the purposes of this section.
(3) A body so designated shall be recognised in the United Kingdom as having authority to do in place of the copyright owner anything, other than assign copyright, which it is empowered to do under the law of that country; and it may, in particular, bring proceedings in its own name.
(4) A statutory instrument containing an Order in Council under this section shall be subject to annulment in pursuance of a resolution of either House of Parliament.
(5) In subsection (1) a “qualifying individual” means an individual who at the material time (within the meaning of section 154) was a person whose works qualified under that section for copyright protection.
(6) This section does not apply if there has been an assignment of copyright in the work by the author of which notice has been given to the designated body; and nothing in this section affects the validity of an assignment of copyright made, or licence granted, by the author or a person lawfully claiming under him.
Transitional provisions and savings
170.- Transitional provisions and savings.
[F400(1)] Schedule 1 contains transitional provisions and savings relating to works made, and acts or events occurring, before the commencement of this Part, and otherwise with respect to the operation of the provisions of this Part.
[F401(2)The Secretary of State may by regulations amend Schedule 1 to reduce the duration of copyright in existing works which are unpublished, other than photographs or films.
(3) The regulations may provide for the copyright to expire:
(a) with the end of the term of protection of copyright laid down by Directive 2006/116/ EC or at any later time;
(b) subject to that, on the commencement of the regulations or at any later time.
(4) “Existing works” has the same meaning as in Schedule 1.
(5) Regulations under subsection (2) may:
(a) make different provision for different purposes;
(b) make supplementary or transitional provision;
(c) make consequential provision, including provision amending any enactment or subordinate legislation passed or made before that subsection comes into force.
(6) The power to make regulations under subsection (2) is exercisable by statutory instrument.
(7) A statutory instrument containing regulations under subsection (2) may not be made unless a draft of the instrument has been laid before and approved by resolution of each House of Parliament.]
171.- Rights and privileges under other enactments or the common law.
(1) Nothing in this Part affects:
(a) any right or privilege of any person under any enactment (except where the enactment is expressly repealed, amended or modified by this Act);
(b) any right or privilege of the Crown subsisting otherwise than under an enactment;
(c) any right or privilege of either House of Parliament;
(d) the right of the Crown or any person deriving title from the Crown to sell, use or otherwise deal with articles forfeited under the laws relating to customs and excise;
(e) the operation of any rule of equity relating to breaches of trust or confidence.
(2) Subject to those savings, no copyright or right in the nature of copyright shall subsist otherwise than by virtue of this Part or some other enactment in that behalf.
(3) Nothing in this Part affects any rule of law preventing or restricting the enforcement of copyright, on grounds of public interest or otherwise.
(4) Nothing in this Part affects any right of action or other remedy, whether civil or criminal, available otherwise than under this Part in respect of acts infringing any of the rights conferred by Chapter IV (moral rights).
(5) The savings in subsection (1) have effect subject to section 164(4) and section 166(7) (copyright in Acts, Measures and Bills: exclusion of other rights in the nature of copyright).
Interpretation
172.- General provisions as to construction.
(1) This Part restates and amends the law of copyright, that is, the provisions of the M17Copyright Act 1956, as amended.
(2) A provision of this Part which corresponds to a provision of the previous law shall not be construed as departing from the previous law merely because of a change of expression.
(3) Decisions under the previous law may be referred to for the purpose of establishing whether a provision of this Part departs from the previous law, or otherwise for establishing the true construction of this Part.
[F402 [F403172A.- Meaning of EEA and related expressions.
[F404(1) In this Part:
“ the EEA ” means the European Economic Area; and
“ EEA state ” means a member State, Iceland, Liechtenstein or Norway. ]]
(2) References in this Part to a person being [F405a national of an EEA State] shall be construed in relation to a body corporate as references to its being incoporated under the law of an EEA state.
(3) F406. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .]
173.- Construction of references to copyright owner.
(1) Where different persons are (whether in consequence of a partial assignment or otherwise) entitled to different aspects of copyright in a work, the copyright owner for any purpose of this Part is the person who is entitled to the aspect of copyright relevant for that purpose.
(2)Where copyright (or any aspect of copyright) is owned by more than one person jointly, references in this Part to the copyright owner are to all the owners, so that, in particular, any requirement of the licence of the copyright owner requires the licence of all of them.
174.- Meaning of “educational establishment” and related expressions.
(1) The expression “educational establishment” in a provision of this Part means:
(a) any school, and
(b) any other description of educational establishment specified for the purposes of this Part, or that provision, by order of the Secretary of State.
(2) The Secretary of State may by order provide that the provisions of this Part relating to educational establishments shall apply, with such modifications and adaptations as may be specified in the order, in relation to teachers who are employed by a [F407local authority (as defined in section 579(1) of the Education Act 1996) or (in Northern Ireland) a local education authority,] to give instruction elsewhere to pupils who are unable to attend an educational establishment.
(3) In subsection (1)(a) “school”:
(a) in relation to England and Wales, has the same meaning as in [F408the Education Act 1996];
(b) in relation to Scotland, has the same meaning as in the M18Education (Scotland) Act 1962, except that it includes an approved school within the meaning of the M19Social Work (Scotland) Act 1968; and
(c) in relation to Northern Ireland, has the same meaning as in the M20Education and Libraries (Northern Ireland) Order 1986.
(4) An order under subsection (1)(b) may specify a description of educational establishment by reference to the instruments from time to time in force under any enactment specified in the order.
(5) In relation to an educational establishment the expressions “teacher” and “pupil” in this Part include, respectively, any person who gives and any person who receives instruction.
(6) References in this Part to anything being done “on behalf of” an educational establishment are to its being done for the purposes of that establishment by any person.
(7) An order under this section shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
175.- Meaning of publication and commercial publication.
(1) In this Part “publication”, in relation to a work:
(a) means the issue of copies to the public, and
(b) includes, in the case of a literary, dramatic, musical or artistic work, making it available to the public by means of an electronic retrieval system;and related expressions shall be construed accordingly.
(2) In this Part “commercial publication”, in relation to a literary, dramatic, musical or artistic work means:
(a) issuing copies of the work to the public at a time when copies made in advance of the receipt of orders are generally available to the public, or
(b) making the work available to the public by means of an electronic retrieval system;and related expressions shall be construed accordingly.
(3) In the case of a work of architecture in the form of a building, or an artistic work incorporated in a building, construction of the building shall be treated as equivalent to publication of the work.
(4) The following do not constitute publication for the purposes of this Part and references to commercial publication shall be construed accordingly:
(a) in the case of a literary, dramatic or musical work:
(i) the performance of the work, or
(ii) the [F409communication to the public of the work] (otherwise than for the purposes of an electronic retrieval system);
(b) in the case of an artistic work:
(i) the exhibition of the work,
(ii) the issue to the public of copies of a graphic work representing, or of photographs of, a work of architecture in the form of a building or a model for a building, a sculpture or a work of artistic craftsmanship,
(iii) the issue to the public of copies of a film including the work, or
(iv) the [F409communication to the public of the work] (otherwise than for the purposes of an electronic retrieval system);
(c) in the case of a sound recording or film:
(i) the work being played or shown in public, or
(ii) the [F409communication to the public of the work].
(5) References in this Part to publication or commercial publication do not include publication which is merely colourable and not intended to satisfy the reasonable requirements of the public.
(6) No account shall be taken for the purposes of this section of any unauthorised act.
176.- Requirement of signature: application in relation to body corporate.
(1) The requirement in the following provisions that an instrument be signed by or on behalf of a person is also satisfied in the case of a body corporate by the affixing of its seal:
section 78(3)(b) (assertion by licensor of right to identification of author in case of public exhibition of copy made in pursuance of the licence),
section 90(3) (assignment of copyright),
section 91(1) (assignment of future copyright),
section 92(1) (grant of exclusive licence).
(2) The requirement in the following provisions that an instrument be signed by a person is satisfied in the case of a body corporate by signature on behalf of the body or by the affixing of its seal:
section 78(2)(b) (assertion by instrument in writing of right to have author identified),
section 87(2) (waiver of moral rights).
177.- Adaptation of expressions for Scotland.
In the application of this Part to Scotland:
“account of profits” means accounting and payment of profits;
“accounts” means count, reckoning and payment;
“assignment” means assignation;
“costs” means expenses;
“defendant” means defender;
“delivery up” means delivery;
“estoppel” means personal bar;
“injunction” means interdict;
“interlocutory relief” means interim remedy; and
“plaintiff” means pursuer.
178.- Minor definitions.
In this Part:
“article”, in the context of an article in a periodical, includes an item of any description;
“business”includes a trade or profession;
“collective work” means:
(a) a work of joint authorship, or
(b) a work in which there are distinct contributions by different authors or in which works or parts of works of different authors are incorporated;
“computer-generated”, in relation to a work, means that the work is generated by computer in circumstances such that there is no human author of the work;
“country” includes any territory;
“the Crown” includes the Crown in right of [F410the Scottish Administration [F411, of the Welsh Assembly Government] or of] Her Majesty’s Government in Northern Ireland or in any country outside the United Kingdom to which this Part extends;
“electronic” means actuated by electric, magnetic, electro-mechanical energy, and “in electronic form” means in a form usable only by electronic means;
“employed”, “employee”, “employer”, and “employment” refer to employment under a contract of service or of apprenticeship;
“facsimile copy” includes a copy which is reduced or enlarged in scale;
“international organisation” means an organisation the members of which include one or more states;
“judicial proceedings”includes proceedings before any court, tribunal or person having authority to decide any matter affecting a person’s legal rights or liabilities;
“parliamentary proceedings” includes proceedings of the Northern Ireland Assembly [F412of the Scottish Parliament][F413, of the New Northern Ireland Assembly] or of the European Parliament [F414and Assembly proceedings within the meaning of section 1(5) of the Government of Wales Act 2006];
[F415 “ private study ” does not include any study which is directly or indirectly for a commercial purpose; ][F416“producer”, in relation to a sound recording or a film, means the person by whom the arrangements necessary for the making of the sound recording or film are undertaken;][F417“public library” means a library administered by or on behalf of:(a)in England and Wales, a library authority within the meaning of the Public Libraries and Museums Act 1964;
(b)in Scotland, a statutory library authority within the meaning of the Public Libraries (Scotland) Act 1955;
(c)in Northern Ireland, an Education and Library Board within the meaning of the Education and Libraries (Northern Ireland) Order 1986;]
F418. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[F419“rental right” means the right of a copyright owner to authorise or prohibit the rental of copies of the work (see section 18A);]“reprographic copy” and “reprographic copying” refer to copying by means of a reprographic process;
“reprographic process” means a process:
(a)for making facsimile copies, or
(b)involving the use of an appliance for making multiple copies,
and includes, in relation to a work held in electronic form, any copying by electronic means, but does not include the making of a film or sound recording;
“sufficient acknowledgement” means an acknowledgement identifying the work in question by its title or other description, and identifying the author unless:
(a) in the case of a published work, it is published anonymously;
(b) in the case of an unpublished work, it is not possible for a person to ascertain the identity of the author by reasonable inquiry;
“sufficient disclaimer”, in relation to an act capable of infringing the right conferred by section 80 (right to object to derogatory treatment of work), means a clear and reasonably prominent indication:
(a)given at the time of the act, and
(b)if the author or director is then identified, appearing along with the identification,
that the work has been subjected to treatment to which the author or director has not consented,
“telecommunications system” means a system for conveying visual images, sounds or other information by electronic means;
“typeface” includes an ornamental motif used in printing;
“unauthorised”, as regards anything done in relation to a work, means done otherwise than:
(a)by or with the licence of the copyright owner, or
(b) if copyright does not subsist in the work, by or with the licence of the author or, in a case where section 11(2) would have applied, the author’s employer or, in either case, persons lawfully claiming under him, or
(c)in pursuance of section 48 (copying, &c of certain material by the Crown);
[F420 “ wireless broadcast ” means a broadcast by means of wireless telegraphy; ]“wireless telegraphy” means the sending of electro-magnetic energy over paths not provided by a material substance constructed or arranged for that purpose [F421, but does not include the transmission of microwave energy between terrestrial fixed points];
“writing” includes any form of notation or code, whether by hand or otherwise and regardless of the method by which, or medium in or on which, it is recorded, and “written” shall be construed accordingly
179.- Index of defined expressions.
The following Table shows provisions defining or otherwise explaining expressions used in this Part (other than provisions defining or explaining an expression used only in the same section):
[F422accessible copy (in sections 31A to 31F) section 31F(4)]account of profits and accounts (in Scotland) section 177
acts restricted by copyright section 16(1)
adaptation section 21(3)
F423. . . F423. . .
[F424archivist (in sections 40A to 43) section 43A(5)]article (in a periodical) section 178
artistic work section 4(1)
assignment (in Scotland) section 177
author sections 9 and 10(3)
[F425authorised body (in sections 31B to 31BB) section 31F(6)]broadcast (and related expressions) section 6
building section 4(2)
business section 178
F426. . . F427. . . . . . . . . . . . . . . . . . . .
collective work section 178
commencement (in Schedule 1) paragraph 1(2) of that Schedule
commercial publication section 175
[F428communication to the public section 20]computer-generated section 178
[F429conducted for profit (in sections 40A to 43) section 43A(4)]copy and copying section 17
copyright (generally) section 1
copyright (in Schedule 1) paragraph 2(2) of that Schedule
copyright owner sections 101(2) and 173
Copyright Tribunal section 145
copyright work section 1(2)
costs (in Scotland) section 177
country section 178
[F430country of origin] [F430section 15A.]the Crown section 178
Crown copyright sections 163(2) and 164(3)
[F429curator (in sections 40A to 43) section 43A(5)][F431database] [F431section 3A(1)]defendant (in Scotland) section 177
delivery up (in Scotland) section 177
[F425disabled person (in sections 31A to 31F) section 31F(2) and (3)]dramatic work section 3(1)
educational establishment sections 174(1) to (4)
electronic and electronic form section 178
employed, employee, employer and employment section 178
[F432excepted sound recording s ection 72(1A)]exclusive licence section 92(1)
[F433 the EEA , EEA state and national of an EEA state ] [F434section 172A]existing works (in Schedule 1) paragraph 1(3) of that Schedule
facsimile copy section 178
film [F435section 5B]
future copyright section 91(2)
general licence (in sections 140 and 141) section 140(7)
graphic work section 4(2)
infringing copy section 27
injunction (in Scotland) section 177
interlocutory relief (in Scotland) section 177
international organisation section 178
issue of copies to the public [F436section 18]
joint authorship (work of) sections 10(1) and (2)
judicial proceedings section 178
[F437lawful user (in sections 50A to 50C)] [F437section 50A(2).][F438lending] [F438section 18A(2) to (6)][F439librarian (in sections 40A to 43 section 43A(5)][F429library (in sections 40A to 43) section 43A(2)]licence (in sections 125 to 128) section 124
licence of copyright owner sections 90(4), 91(3) and 173
licensing body (in Chapter VII) section 116(2)
licensing scheme (generally) section 116(1)
licensing scheme (in sections 118 to 121) section 117
literary work section 3(1)
made (in relation to a literary, dramatic or musical work) section 3(2)
[F429 museum (in sections 40A to 43) section 43A(3)]musical work section 3(1)
[F440 needletime] [F440 section 135A]the new copyright provisions (in Schedule 1) paragraph 1(1) of that Schedule
the 1911 Act (in Schedule 1) paragraph 1(1) of that Schedule
the 1956 Act (in Schedule 1) paragraph 1(1) of that Schedule
on behalf of (in relation to an educational establishment) section 174(5)
[F431original (in relation to a database)] [F431section 3A(2)]Parliamentary copyright sections 165(2) and (7) [F441166(6) [F442166A(3) [F443166B(3) 166C(3) and 166D(3)]]]
parliamentary proceedings section 178
performance section 19(2)
photograph section 4(2)
plaintiff (in Scotland) section 177
F444. . . F444. . .
F444. . . F444. . .
[F445private study section 178][F446producer (in relation to a sound recording or film] [F446section 178.]programme (in the context of broadcasting) section 6(3)
prospective owner (of copyright) section 91(2)
[F447public library] [F447section 178.]publication and related expressions section 175
published edition (in the context of copyright in the
typographical arrangement) section 8
pupil section 174(5)
rental [F448section 18A(2) to (6)][F438rental right] [F438section 178.]
reprographic copies and repographic copying section 178
reprographic process section 178
sculpture section 4(2)
signed section 176
sound recording [F449sections 5A and 135A]
sufficient acknowledgement section 178
sufficient disclaimer section 178
[F425supply (in sections 31B to 31BB) section 31F(7)]teacher section 174(5)
telecommunications system section 178
[F440terms of payment] [F440section 135A]typeface section 178
unauthorised (as regards things done in relation to a work) section 178
unknown (in relation to the author of a work) section 9(5)
unknown authorship (work of) section 9(4)
F423. . . F423. . .
[F450wireless broadcast section 178]wireless telegraphy section 178
work (in Schedule 1) paragraph 2(1) of that Schedule
work of more than one author (in Chapter VII) section 116(4)
writing and written section 178
Part II.- Rights in performances
[F451Chapter 1INTRODUCTORY
X1
180.- Rights conferred on performers and persons having recording rights.
(1) [F452Chapter 2 of this Part (economic rights)] confers rights:
(a) on a performer, by requiring his consent to the exploitation of his performances (see sections 181 to 184), and
(b) on a person having recording rights in relation to a performance, in relation to recordings made without his consent or that of the performer (see sections 185 to 188),and creates offences in relation to dealing with or using illicit recordings and certain other related acts (see sections 198 and 201).
[F453(1) Rights are also conferred on a performer by the following provisions of Chapter 3 of this Part (moral rights):
(a) section 205C (right to be identified);
(b) section 205F (right to object to derogatory treatment of performance).]
(2) In this Part : “performance” means :
(a) a dramatic performance (which includes dance and mime),
(b) a musical performance,
(c) a reading or recitation of a literary work, or
(d) a performance of a variety act or any similar presentation,which is, or so far as it is, a live performance given by one or more individuals; and “recording”, in relation to a performance, means a film or sound recording:
(a) made directly from the live performance,
(b) made from a broadcast of F454. . . the performance, or
(c) made, directly or indirectly, from another recording of the performance.
(3) The rights conferred by this Part apply in relation to performances taking place before the commencement of this Part; but no act done before commencement, or in pursuance of arrangements made before commencement, shall be regarded as infringing those rights.
(4) The rights conferred by this Part are independent of:
(a) any copyright in, or moral rights relating to, any work performed or any film or sound recording of, or broadcast F455. . . the performance, and
(b) any other right or obligation arising otherwise than under this Part.
X2
181.- Qualifying performances.
A performance is a qualifying performance for the purposes of the provisions of this Part relating to performers’ right if it is given by a qualifying individual (as defined in section 206) or takes place in a qualifying country (as so defined).][F456 Chapter 2.- ECONOMIC RIGHTS
X3[F457 Performers’ rights]
X4[F458
182.- Consent required for recording, &c. of live performance.
(1) A performer’s rights are infringed by a person who, without his consent:
(a) makes a recording of the whole or any substantial part of a qualifying performance directly from the live performance,
(b) broadcasts live, F459. . . the whole or any substantial part of a qualifying performance,
(c) makes a recording of the whole or any substantial part of a qualifying performance directly from a broadcast of, F460. . . the live performance.
(2)F461. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(3) In an action for infringement of a performer’s rights brought by virtue of this section damages shall not be awarded against a defendant who shows that at the time of the infringement he believed on reasonable grounds that consent had been given.]
X5[F462
182A.- Consent required for copying of recording.
(1) A performer’s rights are infringed by a person who, without his consent, makes F463. . . a copy of a recording of the whole or any substantial part of a qualifying performance.
[F464(1A) In subsection (1), making a copy of a recording includes making a copy which is transient or is incidental to some other use of the original recording.]
(2) It is immaterial whether the copy is made directly or indirectly.
(3) The right of a performer under this section to authorise or prohibit the making of such copies is referred to in [F465this Chapter] as “reproduction right”.]
X6[F466
182B.- Consent required for issue of copies to public.
(1) A performer’s rights are infringed by a person who, without his consent, issues to the public copies of a recording of the whole or any substantial part of a qualifying performance.
(2) References in this Part to the issue to the public of copies of a recording are to:
(a) the act of putting into circulation in the EEA copies not previously put into circulation in the EEA by or with the consent of the performer, or
(b) the act of putting into circulation outside the EEA copies not previously put into circulation in the EEA or elsewhere.
(3) References in this Part to the issue to the public of copies of a recording do not include:
(a) any subsequent distribution, sale, hiring or loan of copies previously put into circulation (but see section 182C: consent required for rental or lending), or
(b) any subsequent importation of such copies into the United Kingdom or another EEA state,except so far as paragraph (a) of subsection (2) applies to putting into circulation in the EEA copies previously put into circulation outside the EEA.
(4) References in this Part to the issue of copies of a recording of a performance include the issue of the original recording of the live performance.
(5) The right of a performer under this section to authorise or prohibit the issue of copies to the public is referred to in [F467this Chapter] as “distribution right”.]
X7[F468
182C.- Consent required for rental or lending of copies to public.
(1) A performer’s rights are infringed by a person who, without his consent, rents or lends to the public copies of a recording of the whole or any substantial part of a qualifying performance.
(2) In [F469this Chapter], subject to the following provisions of this section:
(a) “rental” means making a copy of a recording available for use, on terms that it will or may be returned, for direct or indirect economic or commercial advantage, and
(b) “lending” means making a copy of a recording available for use, on terms that it will or may be returned, otherwise than for direct or indirect economic or commercial advantage, through an establishment which is accessible to the public.
(3) The expressions “rental” and “lending” do not include:
(a) making available for the purpose of public performance, playing or showing in public [F470or communication to the public];
(b) making available for the purpose of exhibition in public; or
(c) making available for on-the-spot reference use.
(4) The expression “lending” does not include making available between establishments which are accessible to the public.
(5) Where lending by an establishment accessible to the public gives rise to a payment the amount of which does not go beyond what is necessary to cover the operating costs of the establishment, there is no direct or indirect economic or commercial advantage for the purposes of this section.
(6) References in [F469this Chapter] to the rental or lending of copies of a recording of a performance include the rental or lending of the original recording of the live performance.
(7) In [F469this Chapter]:“rental right” means the right of a performer under this section to authorise or prohibit the rental of copies to the public, and
“lending right” means the right of a performer under this section to authorise or prohibit the lending of copies to the public.]
X8[F471
182CA.- Consent required for making available to the public
(1) A performer’s rights are infringed by a person who, without his consent, makes available to the public a recording of the whole or any substantial part of a qualifying performance by electronic transmission in such a way that members of the public may access the recording from a place and at a time individually chosen by them.
(2) The right of a performer under this section to authorise or prohibit the making available to the public of a recording is referred to in [F472this Chapter] as “making available right.]
X9 [F473
182D.- Right to equitable remuneration for exploitation of sound recording.
(1) Where a commercially published sound recording of the whole or any substantial part of a qualifying performance:
(a) is played in public, or
[F474(b) is communicated to the public otherwise than by its being made available to the public in the way mentioned in section 182CA(1),]the performer is entitled to equitable remuneration from the owner of the copyright in the sound recording [F475or, where copyright in the sound recording has expired pursuant to section 191HA(4), from a person who plays the sound recording in public or communicates the sound recording to the public].
[F476(1A) In subsection), (1 the reference to publication of a sound recording includes making it available to the public by electronic transmission in such a way that members of the public may access it from a place and at a time individually chosen by them.]
(2) The right to equitable remuneration under this section may not be assigned by the performer except to a collecting society for the purpose of enabling it to enforce the right on his behalf.The right is, however, transmissible by testamentary disposition or by operation of law as personal or moveable property; and it may be assigned or further transmitted by any person into whose hands it passes.
(3) The amount payable by way of equitable remuneration is as agreed by or on behalf of the persons by and to whom it is payable, subject to the following provisions.
(4) In default of agreement as to the amount payable by way of equitable remuneration, the person by or to whom it is payable may apply to the Copyright Tribunal to determine the amount payable.
(5) A person to or by whom equitable remuneration is payable may also apply to the Copyright Tribunal:
(a) to vary any agreement as to the amount payable, or
(b) to vary any previous determination of the Tribunal as to that matter;but except with the special leave of the Tribunal no such application may be made within twelve months from the date of a previous determination.
An order made on an application under this subsection has effect from the date on which it is made or such later date as may be specified by the Tribunal.
(6) On an application under this section the Tribunal shall consider the matter and make such order as to the method of calculating and paying equitable remuneration as it may determine to be reasonable in the circumstances, taking into account the importance of the contribution of the performer to the sound recording.
(7) An agreement is of no effect in so far as it purports:
(a) to exclude or restrict the right to equitable remuneration under this section, or
(b) to prevent a person questioning the amount of equitable remuneration or to restrict the powers of the Copyright Tribunal under this section.
[F477(8) In this section “ collecting society ” means a society or other organisation which has as its main object, or one of its main objects, the exercise of the right to equitable remuneration on behalf of more than one performer. ]]
X10
183.- Infringement of performer’s rights by use of recording made without consent.
A performer’s rights are infringed by a person who, without his consent:
(a) shows or plays in public the whole or any substantial part of a qualifying performance, or
(b) [F478communicates to the public] the whole or any substantial part of a qualifying performance,by means of a recording which was, and which that person knows or has reason to believe was, made without the performer’s consent.
X11
184.- Infringement of performer’s rights by importing, possessing or dealing with illicit recording.
(1) A performer’s rights are infringed by a person who, without his consent:
(a) imports into the United Kingdom otherwise than for his private and domestic use, or
(b) in the course of a business possesses, sells or lets for hire, offers or exposes for sale or hire, or distributes,a recording of a qualifying performance which is, and which that person knows or has reason to believe is, an illicit recording.
(2) Where in an action for infringement of a performer’s rights brought by virtue of this section a defendant shows that the illicit recording was innocently acquired by him or a predecessor in title of his, the only remedy available against him in respect of the infringement is damages not exceeding a reasonable payment in respect of the act complained of.
(3) In subsection (2) “innocently acquired” means that the person acquiring the recording did not know and had no reason to believe that it was an illicit recording.
X12.- Rights of person having recording rights
X13
185.- Exclusive recording contracts and persons having recording rights.
(1) In [F479this Chapter] an “exclusive recording contract” means a contract between a performer and another person under which that person is entitled to the exclusion of all other persons (including the performer) to make recordings of one or more of his performances with a view to their commercial exploitation.
(2) References in [F479this Chapter] to a “person having recording rights”, in relation to a performance, are (subject to subsection (3)) to a person:
(a) who is party to and has the benefit of an exclusive recording contract to which the performance is subject, or
(b) to whom the benefit of such a contract has been assigned,and who is a qualifying person.
(3) If a performance is subject to an exclusive recording contract but the person mentioned in subsection (2)
is not a qualifying person, references in [F479this Chapter] to a “person having recording rights” in relation to the performance are to any person:
(a) who is licensed by such a person to make recordings of the performance with a view to their commercial exploitation, or
(b) to whom the benefit of such a licence has been assigned,and who is a qualifying person.
(4) In this section “with a view to commercial exploitation” means with a view to the recordings being sold or let for hire, or shown or played in public.
X14
186.- Consent required for recording of performance subject to exclusive contract.
(1) A person infringes the rights of a person having recording rights in relation to a performance who, without his consent or that of the performer, makes a recording of the whole or any substantial part of the performance F480. . . .
(2) In an action for infringement of those rights brought by virtue of this section damages shall not be awarded against a defendant who shows that at the time of the infringement he believed on reasonable grounds that consent had been given.
X15
187.- Infringement of recording rights by use of recording made without consent.
(1) A person infringes the rights of a person having recording rights in relation to a performance who, without his consent or, in the case of a qualifying performance, that of the performer:
(a) shows or plays in public the whole or any substantial part of the performance, or
(b) [F481communicates to the public] the whole or any substantial part of the performance,by means of a recording which was, and which that person knows or has reason to believe was, made without the appropriate consent.
(2) The reference in subsection (1) to “the appropriate consent” is to the consent of:
(a) the performer, or
(b) the person who at the time the consent was given had recording rights in relation to the performance (or, if there was more than one such person, of all of them).
X16
188.- Infringement of recording rights by importing, possessing or dealing with illicit recording.
(1) A person infringes the rights of a person having recording rights in relation to a performance who, without his consent or, in the case of a qualifying performance, that of the performer:
(a) imports into the United Kingdom otherwise than for his private and domestic use, or
(b) in the course of a business possesses, sells or lets for hire, offers or exposes for sale or hire, or distributes,a recording of the performance which is, and which that person knows or has reason to believe is, an illicit recording.
(2) Where in an action for infringement of those rights brought by virtue of this section a defendant shows that the illicit recording was innocently acquired by him or a predecessor in title of his, the only remedy available against him in respect of the infringement is damages not exceeding a reasonable payment in respect of the act complained of.
(3 )In subsection (2) “innocently acquired” means that the person acquiring the recording did not know and had no reason to believe that it was an illicit recording.
X17.- Exceptions to rights conferred
X18
189.- Acts permitted notwithstanding rights conferred by [F482this Chapter].
The provisions of Schedule 2 specify acts which may be done notwithstanding the rights conferred by [F483this Chapter], being acts which correspond broadly to certain of those specified in Chapter III of Part I (acts permitted notwithstanding copyright).
X19
190.- Power of tribunal to give consent on behalf of performer in certain cases.
[F484(1) The Copyright Tribunal may, on the application of a person wishing to make a copy of a recording of a performance, give consent in a case where the identity or whereabouts of the person entitled to the reproduction right cannot be ascertained by reasonable inquiry.]
(2) Consent given by the Tribunal has effect as consent of [F485the person entitled to the reproduction right] for the purposes of:
(a) the provisions of [F486this Chapter] relating to performers’ rights, and
(b) section 198(3)(a) (criminal liability: sufficient consent in relation to qualifying performances),and may be given subject to any conditions specified in the Tribunal’s order.
(3) The Tribunal shall not give consent under subsection (1)(a) except after the service or publication of such notices as may be required by rules made under section 150 (general procedural rules) or as the Tribunal may in any particular case direct.
F487
(4). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(5) In any case the Tribunal shall take into account the following factors:
(a) whether the original recording was made with the performer’s consent and is lawfully in the possession or control of the person proposing to make the further recording;
(b) whether the making of the further recording is consistent with the obligations of the parties to the arrangements under which, or is otherwise consistent with the purposes for which, the original recording was made.
(6) Where the Tribunal gives consent under this section it shall, in default of agreement between the applicant and [F488the person entitled to the reproduction right], make such order as it thinks fit as to the payment to be made to [F489that person] in consideration of consent being given.
X20 F490.- [Duration of rights]
X21 [F491
191.- Duration of rights.]
(1) The following provisions have effect with respect to the duration of the rights conferred by [F492this Chapter].
(2) The rights conferred by [F492this Chapter] in relation to a performance expire:
(a) at the end of the period of 50 years from the end of the calendar year in which the performance takes place, or
(b) if during that period a recording of the performance[F493, other than a sound recording,] is released, 50 years from the end of the calendar year in which it is released, [F494or
(c) if during that period a sound recording of the performance is released, 70 years from the end of the calendar year in which it is released,]subject as follows.
(3) For the purposes of subsection (2) a recording is “released” when it is first published, played or shown in public [F495 or communicated to the public]; but in determining whether a recording has been released no account shall be taken of any unauthorised act.
(4) Where a performer is not a national of an EEA state, the duration of the rights conferred by [F492 this Chapter ] in relation to his performance is that to which the performance is entitled in the country of which he is a national, provided that does not exceed the period which would apply under subsections (2) and (3).
(5) If or to the extent that the application of subsection (4) would be at variance with an international obligation to which the United Kingdom became subject prior to 29th October 1993, the duration of the rights conferred by [F492this Chapter] shall be as specified in subsections (2) and (3).]
X22 [F496.- Performers’ property rights]
X23 [F497
191A.- Performers’ property rights.
(1) The following rights conferred by [F498this Chapter] on a performer:
reproduction right (section 182A),
distribution right (section 182B),
rental right and lending right (section 182C),
[F499making available right (section 182CA),]are property rights (“F500. . . performer’s property rights”).
(2) References in [F498this Chapter] to the consent of the performer shall be construed in relation to a performer’s property rights as references to the consent of the rights owner.
(3) Where different persons are (whether in consequence of a partial assignment or otherwise) entitled to different aspects of a performer’s property rights in relation to a performance, the rights owner for any purpose of [F498this Chapter] is the person who is entitled to the aspect of those rights relevant for that purpose.
(4) Where a performer’s property rights (or any aspect of them) is owned by more than one person jointly, references in [F498this Chapter] to the rights owner are to all the owners, so that, in particular, any requirement of the licence of the rights owner requires the licence of all of them.]
X24 [F501
191B.- Assignment and licences.
(1) A performer’s property rights are transmissible by assignment, by testamentary disposition or by operation of law, as personal or moveable property.
(2) An assignment or other transmission of a performer’s property rights may be partial, that is, limited so as to apply:
(a) to one or more, but not all, of the things requiring the consent of the rights owner;
(b) to part, but not the whole, of the period for which the rights are to subsist.
(3) An assignment of a performer’s property rights is not effective unless it is in writing signed by or on behalf of the assignor.
(4) A licence granted by the owner of a performer’s property rights is binding on every successor in title to his interest in the rights, except a purchaser in good faith for valuable consideration and without notice (actual or constructive) of the licence or a person deriving title from such a purchaser; and references in [F502this Chapter] to doing anything with, or without, the licence of the rights owner shall be construed accordingly.]
X25 [F503
191C.- Prospective ownership of a performer’s property rights.
(1) This section applies where by an agreement made in relation to a future recording of a performance, and signed by or on behalf of the performer, the performer purports to assign his performer’s property rights (wholly or partially) to another person.
(2) If on the rights coming into existence the assignee or another person claiming under him would be entitled as against all other persons to require the rights to be vested in him, they shall vest in the assignee or his successor in title by virtue of this subsection.
(3) A licence granted by a prospective owner of a performer’s property rights is binding on every successor in title to his interest (or prospective interest) in the rights, except a purchaser in good faith for valuable consideration and without notice (actual or constructive) of the licence or a person deriving title from such a purchaser.References in [F504this Chapter] to doing anything with, or without, the licence of the rights owner shall be construed accordingly.
(4) In subsection (3) “prospective owner” in relation to a performer’s property rights means a person who is prospectively entitled to those rights by virtue of such an agreement as is mentioned in subsection (1).]
X26 [F505
191D.- Exclusive licences.
(1) In [F506this Chapter] an “exclusive licence” means a licence in writing signed by or on behalf of the owner of a performer’s property rights authorising the licensee to the exclusion of all other persons, including the person granting the licence, to do anything requiring the consent of the rights owner.
(2) The licensee under an exclusive licence has the same rights against a successor in title who is bound by the licence as he has against the person granting the licence.]
X27 [F507
191E.- Performer’s property right to pass under will with unpublished original recording.
Where under a bequest (whether general or specific) a person is entitled beneficially or otherwise to any material thing containing an original recording of a performance which was not published before the death of the testator, the bequest shall, unless a contrary intention is indicated in the testator’s will or a codicil to it, be construed as including any performer’s rights in relation to the recording to which the testator was entitled immediately before his death.]
X28 [F508
191F.- Presumption of transfer of rental right in case of film production agreement.
(1) Where an agreement concerning film production is concluded between a performer and a film producer, the performer shall be presumed, unless the agreement provides to the contrary, to have transferred to the film producer any rental right in relation to the film arising from the inclusion of a recording of his performance in the film.
(2) Where this section applies, the absence of signature by or on behalf of the performer does not exclude the operation of section 191C (effect of purported assignment of future rights).
(3) The reference in subsection (1) to an agreement concluded between a performer and a film producer includes any agreement having effect between those persons, whether made by them directly or through intermediaries.
(4) Section 191G (right to equitable remuneration on transfer of rental right) applies where there is a presumed transfer by virtue of this section as in the case of an actual transfer.]
X29 [F509
191G.- Right to equitable remuneration where rental right transferred.
(1) Where a performer has transferred his rental right concerning a sound recording or a film to the producer of the sound recording or film, he retains the right to equitable remuneration for the rental.The reference above to the transfer of rental right by one person to another includes any arrangement having that effect, whether made by them directly or through intermediaries.
(2) The right to equitable remuneration under this section may not be assigned by the performer except to a collecting society for the purpose of enabling it to enforce the right on his behalf.The right is, however, transmissible by testamentary disposition or by operation of law as personal or moveable property; and it may be assigned or further transmitted by any person into whose hands it passes.
(3) Equitable remuneration under this section is payable by the person for the time being entitled to the rental right, that is, the person to whom the right was transferred or any successor in title of his.
(4) The amount payable by way of equitable remuneration is as agreed by or on behalf of the persons by and to whom it is payable, subject to section 191H (reference of amount to Copyright Tribunal).
(5) An agreement is of no effect in so far as it purports to exclude or restrict the right to equitable remuneration under this section.
(6) In this section a “collecting society” means a society or other organisation which has as its main object, or one of its main objects, the exercise of the right to equitable remuneration on behalf of more than one performer.]
X30 [F510
191H.- Equitable remuneration: reference of amount to Copyright Tribunal.
(1) In default of agreement as to the amount payable by way of equitable remuneration under section 191G, the person by or to whom it is payable may apply to the Copyright Tribunal to determine the amount payable.
(2) A person to or by whom equitable remuneration is payable may also apply to the Copyright Tribunal:
(a) to vary any agreement as to the amount payable, or
(b) to vary any previous determination of the Tribunal as to that matter;but except with the special leave of the Tribunal no such application may be made within twelve months from the date of a previous determination.
An order made on an application under this subsection has effect from the date on which it is made or such later date as may be specified by the Tribunal.
(3) On an application under this section the Tribunal shall consider the matter and make such order as to the method of calculating and paying equitable remuneration as it may determine to be reasonable in the circumstances, taking into account the importance of the contribution of the performer to the film or sound recording.
(4) Remuneration shall not be considered inequitable merely because it was paid by way of a single payment or at the time of the transfer of the rental right.
(5) An agreement is of no effect in so far as it purports to prevent a person questioning the amount of equitable remuneration or to restrict the powers of the Copyright Tribunal under this section.][F511
191HA.- Assignment of performer’s property rights in a sound recording
(1) This section applies where a performer has [F512by an agreement] assigned the following rights concerning a sound recording to the producer of the sound recording:
(a) reproduction, distribution and making available rights, or
(b) performer’s property rights.
(2) If, at the end of the 50-year period, the producer has failed to meet one or both of the following conditions, the performer may give a notice in writing to the producer of the performer’s intention to terminate the agreement:
(a) condition 1 is to issue to the public copies of the sound recording in sufficient quantities;
(b) condition 2 is to make the sound recording available to the public by electronic transmission in such a way that a member of the public may access the recording from a place and at a time chosen by him or her.
(3) If, at any time after the end of the 50-year period, the producer, having met one or both of the conditions referred to in subsection (2), fails to do so, the performer may give a notice in writing to the producer of the performer’s intention to terminate the agreement.
(4) If at the end of the period of 12 months beginning with the date of the notice, the producer has not met the conditions referred to in subsection (2), the agreement terminates and the copyright in the sound recording expires with immediate effect.
(5) An agreement is of no effect in so far as it purports to exclude or restrict the right to give a notice under subsection (2) or (3).
(6) A reference in this section to the assignment of rights includes any arrangement having that effect, whether made directly between the parties or through intermediaries.
(7) In this section:
“50-year period” means
(a) where the sound recording is published during the initial period, the period of 50 years from the end of the calendar year in which the sound recording is first published, or
(b) where during the initial period the sound recording is not published but is made available to the public by being played in public or communicated to the public, the period of 50 years from the end of the calendar year in which it was first made available to the public,
but in determining whether a sound recording has been published, played in public or communicated to the public, no account shall be taken of any unauthorised act,
“initial period” means the period beginning on the date the recording is made and ending 50 years from the end of the calendar year in which the sound recording is made,
“producer” means the person for the time being entitled to the copyright in the sound recording,
“sufficient quantities” means such quantity as to satisfy the reasonable requirements of the public for copies of the sound recording,
“unauthorised act” has the same meaning as in section 178.
191HB.- Payment in consideration of assignment
(1) A performer who, under an agreement relating to the assignment of rights referred to in section 191HA(1) (an “assignment agreement”), is entitled to a non-recurring payment in consideration of the assignment, is entitled to an annual payment for each relevant period from:
(a) the producer, or
(b )where the producer has granted an exclusive licence of the copyright in the sound recording, the licensee under the exclusive licence (the “exclusive licensee”).
(2) In this section, “relevant period” means:
(a) the period of 12 months beginning at the end of the 50-year period, and
(b) each subsequent period of 12 months beginning with the end of the previous period, until the date on which copyright in the sound recording expires.
(3) The producer or, where relevant, the exclusive licensee gives effect to the entitlement under subsection (1) by remitting to a collecting society for distribution to the performer in accordance with its rules an amount for each relevant period equal to 20% of the gross revenue received during that period in respect of:
(a) the reproduction and issue to the public of copies of the sound recording, and
(b) the making available to the public of the sound recording by electronic transmission in such a way that members of the public may access it from a place and at a time individually chosen by them.
(4) The amount required to be remitted under subsection (3) is payable within 6 months of the end of each relevant period and is recoverable by the collecting society as a debt.
(5) Subsection (6) applies where:
(a) the performer makes a written request to the producer or, where relevant, the exclusive licensee for information in that person’s possession or under that person’s control to enable the performer:
(i) to ascertain the amount of the annual payment to which the performer is entitled under subsection (1), or
(ii) to secure its distribution by the collecting society, and
(b) the producer or, where relevant, the exclusive licensee does not supply the information within the period of 90 days beginning with the date of the request.
(6) The performer may apply to the county court, or in Scotland to the sheriff, for an order requiring the producer or, where relevant, the exclusive licensee to supply the information.
(7) An agreement is of no effect in so far as it purports to exclude or restrict the entitlement under subsection (1).
(8) In the event of any dispute as to the amount required to be remitted under subsection (3), the performer may apply to the Copyright Tribunal to determine the amount payable.
(9) Where a performer is entitled under an assignment agreement to recurring payments in consideration of the assignment, the payments must, from the end of the 50-year period, be made in full, regardless of any provision in the agreement which entitles the producer to withhold or deduct sums from the amounts payable.
(10) In this section:
“producer” and “50-year period” each has the same meaning as in section 191HA,
“exclusive licence” has the same meaning as in section 92, and
“collecting society” has the same meaning as in section 191G.]
X31 [F513
191I.- Infringement actionable by rights owner.
(1) An infringement of a performer’s property rights is actionable by the rights owner.
(2) In an action for infringement of a performer’s property rights all such relief by way of damages, injunctions, accounts or otherwise is available to the plaintiff as is available in respect of the infringement of any other property right.
(3) This section has effect subject to the following provisions of [F514this Chapter].]
X32 [F515
191J.- Provisions as to damages in infringement action.
(1) Where in an action for infringement of a performer’s property rights it is shown that at the time of the infringement the defendant did not know, and had no reason to believe, that the rights subsisted in the recording to which the action relates, the plaintiff is not entitled to damages against him, but without prejudice to any other remedy.
(2) The court may in an action for infringement of a performer’s property rights having regard to all the circumstances, and in particular to:
(a) the flagrancy of the infringement, and
(b) any benefit accruing to the defendant by reason of the infringement,award such additional damages as the justice of the case may require.]
X33 [F516 191JA.- Injunctions against service providers
(1) The High Court (in Scotland, the Court of Session) shall have power to grant an injunction against a service provider, where that service provider has actual knowledge of another person using their service to infringe a performer’s property right.
(2) In determining whether a service provider has actual knowledge for the purpose of this section, a court shall take into account all matters which appear to it in the particular circumstances to be relevant and, amongst other things, shall have regard to:
(a) whether a service provider has received a notice through a means of contact made available in accordance with regulation 6(1)(c) of the Electronic Commerce (EC Directive) Regulations 2002 (SI 2002/2013); and
(b) the extent to which any notice includes:
(i) the full name and address of the sender of the notice;
(ii) details of the infringement in question.
(3) In this section “ service provider ” has the meaning given to it by regulation 2 of the Electronic Commerce ( EC Directive) Regulations 2002.
(4) Section 177 applies in respect of this section as it applies in respect of Part 1.]
X34 [F517
191K.- Undertaking to take licence of right in infringement proceedings.
(1) If in proceedings for infringement of a performer’s property rights in respect of which a licence is available as of right under paragraph 17 of Schedule 2A (powers exercisable in consequence of competition report) the defendant undertakes to take a licence on such terms as may be agreed or, in default of agreement, settled by the Copyright Tribunal under that paragraph:
(a) no injunction shall be granted against him,
(b) no order for delivery up shall be made under section 195, and
(c) the amount recoverable against him by way of damages or on an account of profits shall not exceed double the amount which would have been payable by him as licensee if such a licence on those terms had been granted before the earliest infringement.
(2) An undertaking may be given at any time before final order in the proceedings, without any admission of liability.
(3) Nothing in this section affects the remedies available in respect of an infringement committed before licences of right were available.]
X35 [F518
191L.- Rights and remedies for exclusive licensee.
(1) An exclusive licensee has, except against the owner of a performer’s property rights, the same rights and remedies in respect of matters occurring after the grant of the licence as if the licence had been an assignment.
(2) His rights and remedies are concurrent with those of the rights owner; and references in the relevant provisions of [F519this Chapter] to the rights owner shall be construed accordingly.
(3) In an action brought by an exclusive licensee by virtue of this section a defendant may avail himself of any defence which would have been available to him if the action had been brought by the rights owner.]
X36 [F520
191M.- Exercise of concurrent rights.
(1) Where an action for infringement of a performer’s property rights brought by the rights owner or an exclusive licensee relates (wholly or partly) to an infringement in respect of which they have concurrent rights of action, the rights owner or, as the case may be, the exclusive licensee may not, without the leave of the court, proceed with the action unless the other is either joined as plaintiff or added as a defendant.
(2) A rights owner or exclusive licensee who is added as a defendant in pursuance of subsection (1) is not liable for any costs in the action unless he takes part in the proceedings.
(3) The above provisions do not affect the granting of interlocutory relief on an application by the rights owner or exclusive licensee alone.
(4) Where an action for infringement of a performer’s property rights is brought which relates (wholly or partly) to an infringement in respect of which the rights owner and an exclusive licensee have or had concurrent rights of action:
(a) the court shall in assessing damages take into account:
(i) the terms of the licence, and
(ii) any pecuniary remedy already awarded or available to either of them in respect of the infringement;
(b) no account of profits shall be directed if an award of damages has been made, or an account of profits has been directed, in favour of the other of them in respect of the infringement; and
(c) the court shall if an account of profits is directed apportion the profits between them as the court considers just, subject to any agreement between them; and these provisions apply whether or not the rights owner and the exclusive licensee are both parties to the action.
(5) The owner of a performer’s property rights shall notify any exclusive licensee having concurrent rights before applying for an order under section 195 (order for delivery up) or exercising the right conferred by section 196 (right of seizure); and the court may on the application of the licensee make such order under section 195 or, as the case may be, prohibiting or permitting the exercise by the rights owner of the right conferred by section 196, as it thinks fit having regard to the terms of the licence.]
X37 [F521.- Non-property rights]
X38 [F522
192A.- Performers’ non-property rights.
(1) the rights conferred on a performer by –
section 182 (consent required for recording, &c. of live performance),
section 183 (infringement of performer’s rights by use of recording made without consent), F523 …
section 184 (infringement of performer’s rights importing, possessing or dealing with illicit recording),
[F524 section 191HA (assignment of performer’s property rights in a sound recording), andsection 191HB (payment in consideration of assignment),]
are not assignable or transmissible, except to the following extent.
They are referred to in [F525 this Chapter ] as “ F526 . . . performer’s non-property rights”.
(2) On the death of a person entitled to any such right:
(a) the right passes to such person as he may by testamentary disposition specifically direct, and
(b) if or to the extent that there is no such direction, the right is exercisable by his personal representatives.
(3) References in [F525this Chapter] to the performer, in the context of the person having any such right, shall be construed as references to the person for the time being entitled to exercise those rights.
(4) Where by virtue of subsection (2)(a) a right becomes exercisable by more than one person, it is exercisable by each of them independently of the other or others.
(5) Any damages recovered by personal representatives by virtue of this section in respect of an infringement after a person’s death shall devolve as part of his estate as if the right of action had subsisted and been vested in him immediately before his death.]
X39 [F527
192B.- Transmissibility of rights of person having recording rights.
(1) The rights conferred by [F528this Chapter] on a person having recording rights are not assignable or transmissible.
(2) This does not affect section 185(2)(b) or (3)(b), so far as those provisions confer rights under [F528this Chapter] on a person to whom the benefit of a contract or licence is assigned.]
X40
193.- Consent.
(1) Consent for the purposes of [F529this Chapter][F530by a person having a performer’s non-property rights, or by a person having recording rights,] may be given in relation to a specific performance, a specified description of performances or performances generally, and may relate to past or future performances.
(2) A person having recording rights in a performance is bound by any consent given by a person through whom he derives his rights under the exclusive recording contract or licence in question, in the same way as if the consent had been given by him.
(3) Where [F531a performer’s non-property right] passes to another person, any consent binding on the person previously entitled binds the person to whom the right passes in the same way as if the consent had been given by him.
X41 F532. . .
X42
194.- Infringement actionable as breach of statutory duty.
An infringement of [F533:
(a) a performer’s non-property rights, or
(b) any right conferred by [F534this Chapter] on a person having recording rights,]is actionable by the person entitled to the right as a breach of statutory duty.
X43 [F535.- Delivery up or seizure of illicit recordings]
X44
195.- Order for delivery up.
(1) Where a person has in his possession, custody or control in the course of a business an illicit recording of a performance, a person having performer’s rights or recording rights in relation to the performance under [F536this Chapter] may apply to the court for an order that the recording be delivered up to him or to such other person as the court may direct.
(2) An application shall not be made after the end of the period specified in section 203; and no order shall be made unless the court also makes, or it appears to the court that there are grounds for making, an order under section 204 (order as to disposal of illicit recording).
(3) A person to whom a recording is delivered up in pursuance of an order under this section shall, if an order under section 204 is not made, retain it pending the making of an order, or the decision not to make an order, under that section.
(4) Nothing in this section affects any other power of the court.
X45
196.- Right to seize illicit recordings.
(1) An illicit recording of a performance which is found exposed or otherwise immediately available for sale or hire, and in respect of which a person would be entitled to apply for an order under section 195, may be seized and detained by him or a person authorised by him.The right to seize and detain is exercisable subject to the following conditions and is subject to any decision of the court under section 204 (order as to disposal of illicit recording).
(2) Before anything is seized under this section notice of the time and place of the proposed seizure must be given to a local police station.
(3) A person may for the purpose of exercising the right conferred by this section enter premises to which the public have access but may not seize anything in the possession, custody or control of a person at a permanent or regular place of business of his and may not use any force.
(4) At the time when anything is seized under this section there shall be left at the place where it was seized a notice in the prescribed form containing the prescribed particulars as to the person by whom or on whose authority the seizure is made and the grounds on which it is made.
(5) In this section:
“premises” includes land, buildings, fixed or moveable structures, vehicles, vessels, aircraft and hovercraft; and
“prescribed” means prescribed by order of the Secretary of State.
(6) An order of the Secretary of State under this section shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
X46
197.- Meaning of “illicit recording”.
(1) In [F537this Chapter]“illicit recording”, in relation to a performance, shall be construed in accordance with this section.
(2) For the purposes of a performer’s rights, a recording of the whole or any substantial part of a performance of his is an illicit recording if it is made, otherwise than for private purposes, without his consent.
(3) For the purposes of the rights of a person having recording rights, a recording of the whole or any substantial part of a performance subject to the exclusive recording contract is an illicit recording if it is made, otherwise than for private purposes, without his consent or that of the performer.
(4) For the purposes of sections 198 and 199 (offences and orders for delivery up in criminal proceedings), a recording is an illicit recording if it is an illicit recording for the purposes mentioned in subsection (2) or subsection (3).
(5) In [F537this Chapter]“illicit recording” includes a recording falling to be treated as an illicit recording by virtue of any of the following provisions of Schedule 2:
[F538 paragraph 1D(3) (copies for text and data analysis for non-commercial research),][F539 paragraph 3A(5) or (6) or 3B(10) (accessible copies of recordings made for disabled persons)][F540 paragraph 1B(5) and (7) (personal copies of recordings for private use),]F541…
[F542 paragraph 6(5) (recording by educational establishments of broadcasts),][F538 paragraph 6F(5)(b) (copying by librarians: single copies of published recordings),][F538 paragraph 6G(5)(b) (copying by librarians or archivists: single copies of unpublished recordings),][F538 paragraph 6ZA(7) (copying and use of extracts of recordings by educational establishments),]paragraph 12(2) (recordings of performance in electronic form retained on transfer of principal recording), F543. . .
[F538 paragraph 14(6)(b) (recordings of folksongs),]paragraph 16(3) (recordings made for purposes of broadcast F544. . . ),
[F545 paragraph 17A(2) (recording for the purposes of time-shifting), orparagraph 17B(2) (photographs of broadcasts),]
but otherwise does not include a recording made in accordance with any of the provisions of that Schedule.
(6) It is immaterial for the purposes of this section where the recording was made.
[F546197A.- Presumptions relevant to recordings of performances
(1) In proceedings brought by virtue of this Part with respect to the rights in a performance, where copies of a recording of the performance as issued to the public bear a statement that a named person was the performer, the statement shall be admissible as evidence of the fact stated and shall be presumed to be correct until the contrary is proved.
(2) Subsection (1) does not apply to proceedings for an offence under section 198 (criminal liability for making etc. illicit recordings); but without prejudice to its application in proceedings for an order under section 199 (order for delivery up in criminal proceedings).]
X47.- Offences
X48
198.- Criminal liability for making, dealing with or using illicit recordings.
(1) A person commits an offence who without sufficient consent:
(a) makes for sale or hire, or
(b) imports into the United Kingdom otherwise than for his private and domestic use, or
(c) possesses in the course of a business with a view to committing any act infringing the rights conferred by [F547this Chapter], or
(d) in the course of a business:
(i) sells or lets for hire, or
(ii) offers or exposes for sale or hire, or
(iii) distributes,a recording which is, and which he knows or has reason to believe is, an illicit recording.
[F548(1A) A person (“P”) who infringes a performer’s making available right in a recording commits an offence if P:
(a) knows or has reason to believe that P is infringing the right, and
(b) either:
(i) intends to make a gain for P or another person, or
(ii) knows or has reason to believe that infringing the right will cause loss to the owner of the right, or expose the owner of the right to a risk of loss.
(1B) For the purposes of subsection (1A):
(a) “gain” and “loss”:
(i) extend only to gain or loss in money, and
(ii) include any such gain or loss whether temporary or permanent, and
(b) “loss” includes a loss by not getting what one might get.]
(2) A person commits an offence who causes a recording of a performance made without sufficient consent to be:
(a) shown or played in public, or
[F549(b) communicated to the public,]thereby infringing any of the rights conferred by [F547 this Chapter], if he knows or has reason to believe that those rights are thereby infringed.(3) In subsections (1) and (2) “sufficient consent” means:
(a) in the case of a qualifying performance, the consent of the performer, and
(b) in the case of a non-qualifying performance subject to an exclusive recording contract:
(i) for the purposes of subsection (1)(a) (making of recording), the consent of the performer or the person having recording rights, and
(ii) for the purposes of subsection (1)(b), (c) and (d) and subsection (2) (dealing with or using recording), the consent of the person having recording rights.The references in this subsection to the person having recording rights are to the person having those rights at the time the consent is given or, if there is more than one such person, to all of them.
(4) No offence is committed under subsection (1) or (2) by the commission of an act which by virtue of any provision of Schedule 2 may be done without infringing the rights conferred by [F547this Chapter].
(5) A person guilty of an offence under subsection (1)(a), (b) or (d)(iii) is liable:
(a) on summary conviction to imprisonment for a term not exceeding six months or [F550a fine], or both;
(b) on conviction on indictment to a fine or imprisonment for a term not exceeding [F551ten] years, or both.
[F552(5A) A person guilty of an offence under subsection (1A) is liable:
(a) on summary conviction to imprisonment for a term not exceeding three months or [F553a fine], or both;
(b) on conviction on indictment to a fine or imprisonment for a term not exceeding [F554 ten ] years, or both.]
(6) A person guilty of any other offence under this section is liable on summary conviction to a fine not exceeding level 5 on the standard scale or imprisonment for a term not exceeding six months, or both.
X49[F555
198A.- Enforcement by local weights and measures authority.
(1) It is the duty of every local weights and measures authority to enforce within their area the provisions of section 198.
F556
(2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(3) Subsection (1) above does not apply in relation to the enforcement of section 198 in Northern Ireland, but it is the duty of the Department of Economic Development to enforce that section in Northern Ireland.F557…
[F558(3A) For the investigatory powers available to a local weights and measures authority or the Department of Enterprise, Trade and Investment in Northern Ireland for the purposes of the duties in this section, see Schedule 5 to the Consumer Rights Act 2015.]
(4) Any enactment which authorises the disclosure of information for the purpose of facilitating the enforcement of the Trade Descriptions Act 1968 shall apply as if section 198 were contained in that Act and as if the functions of any person in relation to the enforcement of that section were functions under that Act.
(5) Nothing in this section shall be construed as authorising a local weights and measures authority to bring proceedings in Scotland for an offence.]
X50
199.- Order for delivery up in criminal proceedings.
(1) The court before which proceedings are brought against a person for an offence under section 198 may, if satisfied that at the time of his arrest or charge he had in his possession, custody or control in the course of a business an illicit recording of a performance, order that it be delivered up to a person having performers’ rights or recording rights in relation to the performance or to such other person as the court may direct.
(2) For this purpose a person shall be treated as charged with an offence:
(a) in England, Wales and Northern Ireland, when he is orally charged or is served with a summons or indictment;
(b) in Scotland, when he is cautioned, charged or served with a complaint or indictment.
(3) An order may be made by the court of its own motion or on the application of the prosecutor (or, in Scotland, the Lord Advocate or procurator-fiscal), and may be made whether or not the person is convicted of the offence, but shall not be made:
(a) after the end of the period specified in section 203 (period after which remedy of delivery up not available), or
(b) if it appears to the court unlikely that any order will be made under section 204 (order as to disposal of illicit recording).
(4) An appeal lies from an order made under this section by a magistrates’ court:
(a) in England and Wales, to the Crown Court, and
(b) in Northern Ireland, to the county court;and in Scotland, where an order has been made under this section, the person from whose possession, custody or control the illicit recording has been been removed may, without predudice to any other form of appeal under any rule of law, appeal against that order in the same manner as against sentence.
(5) A person to whom an illicit recording is delivered up in pursuance of an order under this section shall retain it pending the making of an order, or the decision not to make an order, under section 204.
(6) Nothing in in this section affects the powers of the court under [F559section 143 of the Powers of Criminal Courts (Sentencing) Act 2000], [F560Part II of the Proceeds of Crime (Scotland) Act 1995] or [F561Article 11 of the Criminal Justice (Northern Ireland) Order 1994] (general provisions as to forfeiture in criminal proceedings).
X51
200.- Search warrants.
(1) Where a justice of the peace (in Scotland, a sheriff or justice of the peace) is satisfied by information on oath given by a constable (in Scotland, by evidence on oath) that there are reasonable grounds for believing:
(a) that an offence under [F562section 198(1) or (1A)](offences of making, importing [F563, possessing, selling etc.] or distributing illicit recordings) has been or is about to be committed in any premises, and
(b) that evidence that such an offence has been or is about to be committed is in those premises,he may issue a warrant authorising a constable to enter and search the premises, using such reasonable force as is necessary.
(2) The power conferred by subsection (1) does not, in England and Wales, extend to authorising a search for material of the kinds mentioned in section 9(2) of the M21Police and Criminal Evidence Act 1984 (certain classes of personal or confidential material).
(3) A warrant under subsection (1):
(a) may authorise persons to accompany any constable executing the warrant, and
(b) remains in force for [F564three months] from the date of its issue.
[F565(3A) In executing a warrant issued under subsection (1) a constable may seize an article if he reasonably believes that it is evidence that any offence under [F566section 198(1) or (1A)] has been or is about to be committed.]
(4) In this section “premises” includes land, buildings, fixed or moveable structures, vehicles, vessels, aircraft and hovercraft.
X52
201.- False representation of authority to give consent.
(1) It is an offence for a person to represent falsely that he is authorised by any person to give consent for the purposes of [F567this Chapter] in relation to a performance, unless he believes on reasonable grounds that he is so authorised.
(2) A person guilty of an offence under this section is liable on summary conviction to imprisonment for a term not exceeding six months or a fine not exceeding level 5 on the standard scale or both.
X53
202.- Offence by body corporate: liability of officers.
(1) Where an offence under [F568this Chapter] committed by a body corporate is proved to have been committed with the consent or connivance of a director, manager, secretary or other similar officer of the body, or a person purporting to act in any such capacity, he as well as the body corporate is guilty of the offence and liable to be proceeded against and punished accordingly.
(2) In relation to a body corporate whose affairs are managed by its members “director” means a member of the body corporate.
X54.- Supplementary provisions with respect to delivery up and seizure
X55
203.- Period after which remedy of delivery up not available.
(1) An application for an order under section 195 (order for delivery up in civil proceedings) may not be made after the end of the period of six years from the date on which the illicit recording in question was made, subject to the following provisions.
(2) If during the whole or any part of that period a person entitled to apply for an order:
(a) is under a disability, or
(b) is prevented by fraud or concealment from discovering the facts entitling him to apply,an application may be made by him at any time before the end of the period of six years from the date on which he ceased to be under a disability or, as the case may be, could with reasonable diligence have discovered those facts.
(3) In subsection (2) “disability”:
(a) in England and Wales, has the same meaning as in the M22Limitation Act 1980;
(b) in Scotland, means legal disability within the meaning of the M23Prescription and Limitations (Scotland) Act 1973;
(c) in Northern Ireland, has the same meaning as in the M24Statute of Limitation (Northern Ireland) 1958.
(4) An order under section 199 (order for delivery up in criminal proceedings) shall not, in any case, be made after the end of the period of six years from the date on which the illicit recording in question was made.
X56
204.- Order as to disposal of illicit recording.
(1) An application may be made to the court for an order that an illicit recording of a performance delivered up in pursuance of an order under section 195 or 199, or seized and detained in pursuance of the right conferred by section 196, shall be:
(a) forfeited to such person having performer’s rights or recording rights in relation to the performance as the court may direct, or
(b) destroyed or otherwise dealt with as the court may think fit,or for a decision that no such order should be made.
(2) In considering what order (if any) should be made, the court shall consider whether other remedies available in an action for infringement of the rights conferred by [F569this Chapter] would be adequate to compensate the person or persons entitled to the rights and to protect their interests.
(3) Provision shall be made by rules of court as to the service of notice on persons having an interest in the recording, and any such person is entitled:
(a) to appear in proceedings for an order under this section, whether or not he was served with notice, and
(b) to appeal against any order made, whether or not he appeared;and an order shall not take effect until the end of the period within which notice of an appeal may be given or, if before the end of that period notice of appeal is duly given, until the final determination or abandonment of the proceedings on the appeal.
(4) Where there is more than one person interested in a recording, the court shall make such order as it thinks just and may (in particular) direct that the recording be sold, or otherwise dealt with, and the proceeds divided.
(5) If the court decides that no order should be made under this section, the person in whose possession, custody or control the recording was before being delivered up or seized is entitled to its return.
(6) References in this section to a person having an interest in a recording include any person in whose favour an order could be made in respect of the recording
[F570(a) under this section or under section 114 or 231 of this Act;
(b) under section 24D of the Registered Designs Act 1949;
(c) under section 19 of Trade Marks Act 1994 (including that section as applied by regulation 4 of the Community Trade Mark Regulations 2006 (SI 2006/1027)); or
(d) under regulation 1C of the Community Design Regulations 2005 (SI 2005/2339).]
X57[F571
204A.- Forfeiture of illicit recordings: England and Wales or Northern Ireland
(1) In England and Wales or Northern Ireland where illicit recordings of a performance have come into the possession of any person in connection with the investigation or prosecution of a relevant offence, that person may apply under this section for an order for the forfeiture of the illicit recordings.
(2) For the purposes of this section “relevant offence” means:
(a) an offence under [F572section 198(1) or (1A)](criminal liability for making or dealing with illicit recordings),
(b) an offence under the Trade Descriptions Act 1968 (c. 29),
[F573(ba) an offence under the Business Protection from Misleading Marketing Regulations 2008,
(bb) an offence under the Consumer Protection from Unfair Trading Regulations 2008, or]
(c) an offence involving dishonesty or deception.
(3) An application under this section may be made:
(a) where proceedings have been brought in any court for a relevant offence relating to some or all of the illicit recordings, to that court, or
(b) where no application for the forfeiture of the illicit recordings has been made under paragraph (a), by way of complaint to a magistrates’ court.
(4) On an application under this section, the court shall make an order for the forfeiture of any illicit recordings only if it is satisfied that a relevant offence has been committed in relation to the illicit recordings.
(5) A court may infer for the purposes of this section that such an offence has been committed in relation to any illicit recordings if it is satisfied that such an offence has been committed in relation to illicit recordings which are representative of the illicit recordings in question (whether by reason of being part of the same consignment or batch or otherwise).
(6) Any person aggrieved by an order made under this section by a magistrates’ court, or by a decision of such a court not to make such an order, may appeal against that order or decision:
(a) in England and Wales, to the Crown Court, or
(b) in Northern Ireland, to the county court.
(7) An order under this section may contain such provision as appears to the court to be appropriate for delaying the coming into force of the order pending the making and determination of any appeal (including any application under section 111 of the Magistrates’ Courts Act 1980 (c. 43) or Article 146 of the Magistrates’ Courts (Northern Ireland) Order 1981 (S.I. 1987/1675 (N.I. 26)) (statement of case)).
(8) Subject to subsection (9), where any illicit recordings are forfeited under this section they shall be destroyed in accordance with such directions as the court may give.
(9) On making an order under this section the court may direct that the illicit recordings to which the order relates shall (instead of being destroyed) be forfeited to the person having the performers’ rights or recording rights in question or dealt with in such other way as the court considers appropriate.]
X58 F574
204B.- Forfeiture: Scotland
(1) In Scotland the court may make an order under this section for the forfeiture of any illicit recordings.
(2) An order under this section may be made:
(a) on an application by the procurator-fiscal made in the manner specified in section 134 of the Criminal Procedure (Scotland) Act 1995 (c. 46), or
(b) where a person is convicted of a relevant offence, in addition to any other penalty which the court may impose.
(3) On an application under subsection (2)(a), the court shall make an order for the forfeiture of any illicit recordings only if it is satisfied that a relevant offence has been committed in relation to the illicit recordings.
(4) The court may infer for the purposes of this section that such an offence has been committed in relation to any illicit recordings if it is satisfied that such an offence has been committed in relation to illicit recordings which are representative of the illicit recordings in question (whether by reason of being part of the same consignment or batch or otherwise).
(5) The procurator-fiscal making the application under subsection (2)(a) shall serve on any person appearing to him to be the owner of, or otherwise to have an interest in, the illicit recordings to which the application relates a copy of the application, together with a notice giving him the opportunity to appear at the hearing of the application to show cause why the illicit recordings should not be forfeited.
(6) Service under subsection (5) shall be carried out, and such service may be proved, in the manner specified for citation of an accused in summary proceedings under the Criminal Procedure (Scotland) Act 1995.
(7) Any person upon whom notice is served under subsection (5) and any other person claiming to be the owner of, or otherwise to have an interest in, illicit recordings to which an application under this section relates shall be entitled to appear at the hearing of the application to show cause why the illicit recordings should not be forfeited.
(8) The court shall not make an order following an application under subsection (2)(a):
(a) if any person on whom notice is served under subsection (5) does not appear, unless service of the notice on that person is proved, or
(b )if no notice under subsection (5) has been served, unless the court is satisfied that in the circumstances it was reasonable not to serve such notice.
(9) Where an order for the forfeiture of any illicit recordings is made following an application under subsection (2)(a), any person who appeared, or was entitled to appear, to show cause why the illicit recordings should not be forfeited may, within 21 days of the making of the order, appeal to the High Court by Bill of Suspension.
(10) Section 182(5)(a) to (e) of the Criminal Procedure (Scotland) Act 1995 shall apply to an appeal under subsection (9) as it applies to a stated case under Part 2 of that Act.
(11) An order following an application under subsection (2)(a) shall not take effect:
(a) until the end of the period of 21 days beginning with the day after the day on which the order is made, or
(b) if an appeal is made under subsection (9) above within that period, until the appeal is determined or abandoned.
(12) An order under subsection (2)(b) shall not take effect:
(a) until the end of the period within which an appeal against the order could be brought under the Criminal Procedure (Scotland) Act 1995 (c. 46), or
(b) if an appeal is made within that period, until the appeal is determined or abandoned.
(13) Subject to subsection (14), illicit recordings forfeited under this section shall be destroyed in accordance with such directions as the court may give.
(14) On making an order under this section the court may direct that the illicit recordings to which the order relates shall (instead of being destroyed) be forfeited to the person having the performers’ rights or recording rights in question or dealt with in such other way as the court considers appropriate.
(15) For the purposes of this section:
[F575 “relevant offence” means:(a) an offence under section 198(1) or (1A) (criminal liability for making or dealing with illicit recordings),
(b) an offence under the Trade Descriptions Act 1968,
(c) an offence under the Business Protection from Misleading Marketing Regulations 2008,
(d) an offence under the Consumer Protection from Unfair Trading Regulations 2008, or
(e) any offence involving dishonesty or deception;]
“the court” means:
(a) in relation to an order made on an application under subsection (2)(a), the sheriff, and
(b) in relation to an order made under subsection (2)(b), the court which imposed the penalty.
X59
205.- Jurisdiction of county court and sheriff court.
(1) In England [F576and Wales the county court and in] Northern Ireland a county court may entertain proceedings under:
section 195 (order for delivery up of illicit recording), or
section 204 (order as to disposal of illicit recording),
[F577 save that, in Northern Ireland, a county court may entertain such proceedings only]where the value of the illicit recordings in question does not exceed the county court limit for actions in tort.(2) In Scotland proceedings for an order under either of those provisions may be brought in the sheriff court.
(3) Nothing in this section shall be construed as affecting the jurisdiction of the High Court or, in Scotland, the Court of Session.
X60 F578.- [Licensing of performers’ F579… rights]
X61 [F581
205A.- Licensing of performers’ F580… rights.
The provisions of Schedule 2A have effect with respect to the licensing of performers’ F580 … rights. ]
X62 F582.- [Jurisdiction of Copyright Tribunal]
X63 [F583
205B.- Jurisdiction of Copyright Tribunal.
(1) The Copyright Tribunal has jurisdiction under [F584this Chapter] to hear and determine proceedings under:
(a) section 182D (amount of equitable remuneration for exploitation of commercial sound recording);
(b )section 190 (application to give consent on behalf of owner of reproduction right);
(c) section 191H (amount of equitable remuneration on transfer of rental right);
F585
(cc). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(d) paragraph 3, 4 or 5 of Schedule 2A (reference of licensing scheme);
(e) paragraph 6 or 7 of that Schedule (application with respect to licence under licensing scheme);
(f) paragraph 10, 11 or 12 of that Schedule (reference or application with respect to licensing by licensing body);
(g) paragraph 15 of that Schedule (application to settle royalty for certain lending);
(h) paragraph 17 of that Schedule (application to settle terms of licence available as of right).
(2) The provisions of Chapter VIII of Part I (general provisions relating to the Copyright Tribunal) apply in relation to the Tribunal when exercising any jurisdiction under [F584this Chapter].
(3) Provision shall be made by rules under section 150 prohibiting the Tribunal from entertaining a reference under paragraph 3, 4 or 5 of Schedule 2A (reference of licensing scheme) by a representative organisation unless the Tribunal is satisfied that the organisation is reasonably representative of the class of persons which it claims to represent.][F586 Chapter 3.- MORAL RIGHTS
Right to be identified as performer
205C.- Right to be identified as performer
(1) Whenever a person:
(a) produces or puts on a qualifying performance that is given in public,
(b) broadcasts live a qualifying performance,
(c) communicates to the public a sound recording of a qualifying performance, or
(d) issues to the public copies of such a recording,the performer has the right to be identified as such.
(2) The right of the performer under this section is:
(a) in the case of a performance that is given in public, to be identified in any programme accompanying the performance or in some other manner likely to bring his identity to the notice of a person seeing or hearing the performance,
(b) in the case of a performance that is broadcast, to be identified in a manner likely to bring his identity to the notice of a person seeing or hearing the broadcast,
(c) in the case of a sound recording that is communicated to the public, to be identified in a manner likely to bring his identity to the notice of a person hearing the communication,
(d) in the case of a sound recording that is issued to the public, to be identified in or on each copy or, if that is not appropriate, in some other manner likely to bring his identity to the notice of a person acquiring a copy,or (in any of the above cases) to be identified in such other manner as may be agreed between the performer and the person mentioned in subsection (1).
(3) The right conferred by this section in relation to a performance given by a group (or so much of a performance as is given by a group) is not infringed:
(a) in a case falling within paragraph (a), (b) or (c) of subsection (2), or
(b) in a case falling within paragraph (d) of that subsection in which it is not reasonably practicable for each member of the group to be identified,if the group itself is identified as specified in subsection (2).
(4) In this section “group” means two or more performers who have a particular name by which they may be identified collectively.
(5) If the assertion under section 205D specifies a pseudonym, initials or some other particular form of identification, that form shall be used; otherwise any reasonable form of identification may be used.
(6) This section has effect subject to section 205E (exceptions to right).
205D.- Requirement that right be asserted
(1) A person does not infringe the right conferred by section 205C (right to be identified as performer) by doing any of the acts mentioned in that section unless the right has been asserted in accordance with the following provisions so as to bind him in relation to that act.
(2) The right may be asserted generally, or in relation to any specified act or description of acts:
(a) by instrument in writing signed by or on behalf of the performer, or
(b) on an assignment of a performer’s property rights, by including in the instrument effecting the assignment a statement that the performer asserts in relation to the performance his right to be identified.
(3) The persons bound by an assertion of the right under subsection (2) are:
(a) in the case of an assertion under subsection (2)(a), anyone to whose notice the assertion is brought;
(b) in the case of an assertion under subsection (2)(b), the assignee and anyone claiming through him, whether or not he has notice of the assertion.
- In an action for infringement of the right the court shall, in considering remedies, take into account any delay in asserting the right.
205E.- Exceptions to right
(1) The right conferred by section 205C (right to be identified as performer) is subject to the following exceptions.
(2) The right does not apply where it is not reasonably practicable to identify the performer (or, where identification of a group is permitted by virtue of section 205C(3), the group).
(3) The right does not apply in relation to any performance given for the purposes of reporting current events.
(4) The right does not apply in relation to any performance given for the purposes of advertising any goods or services.
(5) The right is not infringed by an act which by virtue of any of the following provisions of Schedule 2 would not infringe any of the rights conferred by Chapter 2:
(a) paragraph 2(1A) (news reporting);
(b) paragraph 3 (incidental inclusion of a performance or recording);
(c) paragraph 4(2) (things done for the purposes of examination);
(d) paragraph 8 (parliamentary and judicial proceedings);
(e) paragraph 9 (Royal Commissions and statutory inquiries).
Right to object to derogatory treatment
205F.- Right to object to derogatory treatment of performance
(1) The performer of a qualifying performance has a right which is infringed if:
(a) the performance is broadcast live, or
(b) by means of a sound recording the performance is played in public or communicated to the public,with any distortion, mutilation or other modification that is prejudicial to the reputation of the performer.
(2) This section has effect subject to section 205G (exceptions to right).
205G.-Exceptions to right
(1) The right conferred by section 205F (right to object to derogatory treatment of performance) is subject to the following exceptions.
(2) The right does not apply in relation to any performance given for the purposes of reporting current events.
(3) The right is not infringed by modifications made to a performance which are consistent with normal editorial or production practice.
(4) Subject to subsection (5), the right is not infringed by anything done for the purpose of:
(a) avoiding the commission of an offence,
(b) complying with a duty imposed by or under an enactment, or
(c) in the case of the British Broadcasting Corporation, avoiding the inclusion in a programme broadcast by them of anything which offends against good taste or decency or which is likely to encourage or incite crime or lead to disorder or to be offensive to public feeling.
(5) Where:
(a) the performer is identified in a manner likely to bring his identity to the notice of a person seeing or hearing the performance as modified by the act in question; or
(b) he has previously been identified in or on copies of a sound recording issued to the public,subsection (4) applies only if there is sufficient disclaimer.
(6) In subsection (5) “sufficient disclaimer”, in relation to an act capable of infringing the right, means a clear and reasonably prominent indication:
(a) given in a manner likely to bring it to the notice of a person seeing or hearing the performance as modified by the act in question, and
(b) if the performer is identified at the time of the act, appearing along with the identification,that the modifications were made without the performer’s consent.
205H.-Infringement of right by possessing or dealing with infringing article
(1) The right conferred by section 205F (right to object to derogatory treatment of performance) is also infringed by a person who:
(a) possesses in the course of business, or
(b) sells or lets for hire, or offers or exposes for sale or hire, or
(c) distributes,an article which is, and which he knows or has reason to believe is, an infringing article.
(2) An “infringing article” means a sound recording of a qualifying performance with any distortion, mutilation or other modification that is prejudicial to the reputation of the performer.
Supplementary
205I.-Duration of rights
(1) A performer’s rights under this Chapter in relation to a performance subsist so long as that performer’s rights under Chapter 2 subsist in relation to the performance.
(2) In subsection (1) “performer’s rights” includes rights of a performer that are vested in a successor of his.
205J.-Consent and waiver of rights
(1) It is not an infringement of the rights conferred by this Chapter to do any act to which consent has been given by or on behalf of the person entitled to the right.
(2) Any of those rights may be waived by instrument in writing signed by or on behalf of the person giving up the right.
(3) A waiver:
(a) may relate to a specific performance, to performances of a specified description or to performances generally, and may relate to existing or future performances, and
(b) may be conditional or unconditional and may be expressed to be subject to revocation,and if made in favour of the owner or prospective owner of a performer’s property rights in the performance or performances to which it relates, it shall be presumed to extend to his licensees and successors in title unless a contrary intention is expressed.
(4) Nothing in this Chapter shall be construed as excluding the operation of the general law of contract or estoppel in relation to an informal waiver or other transaction in relation to either of the rights conferred by this Chapter.
205K.- Application of provisions to parts of performances
(1) The right conferred by section 205C (right to be identified as performer) applies in relation to the whole or any substantial part of a performance.
(2) The right conferred by section 205F (right to object to derogatory treatment of performance) applies in relation to the whole or any part of a performance.
205L.- Moral rights not assignable
The rights conferred by this Chapter are not assignable.
205M.-Transmission of moral rights on death
(1) On the death of a person entitled to a right conferred by this Chapter:
(a) the right passes to such person as he may by testamentary disposition specifically direct,
(b) if there is no such direction but the performer’s property rights in respect of the performance in question form part of his estate, the right passes to the person to whom the property rights pass,
(c) if or to the extent that the right does not pass under paragraph (a) or (b) it is exercisable by his personal representatives.
(2) Where a performer’s property rights pass in part to one person and in part to another, as for example where a bequest is limited so as to apply:
(a) to one or more, but not all, of the things to which the owner has the right to consent, or
(b) to part, but not the whole, of the period for which the rights subsist,any right which by virtue of subsection (1) passes with the performer’s property rights is correspondingly divided.
(3) Where by virtue of subsection (1)(a) or (1)(b) a right becomes exercisable by more than one person:
(a) it is, in the case of the right conferred by section 205F (right to object to derogatory treatment of performance), a right exercisable by each of them and is satisfied in relation to any of them if he consents to the treatment or act in question, and
(b) any waiver of the right in accordance with section 205J by one of them does not affect the rights of the others.
(4) A consent or waiver previously given or made binds any person to whom a right passes by virtue of subsection (1).
(5) Any damages recovered by personal representatives by virtue of this section in respect of an infringement after a person’s death shall devolve as part of his estate as if the right of action had subsisted and been vested in him immediately before his death.
205N.- Remedies for infringement of moral rights
(1) An infringement of a right conferred by this Chapter is actionable as a breach of statutory duty owed to the person entitled to the right.
(2)Where:
(a) there is an infringement of a right conferred by this Chapter,
(b) a person falsely claiming to act on behalf of a performer consented to the relevant conduct or purported to waive the right, and
(c) there would have been no infringement if he had been so acting,that person shall be liable, jointly and severally with any person liable in respect of the infringement by virtue of subsection (1), as if he himself had infringed the right.
(3) Where proceedings for infringement of the right conferred on a performer by this Chapter, it shall be a defence to prove:
(a) that a person claiming to act on behalf of the performer consented to the defendant’s conduct or purported to waive the right, and
(b) that the defendant reasonably believed that the person was acting on behalf of the performer.
(4) In proceedings for infringement of the right conferred by section 205F the court may, if it thinks it an adequate remedy in the circumstances, grant an injunction on terms prohibiting the doing of any act unless a disclaimer is made, in such terms and in such manner as may be approved by the court, dissociating the performer from the broadcast or sound recording of the performance.][F587Chapter 4.- QUALIFICATION FOR PROTECTION, EXTENT AND INTERPRETATION
X64.- Qualification for protection and extent
X65
206.- Qualifying countries, individuals and persons.
(1) In this Part:
“qualifying country” means:
(a) the United Kingdom,
[F588(b) another EEA state,][F589
(ba) the Channel Islands, the Isle of Man or Gibraltar,] or
[F590(bb) a country which is a party to the Rome Convention,] or
(c) to the extent that an Order under section 208 so provides, a country designated under that section as enjoying reciprocal protection;
“qualifying individual” means a citizen or subject of, or an individual resident in, a qualifying country; and
“qualifying person” means a qualifying individual or a body corporate or other body having legal personality which:
(a) is formed under the law of a part of the United Kingdom or another qualifying country, and
(b) has in any qualifying country a place of business at which substantial business activity is carried on.
(2) The reference in the definition of “qualifying individual” to a person’s being a citizen or subject of a qualifying country shall be construed:
(a) in relation to the United Kingdom, as a reference to his being a British citizen, and
(b) in relation to a colony of the United Kingdom, as a reference to his being a British Dependent Territories’ citizen by connection with that colony.
(3) In determining for the purpose of the definition of “qualifying person” whether substantial business activity is carried on at a place of business in any country, no account shall be taken of dealings in goods which are at all material times outside that country.
[F591(4) Her Majesty may by Order in Council:
(a) make provision for the application of this Part to a country by virtue of paragraph (bb) or (c) of the definition of “qualifying country” in subsection (1) to be subject to specified restrictions;
(b) amend the definition of “qualifying country” in subsection (1) so as to add a country which is not a party to the Rome Convention;
(c) make provision for the application of this Part to a country added under paragraph (b) to be subject to specified restrictions.
(5) A statutory instrument containing an Order in Council under this section is subject to annulment in pursuance of a resolution of either House of Parliament.][F592
(6) In this section, “the Rome Convention” means the International Convention for the Protection of Performers, Producers of Phonograms and Broadcasting Organisations done at Rome on 26 October 1961.]
X66
207.- Countries to which this Part extends.
This Part extends to England and Wales, Scotland and Northern Ireland.
X67
208.- Countries enjoying reciprocal protection.
(1) Her Majesty may by Order in Council designate as enjoying reciprocal protection under this Part:
(a) a Convention country, or
(b) a country as to which Her Majesty is satisfied that provision has been or will be made under its law giving adequate protection for British performances.
(2) A “Convention country” means a country which is a party to a Convention relating to performers’ rights to which the United Kingdom is also a party.
(3) A “British performance” means a performance:
(a) given by an individual who is a British citizen or resident in the United Kingdom, or
(b) taking place in the United Kingdom.
(4) If the law of that country provides adequate protection only for certain descriptions of performance, an Order under subsection (1)(b) designating that country shall contain provision limiting to a corresponding extent the protection afforded by this Part in relation to performances connected with that country.
(5) The power conferred by subsection (1)(b) is exercisable in relation to F593… any colony of the United Kingdom, as in relation to a foreign country.
(6) A statutory instrument containing an Order in Council under this section shall be subject to annulment in pursuance of a resolution of either House of Parliament.
X68
209.- Territorial waters and the continental shelf.
(1) For the purposes of this Part the territorial waters of the United Kingdom shall be treated as part of the United Kingdom.
(2) This Part applies to things done in the United Kingdom sector of the continental shelf on a structure or vessel which is present there for purposes directly connected with the exploration of the sea bed or subsoil or the exploitation of their natural resources as it applies to things done in the United Kingdom.
(3) The United Kingdom sector of the continental shelf means the areas designated by order under section 1(7) of the M25Continental Shelf Act 1964.
X69
210.- British ships, aircraft and hovercraft.
(1) This Part applies to things done on a British ship, aircraft or hovercraft as it applies to things done in the United Kingdom.
(2) In this section:
“British ship” means a ship which is a British ship for the purposes of the [F594Merchant Shipping Act 1995] otherwise than by virtue of registration in a country outside the United Kingdom; and
“British aircraft” and “British hovercraft” mean an aircraft or hovercraft registered in the United Kingdom.
[F595210A.- Requirement of signature: application in relation to body corporate
(1) The requirement in the following provisions that an instrument be signed by or on behalf of a person is also satisfied in the case of a body corporate by the affixing of its seal:
section 191B(3) (assignment of performer’s property rights);
section 191C(1) (assignment of future performer’s property rights);
section 191D(1) (grant of exclusive licence).
(2) The requirement in the following provisions that an instrument be signed by a person is also satisfied in the case of a body corporate by signature on behalf of the body or by the affixing of its seal:
section 205D(2)(a) (assertion of performer’s moral rights);
section 205J(2) (waiver of performer’s moral rights).]
X70.- Interpretation
X71
211.- Expressions having same meaning as in copyright provisions.
(1) The following expressions have the same meaning in this Part as in Part I (copyright):
[F596 assignment (in Scotland),]broadcast,
business,
F597. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F598. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[F599 communication to the public,]country,
defendant (in Scotland),
delivery up (in Scotland),
[F600 the EEA,][F600 EEA state,]film,
[F601 injunction (in Scotland)]literary work,
published, F602. . .
[F603 signed,][F604 sound recording, and][F605wireless broadcast.](2) [F606 The provisions of:
(a) section 5B(2) and (3) (supplementary provisions relating to films), and
(b) section 6(3) to (5A) and section 19(4) (supplementary provisions relating to broadcasting),apply] for the purposes of this Part, and in relation to an infringement of the rights conferred by this Part, as they apply for the purposes of Part I and in relation to an infringement of copyright.
X72
212.- Index of defined expressions.
The following Table shows provisions defining or otherwise explaining expressions used in this Part (other than provisions defining or explaining an expression used only in the same section):
[F607 accessible copy (in paragraphs 3A to 3E of Schedule 2) paragraph 3E(4) of Schedule 2][F608 assignment (in Scotland) section 211(1) (and section 177);]broadcast (and related expressions) section 211 (and section 6)
business section 211(1) (and section 178)
F609. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[F610 communication to the public section 211(1) (and section 20)][F611 consent of performer (in relation toperformer’s property rights)] [F612section 191A(2)]
country section 211(1) (and section 178)
defendant (in Scotland) section 211(1) (and section 177)
delivery up (in Scotland) section 211(1) (and section 177)
[F607 disabled person (in paragraphs 3A to 3E of Schedule 2) paragraph 3E(2) and (3) of Schedule 2][F613 distribution right] [F614section 182B(5)][F615 the EEA and EEA state] [F616 section 211(1) (and section 172A)]exclusive recording contract section 185(1)
film section 211(1) (and [F617section 5B])
[F618group section 205C(4);]illicit recording section 197
[F619 injunction (in Scotland) section 211(1) (and section 177)][F620 issue to the public section 182B;]literary work section 211(1) (and section 3(1))
[F621 lending right] [F622section 182C(7)][F623 making available right section 182CA]performance section 180(2)
[F624 performer’s non-property rights] [F625section 192A(1)][F626 performer’s property rights] [F627section 191A(1)]published section 211(1) (and section 175)
qualifying country section 206(1)
qualifying individual section 206(1) and (2)
qualifying performance section 181
qualifying person section 206(1) and (3)
recording (of a performance) section 180(2)
recording rights (person having) section 185(2) and (3)
[F628rental right)] [F629section 182C(7)][F630 reproduction right] [F631section 182A(3)][F632 rights owner (in relation to performer’s property rights)] [F633 section 191A(3) and (4).][F634 signed section 211(1) (and section 176);]sound recording section 211(1) (and [F635 section 5A]).
[F636 wireless broadcast section 211(1) (and section 178).]][F637.- Supplementary212A.- Power to amend in consequence of changes to international law
(1) The Secretary of State may by order amend this Part in consequence of changes to international law in the area of performance rights.
(2) An order under this section must be made by statutory instrument; and no order may be made unless a draft of it has been laid before and approved by a resolution of each House of Parliament.]
Part III.- Design Right
Chapter I.- Design right in original designs
Introductory
213.- Design right.
(1) Design right is a property right which subsists in accordance with this Part in an original design.
(2) In this Part “design” means the design of F638… the shape or configuration (whether internal or external) of the whole or part of an article.
(3) Design right does not subsist in:
(a) a method or principle of construction,
(b) features of shape or configuration of an article which:
(i) enable the article to be connected to, or placed in, around or against, another article so that either article may perform its function, or
(ii) are dependent upon the appearance of another article of which the article is intended by the designer to form an integral part, or
(c) surface decoration.
(4) A design is not “original” for the purposes of this Part if it is commonplace [F639in a qualifying country] in the design field in question at the time of its creation[F640; and “qualifying country” has the meaning given in section 217(3) ].
(5) Design right subsists in a design only if the design qualifies for design right protection by reference to:
(a) the designer or the person by whom [F641the designer was employed] (see sections 218 and 219), or
(b) the person by whom and country in which articles made to the design were first marketed (see section 220),or in accordance with any Order under section 221 (power to make further provision with respect to qualification).
F642 [
(5A) Design right does not subsist in a design which consists of or contains a controlled representation within the meaning of the Olympic Symbol etc. (Protection) Act 1995. ]
(6) Design right does not subsist unless and until the design has been recorded in a design document or an article has been made to the design.
(7) Design right does not subsist in a design which was so recorded, or to which an article was made, before the commencement of this Part.
214.- The designer.
(1) In this Part the “designer”, in relation to a design, means the person who creates it.
(2) In the case of a computer-generated design the person by whom the arrangements necessary for the creation of the design are undertaken shall be taken to be the designer.
215.- Ownership of design right.
(1) The designer is the first owner of any design right in a design which is not created F643… in the course of employment.
F644
(2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(3) Where F645… a design is created by an employee in the course of his employment, his employer is the first owner of any design right in the design.
(4) If a design qualifies for design right protection by virtue of section 220 (qualification by reference to first marketing of articles made to the design), the above rules do not apply and the person by whom the articles in question are marketed is the first owner of the design right.
216.- Duration of design right.
(1) Design right expires:
(a) fifteen years from the end of the calendar year in which the design was first recorded in a design document or an article was first made to the design, whichever first occurred, or
(b) if articles made to the design are made available for sale or hire within five years from the end of that calendar year, ten years from the end of the calendar year in which that first occurred.
(2) The reference in subsection (1) to articles being made available for sale or hire is to their being made so available anywhere in the world by or with the licence of the design right owner.
Qualification for design right protection
217.- Qualifying individuals and qualifying persons.
(1)In this Part:
F646…
[F647 “ qualifying person ” means:(a) an individual habitually resident in a qualifying country, or
(b) a body corporate or other body having legal personality which:
(i) is formed under the law of a part of the United Kingdom or another qualifying country, and
(ii) has in any qualifying country a place of business at which substantial business activity is carried on.]
(2) References in this Part to a qualifying person include the Crown and the government of any other qualifying country.
(3) In this section “qualifying country” means:
(a) the United Kingdom,
(b) a country to which this Part extends by virtue of an Order under section 255,
(c) another member State of the [F648European Union], or
(d) to the extent that an Order under section 256 so provides, a country designated under that section as enjoying reciprocal protection.
F649
(4). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(5) In determining for the purpose of the definition of “qualifying person” whether substantial business activity is carried on at a place of business in any country, no account shall be taken of dealings in goods which are at all material times outside that country.
218.- Qualification by reference to designer.
(1) This section applies to a design which is not created F650…in the course of employment.
(2) A design to which this section applies qualifies for design right protection if the designer is F651… a qualifying person.
(3) A joint design to which this section applies qualifies for design right protection if any of the designers is F652… a qualifying person.
(4) Where a joint design qualifies for design right protection under this section, only those designers who are F653… qualifying persons are entitled to design right under section 215(1) (first ownership of design right: entitlement of designer).
219.- [F654.- Qualification by reference to employer].
(1) A design qualifies for design right protection if it is created [F655in the course of employment with ] a qualifying person.
(2) In the case of F656… joint employment a design qualifies for design right protection if any of the F656… employers is a qualifying person.
(3) Where a design which is F657… created in the course of joint employment qualifies for design right protection under this section, only those F657… employers who are qualifying persons are entitled to design right under section [F658215(3)] (first ownership of design right: entitlement of F657… employer).
220.- Qualification by reference to first marketing.
(1) A design which does not qualify for design right protection under section 218 or 219 (qualification by reference to designerF659… or employer) qualifies for design right protection if the first marketing of articles made to the design:
(a) is by a qualifying person F660…, and
(b) takes place in the United Kingdom, another country to which this Part extends by virtue of an Order under section 255, or another member State of the [F661European Union].
(2) If the first marketing of articles made to the design is done jointly by two or more persons, the design qualifies for design right protection if any of those persons meets the [F662 requirement] specified in subsection (1)(a).
- In such a case only the persons who meet [F663that requirement ] are entitled to design right under section 215(4) (first ownership of design right: entitlement of first marketer of articles made to the design).
F664
(4). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
221.- Power to make further provision as to qualification.
(1) Her Majesty may, with a view to fulfilling an international obligation of the United Kingdom, by Order in Council provide that a design qualifies for design right protection if such requirements as are specified in the Order are met.
(2) An Order may make different provision for different descriptions of design or article; and may make such consequential modifications of the operation of sections 215 (ownership of design right) and sections 218 to 220 (other means of qualification) as appear to Her Majesty to be appropriate.
(3) A statutory instrument containing an Order in Council under this section shall be subject to annulment in pursuance of a resolution of either House of Parliament.
Dealings with design right
222.- Assignment and licences.
(1) Design right is transmissible by assignment, by testamentary disposition or by operation of law, as personal or moveable property.
(2) An assignment or other transmission of design right may be partial, that is, limited so as to apply:
(a) to one or more, but not all, of the things the design right owner has the exclusive right to do;
(b) to part, but not the whole, of the period for which the right is to subsist.
(3) An assignment of design right is not effective unless it is in writing signed by or on behalf of the assignor.
(4) A licence granted by the owner of design right is binding on every successor in title to his interest in the right, except a purchaser in good faith for valuable consideration and without notice (actual or constructive) of the licence or a person deriving title from such a purchaser; and references in this Part to doing anything with, or without, the licence of the design right owner shall be construed accordingly.
223.- Prospective ownership of design right.
(1) Where by an agreement made in relation to future design right, and signed by or on behalf of the prospective owner of the design right, the prospective owner purports to assign the future design right (wholly or partially) to another person, then if, on the right coming into existence, the assignee or another person claiming under him would be entitled as against all other persons to require the right to be vested in him, the right shall vest in him by virtue of this section.
(2) In this section:
“future design right” means design right which will or may come into existence in respect of a future design or class of designs or on the occurrence of a future event; and
“prospective owner” shall be construed accordingly, and includes a person who is prospectively entitled to design right by virtue of such an agreement as is mentioned in subsection (1).
(3) A licence granted by a prospective owner of design right is binding on every successor in title to his interest (or prospective interest) in the right, except a purchaser in good faith for valuable consideration and without notice (actual or constructive) of the licence or a person deriving title from such a purchaser; and references in this Part to doing anything with, or without, the licence of the design right owner shall be construed accordingly.
224.- Assignment of right in registered design presumed to carry with it design right.
Where a design consisting of a design in which design right subsists is registered under the M26Registered Designs Act 1949 and the proprietor of the registered design is also the design right owner, an assignment of the right in the registered design shall be taken to be also an assignment of the design right, unless a contrary intention appears.
225.- Exclusive licences.
(1) In this Part an “exclusive licence” means a licence in writing signed by or on behalf of the design right owner authorising the licensee to the exclusion of all other persons, including the person granting the licence, to exercise a right which would otherwise be exercisable exclusively by the design right owner.
(2) The licensee under an exclusive licence has the same rights against any successor in title who is bound by the licence as he has against the person granting the licence.
Chapter II.- Rights of Design Right Owner and Remedies
Infringement of design right
226.- Primary infringement of design right.
(1) The owner of design right in a design has the exclusive right to reproduce the design for commercial purposes:
(a) by making articles to that design, or
(b) by making a design document recording the design for the purpose of enabling such articles to be made.
(2) Reproduction of a design by making articles to the design means copying the design so as to produce articles exactly or substantially to that design, and references in this Part to making articles to a design shall be construed accordingly.
(3) Design right is infringed by a person who without the licence of the design right owner does, or authorises another to do, anything which by virtue of this section is the exclusive right of the design right owner.
(4) For the purposes of this section reproduction may be direct or indirect, and it is immaterial whether any intervening acts themselves infringe the design right.
(5) This section has effect subject to the provisions of Chapter III (exceptions to rights of design right owner).
227.- Secondary infringement: importing or dealing with infringing article.
(1) Design right is infringed by a person who, without the licence of the design right owner:
(a) imports into the United Kingdom for commercial purposes, or
(b) has in his possession for commercial purposes, or
(c) sells, lets for hire, or offers or exposes for sale or hire, in the course of a business,an article which is, and which he knows or has reason to believe is, an infringing article.
(2) This section has effect subject to the provisions of Chapter III (exceptions to rights of design right owner).
228.- Meaning of “infringing article”.
(1) In this Part “infringing article”, in relation to a design, shall be construed in accordance with this section.
(2) An article is an infringing article if its making to that design was an infringement of design right in the design.
(3) An article is also an infringing article if:
(a) it has been or is proposed to be imported into the United Kingdom, and
(b) its making to that design in the United Kingdom would have been an infringement of design right in the design or a breach of an exclusive licence agreement relating to the design.
(4) Where it is shown that an article is made to a design in which design right subsists or has subsisted at any time, it shall be presumed until the contrary is proved that the article was made at a time when design right subsisted.
(5) Nothing in subsection (3) shall be construed as applying to an article which may lawfully be imported into the United Kingdom by virtue of any enforceable [F665EU] right within the meaning of section 2(1) of the M27European Communities Act 1972.
(6) The expression “infringing article” does not include a design document, notwithstanding that its making was or would have been an infringement of design right.
Remedies for infringement
229.- Rights and remedies of design right owner.
(1) An infringement of design right is actionable by the design right owner.
(2) In an action for infringement of design right all such relief by way of damages, injunctions, accounts or otherwise is available to the plaintiff as is available in respect of the infringement of any other property right.
(3) The court may in an action for infringement of design right, having regard to all the circumstances and in particular to:
(a) the flagrancy of the infringement, and
(b) any benefit accruing to the defendant by reason of the infringement,award such additional damages as the justice of the case may require.
(4) This section has effect subject to section 233 (innocent infringement).
230.- Order for delivery up.
(1) Where a person:
(a) has in his possession, custody or control for commercial purposes an infringing article, or
(b) has in his possession, custody or control anything specifically designed or adapted for making articles to a particular design, knowing or having reason to believe that it has been or is to be used to make an infringing article,the owner of the design right in the design in question may apply to the court for an order that the infringing article or other thing be delivered up to him or to such other person as the court may direct.
(2) An application shall not be made after the end of the period specified in the following provisions of this section; and no order shall be made unless the court also makes, or it appears to the court that there are grounds for making, an order under section 231 (order as to disposal of infringing article, &c.).
(3) An application for an order under this section may not be made after the end of the period of six years from the date on which the article or thing in question was made, subject to subsection (4).
(4) If during the whole or any part of that period the design right owner:
(a) is under a disability, or
(b) is prevented by fraud or concealment from discovering the facts entitling him to apply for an order,an application may be made at any time before the end of the period of six years from the date on which he ceased to be under a disability or, as the case may be, could with reasonable diligence have discovered those facts.
(5) In subsection (4) “disability”:
(a) in England and Wales, has the same meaning as in the M28Limitation Act 1980;
(b) in Scotland, means legal disability within the meaning of the M29Prescription and Limitation (Scotland) Act 1973;
(c) in Northern Ireland, has the same meaning as in the M30Statute of Limitations (Northern Ireland) 1958.
(6) A person to whom an infringing article or other thing is delivered up in pursuance of an order under this section shall, if an order under section 231 is not made, retain it pending the making of an order, or the decision not to make an order, under that section.
(7) Nothing in this section affects any other power of the court.
231.- Order as to disposal of infringing articles, &c.
(1) An application may be made to the court for an order that an infringing article or other thing delivered up in pursuance of an order under section 230 shall be:
(a) forfeited to the design right owner, or
(b) destroyed or otherwise dealt with as the court may think fit,or for a decision that no such order should be made.
(2) In considering what order (if any) should be made, the court shall consider whether other remedies available in an action for infringement of design right would be adequate to compensate the design right owner and to protect his interests.
(3) Provision shall be made by rules of court as to the service of notice on persons having an interest in the article or other thing, and any such person is entitled:
(a) to appear in proceedings for an order under this section, whether or not he was served with notice, and
(b) to appeal against any order made, whether or not he appeared;and an order shall not take effect until the end of the period within which notice of an appeal may be given or, if before the end of that period notice of appeal is duly given, until the final determination or abandonment of the proceedings on the appeal.
(4) Where there is more than one person interested in an article or other thing, the court shall make such order as it thinks just and may (in particular) direct that the thing be sold, or otherwise dealt with, and the proceeds divided.
(5) If the court decides that no order should be made under this section, the person in whose possession, custody or control the article or other thing was before being delivered up F666. . . is entitled to its return.
(6) References in this section to a person having an interest in an article or other thing include any person in whose favour an order could be made in respect of it
[F667(a) under this section or under section 114 or 204 of this Act;
(b) under section 24D of the Registered Designs Act 1949;
(c) under section 19 of Trade Marks Act 1994 (including that section as applied by regulation 4 of the Community Trade Mark Regulations 2006 (SI 2006/1027)); or
(d) under regulation 1C of the Community Design Regulations 2005 (SI 2005/2339).]
232.- Jurisdiction of county court and sheriff court.
(1) In England [F668and Wales the county court and in] Northern Ireland a county court may entertain proceedings under:
section 230 (order for delivery up of infringing article, &c.),
section 231 (order as to disposal of infringing article, &c.), or
section 235(5) (application by exclusive licensee having concurrent rights),
[F669 save that, in Northern Ireland, a county court may entertain such proceedings only] where the value of the infringing articles and other things in question does not exceed the county court limit for actions in tort.(2) In Scotland proceedings for an order under any of those provisions may be brought in the sheriff court.
(3) Nothing in this section shall be construed as affecting the jurisdiction of the High Court or, in Scotland, the Court of Session.
233.- Innocent infringement.
(1) Where in an action for infringement of design right brought by virtue of section 226 (primary infringement) it is shown that at the time of the infringement the defendant did not know, and had no reason to believe, that design right subsisted in the design to which the action relates, the plaintiff is not entitled to damages against him, but without prejudice to any other remedy.
(2) Where in an action for infringement of design right brought by virtue of section 227 (secondary infringement) a defendant shows that the infringing article was innocently acquired by him or a predecessor in title of his, the only remedy available against him in respect of the infringement is damages not exceeding a reasonable royalty in respect of the act complained of.
(3) In subsection (2) “innocently acquired” means that the person acquiring the article did not know and had no reason to believe that it was an infringing article.
234.- Rights and remedies of exclusive licensee.
(1) An exclusive licensee has, except against the design right owner, the same rights and remedies in respect of matters occurring after the grant of the licence as if the licence had been an assignment.
(2) His rights and remedies are concurrent with those of the design right owner; and references in the relevant provisions of this Part to the design right owner shall be construed accordingly.
(3) In an action brought by an exclusive licensee by virtue of this section a defendant may avail himself of any defence which would have been available to him if the action had been brought by the design right owner.
235.- Exercise of concurrent rights.
(1) Where an action for infringement of design right brought by the design right owner or an exclusive licensee relates (wholly or partly) to an infringement in respect of which they have concurrent rights of action, the design right owner or, as the case may be, the exclusive licensee may not, without the leave of the court, proceed with the action unless the other is either joined as a plaintiff or added as a defendant.
(2) A design right owner or exclusive licensee who is added as a defendant in pursuance of subsection (1) is not liable for any costs in the action unless he takes part in the proceedings.
(3) The above provisions do not affect the granting of interlocutory relief on the application of the design right owner or an exclusive licensee.
(4) Where an action for infringement of design right is brought which relates (wholly or partly) to an infringement in respect of which the design right owner and an exclusive licensee have concurrent rights of action:
(a) the court shall, in assessing damages, take into account:
(i) the terms of the licence, and
(ii) any pecuniary remedy already awarded or available to either of them in respect of the infringement;
(b) no account of profits shall be directed if an award of damages has been made, or an account of profits has been directed, in favour of the other of them in respect of the infringement; and
(c) the court shall if an account of profits is directed apportion the profits between them as the court considers just, subject to any agreement between them;and these provisions apply whether or not the design right owner and the exclusive licensee are both parties to the action.
(5) The design right owner shall notify any exclusive licensee having concurrent rights before applying for an order under section 230 (order for delivery up of infringing article, &c.); and the court may on the application of the licensee make such order under that section as it thinks fit having regard to the terms of the licence.
Chapter III.- Exceptions to Rights of Design Right Owners
Infringement of copyright
236.- Infringement of copyright.
Where copyright subsists in a work which consists of or includes a design in which design right subsists, it is not an infringement of design right in the design to do anything which is an infringement of the copyright in that work.
Availability of licences of right
237.- Licences available in last five years of design right.
(1) Any person is entitled as of right to a licence to do in the last five years of the design right term anything which would otherwise infringe the design right.
(2) The terms of the licence shall, in default of agreement, be settled by the comptroller.
(3) The Secretary of State may if it appears to him necessary in order to:
(a) comply with an international obligation of the United Kingdom, or
(b) secure or maintain reciprocal protection for British designs in other countries,by order exclude from the operation of subsection (1) designs of a description specified in the order or designs applied to articles of a description so specified.
(4) An order shall be made by statutory instrument; and no order shall be made unless a draft of it has been laid before and approved by a resolution of each House of Parliament.
238.- Powers exercisable for protection of the public interest.
[F670(1) Subsection (1A) applies where whatever needs to be remedied, mitigated or prevented by the Secretary of State [F671 or (as the case may be) the Competition and Markets Authority ] under section 12(5) of the Competition Act 1980 or section 41(2), 55(2), 66(6), 75(2), 83(2), 138(2), 147(2) [F672 , 147A(2) ] or 160(2) of, or paragraph 5(2) or 10(2) of Schedule 7 to, the Enterprise Act 2002 (powers to take remedial action following references to the [F673 Competition and Markets Authority ] in connection with public bodies and certain other persons, mergers or market investigations etc. ) consists of or includes:
(a) conditions in licences granted by a design right owner restricting the use of the design by the licensee or the right of the design right owner to grant other licences, or
(b) a refusal of a design right owner to grant licences on reasonable terms.
(1A) The powers conferred by Schedule 8 to the Enterprise Act 2002 include power to cancel or modify those conditions and, instead or in addition, to provide that licences in respect of the design right shall be available as of right.
(2) The references to anything permitted by Schedule 8 to the Enterprise Act 2002 in section 12(5A) of the Competition Act 1980 and in sections 75(4)(a), 83(4)(a), 84(2)(a), 89(1), 160(4)(a), 161(3)(a) and 164(1) of, and paragraphs 5, 10 and 11 of Schedule 7 to, the Act of 2002 shall be construed accordingly.]
(3) The terms of a licence available by virtue of this section shall, in default of agreement, be settled by the comptroller.
239.- Undertaking to take licence of right in infringement proceedings.
(1) If in proceedings for infringement of design right in a design in respect of which a licence is available as of right under section 237 or 238 the defendant undertakes to take a licence on such terms as may be agreed or, in default of agreement, settled by the comptroller under that section:
(a) no injunction shall be granted against him,
(b) no order for delivery up shall be made under section 230, and
(c) the amount recoverable against him by way of damages or on an account of profits shall not exceed double the amount which would have been payable by him as licensee if such a licence on those terms had been granted before the earliest infringement.
(2) An undertaking may be given at any time before final order in the proceedings, without any admission of liability.
(3) Nothing in this section affects the remedies available in respect of an infringement committed before licences of right were available.
Crown use of designs
240.- Crown use of designs.
(1) A government department, or a person authorised in writing by a government department, may without the licence of the design right owner:
(a) do anything for the purpose of supplying articles for the services of the Crown, or
(b) dispose of articles no longer required for the services of the Crown;and nothing done by virtue of this section infringes the design right.
(2) References in this Part to “the services of the Crown” are to:
(a) the defence of the realm,
(b) foreign defence purposes, and
(c) health service purposes.
(3) The reference to the supply of articles for “foreign defence purposes” is to their supply:
(a) for the defence of a country outside the realm in pursuance of an agreement or arrangement to which the government of that country and Her Majesty’s Government in the United Kingdom are parties; or
(b) for use by armed forces operating in pursuance of a resolution of the United Nations or one of its organs.
(4) The reference to the supply of articles for “health service purposes” are to their supply for the purpose of providing:
[F674(za) primary medical services or primary dental services under [F675the National Health Service Act 2006 or the National Health Service (Wales) Act 2006,][F676or primary medical services under Part 1 of the National Health Service (Scotland) Act 1978]]F677[
(a) pharmaceutical services, general medical services or general dental services under:
[F678(i) Chapter 1 of Part 7 of the National Health Service Act 2006, or Chapter 1 of Part 7 of the National Health Service (Wales) Act 2006 (in the case of pharmaceutical services),]
(ii) Part II of the National Health Service (Scotland) Act 1978 [F679(in the case of pharmaceutical services or general dental services)], or
(iii) the corresponding provisions of the law in force in Northern Ireland; or
(b) personal medical services or personal dental services in accordance with arrangements made under:
(i) F680. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(ii) section 17C of the 1978 Act [F681(in the case of personal dental services)], or
(iii) the corresponding provisions of the law in force in Northern Ireland][F682or
(c) local pharmaceutical services provided under[F683 the National Health Service Act 2006 or the National Health Service (Wales) Act 2006].]
(5) In this Part:
“Crown use”, in relation to a design, means the doing of anything by virtue of this section which would otherwise be an infringement of design right in the design; and
“the government department concerned”, in relation to such use, means the government department by whom or on whose authority the act was done.
(6) The authority of a government department in respect of Crown use of a design may be given to a person either before or after the use and whether or not he is authorised, directly or indirectly, by the design right owner to do anything in relation to the design.
(7) A person acquiring anything sold in the exercise of powers conferred by this section, and any person claiming under him, may deal with it in the same manner as if the design right were held on behalf of the Crown.
241.- Settlement of terms for Crown use.
(1) Where Crown use is made of a design, the government department concerned shall:
(a) notify the design right owner as soon as practicable, and
(b) give him such information as to the extent of the use as he may from time to time require,unless it appears to the department that it would be contrary to the public interest to do so or the identity of the design right owner cannot be ascertained on reasonable inquiry.
(2) Crown use of a design shall be on such terms as, either before or after the use, are agreed between the government department concerned and the design right owner with the approval of the Treasury or, in default of agreement, are determined by the court.In the application of this subsection to Northern Ireland the reference to the Treasury shall, where the government department referred to in that subsection is a Northern Ireland department, be construed as a reference to the Department of Finance and Personnel.
[F684 In the application of this subsection to Scotland, where the government department referred to in that subsection is any part of the Scottish Administration, the words “with the approval of the Treasury” are omitted.](3) Where the identity of the design right owner cannot be ascertained on reasonable inquiry, the government department concerned may apply to the court who may order that no royalty or other sum shall be payable in respect of Crown use of the design until the owner agrees terms with the department or refers the matter to the court for determination.
242.- Rights of third parties in case of Crown use.
(1) The provisions of any licence, assignment or agreement made between the design right owner (or anyone deriving title from him or from whom he derives title) and any person other than a government department are of no effect in relation to Crown use of a design, or any act incidental to Crown use, so far as they:
(a) restrict or regulate anything done in relation to the design, or the use of any model, document or other information relating to it, or
(b) provide for the making of payments in respect of, or calculated by reference to such use;and the copying or issuing to the public of copies of any such model or document in connection with the thing done, or any such use, shall be deemed not to be an infringement of any copyright in the model or document.
(2) Subsection (1) shall not be construed as authorising the disclosure of any such model, document or information in contravention of the licence, assignment or agreement.
(3) Where an exclusive licence is in force in respect of the design:
(a )if the licence was granted for royalties:
(i) any agreement between the design right owner and a government department under section 241 (settlement of terms for Crown use) requires the consent of the licensee, and
(ii) the licensee is entitled to recover from the design right owner such part of the payment for Crown use as may be agreed between them or, in default of agreement, determined by the court;
(b) if the licence was granted otherwise than for royalties:
(i) section 241 applies in relation to anything done which but for section 240 (Crown use) and subsection (1) above would be an infringement of the rights of the licensee with the substitution for references to the design right owner of references to the licensee, and
(ii) section 241 does not apply in relation to anything done by the licensee by virtue of an authority given under section 240.
(4) Where the design right has been assigned to the design right owner in consideration of royalties:
(a) section 241 applies in relation to Crown use of the design as if the references to the design right owner included the assignor, and any payment for Crown use shall be divided between them in such proportion as may be agreed or, in default of agreement, determined by the court; and
(b) section 241 applies in relation to any act incidental to Crown use as it applies in relation to Crown use of the design.
(5) Where any model, document or other information relating to a design is used in connection with Crown use of the design, or any act incidental to Crown use, section 241 applies to the use of the model, document or other information with the substitution for the references to the design right owner of references to the person entitled to the benefit of any provision of an agreement rendered inoperative by subsection (1) above.
(6) In this section:
“act incidental to Crown use” means anything done for the services of the Crown to the order of a government department by the design right owner in respect of a design;
“payment for Crown use” means such amount as is payable by the government department concerned by virtue of section 241; and
“royalties” includes any benefit determined by reference to the use of the design.
243.- Crown use: compensation for loss of profit.
(1) Where Crown use is made of a design, the government department concerned shall pay:
(a) to the design right owner, or
(b) if there is an exclusive licence in force in respect of the design, to the exclusive licensee,compensation for any loss resulting from his not being awarded a contract to supply the articles made to the design.
(2) Compensation is payable only to the extent that such a contract could have been fulfilled from his existing manufacturing capacity; but is payable notwithstanding the existence of circumstances rendering him ineligible for the award of such a contract.
(3) In determining the loss, regard shall be had to the profit which would have been made on such a contract and to the extent to which any manufacturing capacity was under-used.
(4) No compensation is payable in respect of any failure to secure contracts for the supply of articles made to the design otherwise than for the services of the Crown.
(5) The amount payable shall, if not agreed between the design right owner or licensee and the government department concerned with the approval of the Treasury, be determined by the court on a reference under section 252; and it is in addition to any amount payable under section 241 or 242.
(6) In the application of this section to Northern Ireland, the reference in subsection (5) to the Treasury shall, where the government department concerned is a Northern Ireland department, be construed as a reference to the Department of Finance and Personnel.
[F685(7) In the application of this section to Scotland, where the government department referred to in subsection (5) is any part of the Scottish Administration, the words “with the approval of the Treasury” in that subsection are omitted.]
244.- Special provision for Crown use during emergency.
(1) During a period of emergency the powers exercisable in relation to a design by virtue of section 240 (Crown use) include power to do any act which would otherwise be an infringement of design right for any purpose which appears to the government department concerned necessary or expedient:
(a) for the efficient prosecution of any war in which Her Majesty may be engaged;
(b) for the maintenance of supplies and services essential to the life of the community;
(c) for securing a sufficiency of supplies and services essential to the well-being of the community;
(d) for promoting the productivity of industry, commerce and agriculture;
(e) for fostering and directing exports and reducing imports, or imports of any classes, from all or any countries and for redressing the balance of trade;
(f) generally for ensuring that the whole resources of the community are available for use, and are used, in a manner best calculated to serve the interests of the community; or
(g) for assisting the relief of suffering and the restoration and distribution of essential supplies and services in any country outside the United Kingdom which is in grave distress as the result of war.
(2) References in this Part to the services of the Crown include, as respects a period of emergency, those purposes; and references to “Crown use” include any act which would apart from this section be an infringement of design right.
(3) In this section “period of emergency” means a period beginning with such date as may be declared by Order in Council to be the beginning, and ending with such date as may be so declared to be the end, of a period of emergency for the purposes of this section.
(4) No Order in Council under this section shall be submitted to Her Majesty unless a draft of it has been laid before and approved by a resolution of each House of Parliament.
[F686 Miscellaneous244A.- Exception for private acts, experiments and teaching
Design right is not infringed by:
(a) an act which is done privately and for purposes which are not commercial;
(b) an act which is done for experimental purposes; or
(c) an act of reproduction for teaching purposes or for the purpose of making citations provided that:
(i) the act of reproduction is compatible with fair trade practice and does not unduly prejudice the normal exploitation of the design, and
(ii) mention is made of the source.
244B.- Exception for overseas ships and aircraft
Design right is not infringed by:
(a) the use of equipment on ships or aircraft which are registered in another country but which are temporarily in the United Kingdom;
(b) the importation into the United Kingdom of spare parts or accessories for the purpose of repairing such ships or aircraft; or
(c) the carrying out of repairs on such ships or aircraft.]
General
245.- Power to provide for further exceptions.
(1) The Secretary of State may if it appears to him necessary in order to:
(a) comply with an international obligation of the United Kingdom, or
(b) secure or maintain reciprocal protection for British designs in other countries,by order provide that acts of a description specified in the order do not infringe design right.
(2) An order may make different provision for different descriptions of design or article.
(3) An order shall be made by statutory instrument and no order shall be made unless a draft of it has been laid before and approved by a resolution of each House of Parliament.
Chapter IV.- Jurisdiction of the Comptroller and the Court
Jurisdiction of the comptroller
246.- Jurisdiction to decide matters relating to design right.
(1) A party to a dispute as to any of the following matters may refer the dispute to the comptroller for his decision:
(a) the subsistence of design right,
(b) the term of design right, or
(c) the identity of the person in whom design right first vested;and the comptroller’s decision on the reference is binding on the parties to the dispute.
(2) No other court or tribunal shall decide any such matter except:
(a) on a reference or appeal from the comptroller,
(b) in infringement or other proceedings in which the issue arises incidentally, or
(c) in proceedings brought with the agreement of the parties or the leave of the comptroller.
(3) The comptroller has jurisdiction to decide any incidental question of fact or law arising in the course of a reference under this section.
247.- Application to settle terms of licence of right.
(1) A person requiring a licence which is available as of right by virtue of:
(a) section 237 (licences available in last five years of design right), or
(b) an order under section 238 (licences made available in the public interest),may apply to the comptroller to settle the terms of the licence.
(2) No application for the settlement of the terms of a licence available by virtue of section 237 may be made earlier than one year before the earliest date on which the licence may take effect under that section.
(3) The terms of a licence settled by the comptroller shall authorise the licensee to do:
(a) in the case of licence available by virtue of section 237, everything which would be an infringement of the design right in the absence of a licence;
(b) in the case of a licence available by virtue of section 238, everything in respect of which a licence is so available.
(4) In settling the terms of a licence the comptroller shall have regard to such factors as may be prescribed by the Secretary of State by order made by statutory instrument.
(5) No such order shall be made unless a draft of it has been laid before and approved by a resolution of each House of Parliament.
(6) Where the terms of a licence are settled by the comptroller, the licence has effect:
(a) in the case of an application in respect of a licence available by virtue of section 237 made before the earliest date on which the licence may take effect under that section, from that date;
(b) in any other case, from the date on which the application to the comptroller was made.
248.- Settlement of terms where design right owner unknown.
(1) This section applies where a person making an application under section 247 (settlement of terms of licence of right) is unable on reasonable inquiry to discover the identity of the design right owner.
(2) The comptroller may in settling the terms of the licence order that the licence shall be free of any obligation as to royalties or other payments.
(3) If such an order is made the design right owner may apply to the comptroller to vary the terms of the licence with effect from the date on which his application is made.
(4) If the terms of a licence are settled by the comptroller and it is subsequently established that a licence was not available as of right, the licensee shall not be liable in damages for, or for an account of profits in respect of, anything done before he was aware of any claim by the design right owner that a licence was not available.
249.- Appeals as to terms of licence of right.
(1) An appeal lies from any decision of the comptroller under section 247 or 248 (settlement of terms of licence of right) to [F687a person appointed under section 27A of the Registered Designs Act 1949].
F688
(2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[F689249A.- Opinions service
The descriptions of designs which may be specified in regulations under subsection (1)(b) of section 28A of the Registered Designs Act 1949 (requests to the comptroller for opinions on designs) include, in particular:
(a) designs in which design right subsists in accordance with this Part, and
(b) designs in relation to which there is a question whether design right so subsists.]
250.- Rules
(1) The Secretary of State may make rules for regulating the procedure to be followed in connection with any proceeding before the comptroller under this Part.
(2) Rules may, in particular, make provision:
(a) prescribing forms;
(b) requiring fees to be paid;
(c) authorising the rectification of irregularities of procedure;
(d) regulating the mode of giving evidence and empowering the comptroller to compel the attendance of witnesses and the discovery of and production of documents;
(e) providing for the appointment of advisers to assist the comptroller in proceedings before him;
(f) prescribing time limits for doing anything required to be done (and providing for the alteration of any such limit); and
(g) empowering the comptroller to award costs and to direct how, to what party and from what parties, costs are to be paid.
(3) Rules prescribing fees require the consent of the Treasury.
(4) The remuneration of an adviser appointed to assist the comptroller shall be determined by the Secretary of State with the consent of the Treasury and shall be defrayed out of money provided by Parliament.
(5)Rules shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
Jurisdiction of the court
251.- References and appeals on design right matters.
(1) In any proceedings before him under section 246 (reference of matter relating to design right), the comptroller may at any time order the whole proceedings or any question or issue (whether of fact or law) to be referred, on such terms as he may direct, to the High Court or, in Scotland, the Court of Session.
(2) The comptroller shall make such an order if the parties to the proceedings agree that he should do so.
(3) On a reference under this section the court may exercise any power available to the comptroller by virtue of this Part as respects the matter referred to it and, following its determination, may refer any matter back to the comptroller.
(4) An appeal lies from any decision of the comptroller in proceedings before him under section 246 (decisions on matters relating to design right) to [F690:
(a)] the High Court or, in Scotland, the Court of Session [F691, or
(b) a person appointed under section 27A of the Registered Designs Act 1949].
252.- Reference of disputes relating to Crown use.
(1) A dispute as to any matter which falls to be determined by the court in default of agreement under:
(a) section 241 (settlement of terms for Crown use),
(b) section 242 (rights of third parties in case of Crown use), or
(c) section 243 (Crown use: compensation for loss of profit),may be referred to the court by any party to the dispute.
(2) In determining a dispute between a government department and any person as to the terms for Crown use of a design the court shall have regard to:
(a) any sums which that person or a person from whom he derives title has received or is entitled to receive, directly or indirectly, from any government department in respect of the design; and
(b) whether that person or a person from whom he derives title has in the court’s opinion without reasonable cause failed to comply with a request of the department for the use of the design on reasonable terms.
(3) One of two or more joint owners of design right may, without the concurrence of the others, refer a dispute to the court under this section, but shall not do so unless the others are made parties; and none of those others is liable for any costs unless he takes part in the proceedings.
(4) Where the consent of an exclusive licensee is required by section 242(3)(a)(i) to the settlement by agreement of the terms for Crown use of a design, a determination by the court of the amount of any payment to be made for such use is of no effect unless the licensee has been notified of the reference and given an opportunity to be heard.
(5) On the reference of a dispute as to the amount recoverable as mentioned in section 242(3)(a)(ii) (right of exclusive licensee to recover part of amount payable to design right owner) the court shall determine what is just having regard to any expenditure incurred by the licensee:
(a) in developing the design, or
(b) in making payments to the design right owner in consideration of the licence (other than royalties or other payments determined by reference to the use of the design).
(6) In this section “the court” means:
(a) in England and Wales, the High [F692Court,]
(b) in Scotland, the Court of Session, and
(c) in Northern Ireland, the High Court.
Chapter V.- Miscellaneous and General
[F693 Unjustified threats253.- Threats of infringement proceedings
(1) A communication contains a “threat of infringement proceedings” if a reasonable person in the position of a recipient would understand from the communication that:
(a) design right subsists in a design, and
(b) a person intends to bring proceedings (whether in a court in the United Kingdom or elsewhere) against another person for infringement of the design right by:
(i) an act done in the United Kingdom, or
(ii) an act which, if done, would be done in the United Kingdom.
(2) References in this section and in section 253C to a “recipient” include, in the case of a communication directed to the public or a section of the public, references to a person to whom the communication is directed.
253A.- Actionable threats
(1) Subject to subsections (2) to (5), a threat of infringement proceedings made by any person is actionable by any person aggrieved by the threat.
(2) A threat of infringement proceedings is not actionable if the infringement is alleged to consist of:
(a)making an article for disposal, or
(b)importing an article for disposal.
(3) A threat of infringement proceedings is not actionable if the infringement is alleged to consist of an act which, if done, would constitute an infringement of a kind mentioned in subsection (2)(a) or (b).
(4) A threat of infringement proceedings is not actionable if the threat:
(a) is made to a person who has done, or intends to do, an act mentioned in subsection (2)(a) or (b) in relation to an article, and
(b )is a threat of proceedings for an infringement alleged to consist of doing anything else in relation to that article.
(5) A threat of infringement proceedings which is not an express threat is not actionable if it is contained in a permitted communication.
(6) In sections 253C and 253D an “actionable threat” means a threat of infringement proceedings that is actionable in accordance with this section.
253B.- Permitted communications
(1) For the purposes of section 253A(5), a communication containing a threat of infringement proceedings is a “permitted communication” if:
(a) the communication, so far as it contains information that relates to the threat, is made for a permitted purpose;
(b) all of the information that relates to the threat is information that:
(i) is necessary for that purpose (see subsection (5)(a) to (c) for some examples of necessary information), and
(ii) the person making the communication reasonably believes is true.
(2) Each of the following is a “permitted purpose”:
(a) giving notice that design right subsists in a design;
(b) discovering whether, or by whom, design right in a design has been infringed by an act mentioned in section 253A(2)(a) or (b);
(c) giving notice that a person has a right in or under the design right in a design, where another person’s awareness of the right is relevant to any proceedings that may be brought in respect of the design right in the design.
(3) The court may, having regard to the nature of the purposes listed in subsection (2)(a) to (c), treat any other purpose as a “permitted purpose” if it considers that it is in the interests of justice to do so.
(4) But the following may not be treated as a “permitted purpose”:
(a) requesting a person to cease doing, for commercial purposes, anything in relation to an article made to a design,
(b) requesting a person to deliver up or destroy an article made to a design, or
(c) requesting a person to give an undertaking relating to an article made to a design.
(5) If any of the following information is included in a communication made for a permitted purpose, it is information that is “necessary for that purpose” (see subsection (1)(b)(i)):
(a) a statement that design right subsists in a design;
(b) details of the design, or of a right in or under the design right in the design, which:
(i) are accurate in all material respects, and
(ii) are not misleading in any material respect; and
(c) information enabling the identification of articles that are alleged to be infringing articles in relation to the design.
253C.- Remedies and defences
(1) Proceedings in respect of an actionable threat may be brought against the person who made the threat for:
(a) a declaration that the threat is unjustified;
(b) an injunction against the continuance of the threat;
(c) damages in respect of any loss sustained by the aggrieved person by reason of the threat.
(2) It is a defence for the person who made the threat to show that the act in respect of which proceedings were threatened constitutes (or if done would constitute) an infringement of design right.
(3) It is a defence for the person who made the threat to show:
(a) that, despite having taken reasonable steps, the person has not identified anyone who has done an act mentioned in section 253A(2)(a) or (b) in relation to the article which is the subject of the threat, and
(b) that the person notified the recipient, before or at the time of making the threat, of the steps taken.
253D.- Professional advisers
(1) Proceedings in respect of an actionable threat may not be brought against a professional adviser (or any person vicariously liable for the actions of that professional adviser) if the conditions in subsection (3) are met.
(2) In this section “professional adviser” means a person who, in relation to the making of the communication containing the threat:
(a) is acting in a professional capacity in providing legal services or the services of a trade mark attorney or a patent attorney, and
(b) is regulated in the provision of legal services, or the services of a trade mark attorney or a patent attorney, by one or more regulatory bodies (whether through membership of a regulatory body, the issue of a licence to practise or any other means).
(3) The conditions are that:
(a) in making the communication the professional adviser is acting on the instructions of another person, and
(b) when the communication is made the professional adviser identifies the person on whose instructions the adviser is acting.
(4) This section does not affect any liability of the person on whose instructions the professional adviser is acting.
(5) It is for a person asserting that subsection (1) applies to prove (if required) that at the material time:
(a) the person concerned was acting as a professional adviser, and
(b) the conditions in subsection (3) were met.
253E.- Supplementary: proceedings for delivery up etc.
In section 253(1)(b) the reference to proceedings for infringement of design right includes a reference to:
(a) proceedings for an order under section 230 (order for delivery up), and
(b) proceedings for an order under section 231 (order as to disposal of infringing articles).][F694 Licensee under licence of right not to claim connection with design right owner]
254.- Licensee under licence of right not to claim connection with design right owner.
(1) A person who has a licence in respect of a design by virtue of section 237 or 238 (licences of right) shall not, without the consent of the design right owner:
(a) apply to goods which he is marketing, or proposes to market, in reliance on that licence a trade description indicating that he is the licensee of the design right owner, or
(b) use any such trade description in an advertisement in relation to such goods.
(2) A contravention of subsection (1) is actionable by the design right owner.
(3) In this section “trade description”, the reference to applying a trade description to goods and “advertisement” have the same meaning as in the M31Trade Descriptions Act 1968.
Extent of operation of this Part
255.- Countries to which this Part extends.
(1) This Part extends to England and Wales, Scotland and Northern Ireland.
(2) Her Majesty may by Order in Council direct that this Part shall extend, subject to such exceptions and modifications as may be specified in the Order, to:
(a) any of the Channel Islands,
(b) the Isle of Man, or
(c) any colony.
(3) That power includes power to extend, subject to such exceptions and modifications as may be specified in the Order, any Order in Council made under section 221 (further provision as to qualification for design right protection) or section 256 (countries enjoying reciprocal protection).
(4) The legislature of a country to which this Part has been extended may modify or add to the provisions of this Part, in their operation as part of the law of that country, as the legislature may consider necessary to adapt the provisions to the circumstances of that country; but not so as to deny design right protection in a case where it would otherwise exist.
(5) Where a country to which this Part extends ceases to be a colony of the United Kingdom, it shall continue to be treated as such a country for the purposes of this Part until:
(a) an Order in Council is made under section 256 designating it as a country enjoying reciprocal protection, or
(b) an Order in Council is made declaring that it shall cease to be so treated by reason of the fact that the provisions of this Part as part of the law of that country have been amended or repealed.
(6) A statutory instrument containing an Order in Council under subsection (5)(b) shall be subject to annulment in pursuance of a resolution of either House of Parliament.
256.- Countries enjoying reciprocal protection.
(1) Her Majesty may, if it appears to Her that the law of a country provides adequate protection for British designs, by Order in Council designate that country as one enjoying reciprocal protection under this Part.
(2) If the law of a country provides adequate protection only for certain classes of British design, or only for designs applied to certain classes of article, any Order designating that country shall contain provision limiting, to a corresponding extent, the protection afforded by this Part in relation to designs connected with that country.
(3) An Order under this section shall be subject to annulment in pursuance of a resolution of either House of Parliament.
257.- Territorial waters and the continental shelf.
(1) For the purposes of this Part the territorial waters of the United Kingdom shall be treated as part of the United Kingdom.
(2) This Part applies to things done in the United Kingdom sector of the continental shelf on a structure or vessel which is present there for purposes directly connected with the exploration of the sea bed or subsoil or the exploitation of their natural resources as it applies to things done in the United Kingdom.
(3) The United Kingdom sector of the continental shelf means the areas designated by order under section 1(7) of the M32Continental Shelf Act 1964.
Interpretation
258.- Construction of references to design right owner.
(1) Where different persons are (whether in consequence of a partial assignment or otherwise) entitled to different aspects of design right in a work, the design right owner for any purpose of this Part is the person who is entitled to the right in the respect relevant for that purpose.
(2) Where design right (or any aspect of design right) is owned by more than one person jointly, references in this Part to the design right owner are to all the owners, so that, in particular, any requirement of the licence of the design right owner requires the licence of all of them.
259.- Joint designs.
(1) In this Part a “joint design” means a design produced by the collaboration of two or more designers in which the contribution of each is not distinct from that of the other or others.
(2) References in this Part to the designer of a design shall, except as otherwise provided, be construed in relation to a joint design as references to all the designers of the design.
260.- Application of provisions to articles in kit form.
(1) The provisions of this Part apply in relation to a kit, that is, a complete or substantially complete set of components intended to be assembled into an article, as they apply in relation to the assembled article.
(2) Subsection (1) does not affect the question whether design right subsists in any aspect of the design of the components of a kit as opposed to the design of the assembled article.
261.- Requirement of signature: application in relation to body corporate.
The requirement in the following provisions that an instrument be signed by or on behalf of a person is also satisfied in the case of a body corporate by the affixing of its seal:
section 222(3) (assignment of design right),
section 223(1) (assignment of future design right),
section 225(1) (grant of exclusive licence).
262.- Adaptation of expressions in relation to Scotland.
In the application of this Part to Scotland:
“account of profits” means accounting and payment of profits;
“accounts” means count, reckoning and payment;
“assignment” means assignation;
“costs” means expenses;
[F695 “declaration” means “declarator”;]“defendant” means defender;
“delivery up” means delivery;
“injunction” means interdict;
“interlocutory relief” means interim remedy; and
“plaintiff” means pursuer.
263.- Minor definitions.
(1)In this Part:
“British design” means a design which qualifies for design right protection by reason of a connection with the United Kingdom of the designer or the person by whom F696… the designer is employed;
“business” includes a trade or profession;
F697…
“the comptroller” means the Comptroller-General of Patents, Designs and Trade Marks;
“computer-generated”, in relation to a design, means that the design is generated by computer in circumstances such that there is no human designer,
“country” includes any territory;
“the Crown” includes the Crown in right of Her Majesty’s Government in Northern Ireland [F698and the Crown in right of the Scottish Administration][F699and the Crown in right of the Welsh Assembly Government];
“design document” means any record of a design, whether in the form of a drawing, a written description, a photograph, data stored in a computer or otherwise;
“employee”, “employment” and “employer” refer to employment under a contract of service or of apprenticeship;
“government department” includes a Northern Ireland department [F700and any part of the Scottish Administration][F701and any part of the Welsh Assembly Government].
(2) References in this Part to “marketing”, in relation to an article, are to its being sold or let for hire, or offered or exposed for sale or hire, in the course of a business, and related expressions shall be construed accordingly; but no account shall be taken for the purposes of this Part of marketing which is merely colourable and not intended to satisfy the reasonable requirements of the public.
(3) References in this Part to an act being done in relation to an article for “commercial purposes” are to its being done with a view to the article in question being sold or hired in the course of a business.
264.- Index of defined expressions.
The following Table shows provisions defining or otherwise explaining expressions used in this Part (other than provisions defining or explaining an expression used only in the same section):
account of profits and accounts (in Scotland) section 262
assignment (in Scotland) section 262
British designs section 263(1)
business section 263(1)
commercial purposes section 263(3)
F702. . . F702. . .
the comptroller section 263(1)
computer-generated section 263(1)
costs (in Scotland) section 262
country section 263(1)
the Crown section 263(1)
Crown use sections 240(5) and 244(2)
defendant (in Scotland) section 262
delivery up (in Scotland) section 262
design section 213(2)
design document section 263(1)
designer sections 214 and 259(2)
design right section 213(1)
design right owner sections 234(2) and 258
employee, employment and employer section 263(1)
exclusive licence section 225(1)
government department section 263(1)
government department concerned (in relation to Crown use) section 240(5)
infringing article section 228
injunction (in Scotland) section 262
interlocutory relief (in Scotland) section 262
joint design section 259(1)
licence (of the design right owner) sections 222(4), 223(3) and 258
making articles to a design section 226(2)
marketing (and related expressions) section 263(2)
original section 213(4)
plaintiff (in Scotland) section 262
F703. . . F703. . .
qualifying person sections 217(1) and (2)
signed section 261
Part IV.- Registered Designs
Amendments of the Registered Designs Act 1949
F704
265. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
266.- Provisions with respect to certain designs registered in pursuance of application made before commencement.
(1) Where a design is registered under the Registered Designs Act 1949 in pursuance of an application made after 12th January 1988 and before the commencement of this part which could not have been registered under section 1 of that Act as substituted by section 265 above:
(a) the right in the registered design expires ten years after the commencement of this part, if it does not expire earlier in accordance with the 1949 Act, and
(b) any person is, after the commencement of this Part, entitled as of right to a licence to do anything which would otherwise infringe the right in the registered design.
(2) The terms of a licence available by virtue of this section shall, in default of agreement, be settled by the registrar on an application by the person requiring the licence; and the terms so settled shall authorise the licensee to do everything which would be an infringement of the right in the registered design in the absence of a licence.
(3) In settling the terms of a licence the registrar shall have regard to such factors as may be prescribed by the Secretary of State by order made by statutory instrument.No such order shall be made unless a draft of it has been laid before and approved by a resolution of each House of Parliament.
(4) Where the terms of a licence are settled by the registrar, the licence has effect from the date on which the application to the registrar was made.
(5) Section 11B of the 1949 Act (undertaking to take licence of right in infringement proceedings), as inserted by section 270 below, applies where a licence is available as of right under this section, as it applies where a licence is available as of right under section 11A of that Act.
(6) Where a licence is available as of right under this section, a person to whom a licence was granted before the commencement of this part may apply to the registrar for an order adjusting the terms of that licence.
(7) an appeal lies from any decision of the registrar under this section.
(8) This section shall be construed as one with the Registered Designs Act 1949.
267.- Authorship and first ownership of designs.
(1) Section 2 of the Registered Designs Act 1949 (proprietorship of designs) is amended as follows.
(2) For subsection (1) substitute:
“(1) The author of a design shall be treated for the purposes of this Act as the original proprietor of the design, subject to the following provisions.
(1A) Where a design is created in pursuance of a commission for money or money’s worth, the person commissioning the design shall be treated as the original proprietor of the design.
(1B) Where, in a case not falling within subsection (1A), a design is created by an employee in the course of his employment, his employer shall be treated as the original proprietor of the design.”.
(3) After subsection (2) insert:
“(3) In this Act the “author” of a design means the person who creates it.
(4) In the case of a design generated by computer in circumstances such that there is no human author, the person by whom the arrangements necessary for the creation of thee design are made shall be taken to be the author.”.
(4) The amendments made by this section do not apply in relation to an application for registration made before the commencement of this Part.
F705
268.- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
269.- Duration of right in registered design.
(1) For section 8 of the M33Registered Designs Act 1949 (period of right) substitute:
“8 Duration of right in registered design.
(1) The right in a registered design subsists in the first instance for a period of five years from the date of the registration of the design.
(2) The period for which the right subsists may be extended for a second, third, fourth and fifth period of five years, by applying to the registrar for an extension and paying the prescribed renewal fee.
(3) If the first, second, third or fourth period expires without such application and payment being made, the right shall cease to have effect; and the registrar shall, in accordance with rules made by the Secretary of State, notify the proprietor of that fact.
(4) If during the period of six months immediately following the end of that period an application for extension is made and the prescribed renewal fee and any prescribed additional fee is paid, the right shall be treated as if it had never expired, with the result that:
(a) anything done under or in relation to the right during that further period shall be treated as valid,
(b) an act which would have constituted an infringement of the right if it had not expired shall be treated as an infringement, and
(c) an act which would have constituted use of the design for the services of the Crown if the right had not expired shall be treated as such use.
(5) Where it is shown that a registered design:
(a) was at the time it was registered a corresponding design in relation to an artistic work in which copyright subsists, and
(b) by reason of a previous use of that work would not have been registrable but for section 6(4) of this Act (registration despite certain prior applications of design),the right in the registered design expires when the copyright in that work expires, if that is earlier than the time at which it would otherwise expire, and it may not thereafter be renewed.
(6) The above provisions have effect subject to the proviso to section 4(1) (registration of same design in respect of other articles, &c.).
8A Restoration of lapsed right in design.
(1) Where the right in a registered design has expired by reason of a failure to extend, in accordance with section 8(2) or (4), the period for which the right subsists, an application for the restoration of the right in the design may be made to the registrar within the prescribed period.
(2) The application may be made by the person who was the registered proprietor of the design or by any other person who would have been entitled to the right in the design if it had not expired; and where the design was held by two or more persons jointly, the application may, with the leave of the registrar, be made by one or more of them without joining the others.
(3) Notice of the application shall be published by the registrar in the prescribed manner.
(4) If the registrar is satisfied that the proprietor took reasonable care to see that the period for which the right subsisted was extended in accordance with section 8(2) or (4), he shall, on payment of any unpaid renewal fee and any prescribed additional fee, order the restoration of the right in the design.
(5) The order may be made subject to such conditions as the registrar thinks fit, and if the proprietor of the design does not comply with any condition the registrar may revoke the order and give such consequential directions as he thinks fit.
(6) Rules altering the period prescribed for the purposes of subsection (1) may contain such transitional provisions and savings as appear to the Secretary of State to be necessary or expedient.
8B Effect of order for restoration of right.
(1) The effect of an order under section 8A for the restoration of the right in a registered design is as follows.
(2) Anything done under or in relation to the right during the period between expiry and restoration shall be treated as valid.
(3) Anything done during that period which would have constituted an infringement if the right had not expired shall be treated as an infringement:
(a) if done at a time when it was possible for an application for extension to be made under section 8(4); or
(b) if it was a continuation or repetition of an earlier infringing act.
(4) If, after it was no longer possible for such an application for extension to be made and before publication of notice of the application for restoration, a person:
(a) began in good faith to do an act which would have constituted an infringement of the right in the design if it had not expired, or
(b) made in good faith effective and serious preparations to do such an act,he has the right to continue to do the act or, as the case may be, to do the act, notwithstanding the restoration of the right in the design; but this does not extend to granting a licence to another person to do the act.
(5) If the act was done, or the preparations were made, in the course of a business, the person entitled to the right conferred by subsection (4) may:
(a) authorise the doing of that act by any partners of his for the time being in that business, and
(b) assign that right, or transmit it on death (or in the case of a body corporate on its dissolution), to any person who acquires that part of the business in the course of which the act was done or the preparations were made.
(6) Where an article is disposed of to another in exercise of the rights conferred by subsection (4) or subsection (5), that other and any person claiming through him may deal with the article in the same way as if it had been disposed of by the registered proprietor of the design.
(7) The above provisions apply in relation to the use of a registered design for the services of the Crown as they apply in relation to infringement of the right in the design.”.
(2) The above amendment does not apply in relation to the right in a design registered in pursuance of an application made before the commencement of this Part.
270.- Powers exercisable for protection of the public interest.
In the M34Registered Designs Act 1949 after section 11 insert:
“11A Powers exercisable for protection of the public interest.
(1) Where a report of the Monopolies and Mergers Commission has been laid before Parliament containing conclusions to the effect:
(a) on a monopoly reference, that a monopoly situation exists and facts found by the Commission operate or may be expected to operate against the public interest,
(b) on a merger reference, that a merger situation qualifying for investigation has been created and the creation of the situation, or particular elements in or consequences of it specified in the report, operate or may be expected to operate against the public interest,
(c) on a competition reference, that a person was engaged in an anti-competitive practice which operated or may be expected to operate against the public interest, or
(d) on a reference under section 11 of the Competition Act 1980 (reference of public bodies and certain other persons), that a person is pursuing a course of conduct which operates against the public interest,the appropriate Minister or Ministers may apply to the registrar to take action under this section.
(2) Before making an application the appropriate Minister or Ministers shall publish, in such a manner as he or they think appropriate, a notice describing the nature of the proposed application and shall consider any representations which may be made within 30 days of such publication by persons whose interests appear to him or them to be affected.
(3) If on an application under this section it appears to the registrar that the matters specified in the Commission’s report as being those which in the Commission’s opinion operate or operated or may be expected to operate against the public interest include:
(a) conditions in licences granted in respect of a registered design by its proprietor restricting the use of the design by the licensee or the right of the proprietor to grant other licences, or
(b) a refusal by the proprietor of a registered design to grant licences on reasonable terms,he may by order cancel or modify any such condition or may, instead or in addition, make an entry in the register to the effect that licences in respect of the design are to be available as of right.
(4) The terms of a licence available by virtue of this section shall, in default of agreement, be settled by the registrar on an application by the person requiring the licence; and terms so settled shall authorise the licensee to do everything which would be an infringement of the right in the registered design in the absence of a licence.
(5) Where the terms of a licence are settled by the registrar the licence has effect from the date on which the application to him was made.
(6) An appeal lies from any order of the registrar under this section.
(7) In this section “the appropriate Minister or Ministers” means the Minister or Ministers to whom the report of the Monopolies and Mergers Commission was made.
11B Undertaking to take licence of right in infringement proceedings.
(1) If in proceedings for infringement of the right in a registered design in respect of which a licence is available as of right under section 11A of this Act the defendant undertakes to take a licence on such terms as may be agreed or, in default of agreement, settled by the registrar under that section:
(a) no injunction shall be granted against him, and
(b) the amount recoverable against him by way of damages or on an account of profits shall not exceed double the amount which would have been payable by him as licensee if such a licence on those terms had been granted before the earliest infringement.
(2) An undertaking may be given at any time before final order in the proceedings, without any admission of liability.
(3) Nothing in this section affects the remedies available in respect of an infringement committed before licences of right were available.”.
271.- Crown use: compensation for loss of profit.
(1)In Schedule 1 to the M35Registered Designs Act 1949 (Crown use), after paragraph 2 insert:
“Compensation for loss of profit.
2A
(1) Where Crown use is made of a registered design, the government department concerned shall pay:
(a) to the registered proprietor, or
(b) if there is an exclusive licence in force in respect of the design, to the exclusive licensee,compensation for any loss resulting from his not being awarded a contract to supply the articles to which the design is applied.
(2) Compensation is payable only to the extent that such a contract could have been fulfilled from his existing manufacturing capacity; but is payable notwithstanding the existence of circumstances rendering him ineligible for the award of such a contract.
(3) In determining the loss, regard shall be had to the profit which would have been made on such a contract and to the extent to which any manufacturing capacity was underused.
(4) No compensation is payable in respect of any failure to secure contracts for the supply of articles to which the design is applied otherwise than for the services of the Crown.
(5) The amount payable under this paragraph shall, if not agreed between the registered proprietor or licensee and the government department concerned with the approval of the Treasury, be determined by the court on a reference under paragraph 3; and it is in addition to any amount payable under paragraph 1 or 2 of this Schedule.
(6) In this paragraph:
“Crown use”, in relation to a design, means the doing of anything by virtue of paragraph 1 which would otherwise be an infringement of the right in the design; and
“the government department concerned”, in relation to such use, means the government department by whom or on whose authority the act was done.”.
(2) In paragraph 3 of that Schedule (reference of disputes as to Crown use), for sub-paragraph (1) substitute:
“(1) Any dispute as to:
(a) the exercise by a Government department, or a person authorised by a Government department, of the powers conferred by paragraph 1 of this Schedule,
(b) terms for the use of a design for the services of the Crown under that paragraph,
(c)the right of any person to receive any part of a payment made under paragraph 1(3), or
(d) the right of any person to receive a payment under paragraph 2A,may be referred to the court by either party to the dispute.”.
(3) The above amendments apply in relation to any Crown use of a registered design after the commencement of this section, even if the terms for such use were settled before commencement.
272.- Minor and consequential amendments.
The M36 Registered Designs Act 1949 is further amended in accordance with Schedule 3 which contains minor amendments and amendments consequential upon the provisions of this Act.
Supplementary
273.- Text of Registered Designs Act 1949 as amended.
Schedule 4 contains the text of the Registered Designs Act 1949 as amended.
Part V.- Patent Agents and Trade Mark Agents
Patent agents
274.- Persons permitted to carry on business of a patent agent.
(1) Any individual, partnership or body corporate may, subject to the following provisions of this Part [F706and to the Legal Services Act 2007] , carry on the business of acting as agent for others for the purpose of:
(a) applying for or obtaining patents, in the United Kingdom or elsewhere, or
(b) conducting proceedings before the comptroller relating to applications for, or otherwise in connection with, patents.
(2) This does not affect any restriction under the European Patent Convention as to who may act on behalf of another for any purpose relating to European patents.
[F707 275 The register of patent attorneys(1) There is to continue to be a register of persons who act as agent for others for the purpose of applying for or obtaining patents.
(2) In this Part a registered patent attorney means an individual whose name is entered on the register kept under this section.
(3) The register is to be kept by the Chartered Institute of Patent Attorneys.
(4) The Secretary of State may, by order, amend subsection (3) so as to require the register to be kept by the person specified in the order.
(5) Before making an order under subsection (4), the Secretary of State must consult the Legal Services Board.
(6) An order under this section must be made by statutory instrument.
(7) An order under this section may not be made unless a draft of it has been laid before, and approved by a resolution of, each House of Parliament.][F708
275A.- Regulation of patent attorneys
(1) The person who keeps the register under section 275 may make regulations which regulate:
(a) the keeping of the register and the registration of persons;
(b) the carrying on of patent attorney work by registered persons.
(2) Those regulations may, amongst other things, make:
(a) provision as to the educational and training qualifications, and other requirements, which must be satisfied before an individual may be registered or for an individual to remain registered;
(b) provision as to the requirements which must be met by a body (corporate or unincorporate) before it may be registered, or for it to remain registered, including provision as to the management and control of the body;
(c) provision as to the educational, training and other requirements to be met by regulated persons;
(d) provision regulating the practice, conduct and discipline of registered persons or regulated persons;
(e) provision authorising in such cases as may be specified in the regulations the erasure from the register of the name of any person registered in it, or the suspension of a person’s registration;
(f) provision requiring the payment of such fees as may be specified in or determined in accordance with the regulations;
(g) provision about the provision to be made by registered persons in respect of complaints made against them;
(h) provision about the keeping by registered persons or regulated persons of records and accounts;
(i) provision for reviews of or appeals against decisions made under the regulations;
(j) provision as to the indemnification of registered persons or regulated persons against losses arising from claims in respect of civil liability incurred by them.
(3) Regulations under this section may make different provision for different purposes.
(4) Regulations under this section which are not regulatory arrangements within the meaning of the Legal Services Act 2007 are to be treated as such arrangements for the purposes of that Act.
(5) Before the appointed day, regulations under this section may be made only with the approval of the Secretary of State.
(6) The powers conferred to make regulations under this section are not to be taken to prejudice:
(a) any other power which the person who keeps the register may have to make rules or regulations (however they may be described and whether they are made under an enactment or otherwise);
(b) any rules or regulations made by that person under any such power.
(7) In this section:
“appointed day” means the day appointed for the coming into force of paragraph 1 of Schedule 4 to the Legal Services Act 2007;
“manager”, in relation to a body, has the same meaning as in the Legal Services Act 2007 (see section 207);
“patent attorney work” means work done in the course of carrying on the business of acting as agent for others for the purpose of:
(a) applying for or obtaining patents, in the United Kingdom or elsewhere, or
(b) conducting proceedings before the comptroller relating to applications for, or otherwise in connection with, patents;
“registered person” means:
(a) a registered patent attorney, or
(b) a body (corporate or unincorporate) registered in the register kept under section 275;
“regulated person” means a person who is not a registered person but is a manager or employee of a body which is a registered person.]
276.- Persons entitled to describe themselves as patent agents.
(1) An individual who is not a [F709registered patent attorney] shall not:
(a) carry on a business (otherwise than in partnership) under any name or other description which contains the words “patent agent” or “patent attorney”; or
(b) in the course of a business otherwise describe himself, or permit himself to be described, as a “patent agent” or “patent attorney”.
(2) A partnership [F710or other unincorporated body] shall not:
(a) carry on a business under any name or other description which contains the words “patent agent” or “patent attorney”; or
(b) in the course of a business otherwise describe itself, or permit itself to be described as, a firm of “patent agents” or “patent attorneys”,unless [F711the partnership or other body is registered in the register kept under section 275].
(3) A body corporate shall not:
(a) carry on a business (otherwise than in partnership) under any name or other description which contains the words “patent agent” or “patent attorney”; or
(b) in the course of a business otherwise describe itself, or permit itself to be described as, a “patent agent” or “patent attorney”,unless [F712the body corporate is registered in the register kept under section 275.]
(4) Subsection (3) does not apply to a company which began to carry on business as a patent agent before 17th November 1917 if the name of a director or the manager of the company who is a registered patent [F713attorney] is mentioned as being so registered in all professional advertisements, circulars or letters issued by or with the company’s consent on which its name appears.
(5) Where this section would be contravened by the use of the words “patent agent” or “patent attorney” in reference to an individual, partnership or body corporate, it is equally contravened by the use of other expressions in reference to that person, or his business or place of business, which are likely to be understood as indicating that he is entitled to be described as a “patent agent” or “patent attorney”.
(6) A person who contravenes this section commits an offence and is liable on summary conviction to a fine not exceeding level 5 on the standard scale; and proceedings for such an offence may be begun at any time within a year from the date of the offence.
(7) This section has effect subject to:
(a) section 277 (persons entitled to describe themselves as European patent attorneys, &c.), and
(b) section 278(1) (use of term “patent attorney” in reference to solicitors).
277.- Persons entitled to describe themselves as European patent attorneys, &c.
(1) The term “European patent attorney” or “European patent agent” may be used in the following cases without any contravention of section 276.
(2) An individual who is on the European list may:
(a) carry on business under a name or other description which contains the words “European patent attorney” or “European patent agent”, or
(b) otherwise describe himself, or permit himself to be described, as a “European patent attorney” or “European patent agent”.
(3) A partnership of which not less than the prescribed number or proportion of partners is on the European list may:
(a) carry on a business under a name or other description which contains the words “European patent attorneys” or “European patent agents”, or
(b) otherwise describe itself, or permit itself to be described, as a firm which carries on the business of a “European patent attorney” or “European patent agent”.
(4) A body corporate of which not less than the prescribed number or proportion of directors is on the European list may:
(a) carry on a business under a name or other description which contains the words “European patent attorney” or “European patent agent”, or
(b) otherwise describe itself, or permit itself to be described as, a company which carries on the business of a “European patent attorney” or “European patent agent”.
(5) Where the term “European patent attorney” or “European patent agent” may, in accordance with this section, be used in reference to an individual, partnership or body corporate, it is equally permissible to use other expressions in reference to that person, or to his business or place of business, which are likely to be understood as indicating that he is entitled to be described as a “European patent attorney” or “European patent agent.”
278.- Use of the term “patent attorney”: supplementary provisions.
(1) The term “patent attorney” may be used in reference to a solicitor, and a firm of solicitors may be described as a firm of “patent attorneys”, without any contravention of section 276.
(2) No offence is committed under the enactments restricting the use of certain expressions in reference to persons not qualified to act as solicitors:
(a) by the use of the term “patent attorney” in reference to a registered patent agent, or
(b) by the use of the term “European patent attorney” in reference to a person on the European list.
(3) The enactments referred to in subsection (2) are section 21 of the M37Solicitors Act 1974, section 31 of the M38Solicitors (Scotland) Act 1980 and Article 22 of the M39Solicitors (Northern Ireland) Order 1976.
279.- Power to prescribe conditions, &c. for mixed partnerships and bodies corporate.
F714. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
280.- Privilege for communications with patent agents.
(1) This section applies to communications as to any matter relating to the protection of any invention, design, technical information, [F715or trade mark], or as to
[F716(a)] any matter involving passing off [F717, and(b) documents, material or information relating to any matter mentioned in paragraph (a).][F718(2) Where a patent attorney acts for a client in relation to a matter mentioned in subsection (1), any communication, document, material or information to which this section applies is privileged from disclosure in like manner as if the patent attorney had at all material times been acting as the client’s solicitor.]
(3) In subsection (2) “patent [F719attorney]” means:
(a) a registered patent [F719attorney] or a person who is on the European list,
(b) a partnership entitled to describe itself as a firm of patent [F720attorneys] or as a firm carrying on the business of a European patent attorney, F721. . .
[F722(ba) an unincorporated body (other than a partnership) entitled to describe itself as a patent attorney, or]
(c) a body corporate entitled to describe itself as a patent [F719attorney] or as a company carrying on the business of a European patent attorney.
(4)F723. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
281.- Power of comptroller to refuse to deal with certain agents.
(1) This section applies to business under the M40Patents Act 1949, the M41Registered Designs Act 1949 or the M42Patents Act 1977.
(2) The Secretary of State may make rules authorising the comptroller to refuse to recognise as agent in respect of any business to which this section applies:
(a) a person who has been convicted of an offence under section 88 of the Patents Act 1949, section 114 of the Patents Act 1977 or section 276 of this Act;
(b)
[F724 a person] whose name has been erased from and not restored to, or who is suspended from, the register of patent [F725attorneys] on the ground of misconduct;(c) a person who is found by the Secretary of State to have been guilty of such conduct as would, in the case of [F726 a person] registered in the register of patent [F725attorneys], render [F727the person] liable to have [F728the person’s] name erased from the register on the ground of misconduct;
(d) a partnership or body corporate of which one of the partners or directors is a person whom the comptroller could refuse to recognise under paragraph (a), (b) or (c) above.
(3) The rules may contain such incidental and supplementary provisions as appear to the Secretary of State to be appropriate and may, in particular, prescribe circumstances in which a person is or is not to be taken to have been guilty of misconduct.
(4) Rules made under this section shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
(5) The comptroller shall refuse to recognise as agent in respect of any business to which this section applies a person who neither resides nor has a place of business in the United Kingdom, the Isle of Man or another member State of the [F729European Union].
Trade mark agents
F730
282. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F731
283. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F732
284. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Supplementary
285.- Offences committed by partnerships and bodies corporate.
(1) Proceedings for an offence under this Part alleged to have been committed by a partnership shall be brought in the name of the partnership and not in that of the partners; but without prejudice to any liability of theirs under subsection (4) below.
(2) The following provisions apply for the purposes of such proceedings as in relation to a body corporate:
(a) any rules of court relating to the service of documents;
(b) in England, Wales or Northern Ireland, Schedule 3 to the M43Magistrates’ Courts Act 1980 or Schedule 4 to the M44Magistrates’ Courts (Northern Ireland) Order 1981 (procedure on charge of offence).
(3) A fine imposed on a partnership on its conviction in such proceedings shall be paid out of the partnership assets.
(4) Where a partnership is guilty of an offence under this Part, every partner, other than a partner who is proved to have been ignorant of or to have attempted to prevent the commission of the offence, is also guilty of the offence and liable to be proceeded against and punished accordingly.
(5) Where an offence under this Part committed by a body corporate is proved to have been committed with the consent or connivance of a director, manager, secretary or other similar officer of the body, or a person purporting to act in any such capacity, he as well as the body corporate is guilty of the offence and liable to be proceeded against and punished accordingly.
286.- Interpretation.
In this Part:
“the comptroller” means the Comptroller-General of Patents, Designs and Trade Marks;
“director”, in relation to a body corporate whose affairs are managed by its members, means any member of the body corporate;
“the European list” means the list of professional representatives maintained by the European Patent Office in pursuance of the European Patent Convention;
“registered patent [F733attorney”] has the meaning given by section 275 [F734(2)];
F735. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Part VI.- Patents
Patents county courts
F736
287.- Patents county courts: special jurisdiction.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F736
288.- Financial limits in relation to proceedings within special jurisdiction of patents county court.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F736
289.- Transfer of proceedings between High Court and patents county court.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[F737290.- Limitation of costs where pecuniary claim could have been brought in patents county court.
(1) Where an action is commenced in the High Court which could have been commenced in a patents county court and in which a claim for a pecuniary remedy is made, then, subject to the provisions of this section, if the plaintiff recovers less than the prescribed amount, he is not entitled to recover any more costs than those to which he would have been entitled if the action had been brought in the county court.
(2) For this purpose a plaintiff shall be treated as recovering the full amount recoverable in respect of his claim without regard to any deduction made in respect of matters not falling to be taken into account in determining whether the action could have been commenced in a patents county court.
(3) This section does not affect any question as to costs if it appears to the High Court that there was reasonable ground for supposing the amount recoverable in respect of the plaintiff’s claim to be in excess of the prescribed amount.
(4) The High Court, if satisfied that there was sufficient reason for bringing the action in the High Court, may make an order allowing the costs or any part of the costs on the High Court scale or on such one of the county court scales as it may direct.
(5) This section does not apply to proceedings brought by the Crown.
(6) In this section “the prescribed amount” means such amount as may be prescribed by Her Majesty for the purposes of this section by Order in Council.
(7) No recommendation shall be made to Her Majesty to make an Order under this section unless a draft of the Order has been laid before and approved by a resolution of each House of Parliament.]
F738
291.- Proceedings in patents county court.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
292.- Rights and duties of registered patent agents in relation to proceedings in patents county court.
F739. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Licences of right in respect of certain patents
293.- Restriction of acts authorised by certain licences.
In paragraph 4(2)(c) of Schedule 1 to the M45Patents Act 1977 (licences to be available as of right where term of existing patent extended), at the end insert “, but subject to paragraph 4A below”, and after that paragraph insert:
“4A
(1) If the proprietor of a patent for an invention which is a product files a declaration with the Patent Office in accordance with this paragraph, the licences to which persons are entitled by virtue of paragraph 4(2)(c) above shall not extend to a use of the product which is excepted by or under this paragraph.
(2) Pharmaceutical use is excepted, that is:
(a) use as a medicinal product within the meaning of the Medicines Act 1968, and
(b) the doing of any other act mentioned in section 60(1)(a) above with a view to such use.
(3) The Secretary of State may by order except such other uses as he thinks fit; and an order may:
(a) specify as an excepted use any act mentioned in section 60(1)(a) above, and
(b) make different provision with respect to acts done in different circumstances or for different purposes.
(4) For the purposes of this paragraph the question what uses are excepted, so far as that depends on:
(a) orders under section 130 of the Medicines Act 1968 (meaning of “medicinal product”), or
(b) orders under sub-paragraph (3) above,shall be determined in relation to a patent at the beginning of the sixteenth year of the patent.
(5) A declaration under this paragraph shall be in the prescribed form and shall be filed in the prescribed manner and within the prescribed time limits.
(6) A declaration may not be filed:
(a) in respect of a patent which has at the commencement of section 293 of the Copyright, Designs and Patents Act 1988 passed the end of its fifteenth year; or
(b) if at the date of filing there is:
(i) an existing licence for any description of excepted use of the product, or
(ii) an outstanding application under section 46(3)(a) or (b) above for the settlement by the comptroller of the terms of a licence for any description of excepted use of the product,and, in either case, the licence took or is to take effect at or after the end of the sixteenth year of the patent.
(7) Where a declaration has been filed under this paragraph in respect of a patent:
(a) section 46(3)(c) above (restriction of remedies for infringement where licences available as of right) does not apply to an infringement of the patent in so far as it consists of the excepted use of the product after the filing of the declaration; and
(b) section 46(3)(d) above (abatement of renewal fee if licences available as of right) does not apply to the patent.”.
294.- When application may be made for settlement of terms of licence.
In Schedule 1 to the M46Patents Act 1977, after the paragraph inserted by section 293 above, insert:
“4B
(1) An application under section 46(3)(a) or (b) above for the settlement by the comptroller of the terms on which a person is entitled to a licence by virtue of paragraph 4(2)(c) above is ineffective if made before the beginning of the sixteenth year of the patent.
(2) This paragraph applies to applications made after the commencement of section 294 of the Copyright, Designs and Patents Act 1988 and to any application made before the commencement of that section in respect of a patent which has not at the commencement of that section passed the end of its fifteenth year.”.
Patents: miscellaneous amendments
295.- Patents: miscellaneous amendments.
The M47Patents Act 1949 and the M48Patents Act 1977 are amended in accordance with Schedule 5.
Part VII.- Miscellaneous and General
[F740 Circumvention of protection measures][F741296.- Devices designed to circumvent copy-protection.
(1) This section applies where:
(a) a technical device has been applied to a computer program; and
(b) a person (A) knowing or having reason to believe that it will be used to make infringing copies:
(i) manufactures for sale or hire, imports, distributes, sells or lets for hire, offers or exposes for sale or hire, advertises for sale or hire or has in his possession for commercial purposes any means the sole intended purpose of which is to facilitate the unauthorised removal or circumvention of the technical device; or
(ii) publishes information intended to enable or assist persons to remove or circumvent the technical device.
(2) The following persons have the same rights against A as a copyright owner has in respect of an infringement of copyright:
(a) a person:
(i) issuing to the public copies of, or
(ii) communicating to the public,the computer program to which the technical device has been applied;
(b) the copyright owner or his exclusive licensee, if he is not the person specified in paragraph (a);
(c) the owner or exclusive licensee of any intellectual property right in the technical device applied to the computer program.
(3) The rights conferred by subsection (2) are concurrent, and sections 101(3) and 102(1) to (4) apply, in proceedings under this section, in relation to persons with concurrent rights as they apply, in proceedings mentioned in those provisions, in relation to a copyright owner and exclusive licensee with concurrent rights.
(4) Further, the persons in subsection (2) have the same rights under section 99 or 100 (delivery up or seizure of certain articles) in relation to any such means as is referred to in subsection (1) which a person has in his possession, custody or control with the intention that it should be used to facilitate the unauthorised removal or circumvention of any technical device which has been applied to a computer program, as a copyright owner has in relation to an infringing copy.
(5) The rights conferred by subsection (4) are concurrent, and section 102(5) shall apply, as respects anything done under section 99 or 100 by virtue of subsection (4), in relation to persons with concurrent rights as it applies, as respects anything done under section 99 or 100, in relation to a copyright owner and exclusive licensee with concurrent rights.
(6) In this section references to a technical device in relation to a computer program are to any device intended to prevent or restrict acts that are not authorised by the copyright owner of that computer program and are restricted by copyright.
(7) The following provisions apply in relation to proceedings under this section as in relation to proceedings under Part 1 (copyright):
(a) sections 104 to 106 of this Act (presumptions as to certain matters relating to copyright); and
(b) section 72 of the [F742Senior Courts Act 1981], section 15 of the Law Reform (Miscellaneous Provisions) (Scotland) Act 1985 and section 94A of the Judicature (Northern Ireland) Act 1978 (withdrawal of privilege against self-incrimination in certain proceedings relating to intellectual property);and section 114 of this Act applies, with the necessary modifications, in relation to the disposal of anything delivered up or seized by virtue of subsection (4).
(8) Expressions used in this section which are defined for the purposes of Part 1 of this Act (copyright) have the same meaning as in that Part.][F743
296ZA Circumvention of technological measures
(1) This section applies where:
(a) effective technological measures have been applied to a copyright work other than a computer program; and
(b) a person (B) does anything which circumvents those measures knowing, or with reasonable grounds to know, that he is pursuing that objective.
(2) This section does not apply where a person, for the purposes of research into cryptography, does anything which circumvents effective technological measures unless in so doing, or in issuing information derived from that research, he affects prejudicially the rights of the copyright owner.
(3) The following persons have the same rights against B as a copyright owner has in respect of an infringement of copyright:
(a) a person:
(i) issuing to the public copies of, or
(ii) communicating to the public,the work to which effective technological measures have been applied; and
(b) the copyright owner or his exclusive licensee, if he is not the person specified in paragraph (a).
(4) The rights conferred by subsection (3) are concurrent, and sections 101(3) and 102(1) to (4) apply, in proceedings under this section, in relation to persons with concurrent rights as they apply, in proceedings mentioned in those provisions, in relation to a copyright owner and exclusive licensee with concurrent rights.
(5) The following provisions apply in relation to proceedings under this section as in relation to proceedings under Part 1 (copyright):
(a) sections 104 to 106 of this Act (presumptions as to certain matters relating to copyright); and
(b) section 72 of the [F744Senior Courts Act 1981], section 15 of the Law Reform (Miscellaneous Provisions) (Scotland) Act 1985 and section 94A of the Judicature (Northern Ireland) Act 1978 (withdrawal of privilege against self-incrimination in certain proceedings relating to intellectual property).
(6) Subsections (1) to (4) and (5)(b) and any other provision of this Act as it has effect for the purposes of those subsections apply, with any necessary adaptations, to rights in performances, publication right and database right.
(7) The provisions of regulation 22 (presumptions relevant to database right) of the Copyright and Rights in Databases Regulations 1997 (SI 1997/3032) apply in proceedings brought by virtue of this section in relation to database right.
296ZB.- Devices and services designed to circumvent technological measures
(1) A person commits an offence if he:
(a) manufactures for sale or hire, or
(b) imports otherwise than for his private and domestic use, or
(c) in the course of a business:
(i) sells or lets for hire, or
(ii) offers or exposes for sale or hire, or
(iii) advertises for sale or hire, or
(iv) possesses, or
(v) distributes, or
(d) distributes otherwise than in the course of a business to such an extent as to affect prejudicially the copyright owner,any device, product or component which is primarily designed, produced, or adapted for the purpose of enabling or facilitating the circumvention of effective technological measures.
(2) A person commits an offence if he provides, promotes, advertises or markets:
(a) in the course of a business, or
(b) otherwise than in the course of a business to such an extent as to affect prejudicially the copyright owner,a service the purpose of which is to enable or facilitate the circumvention of effective technological measures.
(3) Subsections (1) and (2) do not make unlawful anything done by, or on behalf of, law enforcement agencies or any of the intelligence services:
(a) in the interests of national security; or
(b) for the purpose of the prevention or detection of crime, the investigation of an offence, or the conduct of a prosecution, and in this subsection “ intelligence services ” has the meaning given in section 81 of the Regulation of Investigatory Powers Act 2000.
(4) A person guilty of an offence under subsection (1) or (2) is liable:
(a) on summary conviction, to imprisonment for a term not exceeding three months, or to a fine not exceeding the statutory maximum, or both;
(b) on conviction on indictment to a fine or imprisonment for a term not exceeding two years, or both.
(5) It is a defence to any prosecution for an offence under this section for the defendant to prove that he did not know, and had no reasonable ground for believing, that:
(a) the device, product or component; or
(b) the service,enabled or facilitated the circumvention of effective technological measures.
296ZC.- Devices and services designed to circumvent technological measures: search warrants and forfeiture
(1) The provisions of sections 297B (search warrants), 297C (forfeiture of unauthorised decoders: England and Wales or Northern Ireland) and 297D (forfeiture of unauthorised decoders: Scotland) apply to offences under section 296ZB with the following modifications.
(2) In section 297B the reference to an offence under section 297A(1) shall be construed as a reference to an offence under section 296ZB(1) or (2).
(3) In sections 297C(2)(a) and 297D(15) the references to an offence under section 297A(1) shall be construed as a reference to an offence under section 296ZB(1).
(4) In sections 297C and 297D references to unauthorised decoders shall be construed as references to devices, products or components for the purpose of circumventing effective technological measures.
296ZD.- Rights and remedies in respect of devices and services designed to circumvent technological measures
(1) This section applies where:
(a) effective technological measures have been applied to a copyright work other than a computer program; and
(b) a person (C) manufactures, imports, distributes, sells or lets for hire, offers or exposes for sale or hire, advertises for sale or hire, or has in his possession for commercial purposes any device, product or component, or provides services which:
(i) are promoted, advertised or marketed for the purpose of the circumvention of, or
(ii) have only a limited commercially significant purpose or use other than to circumvent, or
(iii) are primarily designed, produced, adapted or performed for the purpose of enabling or facilitating the circumvention of,those measures.
(2) The following persons have the same rights against C as a copyright owner has in respect of an infringement of copyright:
(a) a person:
(i) issuing to the public copies of, or
(ii) communicating to the public,the work to which effective technological measures have been applied;
(b) the copyright owner or his exclusive licensee, if he is not the person specified in paragraph (a); and
(c) the owner or exclusive licensee of any intellectual property right in the effective technological measures applied to the work.
(3) The rights conferred by subsection (2) are concurrent, and sections 101(3) and 102(1) to (4) apply, in proceedings under this section, in relation to persons with concurrent rights as they apply, in proceedings mentioned in those provisions, in relation to a copyright owner and exclusive licensee with concurrent rights.
(4) Further, the persons in subsection (2) have the same rights under section 99 or 100 (delivery up or seizure of certain articles) in relation to any such device, product or component which a person has in his possession, custody or control with the intention that it should be used to circumvent effective technological measures, as a copyright owner has in relation to any infringing copy.
(5) The rights conferred by subsection (4) are concurrent, and section 102(5) shall apply, as respects anything done under section 99 or 100 by virtue of subsection (4), in relation to persons with concurrent rights as it applies, as respects anything done under section 99 or 100, in relation to a copyright owner and exclusive licensee with concurrent rights.
(6) The following provisions apply in relation to proceedings under this section as in relation to proceedings under Part 1 (copyright):
(a) sections 104 to 106 of this Act (presumptions as to certain matters relating to copyright); and
(b) section 72 of the [F745Senior Courts Act 1981], section 15 of the Law Reform (Miscellaneous Provisions) (Scotland) Act 1985 and section 94A of the Judicature (Northern Ireland) Act 1978 (withdrawal of privilege against self-incrimination in certain proceedings relating to intellectual property);and section 114 of this Act applies, with the necessary modifications, in relation to the disposal of anything delivered up or seized by virtue of subsection (4).
(7) In section 97(1) (innocent infringement of copyright) as it applies to proceedings for infringement of the rights conferred by this section, the reference to the defendant not knowing or having reason to believe that copyright subsisted in the work shall be construed as a reference to his not knowing or having reason to believe that his acts enabled or facilitated an infringement of copyright.
(8) Subsections (1) to (5), (6)(b) and (7) and any other provision of this Act as it has effect for the purposes of those subsections apply, with any necessary adaptations, to rights in performances, publication right and database right.
(9) The provisions of regulation 22 (presumptions relevant to database right) of the Copyright and Rights in Databases Regulations 1997 (SI 1997/3032) apply in proceedings brought by virtue of this section in relation to database right.
296ZE.- Remedy where effective technological measures prevent permitted acts
(1) In this section:
[F746“ Marrakesh beneficiary” means a person who:(a) is blind,
(b) has a visual impairment which cannot be improved so as to give the person visual function substantially equivalent to that of a person who has no such impairment, and who is, as a result, unable to read printed works to substantially the same degree as a person without such an impairment,
(c) has a perceptual or reading disability and is, as a result, unable to read printed works to substantially the same degree as a person without such disability, or
(d) is otherwise unable, due to a physical disability, to hold or manipulate a book or to focus or move their eyes to the extent that would normally be acceptable for reading;][F746 “Marrakesh work” means a work in the form of a book, journal, newspaper, magazine or other kind of writing, notation, including sheet music, and related illustrations, in any media, including in audio form such as audiobooks and in digital format, which is protected by copyright, related rights or database rights and which is published or otherwise lawfully made publicly available;]
“permitted act” means an act which may be done in relation to copyright works, notwithstanding the subsistence of copyright, by virtue of a provision of this Act listed in Part 1 of Schedule 5A;
“voluntary measure or agreement” means:
(a) any measure taken voluntarily by a copyright owner, his exclusive licensee or a person issuing copies of, or communicating to the public, a work other than a computer program, or
(b) any agreement between a copyright owner, his exclusive licensee or a person issuing copies of, or communicating to the public, a work other than a computer program and another party,
the effect of which is to enable a person to carry out a permitted act.
(2) Where the application of any effective technological measure to a copyright work other than a computer program prevents a person from carrying out a permitted act in relation to that work then that person or a person being a representative of a class of persons prevented from carrying out a permitted act may issue a notice of complaint to the Secretary of State.
(3) Following receipt of a notice of complaint, the Secretary of State may give to the owner of that copyright work or an exclusive licensee such directions as appear to the Secretary of State to be requisite or expedient for the purpose of:
(a) establishing whether any voluntary measure or agreement relevant to the copyright work the subject of the complaint subsists; or
(b) (where it is established there is no subsisting voluntary measure or agreement) ensuring that the owner or exclusive licensee of that copyright work makes available to the complainant the means of carrying out the permitted act the subject of the complaint to the extent necessary to so benefit from that permitted act.
(4) The Secretary of State may also give directions:
(a) as to the form and manner in which a notice of complaint in subsection (2) may be delivered to him;
(b) as to the form and manner in which evidence of any voluntary measure or agreement may be delivered to him; and
(c) generally as to the procedure to be followed in relation to a complaint made under this section;and shall publish directions given under this subsection in such manner as in his opinion will secure adequate publicity for them.
(5) It shall be the duty of any person to whom a direction is given under subsection (3)(a) or (b) to give effect to that direction.
(6) The obligation to comply with a direction given under subsection (3)(b) is a duty owed to the complainant or, where the complaint is made by a representative of a class of persons, to that representative and to each person in the class represented; and a breach of the duty is actionable accordingly (subject to the defences and other incidents applying to actions for breach of statutory duty).
(7) Any direction under this section may be varied or revoked by a subsequent direction under this section.
(8) Any direction given under this section shall be in writing.
(9) [F747Subject to subsection (9A),] This section does not apply to copyright works made available to the public on agreed contractual terms in such a way that members of the public may access them from a place and at a time individually chosen by them.
[F748(9A) But this section does apply where the application of any effective technological measure to a Marrakesh work prevents the making of an accessible copy of that work under sections 31A, 31B or 31BA, or paragraphs 3A, 3B or 3C of Schedule 2, for the benefit of a Marrakesh beneficiary.](10) This section applies only where a complainant has lawful access to the protected copyright work, or where the complainant is a representative of a class of persons, where the class of persons have lawful access to the work.
(11) Subsections (1) to (10) apply with any necessary adaptations to:
(a) rights in performances, and in this context the expression “ permitted act ” refers to an act that may be done by virtue of a provision of this Act listed in Part 2 of Schedule 5A;
(b) database right, and in this context the expression “ permitted act ” refers to an act that may be done by virtue of a provision of this Act listed in Part 3 of Schedule 5A; and
(c) publication right.
[F749 296ZEA.- Remedy where restrictive measures prevent or restrict personal copying(1) This section applies where an individual is prevented from making a personal copy of a copyright work, or is restricted in the number of personal copies of it which may be made, because of a restrictive measure applied by or on behalf of the copyright owner.
(2) That individual, or a person being a representative of a class of such individuals, may issue a notice of complaint to the Secretary of State.
(3) Following receipt of a notice of complaint, the Secretary of State may give to the owner of that copyright work or an exclusive licensee such directions as appear to the Secretary of State to be requisite or expedient for the purpose of:
(a) establishing whether any voluntary measure or agreement relevant to the copyright work subsists, or
(b) (where it is established there is no subsisting voluntary measure or agreement) ensuring that the owner or exclusive licensee of that copyright work makes available to the complainant or the class of individuals represented by the complainant the means of benefiting from section 28B to the extent necessary to benefit from that section.
(4) In deciding whether to give such directions, the Secretary of State must consider whether the restrictive measure unreasonably prevents or restricts the making of personal copies, in particular having regard to:
(a) the right of the copyright owner to adopt adequate measures limiting the number of personal copies which may be made, and
(b) whether other copies of the work are commercially available on reasonable terms by or with the authority of the copyright owner in a form which does not prevent or unreasonably restrict the making of personal copies.
(5) The Secretary of State may also give directions:
(a) as to the form and manner in which a notice of complaint in subsection (2) may be delivered,
(b) as to the form and manner in which evidence of any voluntary measure or agreement may be delivered, and
(c) generally as to the procedure to be followed in relation to a complaint made under this section,and shall publish directions given under this subsection in such manner as the Secretary of State thinks will secure adequate publicity for them.
(6) Subsections (5) to (8) of section 296ZE:
(a) apply to directions under subsection (3)(a) or (b) as they apply to directions under section 296ZE(3)(a) or (b), and
(b) apply to directions under subsection (5) as they apply to directions under section 296ZE(4).
(7) This section does not apply to copyright works made available to the public on agreed contractual terms in such a way that members of the public may access them from a place and at a time individually chosen by them.
(8) In this section:
“restrictive measure” means any technology, device or component designed, in the normal course of its operation, to protect the rights of copyright owners, which has the effect of preventing a copyright work from being copied (in whole or in part) or restricting the number of copies which may be made;
“personal copy” means a copy of a copyright work which may be made under section 28B;
“voluntary measure or agreement” has the same meaning as in section 296ZE, except that the reference to carrying out a permitted act is to be read as a reference to making a personal copy.
(9) Subsections (1) to (8) apply with any necessary adaptations to:
(a)rights in performances, and in this context “personal copy” refers to a copy of a recording of a performance which may be made under paragraph 1B of Schedule 2 without infringing the rights conferred by Chapter 2 of Part II (rights in performances), and
(b)publication right.]
296ZF.- Interpretation of sections 296ZA to [F750 296ZEA]
(1) In sections 296ZA to 296ZE, “technological measures” are any technology, device or component which is designed, in the normal course of its operation, to protect a copyright work other than a computer program.
(2) Such measures are “effective” if the use of the work is controlled by the copyright owner through:
(a) an access control or protection process such as encryption, scrambling or other transformation of the work, or
(b) a copy control mechanism,which achieves the intended protection.
(3) In this section, the reference to:
(a) protection of a work is to the prevention or restriction of acts that are not authorised by the copyright owner of that work and are restricted by copyright; and
(b) use of a work does not extend to any use of the work that is outside the scope of the acts restricted by copyright.
(4) Expressions used in sections 296ZA to [F751 296ZEA] which are defined for the purposes of Part 1 of this Act (copyright) have the same meaning as in that Part.][F752.- Rights management information
296ZG.- Electronic rights management information
(1) This section applies where a person (D), knowingly and without authority, removes or alters electronic rights management information which:
(a) is associated with a copy of a copyright work, or
(b) appears in connection with the communication to the public of a copyright work, andwhere D knows, or has reason to believe, that by so doing he is inducing, enabling, facilitating or concealing an infringement of copyright.
(2) This section also applies where a person (E), knowingly and without authority, distributes, imports for distribution or communicates to the public copies of a copyright work from which electronic rights management information:
(a) associated with the copies, or
(b) appearing in connection with the communication to the public of the work,has been removed or altered without authority and where E knows, or has reason to believe, that by so doing he is inducing, enabling, facilitating or concealing an infringement of copyright.
(3) A person issuing to the public copies of, or communicating, the work to the public, has the same rights against D and E as a copyright owner has in respect of an infringement of copyright.
(4) The copyright owner or his exclusive licensee, if he is not the person issuing to the public copies of, or communicating, the work to the public, also has the same rights against D and E as he has in respect of an infringement of copyright.
(5) The rights conferred by subsections (3) and (4) are concurrent, and sections 101(3) and 102(1) to (4) apply, in proceedings under this section, in relation to persons with concurrent rights as they apply, in proceedings mentioned in those provisions, in relation to a copyright owner and exclusive licensee with concurrent rights.
(6) The following provisions apply in relation to proceedings under this section as in relation to proceedings under Part 1 (copyright):
(a) sections 104 to 106 of this Act (presumptions as to certain matters relating to copyright); and
(b) section 72 of the [F753Senior Courts Act 1981], section 15 of the Law Reform (Miscellaneous Provisions) (Scotland) Act 1985 and section 94A of the Judicature (Northern Ireland) Act 1978 (withdrawal of privilege against self-incrimination in certain proceedings relating to intellectual property).
(7) In this section:
(a) expressions which are defined for the purposes of Part 1 of this Act (copyright) have the same meaning as in that Part; and
(b) “rights management information” means any information provided by the copyright owner or the holder of any right under copyright which identifies the work, the author, the copyright owner or the holder of any intellectual property rights, or information about the terms and conditions of use of the work, and any numbers or codes that represent such information.
(8) Subsections (1) to (5) and (6)(b), and any other provision of this Act as it has effect for the purposes of those subsections, apply, with any necessary adaptations, to rights in performances, publication right and database right.
(9) The provisions of regulation 22 (presumptions relevant to database right) of the Copyright and Rights in Databases Regulations 1997 (SI 1997/3032) apply in proceedings brought by virtue of this section in relation to database right.][F754.- Computer programs
F755 296A.- Avoidance of certain terms.
(1) Where a person has the use of a computer program under an agreement, any term or condition in the agreement shall be void in so far as it purports to prohibit or restrict:
(a) the making of any back up copy of the program which it is necessary for him to have for the purposes of the agreed use;
(b) where the conditions in section 50B(2) are met, the decompiling of the program; or
[F756(c) the observing, studying or testing of the functioning of the program in accordance with section 50BA.](2) In this section, decompile, in relation to a computer program, has the same meaning as in section 50B]
F757.- [Databases]
296B [F758 Avoidance of certain terms relating to databases]
Where under an agreement a person has a right to use a database or part of a database, any term or condition in the agreement shall be void in so far as it purports to prohibit or restrict the performance of any act which would but for section 50D infringe the copyright in the database.
Fraudulent reception of transmissions
297.- Offence of fraudulently receiving programmes.
(1) A person who dishonestly receives a programme included in a broadcasting F759. . . service provided from a place in the United Kingdom with intent to avoid payment of any charge applicable to the reception of the programme commits an offence and is liable on summary conviction to a fine not exceeding level 5 on the standard scale.
(2) Where an offence under this section committed by a body corporate is proved to have been committed with the consent or connivance of a director, manager, secretary or other similar officer of the body, or a person purporting to act in any such capacity, he as well as the body corporate is guilty of the offence and liable to be proceeded against and punished accordingly.In relation to a body corporate whose affairs are managed by its members “director” means a member of the body corporate.
[F760297A.- Unauthorised decoders.
(1) A person commits an offence if he:
(a) makes, imports, distributes, sells or lets for hire or offers or exposes for sale or hire any unauthorised decoder;
(b) has in his possession for commercial purposes any unauthorised decoder;
(c) instals, maintains or replaces for commercial purposes any unauthorised decoder; or
(d) advertises any unauthorised decoder for sale or hire or otherwise promotes any unauthorised decoder by means of commercial communications.
(2) A person guilty of an offence under subsection (1) is liable:
[F761(a) on summary conviction, to imprisonment for a term not exceeding six months, or to a fine not exceeding the statutory maximum, or to both;]]
(b) on conviction on indictment, to imprisonment for a term not exceeding [F762ten] years, or to a fine, or to both.
(3) It is a defence to any prosecution for an offence under this section for the defendant to prove that he did not know, and had no reasonable ground for believing, that the decoder was an unauthorised decoder.
(4) In this section:
“apparatus” includes any device, component or electronic data (including software);
“conditional access technology” means any technical measure or arrangement whereby access to encrypted transmissions in an intelligbile form is made conditional on prior individual authorisation;
“decoder” means any apparatus which is designed or adapted to enable (whether on its own or with any other apparatus) an encrypted transmission to be decoded;
“encrypted” includes subjected to scrambling or the operation of cryptographic envelopes, electronic locks, passwords or any other analogous application;
“transmission” means:
(a) any programme included in a broadcasting F763. . . service which is provided from a place in the United Kingdom or any other member State; or
(b) an information society service (within the meaning of Directive 98/34/EC of the European Parliament and of the Council of 22nd June 1998 F764, as amended by Directive 98/48/EC of the European Parliament and of the Council of 20th July 1998 F765) which is provided from a place in the United Kingdom or any other member State; and
“unauthorised”, in relation to a decoder, means that the decoder is designed or adapted to enable an encrypted transmission, or any service of which it forms part, to be accessed in an intelligible form without payment of the fee (however imposed) which the person making the transmission, or on whose behalf it is made, charges for accessing the transmission or service (whether by the circumvention of any conditional access technology related to the transmission or service or by any other means).
[F766297B.- Search warrants
(1) Where a justice of the peace (in Scotland, a sheriff or justice of the peace) is satisfied by information on oath given by a constable (in Scotland, by evidence on oath) that there are reasonable grounds for believing:
(a) that an offence under section 297A(1) has been or is about to be committed in any premises, and
(b) that evidence that such an offence has been or is about to be committed is in those premises,he may issue a warrant authorising a constable to enter and search the premises, using such reasonable force as is necessary.
(2) The power conferred by subsection (1) does not, in England and Wales, extend to authorising a search for material of the kinds mentioned in section 9(2) of the Police and Criminal Evidence Act 1984 (c. 60) (certain classes of personal or confidential material).
(3) A warrant under subsection (1):
(a) may authorise persons to accompany any constable executing the warrant, and
(b) remains in force for [F767three months] from the date of its issue.
(4) In executing a warrant issued under subsection (1) a constable may seize an article if he reasonably believes that it is evidence that any offence under section 297A(1) has been or is about to be committed.
(5) In this section “ premises ” includes land, buildings, fixed or moveable structures, vehicles, vessels, aircraft and hovercraft. ][F768
297C.- Forfeiture of unauthorised decoders: England and Wales or Northern Ireland
(1) In England and Wales or Northern Ireland where unauthorised decoders have come into the possession of any person in connection with the investigation or prosecution of a relevant offence, that person may apply under this section for an order for the forfeiture of the unauthorised decoders.
(2) For the purposes of this section “relevant offence” means:
(a) an offence under section 297A(1) (criminal liability for making, importing, etc. unauthorised decoders),
(b) an offence under the Trade Descriptions Act 1968,
[F769(ba) an offence under the Business Protection from Misleading Marketing Regulations 2008,(bb) an offence under the Consumer Protection from Unfair Trading Regulations 2008, or]
(c) an offence involving dishonesty or deception.
(3) An application under this section may be made:
(a) where proceedings have been brought in any court for a relevant offence relating to some or all of the unauthorised decoders, to that court, or
(b) where no application for the forfeiture of the unauthorised decoders has been made under paragraph (a), by way of complaint to a magistrates’ court.
(4) On an application under this section, the court shall make an order for the forfeiture of any unauthorised decoders only if it is satisfied that a relevant offence has been committed in relation to the unauthorised decoders.
(5) A court may infer for the purposes of this section that such an offence has been committed in relation to any unauthorised decoders if it is satisfied that such an offence has been committed in relation to unauthorised decoders which are representative of the unauthorised decoders in question (whether by reason of being of the same design or part of the same consignment or batch or otherwise).
(6) Any person aggrieved by an order made under this section by a magistrates’ court, or by a decision of such a court not to make such an order, may appeal against that order or decision:
(a) in England and Wales, to the Crown Court, or
(b) in Northern Ireland, to the county court.
(7) An order under this section may contain such provision as appears to the court to be appropriate for delaying the coming into force of the order pending the making and determination of any appeal (including any application under section 111 of the Magistrates’ Courts Act 1980 (c. 43) or Article 146 of the Magistrates’ Courts (Northern Ireland) Order 1981 (S.I. 1981/1675 (N.I. 26)) (statement of case)).
(8) Subject to subsection (9), where any unauthorised decoders are forfeited under this section they shall be destroyed in accordance with such directions as the court may give.
(9) On making an order under this section the court may direct that the unauthorised decoders to which the order relates shall (instead of being destroyed) be forfeited to a person who has rights or remedies under section 298 in relation to the unauthorised decoders in question, or dealt with in such other way as the court considers appropriate.]
F770
297D.- Forfeiture of unauthorised decoders: Scotland
(1) In Scotland the court may make an order under this section for the forfeiture of unauthorised decoders.
(2) An order under this section may be made:
(a) on an application by the procurator-fiscal made in the manner specified in section 134 of the Criminal Procedure (Scotland) Act 1995 (c. 46), or
(b) where a person is convicted of a relevant offence, in addition to any other penalty which the court may impose.
(3) On an application under subsection (2)(a), the court shall make an order for the forfeiture of any unauthorised decoders only if it is satisfied that a relevant offence has been committed in relation to the unauthorised decoders.
(4) The court may infer for the purposes of this section that such an offence has been committed in relation to any unauthorised decoders if it is satisfied that such an offence has been committed in relation to unauthorised decoders which are representative of the unauthorised decoders in question (whether by reason of being of the same design or part of the same consignment or batch or otherwise).
(5) The procurator-fiscal making the application under subsection (2)(a) shall serve on any person appearing to him to be the owner of, or otherwise to have an interest in, the unauthorised decoders to which the application relates a copy of the application, together with a notice giving him the opportunity to appear at the hearing of the application to show cause why the unauthorised decoders should not be forfeited.
(6) Service under subsection (5) shall be carried out, and such service may be proved, in the manner specified for citation of an accused in summary proceedings under the Criminal Procedure (Scotland) Act 1995 (c. 46).
(7) Any person upon whom notice is served under subsection (5) and any other person claiming to be the owner of, or otherwise to have an interest in, unauthorised decoders to which an application under this section relates shall be entitled to appear at the hearing of the application to show cause why the unauthorised decoders should not be forfeited.
(8) The court shall not make an order following an application under subsection (2)(a):
(a) if any person on whom notice is served under subsection (5) does not appear, unless service of the notice on that person is proved, or
(b) if no notice under subsection (5) has been served, unless the court is satisfied that in the circumstances it was reasonable not to serve such notice.
(9) Where an order for the forfeiture of any unauthorised decoders is made following an application under subsection (2)(a), any person who appeared, or was entitled to appear, to show cause why the unauthorised decoders should not be forfeited may, within 21 days of the making of the order, appeal to the High Court by Bill of Suspension.
(10) Section 182(5)(a) to (e) of the Criminal Procedure (Scotland) Act 1995 shall apply to an appeal under subsection (9) as it applies to a stated case under Part 2 of that Act.
(11) An order following an application under subsection (2)(a) shall not take effect:
(a) until the end of the period of 21 days beginning with the day after the day on which the order is made, or
(b) if an appeal is made under subsection (9) above within that period, until the appeal is determined or abandoned.
(12) An order under subsection (2)(b) shall not take effect:
(a) until the end of the period within which an appeal against the order could be brought under the Criminal Procedure (Scotland) Act 1995 (c. 46), or
(b) if an appeal is made within that period, until the appeal is determined or abandoned.
(13) Subject to subsection (14), where any unauthorised decoders are forfeited under this section they shall be destroyed in accordance with such directions as the court may give.
(14) On making an order under this section the court may direct that the unauthorised decoders to which the order relates shall (instead of being destroyed) be forfeited to a person who has rights or remedies under section 298 in relation to the unauthorised decoders in question, or dealt with in such other way as the court considers appropriate.
(15) For the purposes of this section:
[F771“relevant offence” means:(a) an offence under section 297A(1) (criminal liability for making, importing, etc unauthorised decoders),
(b) an offence under the Trade Descriptions Act 1968,
(c) an offence under the Business Protection from Misleading Marketing Regulations 2008,
(d) an offence under the Consumer Protection from Unfair Trading Regulations 2008, or
(e) any offence involving dishonesty or deception;]
“the court” means:
(a) in relation to an order made on an application under subsection (2)(a), the sheriff, and
(b )in relation to an order made under subsection (2)(b), the court which imposed the penalty.
[F772298.- Rights and remedies in respect of apparatus, &c. for unauthorised reception of transmissions.
(1) A person who:
(a) makes charges for the reception of programmes included in a broadcasting F773. . . service provided from a place in the United Kingdom or any other member State,
(b) sends encrypted tranmissions of any other description from a place in the United Kingdom or any other member State, or
(c) provides conditional access services from a place in the United Kingdom or any other member State,is entitled to the following rights and remedies.
(2) He has the same rights and remedies against a person:
(a)who:
(i) makes, imports, distributes, sells or lets for hire, offers or exposes for sale or hire, or advertises for sale or hire,
(ii) has in his possession for commercial purposes, or
(iii) instals, maintains or replaces for commercial purposes,any apparatus designed or adapted to enable or assist persons to access the programmes or other transmissions or circumvent conditional access technology related to the programmes or other transmissions when they are not entitled to do so, or
(b) who publishes or otherwise promotes by means of commercial communications any information which is calculated to enable or assist persons to access the programmes or other transmissions or circumvent conditional access technology related to the programmes or other transmissions when they are not entitled to do so,as a copyright owner has in respect of an infringement of copyright.
(3) Further, he has the same rights under section 99 or 100 (delivery up or seizure of certain articles) in relation to any such apparatus as a copyright owner has in relation to an infringing copy.
(4) Section 72 of the M49[F774Senior Courts Act 1981], section 15 of the M50Law Reform (Miscellaneous Provisions) (Scotland) Act 1985 and section 94A of the M51Judicature (Northern Ireland) Act 1978 (withdrawal of privilege against self-incrimination in certain proceedings relating to intellectual property) apply to proceedings under this section as to proceedings under Part I of this Act (copyright).
(5) In section 97(1) (innocent infringement of copyright) as it applies to proceedings for infringement of the rights conferred by this section, the reference to the defendant not knowing or having reason to believe that copyright subsisted in the work shall be construed as a reference to his not knowing or having reason to believe that his acts infringed the rights conferred by this section.
(6) Section 114 applies, with the necessary modifications, in relation to the disposal of anything delivered up or seized by virtue of subsection (3) above.
(7) In this section “apparatus”, “conditional access technology” and “encrypted” have the same meanings as in section 297A, “transmission” includes transmissions as defined in that section and “conditional access services” means services comprising the provision of conditional access technology.]
299.- Supplementary provisions as to fraudulent reception.
(1) Her Majesty may by Order in Council:
(a) provide that section 297 applies in relation to programmes included in services provided from a country or territory outside the United Kingdom, and
(b) provide that section 298 applies in relation to such programmes and to encrypted transmissions sent from such a country or territory.
F775(2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(3) A statutory instrument containing an Order in Council under subsection (1) shall be subject to annulment in pursuance of a resolution of either House of Parliament.
(4) Where sections 297 and 298 apply in relation to a broadcasting service F776. . . , they also apply to any service run for the person providing that service, or a person providing programmes for that service, which consists wholly or mainly in the sending by means of a telecommunications system of sounds or visual images, or both.
(5) In sections 297 [F777, 297A] and 298, and this section, “programme”[F778and “broadcasting”], and related expressions, have the same meaning as in Part I (copyright).
Fraudulent application or use of trade mark
F779
300. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Provisions for the benefit of [F780 Great Ormond Street Hospital for Children]
301.- Provisions for the benefit of [F781Great Ormond Street Hospital for Children].
The provisions of Schedule 6 have effect for conferring on [F782GOSH Children’s Charity for the benefit of Great Ormond Street Hospital for Children] a right to a royalty in respect of the public performance, commercial publication [F783or communication to the public] of the play “Peter Pan” by Sir James Matthew Barrie, or of any adaptation of that work, notwithstanding that copyright in the work expired on 31st December 1987.
Financial assistance for certain international bodies
302.- Financial assistance for certain international bodies.
(1) The Secretary of State may give financial assistance, in the form of grants, loans or guarantees to:
(a) any international organisation having functions relating to trade marks or other intellectual property, or
(b) any [F784EU] institution or other body established under any of the [F784EU] Treaties having any such functions,with a view to the establishment or maintenance by that organisation, institution or body of premises in the United Kingdom.
(2) Any expenditure of the Secretary of State under this section shall be defrayed out of money provided by Parliament; and any sums received by the Secretary of State in consequence of this section shall be paid into the Consolidated Fund.
General
303.- Consequential amendments and repeals.
(1) The enactments specified in Schedule 7 are amended in accordance with that Schedule, the amendments being consequential on the provisions of this Act.
(2) The enactments specified in Schedule 8 are repealed to the extent specified.
304.- Extent.
(1) Provision as to the extent of Part I (copyright), Part II (rights in performances) and Part III (design right) is to be found in sections 157, 207 and 255 respectively; the extent of the other provisions of this Act is as follows.
(2) Parts IV to VII extend to England and Wales, Scotland and Northern Ireland, except that:
(a) sections 287 to 292 (patents county courts) extend to England and Wales only,
F785(b). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(c) the amendments and repeals in Schedules 7 and 8 have the same extent as the enactments amended or repealed.
(3) The following provisions extend to the Isle of Man subject to any modifications contained in an Order made by Her Majesty in Council:
(a) sections 293 and 294 (patents: licences of right), and
(b) paragraphs 24 and 29 of Schedule 5 (patents: effect of filing international application for patent and power to extend time limits).
(4) Her Majesty may by Order in Council direct that the following provisions extend to the Isle of Man, with such exceptions and modifications as may be specified in the Order:
(a) Part IV (registered designs),
(b) Part V (patent agents),
(c) the provisions of Schedule 5 (patents: miscellaneous amendments) not mentioned in subsection (3) above,
(d) sections 297 to 299 (fraudulent reception of transmissions), and
(e) section 300 (fraudulent application or use of trade mark).
(5) Her Majesty may by Order in Council direct that sections 297 to 299 (fraudulent reception of transmissions) extend to any of the Channel Islands, with such exceptions and modifications as may be specified in the Order.
(6) Any power conferred by this Act to make provision by Order in Council for or in connection with the extent of provisions of this Act to a country outside the United Kingdom includes power to extend to that country, subject to any modifications specified in the Order, any provision of this Act which amends or repeals an enactment extending to that country.
305.- Commencement.
(1) The following provisions of this Act come into force on Royal Assent:
paragraphs 24 and 29 of Schedule 5 (patents: effect of filing international application for patent and power to extend time limits);
section 301 and Schedule 6 (provisions for the benefit of the Hospital for Sick Children).
(2) Sections 293 and 294 (licences of right) come into force at the end of the period of two months beginning with the passing of this Act.
(3) The other provisions of this Act come into force on such day as the Secretary of State may appoint by order made by statutory instrument, and different days may be appointed for different provisions and different purposes.
306.- Short title.
This Act may be cited as the Copyright, Designs and Patents Act 1988.
SCHEDULES.- Section 76A.- [F786 SCHEDULE ZA1 CERTAIN PERMITTED USES OF ORPHAN WORKS
PART 1.- GENERAL PROVISIONS
Certain permitted uses of orphan works by relevant bodies
1.-
(1) A relevant body does not infringe the copyright in a relevant work in its collection which is an orphan work by:
(a) making the orphan work available to the public; or
(b) reproducing the orphan work for the purposes of digitisation, making available, indexing, cataloguing, preservation or restoration.
(2) A relevant body does not infringe the rights conferred by Chapter 2 of Part 2 by doing either of the following in relation to a relevant work in its collection which is an orphan work:
(a) making the orphan work available to the public; or
(b) reproducing the orphan work for the purposes of digitisation, making available, indexing, cataloguing, preservation or restoration.
(3) A relevant body does not commit an offence under section 107 or 198 by using an orphan work in a way which, by virtue of this Schedule, does not infringe copyright or the rights conferred by Chapter 2 of Part 2.
(4) This paragraph is subject to paragraph 6 (further requirements for use of orphan works).
Meaning of “relevant body”, “relevant work” and “rightholder”
2.-
(1) In this Schedule “relevant body” means:
(a) a publicly accessible library, educational establishment or museum,
(b) an archive,
(c) a film or audio heritage institution, or
(d) a public service broadcasting organisation.
(2) Subject to sub-paragraph (4), in this Schedule “relevant work” means a work to which sub-paragraph (3) applies which is:
(a) a work in the form of a book, journal, newspaper, magazine or other writing which is contained in the collection of a publicly accessible library, educational establishment or museum, an archive or a film or audio heritage institution;
(b) a cinematographic or audiovisual work or a sound recording which is contained in the collection of a publicly accessible library, educational establishment or museum, an archive or a film or audio heritage institution; or
(c) a cinematographic or audiovisual work or a sound recording which was commissioned for exclusive exploitation by, or produced by, one or more public service broadcasting organisations on or before 31 December 2002 and is contained in the archives of that organisation or one or more of those organisations.
(3) This sub-paragraph applies to a work if:
(a) it is protected by copyright or rights conferred by Chapter 2 of Part 2, and
(b) the first publication or first broadcast of the work was in a member State.
(4) In this Schedule “relevant work” also includes a work listed in any of paragraphs (a) to (c) of sub-paragraph (2) which:
(a) is protected by copyright or rights conferred by Chapter 2 of Part 2, and
(b) has never been published or broadcast, but
(c) has been made publicly accessible by a relevant body with the consent of the rightholders,
as long as it is reasonable to assume that the rightholders would not oppose the use of the work as mentioned in paragraph 1(1) or (2).
(5) References in this Schedule to a relevant work include:
(a) a work that is embedded or incorporated in, or constitutes an integral part of, a relevant work, and
(b) a performance in relation to which rights are conferred by Chapter 2 of Part 2 and which is embedded or incorporated in, or constitutes an integral part of, a relevant work.
(6) In this Schedule “rightholder” in relation to a relevant work means:
(a) an owner of the copyright in the work,
(b) a licensee under an exclusive licence in relation to the work,
(c) a person with rights under Chapter 2 of Part 2 in relation to a performance recorded by the work, or
(d) a licensee under an exclusive licence in relation to those rights.
(7) In the application of sub-paragraph (6) to a performance by virtue of sub-paragraph (5), the reference in sub-paragraph (6)(c) to a performance recorded by the work is to be read as a reference to the performance.
(8) In this paragraph “public service broadcasting organisation” includes a public service broadcaster within the meaning of section 264 of the Communications Act 2003.
Meaning of “orphan work”
3.-
(1) For the purposes of this Schedule a relevant work is an orphan work if:
(a) there is a single rightholder in the work and the rightholder has not been identified or located, or
(b) there is more than one rightholder in the work and none of the rightholders has been identified or located,
despite a diligent search for the rightholder or rightholders having been carried out and recorded in accordance with paragraph 5.
(2) Subject as follows, a relevant work with more than one rightholder is also an orphan work for the purposes of this Schedule if:
(a) one or more of the rightholders has been identified or located, and
(b) one or more of the rightholders has not been identified or located despite a diligent search for the rightholder or rightholders having been carried out and recorded in accordance with paragraph 5.
Mutual recognition of orphan work status
4.- A relevant work which is designated as an orphan work in another member State is an orphan work for the purposes of this Schedule.
Diligent searches
5.-
(1) For the purposes of establishing whether a relevant work is an orphan work, a relevant body must ensure that a diligent search is carried out in good faith in respect of the work by consulting the appropriate sources for the category of work in question.
(2) The relevant body must carry out the diligent search prior to the use of the relevant work.
(3)T he sources that are appropriate for each category of relevant work must as a minimum include:
(a) the relevant databases maintained by the Office for Harmonization in the Internal Market; and
(b) where there is no record that the relevant work is an orphan work in the databases referred to in paragraph (a), the relevant sources listed in Part 2 of this Schedule for that category.
(4) The Comptroller-General of Patents, Designs and Trade Marks may issue guidance on the appropriate sources to be consulted under this paragraph for any particular category of work.
(5) Subject to sub-paragraphs (6) to (8), a search of the sources mentioned in sub-paragraph (3)(b) must be carried out in the member State in which the relevant work was first published or broadcast.
(6) If the relevant work is a cinematographic or audiovisual work and the producer of the work has his or her headquarters or habitual residence in a member State, the search must be carried out in the member State of the headquarters or habitual residence.
(7) If the relevant work falls within paragraph 2(4), the search must be carried out in the member State where the organisation that made the work publicly accessible with the consent of the rightholders is established.
(8) If there is evidence to suggest that relevant information on rightholders is to be found in other countries, a relevant body carrying out a search in accordance with sub-paragraph (3)(b) must also consult the sources of information available in those other countries.
(9) A relevant body that makes use of orphan works in accordance with this Schedule must maintain records of its diligent searches and must provide the following information to the Office for Harmonization in the Internal Market:
(a) the results of the diligent searches which the relevant body has carried out and which first established that a work is an orphan work;
(b) the use that the relevant body makes of the orphan works;
(c) any change, pursuant to paragraph 7, of the orphan work status of a relevant work that the relevant body has used and in respect of which the relevant body has been supplied with evidence by a rightholder in accordance with paragraph 7(2); and
(d) the contact information for the relevant body.
Further requirements for use of orphan works
6.-This Schedule does not prevent the use by a relevant body of an orphan work as mentioned in paragraph 1 from infringing copyright or the rights conferred by Chapter 2 of Part 2 if:
(a) the revenues generated in the course of the use of the orphan work are used otherwise than for the exclusive purpose of covering the costs of the relevant body in digitising orphan works and making them available to the public;
(b) the relevant body uses the orphan work in order to achieve aims which are not related to its public-interest mission (and the aims which are to be treated as related to its public interest mission include, in particular, the preservation of, the restoration of, and the provision of cultural and educational access to, works contained in its collection);
(c) any rightholder who has been identified or located has, in relation to the rightholder’s rights, not authorised the relevant body’s use of the orphan work as mentioned in paragraph 1; or
(d) the relevant body fails, in the course of the permitted use of the orphan work, to acknowledge the name of any author of or other rightholder in the work who has been identified.
End of orphan work status
7.-
(1) This paragraph applies to a rightholder who has not been identified or located in relation to a relevant work.
(2) A rightholder may put an end to the orphan work status of a relevant work by providing evidence of his or her ownership of the rights to the Office for Harmonization in the Internal Market or to the relevant body which carried out the diligent search which first established that the relevant work is an orphan work.
(3) A relevant body that is using or has used the orphan work must within a reasonable period provide the rightholder with fair compensation for that body’s use of the relevant work together with information on how the fair compensation has been calculated.
(4) If a relevant body and the rightholder cannot agree on the amount of compensation payable, either of them may apply to the Copyright Tribunal to determine the amount.
PART 2.- SOURCES TO BE SEARCHED DURING DILIGENT SEARCH
Category of relevant work Sources to be searched
1. Published books (a)legal deposit, library catalogues and authority files maintained by libraries and other institutions;
(b)the publishers’ and authors’ associations in the country in question;
(c) existing databases and registries, WATCH (Writers, Artists and their Copyright Holders), the ISBN (International Standard Book Number) and databases listing books in print;
(d)the databases of the relevant collecting societies, including reproduction rights organisations;
(e)sources that integrate multiple databases and registries, including VIAF (Virtual International Authority Files) and ARROW (Accessible Registries of Rights Information and Orphan Works).
2. Newspapers, magazines, journals
and periodicals (a) the ISSN (International Standard Serial Number) for periodical publications;
(b)indexes and catalogues from library holdings and collections;
(c)legal deposit;
(d)the publishers’ associations and the authors’ and journalists’ associations in the country in question;
(e)the databases of relevant collecting societies including reproduction rights organisations.
3. Visual works, including fine art,
photography, illustration, design,
architecture, sketches of the latter
works and other such works that are
contained in books, journals,
newspapers and magazines or other
works (a)the sources referred to in paragraphs 1 and 2;
(b)the databases of the relevant collecting societies, in particular for visual arts, and including reproduction rights organisations;
(c)the databases of picture agencies, where applicable.
4. Audiovisual works and sound
recordings (a)legal deposit;
(b)the producers’ associations in the country in question;
(c)databases of film or audio heritage institutions and national libraries;
(d)databases with relevant standards and identifiers such as ISAN (International Standard Audiovisual Number) for audiovisual material, ISWC (International Standard Music Work Code) for musical works and ISRC (International Standard Recording Code) for sound recordings;
(e)the databases of the relevant collecting societies, in particular for authors, performers, sound recording producers and audiovisual producers;
(f)credits and other information appearing on the work’s packaging;
(g)databases of other relevant associations representing a specific category of rightholders.
5. Relevant works which have not
been published or broadcast Those sources that are listed in paragraphs 1 to 4 above which are appropriate to a relevant work which is unpublished.][F787.- SCHEDULE A1.- Regulation of licensing bodies
Codes of practice
1.-
(1) The Secretary of State may by regulations make provision for a licensing body to be required to adopt a code of practice that complies with criteria specified in the regulations.
(2) The regulations may provide that, if a licensing body fails to adopt such a code of practice, any code of practice that is approved for the purposes of that licensing body by the Secretary of State, or by a person designated by the Secretary of State under the regulations, has effect as a code of practice adopted by the body.
(3) The regulations must provide that a code is not to be approved for the purposes of provision under sub-paragraph (2) unless it complies with criteria specified in the regulations.
2.- Regulations under paragraph 1 may make provision as to conditions that are to be satisfied, and procedures that are to be followed:
- before a licensing body is required to adopt a code of practice as described in paragraph 1(1);
(b) before a code of practice has effect as one adopted by a licensing body as described in paragraph 1(2).
Licensing code ombudsman
3.-
(1) The Secretary of State may by regulations make provision:
(a) for the appointment of a person (the “licensing code ombudsman”) to investigate and determine disputes about a licensing body’s compliance with its code of practice;
(b) for the reference of disputes to the licensing code ombudsman;
(c) for the investigation and determination of a dispute so referred.
(2) Provision made under this paragraph may in particular include provision:
(a) about eligibility for appointment as the licensing code ombudsman;
(b) about the disputes to be referred to the licensing code ombudsman;
(c) requiring any person to provide information, documents or assistance to the licensing code ombudsman for the purposes of an investigation or determination;
(d) requiring a licensing body to comply with a determination of the licensing code ombudsman;
(e) about the payment of expenses and allowances to the licensing code ombudsman.
Code reviewer
4.-
(1) The Secretary of State may by regulations make provision:
(a) for the appointment by the Secretary of State of a person (the “code reviewer”) to review and report to the Secretary of State on:
(i) the codes of practice adopted by licensing bodies, and
(ii) compliance with the codes of practice;
(b) for the carrying out of a review and the making of a report by that person.
(2) The regulations must provide for the Secretary of State, before appointing a person as the code reviewer, to consult persons whom the Secretary of State considers represent the interests of licensing bodies, licensees, members of licensing bodies, and the Intellectual Property Office.
(3) The regulations may, in particular, make provision:
(a) requiring any person to provide information, documents or assistance to the code reviewer for the purposes of a review or report;
(b) about the payment of expenses and allowances to the code reviewer.
(4) In this paragraph “ member ”, in relation to a licensing body, means a person on whose behalf the body is authorised to negotiate or grant licences.
Sanctions
5.-
(1) The Secretary of State may by regulations provide for the consequences of a failure by a licensing body to comply with:
(a) a requirement to adopt a code of practice under provision within paragraph 1(1);
(b) a code of practice that has been adopted by the body in accordance with a requirement under provision within paragraph 1(1), or that has effect as one adopted by the body under provision within paragraph 1(2);
(c) a requirement imposed on the body under any other provision made under this Schedule;
(d) an authorisation under regulations under section 116A or 116B;
(e) a requirement imposed by regulations under section 116A or 116B;
(f) an authorisation under regulations under paragraph 1A or 1B of Schedule 2A;
(g) a requirement imposed by regulations under paragraph 1A or 1B of that Schedule.
(2) The regulations may in particular provide for:
(a) the imposition of financial penalties or other sanctions;
(b) the imposition of sanctions on a director, manager or similar officer of a licensing body or, where the body’s affairs are managed by its members, on a member.
(3) The regulations must include provision:
(a) for determining whether there has been a failure to comply with a requirement or code of practice for the purposes of any provision made under sub-paragraph (1);
(b) for determining any sanction that may be imposed in respect of the failure to comply;
(c) for an appeal against a determination within paragraph (a) or (b).
(4) A financial penalty imposed under sub-paragraph (2) must not be greater than £50,000.
(5) The regulations may provide for a determination within sub-paragraph (3)(a) or (3)(b) to be made by the Secretary of State or by a person designated by the Secretary of State under the regulations.
(6) The regulations may make provision for requiring a person to give the person by whom a determination within sub-paragraph (3)(a) falls to be made (the “adjudicator”) any information that the adjudicator reasonably requires for the purpose of making that determination.
Fees
6.-
(1) The Secretary of State may by regulations require a licensing body to which regulations under any other paragraph of this Schedule apply to pay fees to the Secretary of State.
(2) The aggregate amount of fees payable under the regulations must not be more than the cost to the Secretary of State of administering the operation of regulations under this Schedule.
General
7.-
(1) The power to make regulations under this Schedule includes in particular power:
(a) to make incidental, supplementary or consequential provision, including provision extending or restricting the jurisdiction of the Copyright Tribunal or conferring powers on it;
(b) to make provision for bodies of a particular description, or carrying out activities of a particular description, not to be treated as licensing bodies for the purposes of requirements imposed under regulations under this Schedule;
(c) to make provision that applies only in respect of licensing bodies of a particular description, or only in respect of activities of a particular description;
(d) otherwise to make different provision for different purposes.
(2) Regulations under a paragraph of this Schedule may amend Part 1 or Part 2, or any other enactment or subordinate legislation passed or made before the paragraph in question comes into force, for the purpose of making consequential provision or extending or restricting the jurisdiction of the Copyright Tribunal or conferring powers on it.
(3) The power to make regulations is exercisable by statutory instrument.
(4) A statutory instrument containing regulations may not be made unless a draft of the instrument has been laid before and approved by a resolution of each House of Parliament.
8 References in this Schedule to a licensing body are to a body that is a licensing body for the purposes of Chapter 7 of Part 1 or Chapter 2 of Part 2, and references to licensees are to be construed accordingly.]
Section 170.- SCHEDULE 1
Copyright: transitional provisions and savings
Introductory
1.-
(1) In this Schedule:
“the 1911 Act” means the M52Copyright Act 1911,
“the 1956 Act” means the M53Copyright Act 1956, and
“the new copyright provisions” means the provisions of this Act relating to copyright, that is, Part I (including this Schedule) and Schedules 3, 7 and 8 so far as they make amendments or repeals consequential on the provisions of Part I.
(2) References in this Schedule to “commencement”, without more, are to the date on which the new copyright provisions come into force.
(3) References in this Schedule to “existing works” are to works made before commencement; and for this purpose a work of which the making extended over a period shall be taken to have been made when its making was completed.
2.-
(1) In relation to the 1956 Act, references in this Schedule to a work include any work or other subject-matter within the meaning of that Act.
(2) In relation to the 1911 Act:
(a) references in this Schedule to copyright include the right conferred by section 24 of that Act in substitution for a right subsisting immediately before the commencement of that Act;
(b) references in this Schedule to copyright in a sound recording are to the copyright under that Act in records embodying the recording; and
(c) references in this Schedule to copyright in a film are to any copyright under that Act in the film (so far as it constituted a dramatic work for the purposes of that Act) or in photographs forming part of the film.
General principles: continuity of the law
3.- The new copyright provisions apply in relation to things existing at commencement as they apply in relation to things coming into existence after commencement, subject to any express provision to the contrary.
4.-
(1) The provisions of this paragraph have effect for securing the continuity of the law so far as the new copyright provisions re-enact (with or without modification) earlier provisions.
(2) A reference in an enactment, instrument or other document to copyright, or to a work or other subject-matter in which copyright subsists, which apart from this Act would be construed as referring to copyright under the 1956 Act shall be construed, so far as may be required for continuing its effect, as being, or as the case may require, including, a reference to copyright under this Act or to works in which copyright subsists under this Act.
(3) Anything done (including subordinate legislation made), or having effect as done, under or for the purposes of a provision repealed by this Act has effect as if done under or for the purposes of the corresponding provision of the new copyright provisions.
(4) References (expressed or implied) in this Act or any other enactment, instrument or document to any of the new copyright provisions shall, so far as the context permits, be construed as including, in relation to times, circumstances and purposes before commencement, a reference to corresponding earlier provisions.
(5) A reference (express or implied) in an enactment, instrument or other document to a provision repealed by this Act shall be construed, so far as may be required for continuing its effect, as a reference to the corresponding provision of this Act.
(6) The provisions of this paragraph have effect subject to any specific transitional provision or saving and to any express amendment made by this Act.
Subsistence of copyright
5.-
(1) Copyright subsists in an existing work after commencement only if copyright subsisted in it immediately before commencement.
(2) Sub-paragraph (1) does not prevent an existing work qualifying for copyright protection after commencement:
(a) under section 155 (qualification by virtue of first publication), F788…
(b) by virtue of an Order under section 159 (application of Part I to countries to which it does not extend) [F789, or][F790(c) where the work is an artistic work in which copyright subsists as a result of the disapplication of paragraph 6(1) by paragraph 6(1A)]
6.-
(1) Copyright shall not subsist by virtue of this Act in an artistic work made before 1st June 1957 which at the time when the work was made constituted a design capable of registration under the M54Registered Designs Act 1949 or under the enactments repealed by that Act, and was used, or intended to be used, as a model or pattern to be multiplied by an industrial process.
[F791(1A) Sub-paragraph (1) does not apply to an artistic work which was on 1st July 1995 protected under the law of another EEA state relating to copyright or related rights.](2) For this purpose a design shall be deemed to be used as a model or pattern to be multiplied by any industrial process:
(a) when the design is reproduced or is intended to be reproduced on more than 50 single articles, unless all the articles in which the design is reproduced or is intended to be reproduced together form only a single set of articles as defined in section 44(1) of the Registered Designs Act 1949, or
(b )when the design is to be applied to:
(i) printed paper hangings,
(ii) carpets, floor cloths or oil cloths, manufactured or sold in lengths or pieces,
(iii) textile piece goods, or textile goods manufactured or sold in lengths or pieces, or
(iv) lace, not made by hand.
7.-
(1) No copyright subsists in a film, as such, made before 1st June 1957.
(2) Where a film made before that date was an original dramatic work within the meaning of the 1911 Act, the new copyright provisions have effect in relation to the film as if it was an original dramatic work within the meaning of Part I.
(3) The new copyright provisions have effect in relation to photographs forming part of a film made before 1st June 1957 as they have effect in relation to photographs not forming part of a film.
8.-
(1) A film sound-track to which section 13(9) of the 1956 Act applied before commencement (film to be taken to include sounds in associated sound-track) shall be treated for the purposes of the new copyright provisions not as part of the film, but as a sound recording.
(2) However:
(a) copyright subsists in the sound recording only if copyright subsisted in the film immediately before commencement, and it continues to subsist until copyright in the film expires;
(b) the author and first owner of copyright in the film shall be treated as having been author and first owner of the copyright in the sound recording; and
(c) anything done before commencement under or in relation to the copyright in the film continues to have effect in relation to the sound recording as in relation to the film.
[F7929.- No copyright subsists in:
(a) a wireless broadcast made before 1st June 1957, or
(b) a broadcast by cable made before 1st January 1985;
and any such broadcast shall be disregarded for the purposes of section 14(5) (duration of copyright in repeats).]
Authorship of work
10.- The question who was the author of an existing work shall be determined in accordance with the new copyright provisions for the purposes of the rights conferred by Chapter IV of Part I (moral rights), and for all other purposes shall be determined in accordance with the law in force at the time the work was made.
First ownership of copyright
11.-
(1) The question who was first owner of copyright in an existing work shall be determined in accordance with the law in force at the time the work was made.
(2) Where before commencement a person commissioned the making of a work in circumstances falling within:
(a) section 4(3) of the 1956 Act or paragraph (a) of the proviso to section 5(1) of the 1911 Act (photographs, portraits and engravings), or
(b) the proviso to section 12(4) of the 1956 Act (sound recordings),
those provisions apply to determine first ownership of copyright in any work made in pursuance of the commission after commencement.
Duration of copyright in existing works
12.-
(1) The following provisions have effect with respect to the duration of copyright in existing works.The question which provision applies to a work shall be determined by reference to the facts immediately before commencement; and expressions used in this paragraph which were defined for the purposes of the 1956 Act have the same meaning as in that Act.
(2)C opyright in the following descriptions of work continues to subsist until the date on which it would have expired under the 1956 Act:
(a) literary, dramatic or musical works in relation to which the period of 50 years mentioned in the proviso to section 2(3) of the 1956 Act (duration of copyright in works made available to the public after the death of the author) has begun to run;
(b) engravings in relation to which the period of 50 years mentioned in the proviso to section 3(4) of the 1956 Act (duration of copyright in works published after the death of the author) has begun to run;
(c) published photographs and photographs taken before 1st June 1957;
(d) published sound recordings and sound recordings made before 1st June 1957;
(e) published films and films falling within section 13(3)(a) of the 1956 Act (films registered under former enactments relating to registration of films).
(3) Copyright in anonymous or pseudonymous literary, dramatic, musical or artistic works (other than photographs) continues to subsist:
(a) if the work is published, until the date on which it would have expired in accordance with the 1956 Act, and
(b) if the work is unpublished, until the end of the period of 50 years from the end of the calendar year in which the new copyright provisions come into force or, if during that period the work is first made available to the public within the meaning of [F793section 12(3)] (duration of copyright in works of unknown authorship), the date on which copyright expires in accordance with that provision;
unless, in any case, the identity of the author becomes known before that date, in which case [F794 section 12(2)] applies (general rule: life of the author [F795plus 70]).
(4) Copyright in the following descriptions of work continues to subsist until the end of the period of 50 years from the end of the calendar year in which the new copyright provisions come into force:
(a) literary, dramatic and musical works of which the author has died and in relation to which none of the acts mentioned in paragraphs (a) to (e) of the proviso to section 2(3) of the 1956 Act has been done;
(b) unpublished engravings of which the author has died;
(c) unpublished photographs taken on or after 1st June 1957.
(5) Copyright in the following descriptions of work continues to subsist until the end of the period of 50 years from the end of the calendar year in which the new copyright provisions come into force:
(a) unpublished sound recordings made on or after 1st June 1957;
(b) films not falling within sub-paragraph (2)(e) above,
unless the recording or film is published before the end of that period in which case copyright in it shall continue until the end of the period of 50 years from the end of the calendar year in which the recording or film is published.
(6) Copyright in any other description of existing work continues to subsist until the date on which copyright in that description of work expires in accordance with sections 12 to 15 of this Act.
(7) The above provisions do not apply to works subject to Crown or Parliamentary copyright (see paragraphs 41 to 43 below).
Perpetual copyright under the Copyright Act 1775
13.-
(1) The rights conferred on universities and colleges by the M55Copyright Act 1775 shall continue to subsist until the end of the period of 50 years from the end of the calendar year in which the new copyright provisions come into force and shall then expire.
(2) The provisions of the following Chapters of Part I:
Chapter III (acts permitted in relation to copyright works),
Chapter VI (remedies for infringement),
Chapter VII (provisions with respect to copyright licensing), and
Chapter VIII (the Copyright Tribunal),
apply in relation to those rights as they apply in relation to copyright under this Act.
Acts infringing copyright
14.-
(1) The provisions of Chapters II and III of Part I as to the acts constituting an infringement of copyright apply only in relation to acts done after commencement; the provisions of the 1956 Act continue to apply in relation to acts done before commencement.
(2) So much of section 18(2) as extends the restricted act of issuing copies to the public to include the rental to the public of copies of sound recordings, films or computer programs does not apply in relation to a copy of a sound recording, film or computer program acquired by any person before commencement for the purpose of renting it to the public.
(3) For the purposes of section 27 (meaning of “infringing copy”) the question whether the making of an article constituted an infringement of copyright, or would have done if the article had been made in the United Kingdom, shall be determined:
(a) in relation to an article made on or after 1st June 1957 and before commencement, by reference to the 1956 Act, and
(b) in relation to an article made before 1st June 1957, by reference to the 1911 Act.
(4) For the purposes of the application of sections 31(2), 51(2) and 62(3) (subsequent exploitation of things whose making was, by virtue of an earlier provision of the section, not an infringement of copyright) to things made before commencement, it shall be assumed that the new copyright provisions were in force at all material times.
(5) Section 55 (articles for producing material in a particular typeface) applies where articles have been marketed as mentioned in subsection (1) before commencement with the substitution for the period mentioned in subsection (3) of the period of 25 years from the end of the calendar year in which the new copyright provisions come into force.
(6) Section 56 (transfer of copies, adaptations, &c. of work in electronic form) does not apply in relation to a copy purchased before commencement.
(7) In section 65 (reconstruction of buildings) the reference to the owner of the copyright in the drawings or plans is, in relation to buildings constructed before commencement, to the person who at the time of the construction was the owner of the copyright in the drawings or plans under the 1956 Act, the 1911 Act or any enactment repealed by the 1911 Act.
15.-
(1) Section 57 (anonymous or pseudonymous works: acts permitted on assumptions as to expiry of copyright or death of author) has effect in relation to existing works subject to the following provisions.
(2) Subsection (1)(b)(i) (assumption as to expiry of copyright) does not apply in relation to:
(a) photographs, or
(b) the rights mentioned in paragraph 13 above (rights conferred by the M56Copyright Act 1775).
(3)F796. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
16.- The following provisions of section 7 of the 1956 Act continue to apply in relation to existing works:
(a) subsection (6) (copying of unpublished works from manuscript or copy in library, museum or other institution);
(b) subsection (7) (publication of work containing material to which subsection (6) applies), except paragraph (a) (duty to give notice of intended publication);
(c) subsection (8) (subsequent broadcasting, performance, &c. of material published in accordance with subsection (7));
and subsection (9)(d) (illustrations) continues to apply for the purposes of those provisions.
17.- Where in the case of a dramatic or musical work made before 1st July 1912, the right conferred by the 1911 Act did not include the sole right to perform the work in public, the acts restricted by the copyright shall be treated as not including:
(a) performing the work in public,
[F797(b) communicating the work to the public, or]
(c) doing any of the above in relation to an adaptation of the work;
and where the right conferred by the 1911 Act consisted only of the sole right to perform the work in public, the acts restricted by the copyright shall be treated as consisting only of those acts.
18.- Where a work made before 1st July 1912 consists of an essay, article or portion forming part of and first published in a review, magazine or other periodical or work of a like nature, the copyright is subject to any right of publishing the essay, article, or portion in a separate form to which the author was entitled at the commencement of the 1911 Act, or would if that Act had not been passed, have become entitled under section 18 of the M57Copyright Act 1842.
Designs
19.-
(1) Section 51 (exclusion of copyright protection in relation to works recorded or embodied in design document or models) does not apply for ten years after commencement in relation to a design recorded or embodied in a design document or model before commencement.
(2) During those ten years the following provisions of Part III (design right) apply to any relevant copyright as in relation to design right:
(a) sections 237 to 239 (availability of licences of right), and
(b) sections 247 and 248 (application to comptroller to settle terms of licence of right).
(3) In section 237 as it applies by virtue of this paragraph, for the reference in subsection (1) to the last five years of the design right term there shall be substituted a reference to the last five years of the period of ten years referred to in sub-paragraph (1) above, or to so much of those last five years during which copyright subsists.
(4) In section 239 as it applies by virtue of this paragraph, for the reference in subsection (1)(b) to section 230 there shall be substituted a reference to section 99.
(5) Where a licence of right is available by virtue of this paragraph, a person to whom a licence was granted before commencement may apply to the comptroller for an order adjusting the terms of that licence.
(6) The provisions of sections 249 and 250 (appeals and rules) apply in relation to proceedings brought under or by virtue of this paragraph as to proceedings under Part III.
(7) A licence granted by virtue of this paragraph shall relate only to acts which would be permitted by section 51 if the design document or model had been made after commencement.
(8) Section 100 (right to seize infringing copies, &c.) does not apply during the period of ten years referred to in sub-paragraph (1) in relation to anything to which it would not apply if the design in question had been first recorded or embodied in a design document or model after commencement.
(9) Nothing in this paragraph affects the operation of any rule of law preventing or restricting the enforcement of copyright in relation to a design.
F798
20.-. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Abolition of statutory recording licence
21.- Section 8 of the 1956 Act (statutory licence to copy records sold by retail) continues to apply where notice under subsection (1)(b) of that section was given before the repeal of that section by this Act, but only in respect of the making of records:
(a) within one year of the repeal coming into force, and
(b) up to the number stated in the notice as intended to be sold.
Moral rights
22.-
(1) No act done before commencement is actionable by virtue of any provision of Chapter IV of Part I (moral rights).
(2) Section 43 of the 1956 Act (false attribution of authorship) continues to apply in relation to acts done before commencement.
23.-
(1) The following provisions have effect with respect to the rights conferred by:
(a) section 77 (right to be identified as author or director), and
(b) section 80 (right to object to derogatory treatment of work).
(2) The rights do not apply:
(a) in relation to a literary, dramatic, musical and artistic work of which the author died before commencement; or
(b) in relation to a film made before commencement.
(3) The rights in relation to an existing literary, dramatic, musical or artistic work do not apply:
(a) where copyright first vested in the author, to anything which by virtue of an assignment of copyright made or licence granted before commencement may be done without infringing copyright;
(b) where copyright first vested in a person other than the author, to anything done by or with the licence of the copyright owner.
(4) The rights do not apply to anything done in relation to a record made in pursuance of section 8 of the 1956 Act (statutory recording licence).
24.- The right conferred by section 85 (right to privacy of certain photographs and films) does not apply to photographs taken or films made before commencement.
Assignments and licences
25.-
(1) Any document made or event occurring before commencement which had any operation:
(a) affecting the ownership of the copyright in an existing work, or
(b) creating, transferring or terminating an interest, right or licence in respect of the copyright in an existing work,
has the corresponding operation in relation to copyright in the work under this Act.
(2) Expressions used in such a document shall be construed in accordance with their effect immediately before commencement.
26.-
(1) Section 91(1) of this Act (assignment of future copyright: statutory vesting of legal interest on copyright coming into existence) does not apply in relation to an agreement made before 1st June 1957.
(2) The repeal by this Act of section 37(2) of the 1956 Act (assignment of future copyright: devolution of right where assignee dies before copyright comes into existence) does not affect the operation of that provision in relation to an agreement made before commencement.
27.-
(1) Where the author of a literary, dramatic, musical or artistic work was the first owner of the copyright in it, no assignment of the copyright and no grant of any interest in it, made by him (otherwise than by will) after the passing of the 1911 Act and before 1st June 1957, shall be operative to vest in the assignee or grantee any rights with respect to the copyright in the work beyond the expiration of 25 years from the death of the author.
(2) The reversionary interest in the copyright expectant on the termination of that period may after commencement be assigned by the author during his life but in the absence of any assignment shall, on his death, devolve on his legal personal representatives as part of his estate.
(3) Nothing in this paragraph affects:
(a) an assignment of the reversionary interest by a person to whom it has been assigned,
(b) an assignment of the reversionary interest after the death of the author by his personal representatives or any person becoming entitled to it, or
(c) any assignment of the copyright after the reversionary interest has fallen in.
(4) Nothing in this paragraph applies to the assignment of the copyright in a collective work or a licence to publish a work or part of a work as part of a collective work.
(5) In sub-paragraph (4) “collective work” means:
(a) any encyclopaedia, dictionary, yearbook, or similar work;
(b) a newspaper, review, magazine, or similar periodical; and
(c) any work written in distinct parts by different authors, or in which works or parts of works of different authors are incorporated.
28.-
(1) This paragraph applies where copyright subsists in a literary, dramatic, musical or artistic work made before 1st July 1912 in relation to which the author, before the commencement of the 1911 Act, made such an assignment or grant as was mentioned in paragraph (a) of the proviso to section 24(1) of that Act (assignment or grant of copyright or performing right for full term of the right under the previous law).
(2) If before commencement any event has occurred or notice has been given which by virtue of paragraph 38 of Schedule 7 to the 1956 Act had any operation in relation to copyright in the work under that Act, the event or notice has the corresponding operation in relation to copyright under this Act.
(3) Any right which immediately before commencement would by virtue of paragraph 38(3) of that Schedule have been exercisable in relation to the work, or copyright in it, is exercisable in relation to the work or copyright in it under this Act.
(4) If in accordance with paragraph 38(4) of that Schedule copyright would, on a date after the commencement of the 1956 Act, have reverted to the author or his personal representatives and that date falls after the commencement of the new copyright provisions:
(a) the copyright in the work shall revert to the author or his personal representatives, as the case may be, and
(b) any interest of any other person in the copyright which subsists on that date by virtue of any document made before the commencement of the 1911 Act shall thereupon determine.
29 Section 92(2) of this Act (rights of exclusive licensee against successors in title of person granting licence) does not apply in relation to an exclusive licence granted before commencement.
Bequests
30.-
(1) Section 93 of this Act (copyright to pass under will with original document or other material thing embodying unpublished work):
(a) does not apply where the testator died before 1st June 1957, and
(b) where the testator died on or after that date and before commencement, applies only in relation to an original document embodying a work.
(2) In the case of an author who died before 1st June 1957, the ownership after his death of a manuscript of his, where such ownership has been acquired under a testamentary disposition made by him and the manuscript is of a work which has not been published or performed in public, is prima facie proof of the copyright being with the owner of the manuscript.
Remedies for infringement
31.-
(1) Sections 96 and 97 of this Act (remedies for infringement) apply only in relation to an infringement of copyright committed after commencement; section 17 of the 1956 Act continues to apply in relation to infringements committed before commencement.
(2) Sections 99 and 100 of this Act (delivery up or seizure of infringing copies, &c.) apply to infringing copies and other articles made before or after commencement; section 18 of the 1956 Act, and section 7 of the 1911 Act, (conversion damages, &c.), do not apply after commencement except for the purposes of proceedings begun before commencement.
(3) Sections 101 to 102 of this Act (rights and remedies of exclusive licensee) apply where sections 96 to 100 of this Act apply; section 19 of the 1956 Act continues to apply where section 17 or 18 of that Act applies.
(4) Sections 104 to 106 of this Act (presumptions) apply only in proceedings brought by virtue of this Act; section 20 of the 1956 Act continues to apply in proceedings brought by virtue of that Act.
32.- Sections 101 and 102 of this Act (rights and remedies of exclusive licensee) do not apply to a licence granted before 1st June 1957.
33.-
(1) The provisions of section 107 of this Act (criminal liability for making or dealing with infringing articles, &c.) apply only in relation to acts done after commencement; section 21 of the 1956 Act (penalties and summary proceedings in respect of dealings which infringe copyright) continues to apply in relation to acts done before commencement.
(2) Section 109 of this Act (search warrants) applies in relation to offences committed before commencement in relation to which section 21A or 21B of the 1956 Act applied; sections 21A and 21B continue to apply in relation to warrants issued before commencement.
Copyright Tribunal: proceedings pending on commencement
34.-
(1) The Lord Chancellor may, after consultation with the Lord Advocate, by rules make such provision as he considers necessary or expedient with respect to proceedings pending under Part IV of the 1956 Act immediately before commencement.
(2) Rules under this paragraph shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
Qualification for copyright protection
35.- Every work in which copyright subsisted under the 1956 Act immediately before commencement shall be deemed to satisfy the requirements of Part I of this Act as to qualification for copyright protection.
Dependent territories
36.-
(1) The 1911 Act shall remain in force as part of the law of any dependent territory in which it was in force immediately before commencement until:
(a) the new copyright provisions come into force in that territory by virtue of an Order under section 157 of this Act (power to extend new copyright provisions), or
(b) in the case of any of the Channel Islands, the Act is repealed by Order under sub-paragraph (3) below.
(2) An Order in Council in force immediately before commencement which extends to any dependent territory any provisions of the 1956 Act shall remain in force as part of the law of that territory until:
(a) the new copyright provisions come into force in that territory by virtue of an Order under section 157 of this Act (power to extend new copyright provisions), or
(b) in the case of the Isle of Man, the Order is revoked by Order under sub-paragraph (3) below;
and while it remains in force such an Order may be varied under the provisions of the 1956 Act under which it was made.
(3) If it appears to Her Majesty that provision with respect to copyright has been made in the law of any of the Channel Islands or the Isle of Man otherwise than by extending the provisions of Part I of this Act, Her Majesty may by Order in Council repeal the 1911 Act as it has effect as part of the law of that territory or, as the case may be, revoke the Order extending the 1956 Act there.
(4) A dependent territory in which the 1911 or 1956 Act remains in force shall be treated, in the law of the countries to which Part I extends, as a country to which that Part extends; and those countries shall be treated in the law of such a territory as countries to which the 1911 Act or, as the case may be, the 1956 Act extends.
(5) If a country in which the 1911 or 1956 Act is in force ceases to be a colony of the United Kingdom, section 158 of this Act (consequences of country ceasing to be colony) applies with the substitution for the reference in subsection (3)(b) to the provisions of Part I of this Act of a reference to the provisions of the 1911 or 1956 Act, as the case may be.
(6) In this paragraph “dependent territory” means any of the Channel Islands, the Isle of Man or any colony.
37.-
(1) This paragraph applies to a country which immediately before commencement was not a dependent territory within the meaning of paragraph 36 above but:
(a) was a country to which the 1956 Act extended, or
(b) was treated as such a country by virtue of paragraph 39(2) of Schedule 7 to that Act (countries to which the 1911 Act extended or was treated as extending);
and Her Majesty may by Order in Council conclusively declare for the purposes of this paragraph whether a country was such a country or was so treated.
(2) A country to which this paragraph applies shall be treated as a country to which Part I extends for the purposes of sections 154 to 156 (qualification for copyright protection) until:
(a) an Order in Council is made in respect of that country under section 159 (application of Part I to countries to which it does not extend), or
(b) an Order in Council is made declaring that it shall cease to be so treated by reason of the fact that the provisions of the 1956 Act or, as the case may be, the 1911 Act, which extended there as part of the law of that country have been repealed or amended.
(3) A statutory instrument containing an Order in Council under this paragraph shall be subject to annulment in pursuance of a resolution of either House of Parliament.
Territorial waters and the continental shelf
38.- Section 161 of this Act (application of Part I to things done in territorial waters or the United Kingdom sector of the continental shelf) does not apply in relation to anything done before commencement.
British ships, aircraft and hovercraft
39.- Section 162 (British ships, aircraft and hovercraft) does not apply in relation to anything done before commencement.
Crown copyright
40.-
(1) Section 163 of this Act (general provisions as to Crown copyright) applies to an existing work if:
(a) section 39 of the 1956 Act applied to the work immediately before commencement, and
(b) the work is not one to which section 164, 165 or 166 applies (copyright in Acts, Measures and Bills and Parliamentary copyright: see paragraphs 42 and 43 below).
(2) Section 163 (1)(b) (first ownership of copyright) has effect subject to any agreement entered into before commencement under section 39(6) of the 1956 Act.
41.-
(1) The following provisions have effect with respect to the duration of copyright in existing works to which section 163 (Crown copyright) applies.The question which provision applies to a work shall be determined by reference to the facts immediately before commencement; and expressions used in this paragraph which were defined for the purposes of the 1956 Act have the same meaning as in that Act.
(2) Copyright in the following descriptions of work continues to subsist until the date on which it would have expired in accordance with the 1956 Act:
(a) published literary, dramatic or musical works;
(b) artistic works other than engravings or photographs;
(c) published engravings;
(d) published photographs and photographs taken before 1st June 1957;
(e) published sound recordings and sound recordings made before 1st June 1957;
(f) published films and films falling within section 13(3)(a) of the 1956 Act (films registered under former enactments relating to registration of films).
(3) Copyright in unpublished literary, dramatic or musical works continues to subsist until:
(a) the date on which copyright expires in accordance with section 163(3), or
(b) the end of the period of 50 years from the end of the calendar year in which the new copyright provisions come into force,
whichever is the later.
(4) Copyright in the following descriptions of work continues to subsist until the end of the period of 50 years from the end of the calendar year in which the new copyright provisions come into force:
(a) unpublished engravings;
(b) unpublished photographs taken on or after 1st June 1957.
(5) Copyright in a film or sound recording not falling within sub-paragraph (2) above continues to subsist until the end of the period of 50 years from the end of the calendar year in which the new copyright provisions come into force, unless the film or recording is published before the end of that period, in which case copyright expires 50 years from the end of the calendar year in which it is published.
42.-
(1) Section 164 (copyright in Acts and Measures) applies to existing Acts of Parliament and Measures of the General Synod of the Church of England.
(2) References in that section to Measures of the General Synod of the Church of England include Church Assembly Measures.
Parliamentary copyright
43.-
(1) Section 165 of this Act (general provisions as to Parliamentary copyright) applies to existing unpublished literary, dramatic, musical or artistic works, but does not otherwise apply to existing works.
(2) Section 166 (copyright in Parliamentary Bills) does not apply:
(a) to a public Bill which was introduced into Parliament and published before commencement,
(b) to a private Bill of which a copy was deposited in either House before commencement, or
(c) to a personal Bill which was given a First Reading in the House of Lords before commencement.
Copyright vesting in certain international organisations
44.-
(1) Any work in which immediately before commencement copyright subsisted by virtue of section 33 of the 1956 Act shall be deemed to satisfy the requirements of section 168(1); but otherwise section 168 does not apply to works made or, as the case may be, published before commencement.
(2) Copyright in any such work which is unpublished continues to subsist until the date on which it would have expired in accordance with the 1956 Act, or the end of the period of 50 years from the end of the calendar year in which the new copyright provisions come into force, whichever is the earlier.
Meaning of “publication”
45.- Section 175(3) (construction of building treated as equivalent to publication) applies only where the construction of the building began after commencement.
Meaning of “unauthorised”
46.- For the purposes of the application of the definition in section 178 (minor definitions) of the expression “unauthorised” in relation to things done before commencement:
(a) paragraph (a) applies in relation to things done before 1st June 1957 as if the reference to the licence of the copyright owner were a reference to his consent or acquiescence;
(b) paragraph (b) applies with the substitution for the words from “or, in a case” to the end of the words “or any person lawfully claiming under him”; and
(c) paragraph (c) shall be disregarded.
Section 189.- SCHEDULE 2.- Rights in performances: permitted acts
Introductory
1.-
(1) The provisions of this Schedule specify acts which may be done in relation to a performance or recording notwithstanding the rights conferred by [F799this Chapter]; they relate only to the question of infringement of those rights and do not affect any other right or obligation restricting the doing of any of the specified acts.
(2) No inference shall be drawn from the description of any act which may by virtue of this Schedule be done without infringing the rights conferred by [F799this Chapter] as to the scope of those rights.
(3) The provisions of this Schedule are to be construed independently of each other, so that the fact that an act does not fall within one provision does not mean that it is not covered by another provision.
[F800 Making of temporary copies1A.- The rights conferred by [F801this Chapter] are not infringed by the making of a temporary copy of a recording of a performance which is transient or incidental, which is an integral and essential part of a technological process and the sole purpose of which is to enable:
(a) a transmission of the recording in a network between third parties by an intermediary; or
(b) a lawful use of the recording;
and which has no independent economic significance.][F802 Personal copies of recordings for private use
1B.-
(1) The making of a copy of a recording of a performance by an individual does not infringe the rights conferred by this Chapter provided that the copy:
(a) is a copy of:
(i) the individual’s own copy of the recording, or
(ii) a personal copy of the recording made by the individual,
(b) is made for the individual’s private use, and
(c) is made for ends which are neither directly nor indirectly commercial.
(2) In this paragraph “the individual’s own copy” is a copy of a recording which:
(a) has been lawfully acquired by the individual on a permanent basis,
(b) is not an illicit recording, and
(c) has not been made under any provision of this Schedule which permits the making of a copy without infringing the rights conferred by this Chapter.
(3) In this paragraph a “personal copy” means a copy made under this paragraph.
(4) The rights conferred by this Chapter in a recording are infringed if an individual transfers a personal copy of the recording to another person (otherwise than on a private and temporary basis), except where the transfer is authorised by the rights owner.
(5) If the rights conferred by this Chapter are infringed as set out in sub-paragraph (4), a personal copy which has been transferred is for all purposes subsequently treated as an illicit recording.
(6) The rights conferred by this Chapter in a recording are also infringed if an individual, having made a personal copy of the recording, transfers the individual’s own copy of the recording to another person (otherwise than on a private and temporary basis) and, after that transfer and without the consent of the rights owner, retains any personal copy.
(7)I f the rights conferred by this Chapter are infringed as set out in sub-paragraph (6), any retained personal copy is for all purposes subsequently treated as an illicit recording.
(8) To the extent that a term of a contract purports to prevent or restrict the making of a copy which, by virtue of this paragraph, would not infringe any right conferred by this Chapter, that term is unenforceable.
(9) Expressions used but not defined in this paragraph have the same meaning as in section 28B.][F803 Research and private study
1C.
(1) Fair dealing with a performance or a recording of a performance for the purposes of research for a non-commercial purpose does not infringe the rights conferred by this Chapter.
(2) Fair dealing with a performance or recording of a performance for the purposes of private study does not infringe the rights conferred by this Chapter.
(3) Copying of a recording by a person other than the researcher or student is not fair dealing if:
(a) in the case of a librarian, or a person acting on behalf of a librarian, that person does anything which is not permitted under paragraph 6F (copying by librarians: single copies of published recordings), or
(b )in any other case, the person doing the copying knows or has reason to believe that it will result in copies of substantially the same material being provided to more than one person at substantially the same time and for substantially the same purpose.
(4) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this paragraph, would not infringe any right conferred by this Chapter, that term is unenforceable.
(5) Expressions used in this paragraph have the same meaning as in section 29.
Copies for text and data analysis for non-commercial research
1D.-
(1) The making of a copy of a recording of a performance by a person who has lawful access to the recording does not infringe any rights conferred by this Chapter provided that the copy is made in order that a person who has lawful access to the recording may carry out a computational analysis of anything recorded in the recording for the sole purpose of research for a non-commercial purpose.
(2) Where a copy of a recording has been made under this paragraph, the rights conferred by this Chapter are infringed if:
(a) the copy is transferred to any other person, except where the transfer is authorised by the rights owner, or
(b) the copy is used for any purpose other than that mentioned in sub-paragraph (1), except where the use is authorised by the rights owner.
(3) If a copy of a recording made under this paragraph is subsequently dealt with:
(a) it is to be treated as an illicit recording for the purposes of that dealing, and
(b) if that dealing infringes any right conferred by this Chapter, it is to be treated as an illicit recording for all subsequent purposes.
(4) To the extent that a term of a contract purports to prevent or restrict the making of a copy which, by virtue of this paragraph, would not infringe any right conferred by this Chapter, that term is unenforceable.
(5) Expressions used in this paragraph have the same meaning as in section 29A.]
Criticism, reviews[F804, quotation] and news reporting
2.-
[F805(1) Fair dealing with a performance or recording for the purpose of criticism or review, of that or another performance or recording, or of a work, does not infringe any of the rights conferred by [F806this Chapter] provided that the performance or recording has been made available to the public.[F807(1ZA) The rights conferred by this Chapter in a performance or a recording of a performance are not infringed by the use of a quotation from the performance or recording (whether for criticism or review or otherwise) provided that:(a) the performance or recording has been made available to the public,
(b) the use of the quotation is fair dealing with the performance or recording, and
(c) the extent of the quotation is no more than is required by the specific purpose for which it is used.]
(1A) Fair dealing with a performance or recording for the purpose of reporting current events does not infringe any of the rights conferred by [F806this Chapter].][F808 (1B)To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of sub-paragraph (1ZA), would not infringe any right conferred by this Chapter, that term is unenforceable.]
(2) Expressions used in this paragraph have the same meaning as in section 30.
[F809 Caricature, parody or pastiche2A.-
(1) Fair dealing with a performance or a recording of a performance for the purposes of caricature, parody or pastiche does not infringe the rights conferred by this Chapter in the performance or recording.
(2) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this paragraph, would not infringe any right conferred by this Chapter, that term is unenforceable.
(3) Expressions used in this paragraph have the same meaning as in section 30A.]
Incidental inclusion of performance or recording
3.-
(1) The rights conferred by [F810this Chapter] are not infringed by the incidental inclusion of a performance or recording in a sound recording, film [F811or broadcast].
(2) Nor are those rights infringed by anything done in relation to copies of, or the playing, showing [F812or communication to the public] of, anything whose making was, by virtue of sub-paragraph (1), not an infringement of those rights.
(3) A performance or recording so far as it consists of music, or words spoken or sung with music, shall not be regarded as incidentally included in a sound recording [F811or broadcast] if it is deliberately included.
(4) Expressions used in this paragraph have the same meaning as in section 31.
[F813 Disabled persons: copies of recordings for personal use3A.-
(1) This paragraph applies if:
(a) a disabled person has lawful [F814access to] a copy of the whole or part of a recording of a performance, and
(b) the person’s disability prevents the person from [F815substantially] the same degree as a person who does not have that disability.
(2) The making of an accessible copy of the copy of the recording referred to in sub-paragraph (1)(a) does not infringe the rights conferred by this Chapter if:
(a) the copy is made by the disabled person [F816and] or by a person acting on behalf of the disabled person,
(b) the copy is made for the disabled person’s personal use, F817…
F818(c). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F819(3). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(4) The rights conferred by this Chapter are infringed by the transfer of an accessible copy of a recording made under this paragraph to any person other than:
(a) a person by or for whom an accessible copy of the recording may be made under this paragraph, or
(b) a person who intends to transfer the copy to a person falling within paragraph (a),
except where the transfer is authorised by the rights owner.
(5) An accessible copy of a recording made under this paragraph is to be treated for all purposes as an illicit recording if it is held by a person at a time when the person does not fall within sub-paragraph (4)(a) or (b).
(6) If an accessible copy of a recording made under this paragraph is subsequently dealt with:
(a) it is to be treated as an illicit recording for the purposes of that dealing, and
(b) if that dealing infringes any right conferred by this Chapter, it is to be treated as an illicit recording for all subsequent purposes.
Making [F820communicating, making available, distributing or lending] of accessible copies by authorised bodies
3B.-
[F821(1)If:(a) an authorised body has lawful access to the whole or part of a work which has been published or otherwise made available, and
(b) the body complies with sub-paragraph (1A),
the body may, without infringing the rights conferred by this Chapter, make, communicate, make available, distribute or lend accessible copies of the work on a non-profit basis for the personal use of disabled persons in the United Kingdom or another member State of the European Union.
(1A) An authorised body complies with this sub-paragraph if it:
(a) distributes, communicates, makes available or lends accessible copies only to disabled persons or other authorised bodies,
(b) takes appropriate steps to discourage the unauthorised reproduction, distribution, communication to the public or making available to the public of accessible copies,
(c) demonstrates due care in, and maintains records of, its handling of works and accessible copies, and
(d) publishes and updates, on its website if appropriate, or through other online or offline channels, information on how it complies with the obligations in paragraphs (a), (b) and (c).]
F822 (2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F822 (3). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(4) For the purposes of [F823sub-paragraph (1)], [F824communicate, make available, distribute or lend] “for the personal use of disabled persons” [F825includes to communicate, make available, distribute or lend] to a person acting on behalf of a disabled person.
F826 (5). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F826 (6). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F826 (7). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(8) An authorised body which has made an accessible copy of a recording under this paragraph may [F827communicate, make available, distribute or lend] it to another authorised body [F828established in the United Kingdom or in another member State of the European Union] which is entitled to make accessible copies of the recording under this paragraph for the purposes of enabling that other body to make accessible copies of the recording.
F829 (9). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(10) If an accessible copy of a recording made under this paragraph is subsequently dealt with:
(a) it is to be treated as an illicit recording for the purposes of that dealing, and
(b) if that dealing infringes any right conferred by this Chapter, it is to be treated as an illicit recording for all subsequent purposes.
[F830 (11) In this paragraph “dealt with” means sold or let for hire or offered or exposed for sale or hire.]Making [F831communicating, making available, distributing or lending] of intermediate copies by authorised bodies
3C.-
(1) An authorised body which is entitled to make an accessible copy of a recording of a performance under paragraph 3B may, without infringing the rights conferred by this Chapter, make a copy of the recording (“an intermediate copy”) if this is necessary in order to make the accessible copy.
(2) An authorised body which has made an intermediate copy of a recording under this paragraph may [F832 communicate, make available, distribute or lend it on a non-profit basis] it to another authorised body which is entitled to make accessible copies of the recording under paragraph 3B for the purposes of enabling that other body to make accessible copies of the recording.
(3) The rights conferred by this Chapter are infringed by the transfer of an intermediate copy made under this paragraph to a person other than another authorised body as permitted by sub-paragraph (2), except where the transfer is authorised by the rights owner.
F833 (4). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Accessible and intermediate copies: records
[F8343D.-
(1) A person listed in sub-paragraph (2) may request an authorised body:
(a) making accessible copies under paragraph 3B, or
(b) making intermediate copies under paragraph 3C,
to provide the person with the information in sub-paragraph (4).
(2) On receipt of a request under sub-paragraph (1), an authorised body must provide the information to the person in an accessible way within in a reasonable time.
(3)T he persons who may make a request under sub-paragraph (1) are:
(a) disabled person;
(b) another authorised body;
(c) rightholders.
(4) The information that must be provided by the authorised body is:
(a) the list of works for which it has accessible copies and the available formats, and
(b) the name and contact details of any authorised body established in another member State of the European Union from which, or to which, it has imported, exported or accessed an accessible copy.]
Paragraphs 3A to 3D: interpretation and general
3E.-
(1)This paragraph supplements paragraphs 3A to 3D and includes definitions.
(2) “Disabled person” means a person who has a physical or mental impairment which prevents the person from enjoying a recording of a performance to [F835substantially] the same degree as a person who does not have that impairment, and “disability” is to be construed accordingly.
(3) But a person is not to be regarded as disabled by reason only of an impairment of visual function which can be improved, [F836for example] by the use of corrective lenses, to a level that is normally acceptable for reading without a special level or kind of light.
(4) An “accessible copy” of a recording of a performance means a version of the recording which enables [F837disabled persons to access that version, including accessing it as feasibly and comfortably as a person who is not a disabled person].
(5) An accessible copy:
(a) may include facilities for navigating around the version of the recording, but
(b) must not include any changes to the recording which are not necessary to overcome the problems suffered by the disabled persons for whom the accessible copy is intended.
(6) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of paragraph 3A, 3B or 3C, would not infringe any right conferred by this Chapter, that term is unenforceable.
(7) “Authorised body” [F838has] the meaning given in section 31F, and other expressions used in paragraphs 3A to 3D but not defined in this paragraph have the same meaning as in sections 31A to 31BB.][F839 Illustration for instruction
4.-
(1) Fair dealing with a performance or a recording of a performance for the sole purpose of illustration for instruction does not infringe the rights conferred by this Chapter provided that the dealing is:
(a) for a non-commercial purpose, and
(b) by a person giving or receiving instruction (or preparing for giving or receiving instruction).
(2) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this paragraph, would not infringe any right conferred by this Chapter, that term is unenforceable.
(3) Expressions used in this paragraph have the same meaning as in section 32.]
Playing or showing sound recording, film, [F840 or broadcast]at educational establishment
5.-
(1) The playing or showing of a sound recording, film [F841or broadcast] at an educational establishment for the purposes of instruction before an audience consisting of teachers and pupils at the establishment and other persons directly connected with the activities of the establishment is not a playing or showing of a performance in public for the purposes of infringement of the rights conferred by [F842this Chapter] .
(2) A person is not for this purpose directly connected with the activities of the educational establishment simply because he is the parent of a pupil at the establishment.
(3) Expressions used in this paragraph have the same meaning as in section 34 and any provision made under section 174(2) with respect to the application of that section also applies for the purposes of this paragraph.
[F843 Recording by educational establishments of broadcasts6.-
(1) A recording of a broadcast, or a copy of such a recording, may be made by or on behalf of an educational establishment for the educational purposes of that establishment without infringing any of the rights conferred by this Chapter in relation to any performance or recording included in it, provided that the educational purposes are non-commercial.
(2) The rights conferred by this Chapter are not infringed where a recording of a broadcast or a copy of such a recording, made under sub-paragraph (1), is communicated by or on behalf of the educational establishment to its pupils or staff for the non-commercial educational purposes of that establishment.
(3) Sub-paragraph (2) only applies to a communication received outside the premises of the establishment if that communication is made by means of a secure electronic network accessible only by the establishment’s pupils and staff.
(4) Acts which would otherwise be permitted by this paragraph are not permitted if, or to the extent that, licences are available authorising the acts in question and the educational establishment responsible for those acts knew or ought to have been aware of that fact.
(5) If a recording made under this paragraph is subsequently dealt with:
(a) it is to be treated as an illicit recording for the purposes of that dealing, and
(b) if that dealing infringes any right conferred by this Chapter, it is to be treated as an illicit recording for all subsequent purposes.
(6) In this paragraph “dealt with” means:
(a) sold or let for hire,
(b) offered or exposed for sale or hire, or
(c) communicated otherwise than as permitted by sub-paragraph (2).
(7) Expressions used in this paragraph (other than “dealt with”) have the same meaning as in section 35 and any provision made under section 174(2) with respect to the application of that section also applies for the purposes of this paragraph.
Copying and use of extracts of recordings by educational establishments
6ZA.-
(1) The copying of extracts of a recording of a performance by or on behalf of an educational establishment does not infringe any of the rights conferred by this Chapter in the recording provided that the copy is made for the purposes of instruction for a non-commercial purpose.
(2) The rights conferred by this Chapter are not infringed where an extract of a recording of a performance, made under sub-paragraph (1), is communicated by or on behalf of the educational establishment to its pupils or staff for the purposes of instruction for a non-commercial purpose.
(3) Sub-paragraph (2) only applies to a communication received outside the premises of the establishment if that communication is made by means of a secure electronic network accessible only by the establishment’s pupils and staff.
(4) Not more than 5% of a recording may be copied under this paragraph by or on behalf of an educational establishment in any period of 12 months.
(5) Acts which would otherwise be permitted by this paragraph are not permitted if, or to the extent that, licences are available authorising the acts in question and the educational establishment responsible for those acts knew or ought to have been aware of that fact.
(6) The terms of a licence granted to an educational establishment authorising acts permitted by this paragraph are of no effect so far as they purport to restrict the proportion of a recording which may be copied (whether on payment or free of charge) to less than that which would be permitted by this paragraph.
(7) If a recording made under this paragraph is subsequently dealt with:
(a) it is to be treated as an illicit recording for the purposes of that dealing, and
(b) if that dealing infringes any right conferred by this Chapter, it is to be treated as an illicit recording for all subsequent purposes.
(8) In this paragraph “dealt with” means:
(a) sold or let for hire,
(b) offered or exposed for sale or hire, or
(c) communicated otherwise than as permitted by sub-paragraph (2).
(9) Expressions used in this paragraph (other than “dealt with”) have the same meaning as in section 36 and any provision made under section 174(2) with respect to the application of that section also applies for the purposes of this paragraph.]
F844 [ Lending of copies by educational establishments ][F845
6A.-
(1) The rights conferred by [F846this Chapter] are not infringed by the lending of copies of a recording of a performance by an educational establishment.
(2) Expressions used in this paragraph have the same meaning as in section 36A; and any provision with respect to the application of that section made under section 174(2) (instruction given elsewhere than an educational establishment) applies also for the purposes of this paragraph.]
F847 [ Lending of copies by libraries or archives ][F848
6B.-
(1) The rights conferred by [F849 this Chapter ] are not infringed by the lending of copies of a recording of a performance by a F850 … library or archive (other than a public library) which is not conducted for profit.
[F851(A1) The rights conferred by this Chapter are not infringed by the following acts by a public library in relation to a book within the public lending right scheme:
(a) lending the book;
(b) in relation to an audio-book or e-book, copying or issuing a copy of the book as an act incidental to lending it.
(A2) Expressions used in sub-paragraph (A1) have the same meaning as in section 40A(1).]
F852(2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ].
[F853 Libraries and educational establishments etc : making recordings of performances available through dedicated terminals6C.-
(1) The rights conferred by this Chapter in a recording of a performance are not infringed by an institution specified in sub-paragraph (2) communicating the recording to the public or making it available to the public by means of a dedicated terminal on its premises, if the conditions in sub-paragraph (3) are met.
(2) The institutions are:
(a) a library,
(b) an archive,
(c) a museum, and
(d) an educational establishment.
(3) The conditions are that the recording or a copy of the recording:
(a) has been lawfully acquired by the institution,
(b) is communicated or made available to individual members of the public for the purposes of research or private study, and
(c) is communicated or made available in compliance with any purchase or licensing terms to which the recording is subject.
Copying by librarians: supply of single copies to other libraries
6D.-
(1) A librarian may, if the conditions in sub-paragraph (2) are met, make a single copy of the whole or part of a published recording of a performance and supply it to another library, without infringing any rights conferred by this Chapter in the recording.
(2) The conditions are:
(a) the copy is supplied in response to a request from a library which is not conducted for profit, and
(b) at the time of making the copy the librarian does not know, or could not reasonably find out, the name and address of a person entitled to authorise the making of a copy of the recording.
(3) Where a library makes a charge for supplying a copy under this paragraph, the sum charged must be calculated by reference to the costs attributable to the production of the copy.
(4) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this paragraph, would not infringe any right conferred by this Chapter, that term is unenforceable.
Copying by librarians etc : replacement copies of recordings
6E.-
(1) A librarian, archivist or curator of a library, archive or museum may, without infringing any rights conferred by this Chapter, make a copy of a recording of a performance in that institution’s permanent collection:
(a) in order to preserve or replace that recording in that collection, or
(b )where a recording in the permanent collection of another library, archive or museum has been lost, destroyed or damaged, in order to replace the recording in the collection of that other library, archive or museum,
provided that the conditions in sub-paragraphs (2) and (3) are met.
(2) The first condition is that the recording is:
(a) included in the part of the collection kept wholly or mainly for the purposes of reference on the institution’s premises,
(b) included in a part of the collection not accessible to the public, or
(c) available on loan only to other libraries, archives or museums.
(3) The second condition is that it is not reasonably practicable to purchase a copy of the recording to achieve either of the purposes mentioned in sub-paragraph (1).
(4) The reference in sub-paragraph (1)(b) to a library, archive or museum is to a library, archive or museum which is not conducted for profit.
(5) Where an institution makes a charge for supplying a copy to another library, archive or museum under sub-paragraph (1)(b), the sum charged must be calculated by reference to the costs attributable to the production of the copy.
(6) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this paragraph, would not infringe any right conferred by this Chapter, that term is unenforceable.
Copying by librarians: single copies of published recordings
6F.-
(1) A librarian of a library which is not conducted for profit may, if the conditions in sub-paragraph (2) are met, make and supply a single copy of a reasonable proportion of a published recording without infringing any of the rights in the recording conferred by this Chapter.
(2) The conditions are:
(a) the copy is supplied in response to a request from a person who has provided the librarian with a declaration in writing which includes the information set out in sub-paragraph (3), and
(b) the librarian is not aware that the declaration is false in a material particular.
(3) The information which must be included in the declaration is:
(a) the name of the person who requires the copy and the material which that person requires,
(b) a statement that the person has not previously been supplied with a copy of that material by any library,
(c) a statement that the person requires the copy for the purposes of research for a non-commercial purpose or private study, will use it only for those purposes and will not supply the copy to any other person, and
(d) a statement that to the best of the person’s knowledge, no other person with whom the person works or studies has made, or intends to make, at or about the same time as the person’s request, a request for substantially the same material for substantially the same purpose.
(4) Where a library makes a charge for supplying a copy under this paragraph, the sum charged must be calculated by reference to the costs attributable to the production of the copy.
(5) Where a person (“P”) makes a declaration under this paragraph that is false in a material particular and is supplied with a copy of a recording which would have been an illicit recording if made by P:
(a) P is liable for infringement of the rights conferred by this Chapter as if P had made the copy, and
(b) the copy supplied to P is to be treated as an illicit recording for all purposes.
(6) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this paragraph, would not infringe any right conferred by this Chapter, that term is unenforceable.
Copying by librarians or archivists: single copies of unpublished recordings
6G.-
(1) A librarian or archivist may make and supply a single copy of the whole or part of a recording without infringing any of the rights conferred by this Chapter in the recording, provided that:
(a) the copy is supplied in response to a request from a person who has provided the librarian or archivist with a declaration in writing which includes the information set out in sub-paragraph (2), and
(b) the librarian or archivist is not aware that the declaration is false in a material particular.
(2) The information which must be included in the declaration is:
(a) the name of the person who requires the copy and the material which that person requires,
(b) a statement that the person has not previously been supplied with a copy of that material by any library or archive, and
(c) a statement that the person requires the copy for the purposes of research for a non-commercial purpose or private study, will use it only for those purposes and will not supply the copy to any other person.
(3) But the rights conferred by this Chapter are infringed if:
(a) the recording had been published or communicated to the public before the date it was deposited in the library or archive, or
(b) the rights owner has prohibited the copying of the recording,
and at the time of making the copy the librarian or archivist is, or ought to be, aware of that fact.
(4) Where a library or archive makes a charge for supplying a copy under this paragraph, the sum charged must be calculated by reference to the costs attributable to the production of the copy.
(5) Where a person (“P”) makes a declaration under this paragraph that is false in a material particular and is supplied with a copy of a recording which would have been an illicit recording if made by P:
(a) P is liable for infringement of the rights conferred by this Chapter as if P had made the copy, and
(b) the copy supplied to P is to be treated as an illicit recording for all purposes.
Paragraphs 6B to 6G: interpretation
6H.-
Expressions used in paragraphs 6B to 6G have the same meaning as in sections 40A to 43.][F854 Certain permitted uses of orphan works
6I.-
(1) The rights conferred by this Chapter are not infringed by a relevant body in the circumstances set out in paragraph 1(2) of Schedule ZA1 (subject to paragraph 6 of that Schedule).
(2) “Relevant body” has the meaning given by that Schedule.]
Copy of work required to be made as condition of export
7.-
(1) If an article of cultural or historical importance or interest cannot lawfully be exported from the United Kingdom unless a copy of it is made and deposited in an appropriate library or archive, it is not an infringement of any right conferred by [F855this Chapter] to make that copy.
(2)Expressions used in this paragraph have the same meaning as in section 44.
Parliamentary and judicial proceedings
8.-
(1)The rights conferred by [F856this Chapter] are not infringed by anything done for the purposes of parliamentary or judicial proceedings or for the purpose of reporting such proceedings.
(2) Expressions used in this paragraph have the same meaning as in section 45.
Royal Commissions and statutory inquiries
9.-
(1) The rights conferred by [F857this Chapter] are not infringed by anything done for the purposes of the proceedings of a Royal Commission or statutory inquiry or for the purpose of reporting any such proceedings held in public.
(2) Expressions used in this paragraph have the same meaning as in section 46.
Public records
10.-
(1) Material which is comprised in public records within the meaning of the M58Public Records Act 1958, the M59Public Records (Scotland) Act 1937 or the M60Public Records Act (Northern Ireland) 1923 [F858, or in Welsh public records (as defined in [F859the Government of Wales Act 2006]), ] which are open to public inspection in pursuance of that Act, may be copied, and a copy may be supplied to any person, by or with the authority of any officer appointed under that Act, without infringing any right conferred by [F860this Chapter].
(2)Expressions used in this paragraph have the same meaning as in section 49.
Acts done under statutory authority
11
(1) Where the doing of a particular act is specifically authorised by an Act of Parliament, whenever passed, then, unless the Act provides otherwise, the doing of that act does not infringe the rights conferred by [F861this Chapter] .
(2) Sub-paragraph (1) applies in relation to an enactment contained in Northern Ireland legislation as it applies to an Act of Parliament.
(3) Nothing in this paragraph shall be construed as excluding any defence of statutory authority otherwise available under or by virtue of any enactment.
(4) Expressions used in this paragraph have the same meaning as in section 50.
Transfer of copies of works in electronic form
12.-
(1) This paragraph applies where a recording of a performance in electronic form has been purchased on terms which, expressly or impliedly or by virtue of any rule of law, allow the purchaser to make further recordings in connection with his use of the recording.
(2) If there are no express terms:
(a) prohibiting the transfer of the recording by the purchaser, imposing obligations which continue after a transfer, prohibiting the assignment of any consent or terminating any consent on a transfer, or
(b) providing for the terms on which a transferee may do the things which the purchaser was permitted to do,
anything which the purchaser was allowed to do may also be done by a transferee without infringement of the rights conferred by [F862this Chapter], but any recording made by the purchaser which is not also transferred shall be treated as an illicit recording for all purposes after the transfer.
(3) The same applies where the original purchased recording is no longer usable and what is transferred is a further copy used in its place.
(4) The above provisions also apply on a subsequent transfer, with the substitution for references in sub-paragraph (2) to the purchaser of references to the subsequent transferor.
(5) This paragraph does not apply in relation to a recording purchased before the commencement of [F863this Chapter].
(6) Expressions used in this paragraph have the same meaning as in section 56.
Use of recordings of spoken works in certain cases
13.-
(1) Where a recording of the reading or recitation of a literary work is made for the purpose:
(a) of reporting current events, or
(b) of [F864communicating to the public] the whole or part of the reading or recitation,
it is not an infringement of the rights conferred by [F865this Chapter] to use the recording (or to copy the recording and use the copy) for that purpose, provided the following conditions are met.
(2) The conditions are that:
(a) the recording is a direct recording of the reading or recitation and is not taken from a previous recording or from a broadcast F866. . . ;
(b) the making of the recording was not prohibited by or on behalf of the person giving the reading or recitation;
(c) the use made of the recording is not of a kind prohibited by or on behalf of that person before the recording was made; and
(d) the use is by or with the authority of a person who is lawfully in possession of the recording.
(3) Expressions used in this paragraph have the same meaning as in section 58.
Recordings of folksongs
14.-
(1) A recording of a performance of a song may be made for the purpose of including it in an archive maintained by a [F867body not established or conducted for profit] without infringing any of the rights conferred by [F868this Chapter] , provided the conditions in sub-paragraph (2) below are met.
(2) The conditions are that:
(a) the words are unpublished and of unknown authorship at the time the recording is made,
(b) the making of the recording does not infringe any copyright, and
(c) its making is not prohibited by any performer.
[F869 (3)A single copy of a recording made in reliance on sub-paragraph (1) and included in an archive referred to in that sub-paragraph may be made and supplied by the archivist without infringing any right conferred by this Chapter, provided that:(a) the copy is supplied in response to a request from a person who has provided the archivist with a declaration in writing which includes the information set out in sub-paragraph (4), and
(b) the archivist is not aware that the declaration is false in a material particular.
(4) The information which must be included in the declaration is:
(a )the name of the person who requires the copy and the recording which is the subject of the request,
(b) a statement that the person has not previously been supplied with a copy of that recording by any archivist, and
(c) a statement that the person requires the copy for the purposes of research for a non-commercial purpose or private study, will use it only for those purposes and will not supply the copy to any other person.
(5) Where an archive makes a charge for supplying a copy under this paragraph, the sum charged must be calculated by reference to the costs attributable to the production of the copy.
(6) Where a person (“P”) makes a declaration under this paragraph that is false in a material particular and is supplied with a copy of a recording which would have been an illicit recording if made by P:
(a) P is liable for infringement of the rights conferred by this Chapter as if P had made the copy, and
(b) the copy supplied to P is to be treated as an illicit recording for all purposes.
(7) In this paragraph references to an archivist include a person acting on behalf of an archivist.
(8) Expressions used in this paragraph have the same meaning as in section 61.]
F870 [ Lending of certain recordings ]
F871
14A
(1) The Secretary of State may by order provide that in such cases as may be specified in the order the lending to the public of copies of films or sound recordings shall be treated as licensed by the performer subject only to the payment of such reasonable royalty or other payment as may be agreed or determined in default of agreement by the Copyright Tribunal.
(2) No such order shall apply if, or to the extent that, there is a licensing scheme certified for the purposes of this paragraph under paragraph 16 of Schedule 2A providing for the grant of licences.
(3) An order may make different provision for different cases and may specify cases by reference to any factor relating to the work, the copies lent, the lender or the circumstances of the lending.
(4) An order shall be made by statutory instrument; and no order shall be made unless a draft of it has been laid before and approved by a resolution of each House of Parliament.
(5) Nothing in this section affects any liability under section 184(1)(b) (secondary infringement: possessing or dealing with illicit recording) in respect of the lending of illicit recordings.
(6) Expressions used in this paragraph have the same meaning as in section 66.
Playing of sound recordings for purposes of club, society, &c
15.- F872. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Incidental recording for purposes of broadcast F873. . .
16.-
(1) A person who proposes to broadcast a recording of a performance F874. . . in circumstances not infringing the rights conferred by [F875this Chapter] shall be treated as having consent for the purposes of [F876this Chapter] for the making of a further recording for the purposes of the broadcast F874. . . .
(2) That consent is subject to the condition that the further recording:
(a) shall not be used for any other purpose, and
(b) shall be destroyed within 28 days of being first used for broadcasting the performance F874. . . .
(3) A recording made in accordance with this paragraph shall be treated as an illicit recording:
(a) for the purposes of any use in breach of the condition mentioned in sub-paragraph (2)(a), and
(b) for all purposes after that condition or the condition mentioned in sub-paragraph (2)(b) is broken.
(4) Expressions used in this paragraph have the same meaning as in section 68.
Recordings for purposes of supervision and control of broadcasts and [F877other services]
17.-
(1) The rights conferred by [F878this Chapter] are not infringed by the making or use by the British Broadcasting Corporation, for the purpose of maintaining supervision and control over programmes broadcast by them [F879or included in any on-demand programme service provided by them], of recordings of those programmes.
[F880(2) The rights conferred by [F878this Chapter] are not infringed by anything done in pursuance of:
[F881(a) section 167(1) of the Broadcasting Act 1990, section 115(4) or (6) or 117 of the Broadcasting Act 1996 or paragraph 20 of Schedule 12 to the Communications Act 2003;]
(b) a condition which, [F882 by virtue of section 334(1) of the Communications Act 2003 ] , is included in a licence granted under Part I or III of that Act or Part I or II of the Broadcasting Act 1996; F883 . . .
(c) a direction given under section 109(2) of the Broadcasting Act 1990 (power of [F884OFCOM] to require production of recordings etc ).
[F885(d) section 334(3) [F886, 368O(1) or (3)] of the Communications Act 2003.][F887
(3) The rights conferred by [F878 this Chapter ] are not infringed by the use by OFCOM in connection with the performance of any of their functions under the Broadcasting Act 1990, the Broadcasting Act 1996 or the Communications Act 2003 of:
(a) any recording, script or transcript which is provided to them under or by virtue of any provision of those Acts; or
(b) any existing material which is transferred to them by a scheme made under section 30 of the Communications Act 2003.]]
(4) In subsection (3), “existing material” means:
(a) any recording, script or transcript which was provided to the Independent Television Commission or the Radio Authority under or by virtue of any provision of the Broadcasting Act 1990 or the Broadcasting Act 1996; and
(b) any recording or transcript which was provided to the Broadcasting Standards Commission under section 115(4) or (6) or 116(5) of the Broadcasting Act 1996.
[F888(5) Copyright is not infringed by the use by an appropriate regulatory authority designated under section 368B of the Communications Act 2003, in connection with the performance of any of their functions under that Act, of any recording, script or transcript which is provided to them under or by virtue of any provision of that Act.
(6) In this section “ on-demand programme service ” has the same meaning as in the Communications Act 2003 (see section 368A of that Act). ][F889 Recording for the purposes of time-shifting
17A.-
(1) The making in domestic premises for private and domestic use of a recording of a broadcast solely for the purpose of enabling it to be viewed or listened to at a more convenient time does not infringe any right conferred by [F890this Chapter] in relation to a performance or recording included in the broadcast.
(2) Where a recording which would otherwise be an illicit recording is made in accordance with this paragraph but is subsequently dealt with:
(a) it shall be treated as an illicit recording for the purposes of that dealing; and
(b) if that dealing infringes any right conferred by [F890this Chapter] , it shall be treated as an illicit recording for all subsequent purposes.
(3) In sub-paragraph (2), “ dealt with ” means sold or let for hire, offered or exposed for sale or hire or communicated to the public.
(4) Expressions used in this paragraph have the same meaning as in section 70.][F891 Photographs of broadcasts
17B.-
(1) The making in domestic premises for private and domestic use of a photograph of the whole or any part of an image forming part of a broadcast, or a copy of such a photograph, does not infringe any right conferred by [F892this Chapter] in relation to a performance or recording included in the broadcast.
(2) Where a recording which would otherwise be an illicit recording is made in accordance with this paragraph but is subsequently dealt with:
(a) it shall be treated as an illicit recording for the purposes of that dealing; and
(b )if that dealing infringes any right conferred by [F892this Chapter] , it shall be treated as an illicit recording for all subsequent purposes.
(3) In sub-paragraph (2), “ dealt with ” means sold or let for hire, offered or exposed for sale or hire or communicated to the public.
(4) Expressions used in this paragraph have the same meaning as in section 71.]
Free public showing or playing of broadcast F893. . .
18.-
(1) The showing or playing in public of a broadcast F894. . . to an audience who have not paid for admission to the place where the broadcast F894. . . is to be seen or heard does not infringe any right conferred by [F895this Chapter] in relation to a performance or recording included in:
(a) the broadcast F894. . . , or
(b) any sound recording [F896(except so far as it is an excepted sound recording)] or film which is played or shown in public by reception of the broadcast F894. . . .
[F897(1A) The showing or playing in public of a broadcast to an audience who have not paid for admission to the place where the broadcast is to be seen or heard does not infringe any right conferred by [F895this Chapter] in relation to a performance or recording included in any excepted sound recording which is played in public by reception of the broadcast, if the playing or showing of that broadcast in public:
(a) F898 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(b) is necessary for the purposes of:
(i) repairing equipment for the reception of broadcasts;
(ii) demonstrating that a repair to such equipment has been carried out; or
(iii) demonstrating such equipment which is being sold or let for hire or offered or exposed for sale or hire.]
(2) The audience shall be treated as having paid for admission to a place:
(a) if they have paid for admission to a place of which that place forms part; or
(b) if goods or services are supplied at that place (or a place of which it forms part):
(i) at prices which are substantially attributable to the facilities afforded for seeing or hearing the broadcast F899. . . , or
(ii) at prices exceeding those usually charged there and which are partly attributable to those facilities.
(3) The following shall not be regarded as having paid for admission to a place:
(a) persons admitted as residents or inmates of the place;
(b) persons admitted as members of a club or society where the payment is only for membership of the club or society and the provision of facilities for seeing or hearing broadcasts F899. . . is only incidental to the main purposes of the club or society.
(4) Where the making of the broadcast F899. . . was an infringement of the rights conferred by [F895this Chapter] in relation to a performance or recording, the fact that it was heard or seen in public by the reception of the broadcast F899. . . shall be taken into account in assessing the damages for that infringement.
(5) Expressions used in this paragraph have the same meaning as in section 72.
[F900 Reception and re-transmission of [F901wireless broadcast by cable]]F902
19.- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F903
19A.- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
F904
Words in heading preceding Sch. 2 para. 20 repealed (31.10.2003) by The Copyright and Related Rights Regulations 2003 (S.I. 2003/2498) , reg. 2(2) , Sch. 2 (with regs. 31-40 )
F905 20.- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[F906 Recording of broadcast for archival purposes21.-
(1) A recording of a broadcast or a copy of such a recording may be made for the purpose of being placed in an archive maintained by a body which is not established or conducted for profit without infringing any right conferred by this Chapter in relation to a performance or recording included in the broadcast.
(2) To the extent that a term of a contract purports to prevent or restrict the doing of any act which, by virtue of this paragraph, would not infringe any right conferred by this Chapter, that term is unenforceable.
(3)Expressions used in this paragraph have the same meaning as in section 75.]
F907 [SCHEDULE 2A.- LICENSING OF PERFORMERS’ F908 … RIGHTS
Licensing schemes and licensing bodies
1.-
(1) In [F909this Chapter] a “licensing scheme” means a scheme setting out:
(a) the classes of case in which the operator of the scheme, or the person on whose behalf he acts, is willing to grant performers’ property right licences, and
(b) the terms on which licences would be granted in those classes of case;
and for this purpose a “scheme” includes anything in the nature of a scheme, whether described as a scheme or as a tariff or by any other name.
(2)In [F909this Chapter] a “licensing body” means a society or other organisation which has as its main object, or one of its main objects, the negotiating or granting, whether as owner or prospective owner of a performer’s property rights or as agent for him, of performers’ property right licences, and whose objects include the granting of licences covering the performances of more than one performer.
(3) In this paragraph “performers’ property right licences” means licences to do, or authorise the doing of, any of the things for which consent is required under section 182A, [F910182B, 182C or 182CA] .
(4) References in [F911this Chapter] to licences or licensing schemes covering the performances of more than one performer do not include licences or schemes covering only:
(a) performances recorded in a single recording,
(b) performances recorded in more than one recording where:
(i) the performers giving the performances are the same, or
(ii) the recordings are made by, or by employees of or commissioned by, a single individual, firm, company or group of companies. For purpose a group of companies means a holding company and its subsidiaries within the meaning of [F912 section 1159 of the Companies Act 2006].
[F913(5) Schedule A1 confers powers to provide for the regulation of licensing bodies.][F914 Power to provide for licensing of orphan rights
1A.-
(1) The Secretary of State may by regulations provide for the grant of licences to do, or authorise the doing of, acts to which section 182, 182A, 182B, 182C, 182CA, 183 or 184 applies in respect of a performance, where:
(a) the performer’s consent would otherwise be required under that section, but
(b) the right to authorise or prohibit the act qualifies as an orphan right under the regulations.
(2) The regulations may:
(a) specify a person or a description of persons authorised to grant licences, or
(b)provide for a person designated in the regulations to specify a person or a description of persons authorised to grant licences.
(3) The regulations must provide that, for a right to qualify as an orphan right, it is a requirement that the owner of the right has not been found after a diligent search made in accordance with the regulations.
(4) The regulations must provide for any licence:
(a) to have effect as if granted by the missing owner;
(b) not to give exclusive rights;
(c) not to be granted to a person authorised to grant licences.
(5) The regulations may apply in a case where it is not known whether a performer’s right subsists, and references to a right, to a missing owner and to an interest of a missing owner are to be read as including references to a supposed right, owner or interest.
Extended collective licensing
1B.-
(1) The Secretary of State may by regulations provide for a licensing body that applies to the Secretary of State under the regulations to be authorised to grant licences to do, or authorise the doing of, acts to which section 182, 182A, 182B, 182C, 182CA, 183 or 184 applies in respect of a performance, where the right to authorise or prohibit the act is not owned by the body or a person on whose behalf the body acts.
(2) An authorisation must specify the acts to which any of those sections applies that the licensing body is authorised to license.
(3) The regulations must provide for the rights owner to have a right to limit or exclude the grant of licences by virtue of the regulations.
(4) The regulations must provide for any licence not to give exclusive rights.
General provision about licensing
1C.-
(1) This paragraph and paragraph 1D apply to regulations under paragraphs 1A and 1B.
(2) The regulations may provide for a body to be or remain authorised to grant licences only if specified requirements are met, and for a question whether they are met to be determined by a person, and in a manner, specified in the regulations.
(3) The regulations may specify other matters to be taken into account in any decision to be made under the regulations as to whether to authorise a person to grant licences.
(4) The regulations must provide for the treatment of any royalties or other sums paid in respect of a licence, including:
(a) the deduction of administrative costs;
(b) the period for which sums must be held;
(c) the treatment of sums after that period (as bona vacantia or otherwise).
(5) The regulations must provide for circumstances in which an authorisation to grant licences may be withdrawn, and for determining the rights and obligations of any person if an authorisation is withdrawn.
(6) The regulations may include other provision for the purposes of authorisation and licensing, including in particular provision:
(a) for determining the rights and obligations of any person if a right ceases to qualify as an orphan right (or ceases to qualify by reference to any rights owner), or if a rights owner exercises the right referred to in paragraph 1B(3), while a licence is in force;
(b) about maintenance of registers and access to them;
(c) permitting the use of a work for incidental purposes including an application or search;
(d) for a right conferred by section 205C to be treated as having been asserted under section 205D;
(e) for the payment of fees to cover administrative expenses.
1D.-
(1) The power to make regulations includes power:
(a) to make incidental, supplementary or consequential provision, including provision extending or restricting the jurisdiction of the Copyright Tribunal or conferring powers on it;
(b) to make transitional, transitory or saving provision;
(c) to make different provision for different purposes.
(2) Regulations under any provision may amend this Part, or any other enactment or subordinate legislation passed or made before that provision comes into force, for the purpose of making consequential provision or extending or restricting the jurisdiction of the Copyright Tribunal or conferring powers on it.
(3) Regulations may make provision by reference to guidance issued from time to time by any person.
(4) The power to make regulations is exercisable by statutory instrument.
(5) A statutory instrument containing regulations may not be made unless a draft of the instrument has been laid before and approved by a resolution of each House of Parliament.]
References and applications with respect to licensing schemes
2.- Paragraphs 3 to 8 (references and applications with respect to licensing schemes) apply to licensing schemes operated by licensing bodies in relation to a performer’s property rights which cover the performances of more than one performer, so far as they relate to licences for:
(a) copying a recording of the whole or any substantial part of a qualifying performance, F915 . . .
[F916(aa) making such a recording available to the public in the way mentioned in section 182CA(1), or.]
(b) renting or lending copies of a recording to the public;
and in those paragraphs “licensing scheme” means a licensing scheme of any of those descriptions.
Reference of proposed licensing scheme to tribunal
3.-
(1)The terms of a licensing scheme proposed to be operated by a licensing body may be referred to the Copyright Tribunal by an organisation claiming to be representative of persons claiming that they require licences in cases of a description to which the scheme would apply, either generally or in relation to any description of case.
(2) The Tribunal shall first decide whether to entertain the reference, and may decline to do so on the ground that the reference is premature.
(3) If the Tribunal decides to entertain the reference it shall consider the matter referred and make such order, either confirming or varying the proposed scheme, either generally or so far as it relates to cases of the description to which the reference relates, as the Tribunal may determine to be reasonable in the circumstances.
(4) The order may be made so as to be in force indefinitely or for such period as the Tribunal may determine.
Reference of licensing scheme to tribunal
4.-
(1) If while a licensing scheme is in operation a dispute arises between the operator of the scheme and:
(a) a person claiming that he requires a licence in a case of a description to which the scheme applies, or
(b) an organisation claiming to be representative of such persons,
that person or organisation may refer the scheme to the Copyright Tribunal in so far as it relates to cases of that description.
(2) A scheme which has been referred to the Tribunal under this paragraph shall remain in operation until proceedings on the reference are concluded.
(3) The Tribunal shall consider the matter in dispute and make such order, either confirming or varying the scheme so far as it relates to cases of the description to which the reference relates, as the Tribunal may determine to be reasonable in the circumstances.
(4) The order may be made so as to be in force indefinitely or for such period as the Tribunal may determine.
Further reference of scheme to tribunal
5.-
(1) Where the Copyright Tribunal has on a previous reference of a licensing scheme under paragraph 3 or 4, or under this paragraph, made an order with respect to the scheme, then, while the order remains in force:
(a) the operator of the scheme,
(b) a person claiming that he requires a licence in a case of the description to which the order applies, or
(c) an organisation claiming to be representative of such persons,
may refer the scheme again to the Tribunal so far as it relates to cases of that description.
(2) A licensing scheme shall not, except with the special leave of the Tribunal, be referred again to the Tribunal in respect of the same description of cases:
(a) within twelve months from the date of the order on the previous reference, or
(b) if the order was made so as to be in force for 15 months or less, until the last three months before the expiry of the order.
(3) A scheme which has been referred to the Tribunal under this paragraph shall remain in operation until p roceedings on the reference are concluded.
(4) The Tribunal shall consider the matter in dispute and make such order, either confirming, varying or further varying the scheme so far as it relates to cases of the description to which the reference relates, as the Tribunal may determine to be reasonable in the circumstances.
(5) The order may be made so as to be in force indefinitely or for such period as the Tribunal may determine.
Application for grant of licence in connection with licensing scheme
6.-
(1) A person who claims, in a case covered by a licensing scheme, that the operator of the scheme has refused to grant him or procure the grant to him of a licence in accordance with the scheme, or has failed to do so within a reasonable time after being asked, may apply to the Copyright Tribunal.
(2) A person who claims, in a case excluded from a licensing scheme, that the operator of the scheme either:
(a) has refused to grant him a licence or procure the grant to him of a licence, or has failed to do so within a reasonable time of being asked, and that in the circumstances it is unreasonable that a licence should not be granted, or
(b) proposes terms for a licence which are unreasonable,
may apply to the Copyright Tribunal.
(3) A case shall be regarded as excluded from a licensing scheme for the purposes of sub-paragraph (2) if:
(a) the scheme provides for the grant of licences subject to terms excepting matters from the licence and the case falls within such an exception, or
(b) the case is so similar to those in which licences are granted under the scheme that it is unreasonable that it should not be dealt with in the same way.
(4) If the Tribunal is satisfied that the claim is well-founded, it shall make an order declaring that, in respect of the matters specified in the order, the applicant is entitled to a licence on such terms as the Tribunal may determine to be applicable in accordance with the scheme or, as the case may be, to be reasonable in the circumstances.
(5) The order may be made so as to be in force indefinitely or for such period as the Tribunal may determine.
Application for review of order as to entitlement to licence
7.-
(1) Where the Copyright Tribunal has made an order under paragraph 6 that a person is entitled to a licence under a licensing scheme, the operator of the scheme or the original applicant may apply to the Tribunal to review its order.
(2) An application shall not be made, except with the special leave of the Tribunal:
(a)within twelve months from the date of the order, or of the decision on a previous application under this paragraph, or
(b) if the order was made so as to be in force for 15 months or less, or as a result of the decision on a previous application under this paragraph is due to expire within 15 months of that decision, until the last three months before the expiry date.
(3) The Tribunal shall on an application for review confirm or vary its order as the Tribunal may determine to be reasonable having regard to the terms applicable in accordance with the licensing scheme or, as the case may be, the circumstances of the case.
Effect of order of tribunal as to licensing scheme
8.-
(1) A licensing scheme which has been confirmed or varied by the Copyright Tribunal:
(a) under paragraph 3 (reference of terms of proposed scheme), or
(b) under paragraph 4 or 5 (reference of existing scheme to Tribunal),
shall be in force or, as the case may be, remain in operation, so far as it relates to the description of case in respect of which the order was made, so long as the order remains in force.
(2) While the order is in force a person who in a case of a class to which the order applies:
(a) pays to the operator of the scheme any charges payable under the scheme in respect of a licence covering the case in question or, if the amount cannot be ascertained, gives an undertaking to the operator to pay them when ascertained, and
(b) complies with the other terms applicable to such a licence under the scheme,
shall be in the same position as regards infringement of performers’ property rights as if he had at all material times been the holder of a licence granted by the rights owner in question in accordance with the scheme.
(3) The Tribunal may direct that the order, so far as it varies the amount of charges payable, has effect from a date before that on which it is made, but not earlier than the date on which the reference was made or, if later, on which the scheme came into operation.
If such a direction is made:
(a) any necessary repayments, or further payments, shall be made in respect of charges already paid, and
(b) the reference in sub-paragraph (2)(a) to the charges payable under the scheme shall be construed as a reference to the charges so payable by virtue of the order. No such direction may be made where sub-paragraph (4) below applies.
(4) An order of the Tribunal under paragraph 4 or 5 made with respect to a scheme which is certified for any purpose under paragraph 16 has effect, so far as it varies the scheme by reducing the charges payable for licences, from the date on which the reference was made to the Tribunal.
(5) Where the Tribunal has made an order under paragraph 6 (order as to entitlement to licence under licensing scheme) and the order remains in force, the person in whose favour the order is made shall if he:
(a) pays to the operator of the scheme any charges payable in accordance with the order or, if the amount cannot be ascertained, gives an undertaking to pay the charges when ascertained, and
(b) complies with the other terms specified in the order,
be in the same position as regards infringement of performers’ property rights as if he had at all material times been the holder of a licence granted by the rights owner in question on the terms specified in the order.
References and applications with respect to licensing by licensing bodies
9.- Paragraphs 10 to 13 (references and applications with respect to licensing by licensing bodies) apply to licences relating to a performer’s property rights which cover the performance of more than one performer granted by a licensing body otherwise than in pursuance of a licensing scheme, so far as the licences authorise:
(a) copying a recording of the whole or any substantial part of a qualifying performance, F917 . . .
[F918(aa) making such a recording available to the public in the way mentioned in section 182CA(1), or.]
- renting or lending copies of a recording to the public;
and references in those paragraphs to a licence shall be construed accordingly.
Reference to tribunal of proposed licence
10.-
(1) The terms on which a licensing body proposes to grant a licence may be referred to the Copyright Tribunal by the prospective licensee.
(2) The Tribunal shall first decide whether to entertain the reference, and may decline to do so on the ground that the reference is premature.
(3) If the Tribunal decides to entertain the reference it shall consider the terms of the proposed licence and make such order, either confirming or varying the terms as it may determine to be reasonable in the circumstances.
(4) The order may be made so as to be in force indefinitely or for such period as the Tribunal may determine.
Reference to tribunal of expiring licence
11.-
(1) A licensee under a licence which is due to expire, by effluxion of time or as a result of notice given by the licensing body, may apply to the Copyright Tribunal on the ground that it is unreasonable in the circumstances that the licence should cease to be in force.
(2) Such an application may not be made until the last three months before the licence is due to expire.
(3) A licence in respect of which a reference has been made to the Tribunal shall remain in operation until proceedings on the reference are concluded.
(4) If the Tribunal finds the application well-founded, it shall make an order declaring that the licensee shall continue to be entitled to the benefit of the licence on such terms as the Tribunal may determine to be reasonable in the circumstances.
(5) An order of the Tribunal under this paragraph may be made so as to be in force indefinitely or for such period as the Tribunal may determine.
Application for review of order as to licence
12.-
(1) Where the Copyright Tribunal has made an order under paragraph 10 or 11, the licensing body or the person entitled to the benefit of the order may apply to the Tribunal to review its order.
(2) An application shall not be made, except with the special leave of the Tribunal:
(a) within twelve months from the date of the order or of the decision on a previous application under this paragraph, or
(b) if the order was made so as to be in force for 15 months or less, or as a result of the decision on a previous application under this paragraph is due to expire within 15 months of that decision, until the last three months before the expiry date.
(3) The Tribunal shall on an application for review confirm or vary its order as the Tribunal may determine to be reasonable in the circumstances.
Effect of order of tribunal as to licence
13.-
(1) Where the Copyright Tribunal has made an order under paragraph 10 or 11 and the order remains in force, the person entitled to the benefit of the order shall if he:
(a) pays to the licensing body any charges payable in accordance with the order or, if the amount cannot be ascertained, gives an undertaking to pay the charges when ascertained, and
(b) complies with the other terms specified in the order,
be in the same position as regards infringement of performers’ property rights as if he had at all material times been the holder of a licence granted by the rights owner in question on the terms specified in the order.
(2) The benefit of the order may be assigned:
(a) in the case of an order under paragraph 10, if assignment is not prohibited under the terms of the Tribunal’s order; and
(b)i n the case of an order under paragraph 11, if assignment was not prohibited under the terms of the original licence.
(3) The Tribunal may direct that an order under paragraph 10 or 11, or an order under paragraph 12 varying such an order, so far as it varies the amount of charges payable, has effect from a date before that on which it is made, but not earlier than the date on which the reference or application was made or, if later, on which the licence was granted or, as the case may be, was due to expire.
If such a direction is made:
(a) any necessary repayments, or further payments, shall be made in respect of charges already paid, and
(b) the reference in sub-paragraph (1)(a) to the charges payable in accordance with the order shall be construed, where the order is varied by a later order, as a reference to the charges so payable by virtue of the later order.
General considerations: unreasonable discrimination
14.-
(1) In determining what is reasonable on a reference or application under this Schedule relating to a licensing scheme or licence, the Copyright Tribunal shall have regard to:
(a) the availability of other schemes, or the granting of other licences, to other persons in similar circumstances, and
(b) the terms of those schemes or licences,
and shall exercise its powers so as to secure that there is no unreasonable discrimination between licensees, or prospective licensees, under the scheme or licence to which the reference or application relates and licensees under other schemes operated by, or other licences granted by, the same person.
(2) This does not affect the Tribunal’s general obligation in any case to have regard to all relevant circumstances.
Application to settle royalty or other sum payable for lending
15.-
(1) An application to settle the royalty or other sum payable in pursuance of paragraph 14A of Schedule 2 (lending of certain recordings) may be made to the Copyright Tribunal by the owner of a performer’s property rights or the person claiming to be treated as licensed by him.
(2) The Tribunal shall consider the matter and make such order as it may determine to be reasonable in the circumstances.
(3) Either party may subsequently apply to the Tribunal to vary the order, and the Tribunal shall consider the matter and make such order confirming or varying the original order as it may determine to be reasonable in the circumstances.
(4) An application under sub-paragraph (3) shall not, except with the special leave of the Tribunal, be made within twelve months from the date of the original order or of the order on a previous application under that sub-paragraph.
(5) An order under sub-paragraph (3) has effect from the date on which it is made or such later date as may be specified by the Tribunal.
Certification of licensing schemes
16.-
(1) A person operating or proposing to operate a licensing scheme may apply to the Secretary of State to certify the scheme for the purposes of [F919 paragraph F920 … 14A F921 … of Schedule 2 ( F920 … lending of certain recordings F921 … ) ] .
(2) The Secretary of State shall by order made by statutory instrument certify the scheme if he is satisfied that it:
(a) enables the works to which it relates to be identified with sufficient certainty by persons likely to require licences, and
(b) sets out clearly the charges (if any) payable and the other terms on which licences will be granted.
(3) The scheme shall be scheduled to the order and the certification shall come into operation for the purposes of [F922the relevant paragraph] of Schedule 2:
(a) on such date, not less than eight weeks after the order is made, as may be specified in the order, or
(b) if the scheme is the subject of a reference under paragraph 3 (reference of proposed scheme), any later date on which the order of the Copyright Tribunal under that paragraph comes into force or the reference is withdrawn.
(4) A variation of the scheme is not effective unless a corresponding amendment of the order is made; and the Secretary of State shall make such an amendment in the case of a variation ordered by the Copyright Tribunal on a reference under paragraph 3, 4 or 5, and may do so in any other case if he thinks fit.
(5) The order shall be revoked if the scheme ceases to be operated and may be revoked if it appears to the Secretary of State that it is no longer being operated according to its terms.
Powers exercisable in consequence of competition report
17.-
[F923(1) Sub-paragraph (1A) applies where whatever needs to be remedied, mitigated or prevented by the Secretary of State, [F924 or (as the case may be) the Competition and Markets Authority ] under section 12(5) of the Competition Act 1980 or section 41(2), 55(2), 66(6), 75(2), 83(2), 138(2), 147(2) [F925 , 147A(2) ] or 160(2) of, or paragraph 5(2) or 10(2) of Schedule 7 to, the Enterprise Act 2002 (powers to take remedial action following references to the [F926 Competition and Markets Authority ] in connection with public bodies and certain other persons, mergers or market investigations etc. ) consists of or includes:
(a) conditions in licences granted by the owner of a performer’s property rights restricting the use to which a recording may be put by the licensee or the right of the owner to grant other licenses, or
(b) a refusal of an owner of a performer’s property rights to grant licences on reasonable terms.
(1A) The powers conferred by Schedule 8 to the Enterprise Act 2002 include power to cancel or modify those conditions and, instead or in addition, to provide that licences in respect of the performer’s property rights shall be available as of right.
(2) The references to anything permitted by Schedule 8 to the Enterprise Act 2002 in section 12(5A) of the Competition Act 1980 and in sections 75(4)(a), 83(4)(a), 84(2)(a), 89(1), 160(4)(a), 161(3)(a) and 164(1) of, and paragraphs 5, 10 and 11 of Schedule 7 to, the Act of 2002 shall be construed accordingly.]]
(3) [F927 The Secretary of State[F928or (as the case may be) the Competition and Markets Authority.]] shall only exercise the powers available by virtue of this paragraph if he [F929or it] is satisfied that to do so does not contravene any Convention relating to performers’ rights to which the United Kingdom is a party.
(4) The terms of a licence available by virtue of this paragraph shall, in default of agreement, be settled by the Copyright Tribunal on an application by the person requiring the licence; and terms so settled shall authorise the licensee to do everything in respect of which a licence is so available.
(5) Where the terms of a licence are settled by the Tribunal, the licence has effect from the date on which the application to the Tribunal was made.
Section 272.- SCHEDULE 3.- Registered designs: minor and consequential amendments of 1949 Act
Section 3: proceedings for registration
F9301. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Section 4: registration of same design in respect of other articles, etc.
F9312. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Section 5: provisions for secrecy of certain designs
3.-
(1) Section 5 of the Registered Designs Act 1949 is amended as follows.
(2) For “a competent authority” or “the competent authority”, wherever occurring, substitute “ the Secretary of State ”; and in subsection (3)(c) for “that authority” substitute “ he ”.
(3) For subsection (2) substitute:
“(2)The Secretary of State shall by rules make provision for securing that where such directions are given:
(a)the representation or specimen of the design, and
(b)any evidence filed in support of the applicant’s contention that the appearance of an article is material (for the purposes of section 1(3) of this Act),shall not be open to public inspection at the Patent Office during the continuance in force of the directions.”
F932
(4). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(5) Omit subsection (5).
Section 6: provisions as to confidential disclosure, etc.
F933
4.-. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Section 9: exemption of innocent infringer from liability for damages
5.-In section 9 of the M61Registered Designs Act 1949 (exemption of innocent infringer from liability for damages), in subsections (1) and (2) for “copyright in a registered design” substitute “ the right in a registered design ”.
Section 11: cancellation of registration
F934
6.-. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Section 14: registration where application has been made in convention country
7.- In section 14 of the Registered Designs Act 1949 (registration where application has been made in convention country), for subsections (2) and (3) substitute:
“(2)Where an application for registration of a design is made by virtue of this section, the application shall be treated, for the purpose of determining whether that or any other design is new, as made on the date of the application for protection in the convention country or, if more than one such application was made, on the date of the first such application.
(3)Subsection (2) shall not be construed as excluding the power to give directions under section 3(4) of this Act in relation to an application made by virtue of this section.”.
Section 15: extension of time for application under s.14 in certain cases
8.- In section 15(1) of the M62Registered Designs Act 1949 (power to make rules empowering registrar to extend time for applications under s.14) for “the Board of Trade are satisfied” substitute “ the Secretary of State is satisfied ” and for “they” substitute “ he ”.
Section 16: protection of designs communicated under international agreements
F935
9.-. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Section 19: registration of assignments, &c.
10.-In section 19 of the Registered Designs Act 1949 (registration of assignments, &c.), after subsection (3) insert:
“(3A)Where design right subsists in a registered design, the registrar shall not register an interest under subsection (3) unless he is satisfied that the person entitled to that interest is also entitled to a corresponding interest in the design right.
(3B) Where design right subsists in a registered design and the proprietor of the registered design is also the design right owner, an assignment of the design right shall be taken to be also an assignment of the right in the registered design, unless a contrary intention appears.”.
Section 20: rectification of the register
11.-In section 20 of the Registered Designs Act 1949 (rectification of the register), after subsection (4) add:
“(5) A rectification of the register under this section has effect as follows:
(a) an entry made has effect from the date on which it should have been made,
(b) an entry varied has effect as if it had originally been made in its varied form, and
(c) an entry deleted shall be deemed never to have had effect,nless, in any case, the court directs otherwise.”.
Section 22: inspection of registered designs
12.-
(1) Section 22 of the Registered Designs Act 1949 (inspection of registered designs) is amended as follows.
(2) For subsection (1) substitute:
“(1) Where a design has been registered under this Act, there shall be open to inspection at the Patent Office on and after the day on which the certificate of registration is issued:
(a) the representation or specimen of the design, and
(b) any evidence filed in support of the applicant’s contention that the appearance of an article is material (for the purposes of section 1(3) of this Act).This subsection has effect subject to the following provisions of this section and to any rules made under section 5(2) of this Act.”.
(3) In subsection (2), subsection (3) (twice) and subsection (4) for “representation or specimen of the design” substitute “ representation, specimen or evidence ”.
Section 23: information as to existence of right in registered design
13.-For section 23 of the M63Registered Designs Act 1949 (information as to existence of right in registered design) substitute:
“23 Information as to existence of right in registered design.
On the request of a person furnishing such information as may enable the registrar to identify the design, and on payment of the prescribed fee, the registrar shall inform him:
(a) whether the design is registered and, if so, in respect of what articles, and
(b) whether any extension of the period of the right in the registered design has been granted,and shall state the date of registration and the name and address of the registered proprietor.”.
Section 25: certificate of contested validity of registration
14.- In section 25 of the Registered Designs Act 1949 (certificate of contested validity of registration), in subsection (2) for “the copyright in the registered design”substitute “ the right in the registered design ”.
Section 26: remedy for groundless threats of infringement proceedings
15.-
(1)Section 26 of the Registered Designs Act 1949 (remedy for groundless threats of infringement proceedings) is amended as follows.
(2) In subsections (1) and (2) for “the copyright in a registered design” substitute “ the right in a registered design ”.
(3)After subsection (2) insert:
“(2A) Proceedings may not be brought under this section in respect of a threat to bring proceedings for an infringement alleged to consist of the making or importing of anything.”.
Section 27: the court
16.- For section 27 of the Registered Designs Act 1949 (the court) substitute:
“27 The court.
(1) In this Act “the court” means:
(a)in England and Wales the High Court or any patents county court having jurisdiction by virtue of an order under section 287 of the Copyright, Designs and Patents Act 1988,
(b)in Scotland, the Court of Session, and
(c)in Northern Ireland, the High Court.
(2) Provision may be made by rules of court with respect to proceedings in the High Court in England and Wales for references and applications under this Act to be dealt with by such judge of that court as the Lord Chancellor may select for the purpose.”.
Section 28: the Appeal Tribunal
17.-
(1) Section 28 of the Registered Designs Act 1949 (the Appeal Tribunal) is amended as follows.
(2) For subsection (2) (members of Tribunal) substitute:
“(2) The Appeal Tribunal shall consist of:
(a) one or more judges of the High Court nominated by the Lord Chancellor, and
(b) one judge of the Court of Session nominated by the Lord President of that Court.”.
3) In subsection (5) (costs), after “costs” (twice) insert “ or expenses ”, and for the words from “and any such order” to the end substitute:
“and any such order may be enforced:
(a) in England and Wales or Northern Ireland, in the same way as an order of the High Court;
(b) in Scotland, in the same way as a decree for expenses granted by the Court of Session.”.
(4) For subsection (10) (seniority of judges) substitute:
“(10) In this section “the High Court” means the High Court in England and Wales; and for the purposes of this section the seniority of judges shall be reckoned by reference to the dates on which they were appointed judges of that court or the Court of Session.”.
(5) The amendments to section 28 made by section 10(5) of the M64Administration of Justice Act 1970 (power to make rules as to right of audience) shall be deemed always to have extended to Northern Ireland.
Section 29: exercise of discretionary powers of registrar
18.- In section 29 of the M65 Registered Designs Act 1949 (exercise of discretionary powers of registrar) for “the registrar shall give” substitute “ rules made by the Secretary of State under this Act shall require the registrar to give ”.
Section 30: costs and security for costs
19.-For section 30 of the Registered Designs Act 1949 (costs and security for costs) substitute:
“30 Costs and security for costs.
(1) Rules made by the Secretary of State under this Act may make provision empowering the registrar, in any proceedings before him under this Act:
(a) to award any party such costs as he may consider reasonable, and
(b) to direct how and by what parties they are to be paid.
(2) Any such order of the registrar may be enforced:
(a) in England and Wales or Northern Ireland, in the same way as an order of the High Court;
(b) in Scotland, in the same way as a decree for expenses granted by the Court of Session.
(3) Rules made by the Secretary of State under this Act may make provision empowering the registrar to require a person, in such cases as may be prescribed, to give security for the costs of:
(a) an application for cancellation of the registration of a design,
(b) an application for the grant of a licence in respect of a registered design, or
(c) an appeal from any decision of the registrar under this Act,and enabling the application or appeal to be treated as abandoned in default of such security being given.”.
Section 31: evidence before registrar
20.- For section 31 of the M66Registered Designs Act 1949 (evidence before registrar) substitute:
“31 Evidence before registrar.
Rules made by the Secretary of State under this Act may make provision:
(a) as to the giving of evidence in proceedings before the registrar under this Act by affidavit or statutory declaration;
(b) conferring on the registrar the powers of an official referee of the Supreme Court as regards the examination of witnesses on oath and the discovery and production of documents; and
(c) applying in relation to the attendance of witnesses in proceedings before the registrar the rules applicable to the attendance of witnesses in proceedings before such a referee.”.
Section 32: power of registrar to refuse to deal with certain agents
21.- Section 32 of the Registered Designs Act 1949 (power of registrar to refuse to deal with certain agents) is repealed.
Section 33: offences under s.5 (secrecy of certain designs)
22.-
- Section 33 of the Registered Designs Act 1949 (offences under s.5 (secrecy of certain designs)) is amended as follows.
- In subsection (1), for paragraphs (a) and (b) substitute:
“(a) on conviction on indictment to imprisonment for a term not exceeding two years or a fine, or both;
(b) on summary conviction to imprisonment for a term not exceeding six months or a fine not exceeding the statutory maximum, or both.”.
(3)Omit subsection (2).
(4) The above amendments do not apply in relation to offences committed before the commencement of Part IV.
Section 34: falsification of register, &c.
23.-
(1) In section 34 of the Registered Designs Act 1949 (falsification of register, &c.) for “shall be guilty of a misdemeanour” substitute:“shall be guilty of an offence and liable:
(a) on conviction on indictment to imprisonment for a term not exceeding two years or a fine, or both;
(b) on summary conviction to imprisonment for a term not exceeding six months or a fine not exceeding the statutory maximum, or both.”.
(2) The above amendment does not apply in relation to offences committed before the commencement of Part IV.
Section 35: fine for falsely representing a design as registered
24.-
- Section 35 of the M67Registered Designs Act 1949 (fine for falsely representing a design as registered) is amended as follows.
- In subsection (1) for the words from “a fine not exceeding £50” substitute “ a fine not exceeding level 3 on the standard scale ”.
(3) In subsection (2):
(a) for “the copyright in a registered design” substitute “ the right in a registered design ”;
(b) for “subsisting copyright in the design” substitute “ subsisting right in the design under this Act ”; and
(c) for the words from “a fine” to the end substitute “ a fine not exceeding level 1 on the standard scale ”.
(4) The amendment in sub-paragraph (2) does not apply in relation to offences committed before the commencement of Part IV.
Section 35A: offence by body corporate – liability of officers
25.-
(1) In the Registered Designs Act 1949 after section 35 insert:
“35A Offence by body corporate: liability of officers.
(1) Where an offence under this Act committed by a body corporate is proved to have been committed with the consent or connivance of a director, manager, secretary or other similar officer of the body, or a person purporting to act in any such capacity, he as well as the body corporate is guilty of the offence and liable to be proceeded against and punished accordingly.
(2) In relation to a body corporate whose affairs are managed by its members “director” means a member of the body corporate.”.
(2) The above amendment does not apply in relation to offences committed before the commencement of Part IV.
Section 36: general power to make rules, &c.
26.-
(1) Section 36 of the Registered Designs Act 1949 (general power to make rules, &c.) is amended as follows.
(2) In subsection (1) for “the Board of Trade” and “the Board” substitute “ the Secretary of State ”, and for “as they think expedient” substitute “ as he thinks expedient ”.
(3) For the words in subsection (1) from “and in particular” to the end substitute the following subsections:
“(1A) Rules may, in particular, make provision:
(a) prescribing the form of applications for registration of designs and of any representations or specimens of designs or other documents which may be filed at the Patent Office, and requiring copies to be furnished of any such representations, specimens or documents;
(b) regulating the procedure to be followed in connection with any application or request to the registrar or in connection with any proceeding before him, and authorising the rectification of irregularities of procedure;
(c) providing for the appointment of advisers to assist the registrar in proceedings before him;
(d) regulating the keeping of the register of designs;
(e) authorising the publication and sale of copies of representations of designs and other documents in the Patent Office;
(f) prescribing anything authorised or required by this Act to be prescribed by rules.
(1B) The remuneration of an adviser appointed to assist the registrar shall be determined by the Secretary of State with the consent of the Treasury and shall be defrayed out of money provided by Parliament.”.
Section 37: provisions as to rules and Orders
27.-
(1) Section 37 of the M68Registered Designs Act 1949 (provisions as to rules and orders) is amended as follows.
(2) Omit subsection (1) (duty to advertise making of rules).
(3) In subsections (2), (3) and (4) for “the Board of Trade” substitute “ the Secretary of State ”.
Section 38: proceedings of the Board of Trade
28.- Section 38 of the Registered Designs Act 1949 (proceedings of the Board of Trade) is repealed.
Section 39: hours of business and excluded days
29.- In section 39 of the Registered Designs Act 1949 (hours of business and excluded days), in subsection (1) for “the Board of Trade” substitute “ the Secretary of State ”.
Section 40: fees
30.- In section 40 of the Registered Designs Act 1949 (fees) for “the Board of Trade” substitute “ the Secretary of State ”.
Section 44: interpretation
31.-
(1) In section 44 of the Registered Designs Act 1949 (interpretation), subsection (1) is amended as follows.
F936(2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(3) At the appropriate place insert:
““author” in relation to a design, has the meaning given by section 2(3) and (4);”.
(4) Omit the definition of “copyright”.
F936(5). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(6) For the definition of “court” substitute:
““the court” shall be construed in accordance with section 27 of this Act;”.
(7) In the definition of “design” for “subsection (3) of section one of this Act” substitute “ section 1(1) of this Act ”.
(8) At the appropriate place insert:
““employee”, “employment” and “employer” refer to employment under a contract of service or of apprenticeship,”.
(9) Omit the definition of “Journal”.
(10) In the definition of “prescribed” for “the Board of Trade” substitute “ the Secretary of State ”.
Section 45: application to Scotland
32.- In section 45 of the M69Registered Designs Act 1949 (application to Scotland), omit paragraphs (1) and (2).
Section 46: application to Northern Ireland
33.-
(1) Section 46 of the Registered Designs Act 1949 (application to Northern Ireland) is amended as follows.
(2) Omit paragraphs (1) and (2).
(3) For paragraph (3) substitute:
“(3) References to enactments include enactments comprised in Northern Ireland legislation:”.
(4) After paragraph (3) insert:
“(3A) References to the Crown include the Crown in right of Her Majesty’s Government in Northern Ireland:”.
(5) In paragraph (4) for “a department of the Government of Northern Ireland” substitute “ a Northern Ireland department ”, and at the end add “ and in relation to a Northern Ireland department references to the Treasury shall be construed as references to the Department of Finance and Personnel ”.
Section 47: application to Isle of Man
34.-For section 47 of the Registered Designs Act 1949 (application to Isle of Man) substitute:
“47 Application to Isle of Man.
This Act extends to the Isle of Man, subject to any modifications contained in an Order made by Her Majesty in Council, and accordingly, subject to any such Order, references in this Act to the United Kingdom shall be construed as including the Isle of Man.”.
Section 47A: territorial waters and the continental shelf
35.- In the Registered Designs Act 1949, after section 47 insert:
“47A Territorial waters and the continental shelf.
(1) For the purposes of this Act the territorial waters of the United Kingdom shall be treated as part of the United Kingdom.
(2) This Act applies to things done in the United Kingdom sector of the continental shelf on a structure or vessel which is present there for purposes directly connected with the exploration of the sea bed or subsoil or the exploitation of their natural resources as it applies to things done in the United Kingdom.
(3) The United Kingdom sector of the continental shelf means the areas designated by order under section 1(7) of the Continental Shelf Act 1964.”.
Section 48: repeals, savings and transitional provisions
36.- In section 48 of the Registered Designs Act 1949 (repeals, savings and transitional provisions), omit subsection (1) (repeals).
Schedule 1: provisions as to Crown use of registered designs
37.-
(1) The First Schedule to the M70Registered Designs Act 1949 (provisions as to Crown use of registered designs) is amended as follows.
(2) In paragraph 2(1) after “copyright” insert “ or design right ”.
(3) In paragraph 3(1) omit “in such manner as may be prescribed by rules of court”.
(4) In paragraph 4(2) (definition of “period of emergency”) for the words from “the period ending” to “any other period” substitute “ a period ”.
(5) For paragraph 4(3) substitute:
“(3) No Order in Council under this paragraph shall be submitted to Her Majesty unless a draft of it has been laid before and approved by a resolution of each House of Parliament.”.
Schedule 2: enactments repealed
38.- Schedule 2 to the Registered Designs Act 1949 (enactments repealed) is repealed.
Section 273.- SCHEDULE 4.- The Registered Designs Act 1949 as amended Arrangement of Sections
Registrable designs and proceedings for registration
1 Designs registrable under Act.
2 Proprietorship of designs.
3 Proceedings for registration.
4 Registration of same design in respect of other articles.
5 Provision for secrecy of certain designs.
6 Provisions as to confidential disclosure, &c.
Effect of registration, &c.
7 Right given by registration.
8 Duration of right in registered design.
8A Restoration of lapsed right in design.
8B Effect of order for restoration of right.
9 Exemption of innocent infringer from liability for damages.
10 Compulsory licence in respect of registered design.
11 Cancellation of registration.
11A Powers exercisable for protection of the public interest.
11B Undertaking to take licence of right in infringement proceedings.
12 Use for services of the Crown.
International arrangements
13 Orders in Council as to convention countries.
14 Registration of design where application for protection in convention country has been made.
15 Extension of time for applications under s.14 in certain cases.
16 Protection of designs communicated under international agreements.
Register of designs, &c.
17 Register of designs.
18 Certificate of registration.
19 Registration of assignments, &c.
20 Rectification of register.
21 Power to correct clerical errors.
22 Inspection of registered designs.
23 Information as to existence of right in registered design.
24 ………………….. …
Legal proceedings and appeals
25 Certificate of contested validity of registration.
26 Remedy for groundless threats of infringement proceedings.
27 The court.
28 The Appeal Tribunal.
Powers and duties of registrar
29 Exercise of discretionary powers of registrar.
30 Costs and security for costs.
31 Evidence before registrar.
32 ………………….. …
33 Offences under s.5.
34 Falsification of register, &c.
35 Fine for falsely representing a design as registered.
35A Offence by body corporate: liability of officers.
Rules, &c.
36 General power of Secretary of State to make rules, &c.
37 Provisions as to rules and Orders.
38 ………………….. …
Supplemental
39 Hours of business and excluded days.
40 Fees.
41 Service of notices, &c., by post.
42 Annual report of registrar.
43 Savings.
44 Interpretation.
45 Application to Scotland.
46 Application to Northern Ireland.
47 Application to Isle of Man.
47A Territorial waters and the continental shelf.
48 Repeals, savings and transitional provisions.
49 Short title and commencement.
Schedules:
Schedule 1:Provisions as to the use of registered designs for the services of the Crown and as to rights of third parties in respect of such use.
Schedule 2:………………….. …
An Act to consolidate certain enactments relating to registered designs.
[16th December 1949]Registrable designs and proceedings for registration
Designs registrable under Act.
1.-
(1) In this Act “design” means features of shape, configuration, pattern or ornament applied to an article by any industrial process, being features which in the finished article appeal to and are judged by the eye, but does not include:
(a) a method or principle of construction, or
(b) features of shape or configuration of an article which:
(i) are dictated solely by the function which the article has to perform, or
(ii) are dependent upon the appearance of another article of which the article is intended by the author of the design to form an integral part.
(2) A design which is new may, upon application by the person claiming to be the proprietor, be registered under this Act in respect of any article, or set of articles, specified in the application.
(3) A design shall not be registered in respect of an article if the appearance of the article is not material, that is, if aesthetic considerations are not normally taken into account to a material extent by persons acquiring or using articles of that description, and would not be so taken into account if the design were to be applied to the article.
(4) A design shall not be regarded as new for the purposes of this Act if it is the same as a design:
(a) registered in respect of the same or any other article in pursuance of a prior application, or
(b) published in the United Kingdom in respect of the same or any other article before the date of the application,or if it differs from such a design only in immaterial details or in features which are variants commonly used in the trade.
This subsection has effect subject to the provisions of sections 4, 6 and 16 of this Act.
(5) The Secretary of State may by rules provide for excluding from registration under this Act designs for such articles of a primarily literary or artistic character as the Secretary of State thinks fit.
Proprietorship of designs.
2.-
(1) The author of a design shall be treated for the purposes of this Act as the original proprietor of the design, subject to the following provisions.
(1A) Where a design is created in pursuance of a commission for money or money’s worth, the person commissioning the design shall be treated as the original proprietor of the design.
(1B) Where, in a case not falling within subsection (1A), a design is created by an employee in the course of his employment, his employer shall be treated as the original proprietor of the design.
(2) Where a design, or the right to apply a design to any article, becomes vested, whether by assignment, transmission or operation of law, in any person other than the original proprietor, either alone or jointly with the original proprietor, that other person, or as the case may be the original proprietor and that other person, shall be treated for the purposes of this Act as the proprietor of the design or as the proprietor of the design in relation to that article.
(3) In this Act the “author” of a design means the person who creates it.
(4) In the case of a design generated by computer in circumstances such that there is no human author, the person by whom the arrangements necessary for the creation of the design are made shall be taken to be the author.
Proceedings for registration.
3.-
(1) An application for the registration of a design shall be made in the prescribed form and shall be filed at the Patent Office in the prescribed manner.
(2) An application for the registration of a design in which design right subsists shall not be entertained unless made by the person claiming to be the design right owner.
(3) For the purpose of deciding whether a design is new, the registrar may make such searches, if any, as he thinks fit.
(4) The registrar may, in such cases as may be prescribed, direct that for the purpose of deciding whether a design is new an application shall be treated as made on a date earlier or later than that on which it was in fact made.
(5) The registrar may refuse an application for the registration of a design or may register the design in pursuance of the application subject to such modifications, if any, as he thinks fit; and a design when registered shall be registered as of the date on which the application was made or is treated as having been made.
(6) An application which, owing to any default or neglect on the part of the applicant, has not been completed so as to enable registration to be effected within such time as may be prescribed shall be deemed to be abandoned.
(7) An appeal lies from any decision of the registrar under this section.
Registration of same design in respect of other articles, etc.
4.-
(1) Where the registered proprietor of a design registered in respect of any article makes an application:
(a) for registration in respect of one or more other articles, of the registered design, or
(b) for registration in respect of the same or one or more other articles, of a design consisting of the registered design with modifications or variations not sufficient to alter the character or substantially to affect the identity thereof,the application shall not be refused and the registration made on that application shall not be invalidated by reason only of the previous registration or publication of the registered design:
Provided that the right in a design registered by virtue of this section shall not extend beyond the end of the period, and any extended period, for which the right subsists in the original registered design.
(2) Where any person makes an application for the registration of a design in respect of any article and either:
(a) that design has been previously registered by another person in respect of some other article; or
(b) the design to which the application relates consists of a design previously registered by another person in respect of the same or some other article with modifications or variations not sufficient to alter the character or substantially to affect the identity thereof,then, if at any time while the application is pending the applicant becomes the registered proprietor of the design previously registered, the foregoing provisions of this section shall apply as if at the time of making the application the applicant had been the registered proprietor of that design.
Provisions for secrecy of certain designs.
5.-
(1) Where, either before or after the commencement of this Act, an application for the registration of a design has been made, and it appears to the registrar that the design is one of a class notified to him by the Secretary of State as relevant for defence purposes, he may give directions for prohibiting or restricting the publication of information with respect to the design, or the communication of such information to any person or class of persons specified in the directions.
(2) The Secretary of State shall by rules make provision for securing that where such directions are given:
(a )the representation or specimen of the design, and
(b) any evidence filed in support of the applicant’s contention that the appearance of an article is material (for the purposes of section 1(3) of this Act),shall not be open to public inspection at the Patent Office during the continuance in force of the directions.
(3) Where the registrar gives any such directions as aforesaid, he shall give notice of the application and of the directions to the Secretary of State, and thereupon the following provisions shall have effect, that is to say::
(a) the Secretary of State shall, upon receipt of such notice, consider whether the publication of the design would be prejudicial to the defence of the realm and unless a notice under paragraph (c) of this subsection has previously been given by that authority to the registrar, shall reconsider that question before the expiration of nine months from the date of filing of the application for registration of the design and at least once in every subsequent year;
(b) for the purpose aforesaid, the Secretary of State may, at any time after the design has been registered or, with the consent of the applicant, at any time before the design has been registered, inspect the representation or specimen of the design, or any such evidence as is mentioned in subsection (2)(b) above, filed in pursuance of the application;
(c) if upon consideration of the design at any time it appears to the Secretary of State that the publication of the design would not, or would no longer, be prejudicial to the defence of the realm, he shall give notice to the registrar to that effect;
(d) on the receipt of any such notice the registrar shall revoke the directions and may, subject to such conditions, if any, as he thinks fit, extend the time for doing anything required or authorised to be done by or under this Act in connection with the application or registration, whether or not that time has previously expired.
(4) No person resident in the United Kingdom shall, except under the authority of a written permit granted by or on behalf of the registrar, make or cause to be made any application outside the United Kingdom for the registration of a design of any class prescribed for the purposes of this subsection unless:
(a) an application for registration of the same design has been made in the United Kingdom not less than six weeks before the application outside the United Kingdom; and
(b) either no directions have been given under subsection (1) of this section in relation to the application in the United Kingdom or all such directions have been revoked:
Provided that this subsection shall not apply in relation to a design for which an application for protection has first been filed in a country outside the United Kingdom by a person resident outside the United Kingdom.
… … … …
Provisions as to confidential disclosure, etc.
6.-
(1) An application for the registration of a design shall not be refused, and the registration of a design shall not be invalidated, by reason only of:
(a) the disclosure of the design by the proprietor to any other person in such circumstances as would make it contrary to good faith for that other person to use or publish the design;
(b) the disclosure of the design in breach of good faith by any person other than the proprietor of the design; or
(c) in the case of a new or original textile design intended for registration, the acceptance of a first and confidential order for goods bearing the design.
(2) An application for the registration of a design shall not be refused and the registration of a design shall not be invalidated by reason only:
(a) that a representation of the design, or any article to which the design has been applied, has been displayed, with the consent of the proprietor of the design, at an exhibition certified by the Secretary of State for the purposes of this subsection;
(b) that after any such display as aforesaid, and during the period of the exhibition, a representation of the design or any such article as aforesaid has been displayed by any person without the consent of the proprietor; or
(c) that a representation of the design has been published in consequence of any such display as is mentioned in paragraph (a) of this subsection,if the application for registration of the design is made not later than six months after the opening of the exhibition.
(3) An application for the registration of a design shall not be refused, and the registration of a design shall not be invalidated, by reason only of the communication of the design by the proprietor thereof to a government department or to any person authorised by a government department to consider the merits of the design, or of anything done in consequence of such a communication.
(4) Where an application is made by or with the consent of the owner of copyright in an artistic work for the registration of a corresponding design, the design shall not be treated for the purposes of this Act as being other than new by reason only of any use previously made of the artistic work, subject to subsection (5).
(5) Subsection (4) does not apply if the previous use consisted of or included the sale, letting for hire or offer or exposure for sale or hire of articles to which had been applied industrially:
(a) the design in question, or
(b) a design differing from it only in immaterial details or in features which are variants commonly used in the trade,and that previous use was made by or with the consent of the copyright owner.
(6) The Secretary of State may make provision by rules as to the circumstances in which a design is to be regarded for the purposes of this section as “applied industrially” to articles, or any description of articles.
Effect of registration, &c.
Right given by registration.
7.-
(1) The registration of a design under this Act gives the registered proprietor the exclusive right:
(a) to make or import:
(i) for sale or hire, or
(ii) for use for the purposes of a trade or business, or
(b) to sell, hire or offer or expose for sale or hire,an article in respect of which the design is registered and to which that design or a design not substantially different from it has been applied.
(2) The right in the registered design is infringed by a person who without the licence of the registered proprietor does anything which by virtue of subsection (1) is the exclusive right of the proprietor.
(3)The right in the registered design is also infringed by a person who, without the licence of the registered proprietor makes anything for enabling any such article to be made, in the United Kingdom or elsewhere, as mentioned in subsection (1).
(4) The right in the registered design is also infringed by a person who without the licence of the registered proprietor:
(a) does anything in relation to a kit that would be an infringement if done in relation to the assembled article (see subsection (1)), or
(b) makes anything for enabling a kit to be made or assembled, in the United Kingdom or elsewhere, if the assembled article would be such an article as is mentioned in subsection (1); and for this purpose a “kit” means a complete or substantially complete set of components intended to be assembled into an article.
(5) No proceedings shall be taken in respect of an infringement committed before the date on which the certificate of registration of the design under this Act is granted.
(6) The right in a registered design is not infringed by the reproduction of a feature of the design which, by virtue of section 1(1)(b), is left out of account in determining whether the design is registrable.
Duration of right in registered design.
8.-
(1) The right in a registered design subsists in the first instance for a period of five years from the date of the registration of the design.
(2) The period for which the right subsists may be extended for a second, third, fourth and fifth period of five years, by applying to the registrar for an extension and paying the prescribed renewal fee.
(3) If the first, second, third or fourth period expires without such application and payment being made, the right shall cease to have effect; and the registrar shall, in accordance with rules made by the Secretary of State, notify the proprietor of that fact.
(4) If during the period of six months immediately following the end of that period an application for extension is made and the prescribed renewal fee and any prescribed additional fee is paid, the right shall be treated as if it had never expired, with the result that:
(a) anything done under or in relation to the right during that further period shall be treated as valid,
(b) an act which would have constituted an infringement of the right if it had not expired shall be treated as an infringement, and
(c) an act which would have constituted use of the design for the services of the Crown if the right had not expired shall be treated as such use.
(5) Where it is shown that a registered design:
(a) was at the time it was registered a corresponding design in relation to an artistic work in which copyright subsists, and
(b) by reason of a previous use of that work would not have been registrable but for section 6(4) of this Act (registration despite certain prior applications of design),the right in the registered design expires when the copyright in that work expires, if that is earlier than the time at which it would otherwise expire, and it may not thereafter be renewed.
(6) The above provisions have effect subject to the proviso to section 4(1) (registration of same design in respect of other articles, &c.).
Restoration of lapsed right in design.
8A.-
(1) Where the right in a registered design has expired by reason of a failure to extend, in accordance with section 8(2) or (4), the period for which the right subsists, an application for the restoration of the right in the design may be made to the registrar within the prescribed period.
(2) The application may be made by the person who was the registered proprietor of the design or by any other person who would have been entitled to the right in the design if it had not expired; and where the design was held by two or more persons jointly, the application may, with the leave of the registrar, be made by one or more of them without joining the others.
(3) Notice of the application shall be published by the registrar in the prescribed manner.
(4) If the registrar is satisfied that the proprietor took reasonable care to see that the period for which the right subsisted was extended in accordance with section 8(2) or (4), he shall, on payment of any unpaid renewal fee and any prescribed additional fee, order the restoration of the right in the design.
(5) The order may be made subject to such conditions as the registrar thinks fit, and if the proprietor of the design does not comply with any condition the registrar may revoke the order and give such consequential directions as he thinks fit.
(6) Rules altering the period prescribed for the purposes of subsection (1) may contain such transitional provisions and savings as appear to the Secretary of State to be necessary or expedient.
Effect of order for restoration of right.
8B.-
(1) The effect of an order under section 8A for the restoration of the right in a registered design is as follows.
(2) Anything done under or in relation to the right during the period between expiry and restoration shall be treated as valid.
(3) Anything done during that period which would have constituted an infringement if the right had not expired shall be treated as an infringement:
(a) if done at a time when it was possible for an application for extension to be made under section 8(4); or
(b) if it was a continuation or repetition of an earlier infringing act.
(4) If after it was no longer possible for such an application for extension to be made, and before publication of notice of the application for restoration, a person:
(a) began in good faith to do an act which would have constituted an infringement of the right in the design if it had not expired, or
(b) made in good faith effective and serious preparations to do such an act,he has the right to continue to do the act or, as the case may be, to do the act, notwithstanding the restoration of the right in the design; but this does not extend to granting a licence to another person to do the act.
(5) If the act was done, or the preparations were made, in the course of a business, the person entitled to the right conferred by subsection (4) may:
(a) authorise the doing of that act by any partners of his for the time being in that business, and
(b) assign that right, or transmit it on death (or in the case of a body corporate on its dissolution), to any person who acquires that part of the business in the course of which the act was done or the preparations were made.
(6) Where an article is disposed of to another in exercise of the rights conferred by subsection (4) or subsection (5), that other and any person claiming through him may deal with the article in the same way as if it had been disposed of by the registered proprietor of the design.
(7) The above provisions apply in relation to the use of a registered design for the services of the Crown as they apply in relation to infringement of the right in the design.
Exemption of innocent infringer from liability for damages.
9.-
(1) In proceedings for the infringement of the right in a registered design damages shall not be awarded against a defendant who proves that at the date of the infringement he was not aware, and had no reasonable ground for supposing, that the design was registered; and a person shall not be deemed to have been aware or to have had reasonable grounds for supposing as aforesaid by reason only of the marking of an article with the word “registered” or any abbreviation thereof, or any word or words expressing or implying that the design applied to the article has been registered, unless the number of the design accompanied the word or words or the abbreviation in question.
(2) Nothing in this section shall affect the power of the court to grant an injunction in any proceedings for infringement of the right in a registered design.
Compulsory licence in respect of registered design.
10.-
(1) At any time after a design has been registered any person interested may apply to the registrar for the grant of a compulsory licence in respect of the design on the ground that the design is not applied in the United Kingdom by any industrial process or means to the article in respect of which it is registered to such an extent as is reasonable in the circumstances of the case; and the registrar may make such order on the application as he thinks fit.
(2) An order for the grant of a licence shall, without prejudice to any other method of enforcement, have effect as if it were a deed executed by the registered proprietor and all other necessary parties, granting a licence in accordance with the order.
(3) No order shall be made under this section which would be at variance with any treaty, convention, arrangement or engagement applying to the United Kingdom and any convention country.
(4) An appeal shall lie from any order of the registrar under this section.
Cancellation of registration.
11.-
(1) The registrar may, upon a request made in the prescribed manner by the registered proprietor, cancel the registration of a design.
(2) At any time after a design has been registered any person interested may apply to the registrar for the cancellation of the registration of the design on the ground that the design was not, at the date of the registration thereof, new…, or on any other ground on which the registrar could have refused to register the design; and the registrar may make such order on the application as he thinks fit.
(3) At any time after a design has been registered, any person interested may apply to the registrar for the cancellation of the registration on the ground that:
(a) the design was at the time it was registered a corresponding design in relation to an artistic work in which copyright subsisted, and
(b) the right in the registered design has expired in accordance with section 8(4) of this Act (expiry of right in registered design on expiry of copyright in artistic work);and the registrar may make such order on the application as he thinks fit.
(4) A cancellation under this section takes effect:
(a) in the case of cancellation under subsection (1), from the date of the registrar’s decision,
(b) in the case of cancellation under subsection (2), from the date of registration,
(c) in the case of cancellation under subsection (3), from the date on which the right in the registered design expired,or, in any case, from such other date as the registrar may direct.
(5) An appeal lies from any order of the registrar under this section.
Powers exercisable for protection of the public interest.
11A.-
(1) Where a report of the Monopolies and Mergers Commission has been laid before Parliament containing conclusions to the effect:
(a) on a monopoly reference, that a monopoly situation exists and facts found by the Commission operate or may be expected to operate against the public interest,
(b) on a merger reference, that a merger situation qualifying for investigation has been created and the creation of the situation, or particular elements in or consequences of it specified in the report, operate or may be expected to operate against the public interest,
(c) on a competition reference, that a person was engaged in an anti-competitive practice which operated or may be expected to operate against the public interest, or
(d) on a reference under section 11 of the Competition Act 1980 (reference of public bodies and certain other persons), that a person is pursuing a course of conduct which operates against the public interest,the appropriate Minister or Ministers may apply to the registrar to take action under this section.
(2) Before making an application the appropriate Minister or Ministers shall publish, in such manner as he or they think appropriate, a notice describing the nature of the proposed application and shall consider any representations which may be made within 30 days of such publication by persons whose interests appear to him or them to be affected.
(3) If on an application under this section it appears to the registrar that the matters specified in the Commission’s report as being those which in the Commission’s opinion operate, or operated or may be expected to operate, against the public interest include:
(a) conditions in licences granted in respect of a registered design by its proprietor restricting the use of the design by the licensee or the right of the proprietor to grant other licences, or
(b) a refusal by the proprietor of a registered design to grant licences on reasonable terms,he may by order cancel or modify any such condition or may, instead or in addition, make an entry in the register to the effect that licences in respect of the design are to be available as of right.
(4) The terms of a licence available by virtue of this section shall, in default of agreement, be settled by the registrar on an application by the person requiring the licence; and terms so settled shall authorise the licensee to do everything which would be an infringement of the right in the registered design in the absence of a licence.
(5) Where the terms of a licence are settled by the registrar, the licence has effect from the date on which the application to him was made.
(6) An appeal lies from any order of the registrar under this section.
(7) In this section “the appropriate Minister or Ministers” means the Minister or Ministers to whom the report of the Monopolies and Mergers Commission was made.
Undertaking to take licence of right in infringement proceedings.
11B.-
(1) If in proceedings for infringement of the right in a registered design in respect of which a licence is available as of right under section 11A of this Act the defendant undertakes to take a licence on such terms as may be agreed or, in default of agreement, settled by the registrar under that section:
(a) no injunction shall be granted against him, and
(b) the amount recoverable against him by way of damages or on an account of profits shall not exceed double the amount which would have been payable by him as licensee if such a licence on those terms had been granted before the earliest infringement.
(2) An undertaking may be given at any time before final order in the proceedings, without any admission of liability.
(3) Nothing in this section affects the remedies available in respect of an infringement committed before licences of right were available.
Use for services of the Crown.
12.-The provisions of the First Schedule to this Act shall have effect with respect to the use of registered designs for the services of the Crown and the rights of third parties in respect of such use.
International Arrangements
Orders in Council as to convention countries.
13
(1) His Majesty may, with a view to the fulfilment of a treaty, convention, arrangement or engagement, by Order in Council declare that any country specified in the Order is a convention country for the purposes of this Act:
Provided that a declaration may be made as aforesaid for the purposes either of all or of some only of the provisions of this Act, and a country in the case of which a declaration made for the purposes of some only of the provisions of this Act is in force shall be deemed to be a convention country for the purposes of those provisions only.
(2) His Majesty may by Order in Council direct that any of the Channel Islands, any colony,… shall be deemed to be a convention country for the purposes of all or any of the provisions of this Act; and an Order made under this subsection may direct that any such provisions shall have effect, in relation to the territory in question, subject to such conditions or limitations, if any, as may be specified in the Order.
(3) For the purposes of subsection (1) of this section, every colony, protectorate, territory subject to the authority or under the suzerainty of another country, and territory administered by another country… under the trusteeship system of the United Nations, shall be deemed to be a country in the case of which a declaration may be made under that subsection.
Registration of design where application for protection in convention country has been made.
14.-
(1) An application for registration of a design in respect of which protection has been applied for in a convention country may be made in accordance with the provisions of this Act by the person by whom the application for protection was made or his personal representative or assignee:
Provided that no application shall be made by virtue of this section after the expiration of six months from the date of the application for protection in a convention country or, where more than one such application for protection has been made, from the date of the first application.
(2) Where an application for registration of a design is made by virtue of this section, the application shall be treated, for the purpose of determining whether that or any other design is new, as made on the date of the application for protection in the convention country or, if more than one such application was made, on the date of the first such application.
(3) Subsection (2) shall not be construed as excluding the power to give directions under section 3(4) of this Act in relation to an application made by virtue of this section.
(4) Where a person has applied for protection for a design by an application which:
(a) in accordance with the terms of a treaty subsisting between two or more convention countries, is equivalent to an application duly made in any one of those convention countries; or
(b) in accordance with the law of any convention country, is equivalent to an application duly made in that convention country,he shall be deemed for the purposes of this section to have applied in that convention country.
Extension of time for applications under s.14 in certain cases.
15.-
(1) If the Secretary of State is satisfied that provision substantially equivalent to the provision to be made by or under this section has been or will be made under the law of any convention country, he may make rules empowering the registrar to extend the time for making application under subsection (1) of section 14 of this Act for registration of a design in respect of which protection has been applied for in that country in any case where the period specified in the proviso to that subsection expires during a period prescribed by the rules.
(2) Rules made under this section:
(a) may, where any agreement or arrangement has been made between His Majesty’s Government in the United Kingdom and the government of the convention country for the supply or mutual exchange of information or articles, provide, either generally or in any class of case specified in the rules, that an extension of time shall not be granted under this section unless the design has been communicated in accordance with the agreement or arrangement;
(b) may, either generally or in any class of case specified in the rules, fix the maximum extension which may be granted under this section;
(c) may prescribe or allow any special procedure in connection with applications made by virtue of this section;
(d) may empower the registrar to extend, in relation to an application made by virtue of this section, the time limited by or under the foregoing provisions of this Act for doing any act, subject to such conditions, if any, as may be imposed by or under the rules;
(e) may provide for securing that the rights conferred by registration on an application made by virtue of this section shall be subject to such restrictions or conditions as may be specified by or under the rules and in particular to restrictions and conditions for the protection of persons (including persons acting on behalf of His Majesty) who, otherwise than as the result of a communication made in accordance with such an agreement or arrangement as is mentioned in paragraph (a) of this subsection, and before the date of the application in question or such later date as may be allowed by the rules, may have imported or made articles to which the design is applied or may have made any application for registration of the design.
Protection of designs communicated under international agreements.
16.-
(1) Subject to the provisions of this section, the Secretary of State may make rules for securing that, where a design has been communicated in accordance with an agreement or arrangement made between His Majesty’s Government in the United Kingdom and the government of any other country for the supply or mutual exchange of information or articles,:
(a) an application for the registration of the design made by the person from whom the design was communicated or his personal representative or assignee shall not be prejudiced, and the registration of the design in pursuance of such an application shall not be invalidated, by reason only that the design has been communicated as aforesaid or that in consequence thereof:
(i) the design has been published or applied, or
(ii) an application for registration of the design has been made by any other person, or the design has been registered on such an application;
(b) any application for the registration of a design made in consequence of such a communication as aforesaid may be refused and any registration of a design made on such an application may be cancelled.
(2) Rules made under subsection (1) of this section may provide that the publication or application of a design, or the making of any application for registration thereof shall, in such circumstances and subject to such conditions or exceptions as may be prescribed by the rules, be presumed to have been in consequence of such a communication as is mentioned in that subsection.
(3) The powers of the Secretary of State under this section, so far as they are exercisable for the benefit of persons from whom designs have been communicated to His Majesty’s Government in the United Kingdom by the government of any other country, shall only be exercised if and to the extent that the Secretary of State is satisfied that substantially equivalent provision has been or will be made under the law of that country for the benefit of persons from whom designs have been communicated by His Majesty’s Government in the United Kingdom to the government of that country.
(4) References in the last foregoing subsection to the communication of a design to or by His Majesty’s Government or the government of any other country shall be construed as including references to the communication of the design by or to any person authorised in that behalf by the government in question.
Register of designs, etc.
Register of designs.
17.-
(1) The registrar shall maintain the register of designs, in which shall be entered:
(a) the names and addresses of proprietors of registered designs;
(b) notices of assignments and of transmissions of registered designs; and
(c) such other matters as may be prescribed or as the registrar may think fit.
(2) No notice of any trust, whether express, implied or constructive, shall be entered in the register of designs, and the registrar shall not be affected by any such notice.
(3) The register need not be kept in documentary form.
(4) Subject to the provisions of this Act and to rules made by the Secretary of State under it, the public shall have a right to inspect the register at the Patent Office at all convenient times.
(5) Any person who applies for a certified copy of an entry in the register or a certified extract from the register shall be entitled to obtain such a copy or extract on payment of a fee prescribed in relation to certified copies and extracts; and rules made by the Secretary of State under this Act may provide that any person who applies for an uncertified copy or extract shall be entitled to such a copy or extract on payment of a fee prescribed in relation to uncertified copies and extracts.
(6) Applications under subsection (5) above or rules made by virtue of that subsection shall be made in such manner as may be prescribed.
(7) In relation to any portion of the register kept otherwise than in documentary form:
(a) the right of inspection conferred by subsection (4) above is a right to inspect the material on the register; and
(b) the right to a copy or extract conferred by subsection (5) above or rules is a right to a copy or extract in a form in which it can be taken away and in which it is visible and legible.
(8) Subject to subsection (11) below, the register shall be prima facie evidence of anything required or authorised to be entered in it and in Scotland shall be sufficient evidence of any such thing.
(9) A certificate purporting to be signed by the registrar and certifying that any entry which he is authorised by or under this Act to make has or has not been made, or that any other thing which he is so authorised to do has or has not been done, shall be prima facie evidence, and in Scotland shall be sufficient evidence, of the matters so certified.
(10)Each of the following:
(a) a copy of an entry in the register or an extract from the register which is supplied under subsection (5) above;
(b) a copy or any representation, specimen or document kept in the Patent Office or an extract from any such document,which purports to be a certified copy or certified extract shall, subject to subsection (11) below, be admitted in evidence without further proof and without production of any original; and in Scotland such evidence shall be sufficient evidence.
(11) In the application of this section to England and Wales nothing in it shall be taken as detracting from section 69 or 70 of the Police and Criminal Evidence Act 1984 or any provision made by virtue of either of them.
(12) In this section “certified copy” and “certified extract” means a copy and extract certified by the registrar and sealed with the seal of the Patent Office.
Certificate of registration.
18.-
(1) The registrar shall grant a certificate of registration in the prescribed form to the registered proprietor of a design when the design is registered.
(2) The registrar may, in a case where he is satisfied that the certificate of registration has been lost or destroyed, or in any other case in which he thinks it expedient, furnish one or more copies of the certificate.
Registration of assignments, etc.
19.-
(1) Where any person becomes entitled by assignment, transmission or operation of law to a registered design or to a share in a registered design, or becomes entitled as mortgagee, licensee or otherwise to any other interest in a registered design, he shall apply to the registrar in the prescribed manner for the registration of his title as proprietor or co-proprietor or, as the case may be, of notice of his interest, in the register of designs.
(2) Without prejudice to the provisions of the foregoing subsection, an application for the registration of the title of any person becoming entitled by assignment to a registered design or a share in a registered design, or becoming entitled by virtue of a mortgage, licence or other instrument to any other interest in a registered design, may be made in the prescribed manner by the assignor, mortgagor, licensor or other party to that instrument, as the case may be.
(3) Where application is made under this section for the registration of the title of any person, the registrar shall, upon proof of title to his satisfaction:
(a) where that person is entitled to a registered design or a share in a registered design, register him in the register of designs as proprietor or co-proprietor of the design, and enter in that register particulars of the instrument or event by which he derives title; or
(b) where that person is entitled to any other interest in the registered design, enter in that register notice of his interest, with particulars of the instrument (if any) creating it.
(3A) Where design right subsists in a registered design, the registrar shall not register an interest under subsection (3) unless he is satisfied that the person entitled to that interest is also entitled to a corresponding interest in the design right.
(3B) Where design right subsists in a registered design and the proprietor of the registered design is also the design right owner, an assignment of the design right shall be taken to be also an assignment of the right in the registered design, unless a contrary intention appears.
(4) Subject to any rights vested in any other person of which notice is entered in the register of designs, the person or persons registered as proprietor of a registered design shall have power to assign, grant licences under, or otherwise deal with the design, and to give effectual receipts for any consideration for any such assignment, licence or dealing.
Provided that any equities in respect of the design may be enforced in like manner as in respect of any other personal property.
(5) Except for the purposes of an application to rectify the register under the following provisions of this Act, a document in respect of which no entry has been made in the register of designs under subsection (3) of this section shall not be admitted in any court as evidence of the title of any person to a registered design or share of or interest in a registered design unless the court otherwise directs.
Rectification of register.
20.-
(1) The court may, on the application of any person aggrieved, order the register of designs to be rectified by the making of any entry therein or the variation or deletion of any entry therein.
(2) In proceedings under this section the court may determine any question which it may be necessary or expedient to decide in connection with the rectification of the register.
(3) Notice of any application to the court under this section shall be given in the prescribed manner to the registrar, who shall be entitled to appear and be heard on the application, and shall appear if so directed by the court.
(4) Any order made by the court under this section shall direct that notice of the order shall be served on the registrar in the prescribed manner; and the registrar shall, on receipt of the notice, rectify the register accordingly.
(5) A rectification of the register under this section has effect as follows:
(a) an entry made has effect from the date on which it should have been made,
(b) an entry varied has effect as if it had originally been made in its varied form, and
(c) an entry deleted shall be deemed never to have had effect,unless, in any case, the court directs otherwise.
Power to correct clerical errors.
21.-
(1) The registrar may, in accordance with the provisions of this section, correct any error in an application for the registration or in the representation of a design, or any error in the register of designs.
(2) A correction may be made in pursuance of this section either upon a request in writing made by any person interested and accompanied by the prescribed fee, or without such a request.
(3) Where the registrar proposes to make any such correction as aforesaid otherwise than in pursuance of a request made under this section, he shall give notice of the proposal to the registered proprietor or the applicant for registration of the design, as the case may be, and to any other person who appears to him to be concerned, and shall give them an opportunity to be heard before making the correction.
Inspection of registered designs.
22.-
(1) Where a design has been registered under this Act, there shall be open to inspection at the Patent Office on and after the day on which the certificate of registration is issued:
(a) the representation or specimen of the design, and
(b) any evidence filed in support of the applicant’s contention that the appearance of an article is material (for the purposes of section 1(3) of this Act).This subsection has effect subject to the following provisions of this section and to any rules made under section 5(2) of this Act.
(2) In the case of a design registered in respect of an article of any class prescribed for the purposes of this subsection, no representation, specimen or evidence filed in pursuance of the application shall, until the expiration of such period after the day on which the certificate of registration is issued as may be prescribed in relation to articles of that class, be open to inspection at the Patent Office except by the registered proprietor, a person authorised in writing by the registered proprietor, or a person authorised by the registrar or by the court:
Provided that where the registrar proposes to refuse an application for the registration of any other design on the ground that it is the same as the first-mentioned design or differs from that design only in immaterial details or in features which are variants commonly used in the trade, the applicant shall be entitled to inspect the representation or specimen of the first-mentioned design filed in pursuance of the application for registration of that design.
(3) In the case of a design registered in respect of an article of any class prescribed for the purposes of the last foregoing subsection, the representation, specimen or evidence shall not, during the period prescribed as aforesaid, be inspected by any person by virtue of this section except in the presence of the registrar or of an officer acting under him; and except in the case of an inspection authorised by the proviso to that subsection, the person making the inspection shall not be entitled to take a copy of the representation, specimen or evidence or any part thereof.
(4) Where an application for the registration of a design has been abandoned or refused, neither the application for registration nor any representation, specimen or evidence filed in pursuance thereof shall at any time be open to inspection at the Patent Office or be published by the registrar.
Information as to existence of right in registered design.
23.- On the request of a person furnishing such information as may enable the registrar to identify the design, and on payment of the prescribed fee, the registrar shall inform him:
(a) whether the design is registered and, if so, in respect of what articles, and
(b) whether any extension of the period of the right in the registered design has been granted,and shall state the date of registration and the name and address of the registered proprietor.
………………….. …
Legal proceedings and appeals
Certificate of contested validity of registration.
25.-
(1) If in any proceedings before the court the validity of the registration of a design is contested, and it is found by the court that the design is validly registered, the court may certify that the validity of the registration of the design was contested in those proceedings.
(2) Where any such certificate has been granted, then if in any subsequent proceedings before the court for infringement of the right in the registered design or for cancellation of the registration of the design, a final order or judgment is made or given in favour of the registered proprietor, he shall, unless the court otherwise directs, be entitled to his costs as between solicitor and client:
Provided that this subsection shall not apply to the costs of any appeal in any such proceedings as aforesaid.
Remedy for groundless threats of infringement proceedings.
26
(1) Where any person (whether entitled to or interested in a registered design or an application for registration of a design or not) by circulars, advertisements or otherwise threatens any other person with proceedings for infringement of the right in a registered design, any person aggrieved thereby may bring an action against him for any such relief as is mentioned in the next following subsection.
(2) Unless in any action brought by virtue of this section the defendant proves that the acts in respect of which proceedings were threatened constitute or, if done, would constitute, an infringement of the right in a registered design the registration of which is not shown by the plaintiff to be invalid, the plaintiff shall be entitled to the following relief, that is to say::
(a) a declaration to the effect that the threats are unjustifiable;
(b) an injunction against the continuance of the threats; and
(c) such damages, if any, as he has sustained thereby.
(2A) Proceedings may not be brought under this section in respect of a threat to bring proceedings for an infringement alleged to consist of the making or importing of anything.
(3) For the avoidance of doubt it is hereby declared that a mere notification that a design is registered does not constitute a threat of proceedings within the meaning of this section.
The court.
27.-
(1) In this Act “the court” means:
(a) in England and Wales, the High Court or any patents county court having jurisdiction by virtue of an order under section 287 of the Copyright, Designs and Patents Act 1988,
(b) in Scotland, the Court of Session, and
(c) in Northern Ireland, the High Court.
(2) Provision may be made by rules of court with respect to proceedings in the High Court in England and Wales for references and applications under this Act to be dealt with by such judge of that court as the Lord Chancellor may select for the purpose.
The Appeal Tribunal.
28.-
(1) Any appeal from the registrar under this Act shall lie to the Appeal Tribunal.
(2) The Appeal Tribunal shall consist of:
(a) one or more judges of the High Court nominated by the Lord Chancellor, and
(b) one judge of the Court of Session nominated by the Lord President of that Court.
(2A) At any time when it consists of two or more judges, the jurisdiction of the Appeal Tribunal:
(a) where in the case of any particular appeal the senior of those judges so directs, shall be exercised in relation to that appeal by both of the judges, or (if there are more than two) by two of them, sitting together, and
(b) in relation to any appeal in respect of which no such direction is given, may be exercised by any one of the judges;and, in the exercise of that jurisdiction, different appeals may be heard at the same time by different judges.
(3) The expenses of the Appeal Tribunal shall be defrayed and the fees to be taken therein may be fixed as if the Tribunal were a court of the High Court.
(4) The Appeal Tribunal may examine witnesses on oath and administer oaths for that purpose.
(5) Upon any appeal under this Act the Appeal Tribunal may by order award to any party such costs or expenses as the Tribunal may consider reasonable and direct how and by what parties the costs or expenses are to be paid; and any such order may be enforced:
(a) in England and Wales or Northern Ireland, in the same way as an order of the High Court;
(b) in Scotland, in the same way as a decree for expenses granted by the Court of Session…………………… …
(7) Upon any appeal under this Act the Appeal Tribunal may exercise any power which could have been exercised by the registrar in the proceeding from which the appeal is brought.
(8) Subject to the foregoing provisions of this section the Appeal Tribunal may make rules for regulating all
matters relating to proceedings before it under this Act, including right of audience.
(8A) At any time when the Appeal Tribunal consists of two or more judges, the power to make rules under subsection (8) of this section shall be exercisable by the senior of those judges:
Provided that another of those judges may exercise that power if it appears to him that it is necessary for rules to be made and that the judge (or, if more than one, each of the judges) senior to him is for the time being prevented by illness, absence or otherwise from making them.
(9) An appeal to the Appeal Tribunal under this Act shall not be deemed to be a proceeding in the High Court.
(10) In this section “the High Court” means the High Court in England and Wales; and for the purposes of this section the seniority of judges shall be reckoned by reference to the dates on which they were appointed judges of that court or the Court of Session.
Powers and duties of Registrar
Exercise of discretionary powers of registrar.
29.-Without prejudice to any provisions of this Act requiring the registrar to hear any party to proceedings thereunder, or to give to any such party an opportunity to be heard, rules made by the Secretary of State under this Act shall require the registrar to give to any applicant for registration of a design an opportunity to be heard before exercising adversely to the applicant any discretion vested in the registrar by or under this Act.
Costs and security for costs.
30.-
(1) Rules made by the Secretary of State under this Act may make provision empowering the registrar, in anyproceedings before him under this Act:
(a) to award any party such costs as he may consider reasonable, and
(b) to direct how and by what parties they are to be paid.
(2) Any such order of the registrar may be enforced:
(a) in England and Wales or Northern Ireland, in the same way as an order of the High Court;
(b) in Scotland, in the same way as a decree for expenses granted by the Court of Session.
(3) Rules made by the Secretary of State under this Act may make provision empowering the registrar to require a person, in such cases as may be prescribed, to give security for the costs of:
(a) an application for cancellation of the registration of a design,
(b) an application for the grant of a licence in respect of a registered design, or
(c) an appeal from any decision of the registrar under this Act,and enabling the application or appeal to be treated as abandoned in default of such security being given.
Evidence before registrar.
31.- Rules made by the Secretary of State under this Act may make provision:
(a) as to the giving of evidence in proceedings before the registrar under this Act by affidavit or statutory declaration;
(b) conferring on the registrar the powers of an official referee of the [F937 Senior Courts] as regards the examination of witnesses on oath and the discovery and production of documents; and
(c) applying in relation to the attendance of witnesses in proceedings before the registrar the rules applicable to the attendance of witnesses in proceedings before such a referee…………………… …
Offences
Offences under s.5.
33.-
(1) If any person fails to comply with any direction given under section five of this Act or makes or causes to be made an application for the registration of a design in contravention of that section, he shall be guilty of an offence and liable:
(a) on conviction on indictment to imprisonment for a term not exceeding two years or a fine, or both;
(b) on summary conviction to imprisonment for a term not exceeding six months or a fine not exceeding the statutory maximum, or both…………………… …
Falsification of register, etc.
34.- If any person makes or causes to be made a false entry in the register of designs, or a writing falsely purporting to be a copy of an entry in that register, or produces or tenders or causes to be produced or tendered in evidence any such writing, knowing the entry or writing to be false, he shall be guilty of an offence and liable:
(a) on conviction on indictment to imprisonment for a term not exceeding two years or a fine, or both;
(b) on summary conviction to imprisonment for a term not exceeding six months or a fine not exceeding the statutory maximum, or both.
Fine for falsely representing a design as registered.
35.-
(1) If any person falsely represents that a design applied to any article sold by him is registered in respect of that article, he shall be liable on summary conviction to a fine not exceeding level 3 on the standard scale; and for the purposes of this provision a person who sells an article having stamped, engraved or impressed thereon or otherwise applied thereto the word “registered”, or any other word expressing or implying that the design applied to the article is registered, shall be deemed to represent that the design applied to the article is registered in respect of that article.
(2) If any person, after the right in a registered design has expired, marks any article to which the design has been applied with the word “registered”, or any word or words implying that there is a subsisting right in the design under this Act, or causes any such article to be so marked, he shall be liable on summary conviction to a fine not exceeding level 1 on the standard scale.
Offence by body corporate: liability of officers.
35A.-
(1) Where an offence under this Act committed by a body corporate is proved to have been committed with the consent or connivance of a director, manager, secretary or other similar officer of the body, or a person purporting to act in any such capacity, he as well as the body corporate is guilty of the offence and liable to be proceeded against and punished accordingly.
(2) In relation to a body corporate whose affairs are managed by its members “director” means a member of the body corporate.
Rules, etc.
General power of Secretary of State to make rules, etc.
36.-
(1) Subject to the provisions of this Act, the Secretary of State may make such rules as he thinks expedient for regulating the business of the Patent Office in relation to designs and for regulating all matters by this Act placed under the direction or control of the registrar or the Secretary of State.
(1A).- Rules may, in particular, make provision:
(a) prescribing the form of applications for registration of designs and of any representations or specimens of designs or other documents which may be filed at the Patent Office, and requiring copies to be furnished of any such representations, specimens or documents;
(b) regulating the procedure to be followed in connection with any application or request to the registrar or in connection with any proceeding before him, and authorising the rectification of irregularities of procedure;
(c) providing for the appointment of advisers to assist the registrar in proceedings before him;
(d) regulating the keeping of the register of designs;
(e) authorising the publication and sale of copies of representations of designs and other documents in the Patent Office;
(f) prescribing anything authorised or required by this Act to be prescribed by rules.
(1B) The remuneration of an adviser appointed to assist the registrar shall be determined by the Secretary of State with the consent of the Treasury and shall be defrayed out of money provided by Parliament.
(2) Rules made under this section may provide for the establishment of branch offices for designs and may authorise any document or thing required by or under this Act to be filed or done at the Patent Office to be filed or done at the branch office at Manchester or any other branch office established in pursuance of the rules.
Provisions as to rules and Orders.
37.-
(1)………………….. …
(2)Any rules made by the Secretary of State in pursuance of section 15 or section 16 of this Act, and any order made, direction given, or other action taken under the rules by the registrar, may be made, given or taken so as to have effect as respects things done or omitted to be done on or after such date, whether before or after the coming into operation of the rules or of this Act, as may be specified in the rules.
(3) Any power to make rules conferred by this Act on the Secretary of State or on the Appeal Tribunal shall be exercisable by statutory instrument; and the Statutory Instruments Act 1946 shall apply to a statutory instrument containing rules made by the Appeal Tribunal in like manner as if the rules had been made by a Minister of the Crown.
(4) Any statutory instrument containing rules made by the Secretary of State under this Act shall be subject to annulment in pursuance of a resolution of either House of Parliament.
(5) Any Order in Council made under this Act may be revoked or varied by a subsequent Order in Council…………………… …
Supplemental
Hours of business and excluded days.
39.-
(1) Rules made by the Secretary of State under this Act may specify the hour at which the Patent Office shall be deemed to be closed on any day for purposes of the transaction by the public of business under this Act or of any class of such business, and may specify days as excluded days for any such purposes.
(2) Any business done under this Act on any day after the hour specified as aforesaid in relation to business of that class, or on a day which is an excluded day in relation to business of that class, shall be deemed to have been done on the next following day not being an excluded day; and where the time for doing anything under this Act expires on an excluded day, that time shall be extended to the next following day not being an excluded day.
Fees.
40.-There shall be paid in respect of the registration of designs and applications therefor, and in respect of other matters relating to designs arising under this Act, such fees as may be prescribed by rules made by the Secretary of State with the consent of the Treasury.
Service of notices, &c., by post.
41.- Any notice required or authorised to be given by or under this Act, and any application or other document so authorised or required to be made or filed, may be given, made or filed by post.
Annual report of registrar.
42.- The Comptroller-General of Patents, Designs and Trade Marks shall, in his annual report with respect to the execution of the Patents Act 1977, include a report with respect to the execution of this Act as if it formed a part of or was included in that Act.
Savings.
43.-
(1) Nothing in this Act shall be construed as authorising or requiring the registrar to register a design the use of which would, in his opinion, be contrary to law or morality.
(2) Nothing in this Act shall affect the right of the Crown or of any person deriving title directly or indirectly from the Crown to sell or use articles forfeited under the laws relating to customs or excise.
Interpretation.
44.-
(1) In this Act, except where the context otherwise requires, the following expressions have the meanings hereby respectively assigned by them, that is to say:
“Appeal Tribunal” means the Appeal Tribunal constituted and acting in accordance with section 28 of this Act as amended by the Administration of Justice Act 1969;
“article” means any article of manufacture and includes any part of an article if that part is made and sold separately;
“artistic work” has the same meaning as in Part I of the Copyright, Designs and Patents Act 1988;
“assignee” includes the personal representative of a deceased assignee, and references to the assignee of any person include references to the assignee of the personal representative or assignee of that person;
“author”, in relation to a design, has the meaning given by section 2(3) and (4);
………………….. …
“corresponding design”, in relation to an artistic work, means a design which if applied to an article would produce something which would be treated for the purposes of Part I of the Copyright, Designs and Patents Act 1988 as a copy of that work;
“the court” shall be construed in accordance with section 27 of this Act;
“design” has the meaning assigned to it by section 1(1) of this Act;
“employee”, “employment” and “employer” refer to employment under a contract of service or of apprenticeship;
………………….. …
“prescribed” means prescribed by rules made by the Secretary of State under this Act;
“proprietor” has the meaning assigned to it by section two of this Act;
“registered proprietor” means the person or persons for the time being entered in the register of designs as proprietor of the design;
“registrar” means the Comptroller-General of Patents Designs and Trade Marks;
“set of articles” means a number of articles of the same general character ordinarily on sale or intended to be used together, to each of which the same design, or the same design with modifications or variations not sufficient to alter the character or substantially to affect the identity thereof, is applied.
(2) Any reference in this Act to an article in respect of which a design is registered shall, in the case of a design registered in respect of a set of articles, be construed as a reference to any article of that set.
(3) Any question arising under this Act whether a number of articles constitute a set of articles shall be determined by the registrar; and notwithstanding anything in this Act any determination of the registrar under this subsection shall be final.
(4) For the purposes of subsection (1) of section 14 and of section 16 of this Act, the expression “personal representative”, in relation to a deceased person, includes the legal representative of the deceased appointed in any country outside the United Kingdom.
Application to Scotland.
45.- In the application of this Act to Scotland:
………………….. …
(3) The expression “injunction” means “interdict”; the expression “arbitrator”means “arbiter”;
the expression “plaintiff” means “pursuer”; the expression “defendant” means “defender”.
Application to Northern Ireland.
46.- In the application of this Act to Northern Ireland:
………………….. …
(3) References to enactments include enactments comprised in Northern Ireland legislation:
(3A) References to the Crown include the Crown in right of Her Majesty’s Government in Northern Ireland:
(4) References to a government department shall be construed as including references to a Northern Ireland department, and in relation to a Northern Ireland department references to the Treasury shall be construed as references to the Department of Finance and Personnel…. …………………..
Application to Isle of Man.
47.-This Act extends to the Isle of Man, subject to any modifications contained in an Order made by Her Majesty in Council, and accordingly, subject to any such Order, references in this Act to the United Kingdom shall be construed as including the Isle of Man.
Territorial waters and the continental shelf.
47A.-
(1) For the purposes of this Act the territorial waters of the United Kingdom shall be treated as part of the United Kingdom.
(2) This Act applies to things done in the United Kingdom sector of the continental shelf on a structure or vessel which is present there for purposes directly connected with theexploration of the sea bed or subsoil or the exploitation of their natural resources as it applies to things done in the United Kingdom.
(3) The United Kingdom sector of the continental shelf means the areas designated by order under section 1(7) of the Continental Shelf Act 1964.
Repeals, savings, and transitional provisions.
48.-
(1)………………….. …
(2) Subject to the provisions of this section, any Order in Council, rule, order, requirement, certificate, notice, decision, direction, authorisation, consent, application, request or thing made, issued, given or done under any enactment repealed by this Act shall, if in force at the commencement of this Act, and so far as it could have been made, issued, given or done under this Act, continue in force and have effect as if made, issued, given or done under the corresponding enactment of this Act.
(3) Any register kept under the Patents and Designs Act 1907 shall be deemed to form part of the corresponding register under this Act.
(4) Any design registered before the commencement of this Act shall be deemed to be registered under this Act in respect of articles of the class in which it is registered.
(5) Where, in relation to any design, the time for giving notice to the registrar under section 59 of the Patents and Designs Act 1907 expired before the commencement of this Act and the notice was not given, subsection (2) of section 6 of this Act shall not apply in relation to that design or any registration of that design.
(6) Any document referring to any enactment repealed by this Act shall be construed as referring to the corresponding enactment of this Act.
(7) Nothing in the foregoing provisions of this section shall be taken as prejudicing the operation of section 38 of the Interpretation Act 1889 (which relates to the effect of repeals).
Short title and commencement.
49.-
(1) This Act may be cited as the Registered Designs Act 1949.
(2) This Act shall come into operation on the first day of January, nineteen hundred and fifty, immediately after the coming into operation of the Patents and Designs Act 1949.
FIRST SCHEDULE.- Provisions as to the Use of Registered Designs for the Services of the Crown and as to the Rights of Third Parties in Respect of such Use
Use of registered designs for services of the Crown
1.-
(1) Notwithstanding anything in this Act, any Government department, and any person authorised in writing by a Government department, may use any registered design for the services of the Crown in accordance with the following provisions of this paragraph.
(2) If and so far as the design has before the date of registration thereof been duly recorded by or applied by or on behalf of a Government department otherwise than in consequence of the communication of the design directly or indirectly by the registered proprietor or any person from whom he derives title, any use of the design by virtue of this paragraph may be made free of any royalty or other payment to the registered proprietor.
(3) If and so far as the design has not been so recorded or applied as aforesaid, any use of the design made by virtue of this paragraph at any time after the date of registration thereof, or in consequence of any such communication as aforesaid, shall be made upon such terms as may be agreed upon, either before or after the use, between the Government department and the registered proprietor with the approval of the Treasury, or as may in default of agreement be determined by the court on a reference under paragraph 3 of this Schedule.
(4) The authority of a Government department in respect of a design may be given under this paragraph either before or after the design is registered and either before or after the acts in respect of which the authority is given are done, and may be given to any person whether or not he is authorised directly or indirectly by the registered proprietor to use the design.
(5) Where any use of a design is made by or with the authority of a Government department under this paragraph, then, unless it appears to the department that it would be contrary to the public interest so to do, the department shall notify the registered proprietor as soon as practicable after the use is begun, and furnish him with such information as to the extent of the use as he may from time to time require.
(6) For the purposes of this and the next following paragraph “the services of the Crown” shall be deemed to include:
(a) the supply to the government of any country outside the United Kingdom, in pursuance of an agreement or arrangement between Her Majesty’s Government in the United Kingdom and the government of that country, of articles required:
(i) for the defence of that country; or
(ii) for the defence of any other country whose government is party to any agreement or arrangement with Her Majesty’s said Government in respect of defence matters;
(b) the supply to the United Nations, or the government of any country belonging to that organisation, in pursuance of an agreement or arrangement between Her Majesty’s Government and that organisation or government, of articles required for any armed forces operating in pursuance of a resolution of that organisation or any organ of that organisation;
and the power of a Government department or a person authorised by a Government department under this paragraph to use a design shall include power to sell to any such government or to the said organisation any articles the supply of which is authorised by this sub-paragraph, and to sell to any person any articles made in the exercise of the powers conferred by this paragraph which are no longer required for the purpose for which they were made.
(7) The purchaser of any articles sold in the exercise of powers conferred by this paragraph, and any person claiming through him, shall have power to deal with them in the same manner as if the rights in the registered design were held on behalf of His Majesty.
Rights of third parties in respect of Crown use
2.-
(1) In relation to any use of a registered design, or a design in respect of which an application for registration is pending, made for the services of the Crown:
(a) by a Government department or a person authorised by a Government department under the last foregoing paragraph; or
(b) by the registered proprietor or applicant for registration to the order of a Government department,
the provisions of any licence, assignment or agreement made, whether before or after the commencement of this Act, between the registered proprietor or applicant for registration or any person who derives title from him or from whom he derives title and any person other than a Government department shall be of no effect so far as those provisions restrict or regulate the use of the design, or any model, document or information relating thereto, or provide for the making of payments in respect of any such use, or calculated by reference thereto; and the reproduction or publication of any model or document in connection with the said use shall not be deemed to be an infringement of any copyright or design right subsisting in the model or document.
(2) Where an exclusive licence granted otherwise than for royalties or other benefits determined by reference to the use of the design is in force under the registered design then:
(a) in relation to any use of the design which, but for the provisions of this and the last foregoing paragraph, would constitute an infringement of the rights of the licensee, sub-paragraph (3) of the last foregoing paragraph shall have effect as if for the reference to the registered proprietor there were substituted a reference to the licensee; and
(b) in relation to any use of the design by the licensee by virtue of an authority given under the last foregoing paragraph, that paragraph shall have effect as if the said sub-paragraph (3) were omitted.
(3) Subject to the provisions of the last foregoing sub-paragraph, where the registered design or the right to apply for or obtain registration of the design has been assigned to the registered proprietor in consideration of royalties or other benefits determined by reference to the use of the design, then:
(a) in relation to any use of the design by virtue of paragraph 1 of this Schedule, sub-paragraph (3) of that paragraph shall have effect as if the reference to the registered proprietor included a reference to the assignor, and any sum payable by virtue of that sub-paragraph shall be divided between the registered proprietor and the assignor in such proportion as may be agreed upon between them or as may in default of agreement be determined by the court on a reference under the next following paragraph; and
(b) in relation to any use of the design made for the services of the Crown by the registered proprietor to the order of a Government department, sub-paragraph (3) of paragraph 1 of this Schedule shall have effect as if that use were made by virtue of an authority given under that paragraph.
(4) Where, under sub-paragraph (3) of paragraph 1 of this Schedule, payments are required to be made by a Government department to a registered proprietor in respect of any use of a design, any person being the holder of an exclusive licence under the registered design (not being such a licence as is mentioned in sub-paragraph (2) of this paragraph) authorising him to make that use of the design shall be entitled to recover from the registered proprietor such part (if any) of those payments as may be agreed upon between that person and the registered proprietor, or as may in default of agreement be determined by the court under the next following paragraph to be just having regard to any expenditure incurred by that person:
(a) in developing the said design; or
(b) in making payments to the registered proprietor, other than royalties or other payments determined by reference to the use of the design, in consideration of the licence;
and if, at any time before the amount of any such payment has been agreed upon between the Government department and the registered proprietor, that person gives notice in writing of his interest to the department, any agreement as to the amount of that payment shall be of no effect unless it is made with his consent.
(5) In this paragraph “exclusive licence” means a licence from a registered proprietor which confers on the licensee, or on the licensee and persons authorised by him, to the exclusion of all other persons (including the registered proprietor), any right in respect of the registered design.
Compensation for loss of profit
2A.-
(1) Where Crown use is made of a registered design, the government department concerned shall pay:
(a) to the registered proprietor, or
(b) if there is an exclusive licence in force in respect of the design, to the exclusive licensee,
compensation for any loss resulting from his not being awarded a contract to supply the articles to which the design is applied.
(2) Compensation is payable only to the extent that such a contract could have been fulfilled from his existing manufacturing capacity; but is payable notwithstanding the existence of circumstances rendering him ineligible for the award of such a contract.
(3) In determining the loss, regard shall be had to the profit which would have been made on such a contract and to the extent to which any manufacturing capacity was under-used.
(4) No compensation is payable in respect of any failure to secure contracts for the supply of articles to which the design is applied otherwise than for the services of the Crown.
(5) The amount payable under this paragraph shall, if not agreed between the registered proprietor or licensee and the government department concerned with the approval of the Treasury, be determined by the court on a reference under paragraph 3; and it is in addition to any amount payable under paragraph 1 or 2 of this schedule.
(6) In this paragraph:
“Crown use”, in relation to a design, means the doing of anything by virtue of paragraph 1 which would otherwise be an infringement of the right in the design; and
“the government department concerned”, in relation to such use, means the government department by whom or on whose authority the act was done.
Reference of disputes as to Crown use
3.-
(1) Any dispute as to:
(a) the exercise by a Government department, or a person authorised by a Government department, of the powers conferred by paragraph 1 of this Schedule,
(b) terms for the use of a design for the services of the Crown under that paragraph,
(c) the right of any person to receive any part of a payment made under paragraph 1(3), or
(d) the right of any person to receive a payment under paragraph 2A,
may be referred to the court by either party to the dispute.
(2) In any proceedings under this paragraph to which a Government department are a party, the department may:
(a) if the registered proprietor is a party to the proceedings, apply for cancellation of the registration of the design upon any ground upon which the registration of a design may be cancelled on an application to the court under section twenty of this Act;
(b) in any case, put in issue the validity of the registration of the design without applying for its cancellation.
(3) If in such proceedings as aforesaid any question arises whether a design has been recorded or applied as mentioned in paragraph 1 of this Schedule, and the disclosure of any document recording the design, or of any evidence of the application thereof, would in the opinion of the department be prejudicial to the public interest, the disclosure may be made confidentially to counsel for the other party or to an independent expert mutually agreed upon.
(4) In determining under this paragraph any dispute between a Government department and any person as to terms for the use of a design for the services of the Crown, the court shall have regard to any benefit or compensation which that person or any person from whom he derives title may have received, or may be entitled to receive, directly or indirectly from any Government department in respect of the design in question.
(5) In any proceedings under this paragraph the court may at any time order the whole proceedings or any question or issue of fact arising therein to be referred to a special or official referee or an arbitrator on such terms as the court may direct; and references to the court in the foregoing provisions of this paragraph shall be construed accordingly.
Special provisions as to Crown use during emergency
4.-
(1) During any period of emergency within the meaning of this paragraph, the powers exercisable in relation to a design by a Government department, or a person authorised by a Government department under paragraph 1 of this Schedule shall include power to use the design for any purpose which appears to the department necessary or expedient:
(a) for the efficient prosecution of any war in which His Majesty may be engaged;
(b) for the maintenance of supplies and services essential to the life of the community;
(c) for securing a sufficiency of supplies and services essential to the well-being of the community;
(d) for promoting the productivity of industry, commerce and agriculture;
(e) for fostering and directing exports and reducing imports, or imports of any classes, from all or any countries and for redressing the balance of trade;
(f) generally for ensuring that the whole resources of the community are available for use, and are used, in a manner best calculated to serve the interests of the community; or
(g) for assisting the relief of suffering and the restoration and distribution of essential supplies and services in any part of His Majesty’s dominions or any foreign countries that are in grave distress as the result of war;
and any reference in this Schedule to the services of the Crown shall be construed as including a reference to the purposes aforesaid.
(2) In this paragraph the expression “period of emergency” means a period beginning on such date as may be declared by Order in Council to be the commencement, and ending on such date as may be so declared to be the termination, of a period of emergency for the purposes of this paragraph.
(3) No Order in Council under this paragraph shall be submitted to Her Majesty unless a draft of it has been laid before and approved by a resolution of each House of Parliament.
………………….. …
Section 295.- SCHEDULE 5.- Patents: miscellaneous amendments
Withdrawal of application before publication of specification
1.- In section 13(2) of the M71Patents Act 1949 (duty of comptroller to advertise acceptance of and publish complete specification) after the word “and”, in the first place where it occurs, insert “, unless the application is withdrawn,”.
Correction of clerical errors
2.-
(1) In section 15 of the M72Patents Act 1977 (filing of application), after subsection (3) insert:
“(3A) Nothing in subsection (2) or (3) above shall be construed as affecting the power of the comptroller under section 117(1) below to correct errors or mistakes with respect to the filing of drawings.”.
(2) The above amendment applies only in relation to applications filed after the commencement of this paragraph.
Supplementary searches
3.-
(1) Section 17 of the Patents Act 1977 (preliminary examination and search) is amended as follows.
(2) In subsection (7) (supplementary searches) for “subsection (4) above” substitute “subsections (4) and (5) above” and for “it applies” substitute “they apply”.
(3) After that subsection add:
“(8) A reference for a supplementary search in consequence of:
(a) an amendment of the application made by the applicant under section 18(3) or 19(1) below, or
(b) a correction of the application, or of a document filed in connection with the application, under section 117 below,shall be made only on payment of the prescribed fee, unless the comptroller directs otherwise.”.
4.- In section 18 of the Patents Act 1977 (substantive examination and grant or refusal of patent), after subsection (1) insert:
“(1A) If the examiner forms the view that a supplementary search under section 17 above is required for which a fee is payable, he shall inform the comptroller, who may decide that the substantive examination should not proceed until the fee is paid; and if he so decides, then unless within such period as he may allow:
(a) the fee is paid, or
(b) the application is amended so as to render the supplementary search unnecessary,he may refuse the application.”.
5.- In section 130(1) of the Patents Act 1977 (interpretation), in the definition of “search fee”, for “section 17 above” substitute “section 17(1) above”.
Application for restoration of lapsed patent
6.-
(1) Section 28 of the Patents Act 1977 (restoration of lapsed patents) is amended as follows.
(2) For subsection (1) (application for restoration within period of one year) substitute:
“(1) Where a patent has ceased to have effect by reason of a failure to pay any renewal fee, an application for the restoration of the patent may be made to the comptroller within the prescribed period.
(1A) Rules prescribing that period may contain such transitional provisions and savings as appear to the Secretary of State to be necessary or expedient.”.
(3).- After subsection (2) insert:
“(2A) Notice of the application shall be published by the comptroller in the prescribed manner.”.
(4) In subsection (3), omit paragraph (b) (requirement that failure to renew is due to circumstances beyond proprietor’s control) and the word “and” preceding it.
This amendment does not apply to a patent which has ceased to have effect in accordance with section 25(3) of the M73Patents Act 1977 (failure to renew within prescribed period) and in respect of which the period referred to in subsection (4) of that section (six months’ period of grace for renewal) has expired before commencement.
(5) Omit subsections (5) to (9) (effect of order for restoration).
7.- After that section insert:
“28A Effect of order for restoration of patent.
(1) The effect of an order for the restoration of a patent is as follows.
(2) Anything done under or in relation to the patent during the period between expiry and restoration shall be treated as valid.
(3) Anything done during that period which would have constituted an infringement if the patent had not expired shall be treated as an infringement:
(a) if done at a time when it was possible for the patent to be renewed under section 25(4), or
(b) if it was a continuation or repetition of an earlier infringing act.
(4) If after it was no longer possible for the patent to be so renewed, and before publication of notice of the application for restoration, a person:
(a) began in good faith to do an act which would have constituted an infringement of the patent if it had not expired, or
(b) made in good faith effective and serious preparations to do such an act,he has the right to continue to do the act or, as the case may be, to do the act, notwithstanding the restoration of the patent; but this right does not extend to granting a licence to another person to do the act.
(5) If the act was done, or the preparations were made, in the course of a business, the person entitled to the right conferred by subsection (4) may:
(a) authorise the doing of that act by any partners of his for the time being in that business, and
(b) assign that right, or transmit it on death (or in the case of a body corporate on its dissolution), to any person who acquires that part of the business in the course of which the act was done or the preparations were made.
(6) Where a product is disposed of to another in exercise of the rights conferred by subsection (4) or (5), that other and any person claiming through him may deal with the product in the same way as if it had been disposed of by the registered proprietor of the patent.
(7) The above provisions apply in relation to the use of a patent for the services of the Crown as they apply in relation to infringement of the patent.”.
8.- In consequence of the above amendments:
(a) in section 60(6)(b) of the M74Patents Act 1977, for “section 28(6)” substitute “section 28A(4) or (5)”; and
(b) in sections 77(5), 78(6) and 80(4) of that Act, for the words from “section 28(6)” to the end substitute “section 28A(4) and (5) above, and subsections (6) and (7) of that section shall apply accordingly.”.
Determination of right to patent after grant
9.-
(1) Section 37 of the Patents Act 1977 (determination of right to patent after grant) is amended as follows.
(2) For subsection (1) substitute:
“(1) After a patent has been granted for an invention any person having or claiming a proprietary interest in or under the patent may refer to the comptroller the question:
(a) who is or are the true proprietor or proprietors of the patent,
(b) whether the patent should have been granted to the person or persons to whom it was granted, or
(c) whether any right in or under the patent should be transferred or granted to any other person or persons;and the comptroller shall determine the question and make such order as he thinks fit to give effect to the determination.”.
(3) Substitute “this section”:
(a) in subsections (4) and (7) for “subsection (1)(a) above”, and
(b) in subsection (8) for “subsection (1) above”.
10.- In section 74(6) (meaning of “entitlement proceedings”), for “section 37(1)(a) above” substitute “section 37(1) above”.
Employees’ inventions
11.-
(1) In section 39 of the Patents Act 1977 (right to employees’ inventions), after subsection (2) add:
“(3) Where by virtue of this section an invention belongs, as between him and his employer, to an employee, nothing done:
(a) by or on behalf of the employee or any person claiming under him for the purposes of pursuing an application for a patent, or
(b) by any person for the purpose of performing or working the invention,shall be taken to infringe any copyright or design right to which, as between him and his employer, his employer is entitled in any model or document relating to the invention.”.
(2) In section 43 of the M75Patents Act 1977 (supplementary provisions with respect to employees’ inventions), in subsection (4) (references to patents to include other forms of protection, whether in UK or elsewhere) for “in sections 40 to 42” substitute “in sections 39 to 42.”.
Undertaking to take licence in infringement proceedings
12.-
(1) Section 46 of the Patents Act 1977 (licences of right) is amended as follows.
(2) In subsection (3)(c) (undertaking to take licence in infringement proceedings) after the words “(otherwise than by the importation of any article” insert “from a country which is not a member State of the European Economic Community”.
(3) After subsection (3) insert:
“(3A) An undertaking under subsection (3)(c) above may be given at any time before final order in the proceedings, without any admission of liability.”.
Power of comptroller on grant of compulsory licence
13.- In section 49 of the Patents Act 1977 (supplementary provisions with respect to compulsory licences), omit subsection (3) (power to order that licence has effect to revoke existing licences and deprive proprietor of power to work invention or grant licences).
Powers exercisable in consequence of report of Monopolies and Mergers Commission
14.- For section 51 of the Patents Act 1977 (licences of right: application by Crown in consequence of report of Monopolies and Mergers Commission) substitute:
“51 Powers exercisable in consequence of report of Monopolies and Mergers Commission.
(1) Where a report of the Monopolies and Mergers Commission has been laid before Parliament containing conclusions to the effect:
(a) on a monopoly reference, that a monopoly situation exists and facts found by the Commission operate or may be expected to operate against the public interest,
(b) on a merger reference, that a merger situation qualifying for investigation has been created and the creation of the situation, or particular elements in or consequences of it specified in the report, operate or may be expected to operate against the public interest,
(c) on a competition reference, that a person was engaged in an anti-competitive practice which operated or may be expected to operate against the public interest, or
(d) on a reference under section 11 of the Competition Act 1980 (reference of public bodies and certain other persons), that a person is pursuing a course of conduct which operates against the public interest,the appropriate Minister or Ministers may apply to the comptroller to take action under this section.
(2) Before making an application the appropriate Minister or Ministers shall publish, in such manner as he or they think appropriate, a notice describing the nature of the proposed application and shall consider any representations which may be made within 30 days of such publication by persons whose interests appear to him or them to be affected.
(3) If on an application under this section it appears to the comptroller that the matters specified in the Commission’s report as being those which in the Commission’s opinion operate, or operated or may be expected to operate, against the public interest include:
(a) conditions in licences granted under a patent by its proprietor restricting the use of the invention by the licensee or the right of the proprietor to grant other licences, or
(b) a refusal by the proprietor of a patent to grant licences on reasonable termshe may by order cancel or modify any such condition or may, instead or in addition, make an entry in the register to the effect that licences under the patent are to be available as of right.
(4) In this section “the appropriate Minister or Ministers” means the Minister or Ministers to whom the report of the Commission was made.”.
Compulsory licensing: reliance on statements in competition report
15.- In section 53(2) of the M76Patents Act 1977 (compulsory licensing: reliance on statements in reports of Monopolies and Mergers Commission):
(a) for “application made in relation to a patent under sections 48 to 51 above” substitute “application made under section 48 above in respect of a patent”; and
(b) after “Part VIII of the Fair Trading Act 1973” insert “or section 17 of the Competition Act 1980”.
Crown use: compensation for loss of profit
16.- (1)In the Patents Act 1977, after section 57 insert:
“57A Compensation for loss of profit.
(1) Where use is made of an invention for the services of the Crown, the government department concerned shall pay:
(a) to the proprietor of the patent, or
(b) if there is an exclusive licence in force in respect of the patent, to the exclusive licensee,compensation for any loss resulting from his not being awarded a contract to supply the patented product or, as the case may be, to perform the patented process or supply a thing made by means of the patented process.
(2) Compensation is payable only to the extent that such a contract could have been fulfilled from his existing manufacturing or other capacity; but is payable notwithstanding the existence of circumstances rendering him ineligible for the award of such a contract.
(3) In determining the loss, regard shall be had to the profit which would have been made on such a contract and to the extent to which any manufacturing or other capacity was under-used.
(4) No compensation is payable in respect of any failure to secure contracts to supply the patented product or, as the case may be, to perform the patented process or supply a thing made by means of the patented process, otherwise than for the services of the Crown.
(5) The amount payable shall, if not agreed between the proprietor or licensee and the government department concerned with the approval of the Treasury, be determined by the court on a reference under section 58, and is in addition to any amount payable under section 55 or 57.
(6) In this section “the government department concerned”, in relation to any use of an invention for the services of the Crown, means the government department by whom or on whose authority the use was made.
(7) In the application of this section to Northern Ireland, the reference in subsection (5) above to the Treasury shall, where the government department concerned is a department of the Government of Northern Ireland, be construed as a reference to the Department of Finance and Personnel.”.
(2) In section 58 of the M77Patents Act 1977 (reference of disputes as to Crown use), for subsection (1) substitute:
“(1) Any dispute as to:
(a) the exercise by a government department, or a person authorised by a government department, of the powers conferred by section 55 above,
(b) terms for the use of an invention for the services of the Crown under that section,
(c) the right of any person to receive any part of a payment made in pursuance of subsection (4) of that section, or
(d) the right of any person to receive a payment under section 57A,may be referred to the court by either party to the dispute after a patent has been granted for the invention.”;
and in subsection (4) for “under this section” substitute “under subsection (1)(a), (b) or (c) above”.
(3) In section 58(11) of the Patents Act 1977 (exclusion of right to compensation for Crown use if relevant transaction, instrument or event not registered), after “section 57(3) above)” insert “, or to any compensation under section 57A above,”.
(4) The above amendments apply in relation to any use of an invention for the services of the Crown after the commencement of this section, even if the terms for such use were settled before commencement.
Right to continue use begun before priority date
17.- For section 64 of the Patents Act 1977 (right to continue use begun before priority date) substitute:
“64 Right to continue use begun before priority date.
(1) Where a patent is granted for an invention, a person who in the United Kingdom before the priority date of the invention:
(a) does in good faith an act which would constitute an infringement of the patent if it were in force, or
(b) makes in good faith effective and serious preparations to do such an act,has the right to continue to do the act or, as the case may be, to do the act, notwithstanding the grant of the patent; but this right does not extend to granting a licence to another person to do the act.
(2) If the act was done, or the preparations were made, in the course of a business, the person entitled to the right conferred by subsection (1) may:
(a) authorise the doing of that act by any partners of his for the time being in that business, and
(b) assign that right, or transmit it on death (or in the case of a body corporate on its dissolution), to any person who acquires that part of the business in the course of which the act was done or the preparations were made.
(3) Where a product is disposed of to another in exercise of the rights conferred by subsection (1) or (2), that other and any person claiming through him may deal with the product in the same way as if it had been disposed of by the registered proprietor of the patent.”.
Revocation on grounds of grant to wrong person
18.- In section 72(1) of the M78Patents Act 1977 (grounds for revocation of patent), for paragraph (b) substitute:
“(b) that the patent was granted to a person who was not entitled to be granted that patent;”.
Revocation where two patents granted for same invention
19.- In section 73 of the Patents Act 1977 (revocation on initiative of comptroller), for subsections (2) and (3) (revocation of patent where European patent (UK) granted in respect of same invention) substitute:
“(2) If it appears to the comptroller that a patent under this Act and a European patent (UK) have been granted for the same invention having the same priority date, and that the applications for the patents were filed by the same applicant or his successor in title, he shall give the proprietor of the patent under this Act an opportunity of making observations and of amending the specification of the patent, and if the proprietor fails to satisfy the comptroller that there are not two patents in respect of the same invention, or to amend the specification so as to prevent there being two patents in respect of the same invention, the comptroller shall revoke the patent.
(3) The comptroller shall not take action under subsection (2) above before:
(a) the end of the period for filing an opposition to the European patent (UK) under the European Patent Convention, or
(b) if later, the date on which opposition proceedings are finally disposed of;and he shall not then take any action if the decision is not to maintain the European patent or if it is amended so that there are not two patents in respect of the same invention.
(4) The comptroller shall not take action under subsection (2) above if the European patent (UK) has been surrendered under section 29(1) above before the date on which by virtue of section 25(1) above the patent under this Act is to be treated as having been granted or, if proceedings for the surrender of the European patent (UK) have been begun before that date, until those proceedings are finally disposed of; and he shall not then take any action if the decision is to accept the surrender of the European patent.”.
Applications and amendments not to include additional matter
20.- For section 76 of the M79Patents Act 1977 (amendments of applications and patents not to include added matter) substitute:
“76 Amendments of applications and patents not to include added matter.
(1) An application for a patent which:
(a) is made in respect of matter disclosed in an earlier application, or in the specification of a patent which has been granted, and
(b) discloses additional matter, that is, matter extending beyond that disclosed in the earlier application, as filed, or the application for the patent, as filed,may be filed under section 8(3), 12 or 37(4) above, or as mentioned in section 15(4) above, but shall not be allowed to proceed unless it is amended so as to exclude the additional matter.
(2) No amendment of an application for a patent shall be allowed under section 17(3), 18(3) or 19(1) if it results in the application disclosing matter extending beyond that disclosed in the application as filed.
(3) No amendment of the specification of a patent shall be allowed under section 27(1), 73 or 75 if it:
(a) results in the specification disclosing additional matter, or
(b) extends the protection conferred by the patent.”.
Effect of European patent (UK)
21.-
(1) Section 77 of the Patents Act 1977 (effect of European patent (UK)) is amended as follows.
(2) For subsection (3) (effect of finding of partial validity on pending proceedings) substitute:
“(3) Where in the case of a European patent (UK):
(a) proceedings for infringement, or proceedings under section 58 above, have been commenced before the court or the comptroller and have not been finally disposed of, and
(b) it is established in proceedings before the European Patent Office that the patent is only partially valid,the provisions of section 63 or, as the case may be, of subsections (7) to (9) of section 58 apply as they apply to proceedings in which the validity of a patent is put in issue and in which it is found that the patent is only partially valid.”.
(3) For subsection (4) (effect of amendment or revocation under European Patent Convention) substitute:
“(4) Where a European patent (UK) is amended in accordance with the European Patent Convention, the amendment shall have effect for the purposes of Parts I and III of this Act as if the specification of the patent had been amended under this Act; but subject to subsection (6)(b) below.
(4A) Where a European patent (UK) is revoked in accordance with the European Patent Convention, the patent shall be treated for the purposes of Parts I and III of this Act as having been revoked under this Act.”.
(4) In subsection (6) (filing of English translation), in paragraph (b) (amendments) for “a translation of the amendment into English” substitute “a translation into English of the specification as amended”.
(5) In subsection (7) (effect of failure to file translation) for the words from “a translation” to “above” substitute “such a translation is not filed”.
The state of the art: material contained in patent applications
22.- In section 78 of the M80Patents Act 1977 (effect of filing an application for a European patent (UK)), for subsection (5) (effect of withdrawal of application, &c.) substitute:
“(5) Subsections (1) to (3) above shall cease to apply to an application for a European patent (UK), except as mentioned in subsection (5A) below, if:
(a) the application is refused or withdrawn or deemed to be withdrawn, or
(b) the designation of the United Kingdom in the application is withdrawn or deemed to be withdrawn,but shall apply again if the rights of the applicant are re-established under the European Patent Convention, as from their re-establishment.
(5A) The occurrence of any of the events mentioned in subsection (5)(a) or (b) shall not affect the continued operation of section 2(3) above in relation to matter contained in an application for a European patent (UK) which by virtue of that provision has become part of the state of the art as regards other inventions.”.
Jurisdiction in certain proceedings
23.- Section 88 of the Patents Act 1977 (jurisdiction in legal proceedings in connection with Community Patent Convention) is repealed.
Effect of filing international application for patent
24.-
(1) Section 89 of the Patents Act 1977 (effect of filing international application for patent) is amended as follows.
(2)After subsection (3) insert:
“(3A) If the relevant conditions are satisfied with respect to an application which is amended in accordance with the Treaty and the relevant conditions are not satisfied with respect to any amendment, that amendment shall be disregarded.”.
(3)After subsection (4) insert:
“(4A) In subsection (4)(a) “a copy of the application” includes a copy of the application published in accordance with the Treaty in a language other than that in which it was filed.”.
(4) For subsection (10) (exclusion of certain applications subject to European Patent Convention) substitute:
“(10) The foregoing provisions of this section do not apply to an application which falls to be treated as an international application for a patent (UK) by reason only of its containing an indication that the applicant wishes to obtain a European patent (UK); but without prejudice to the application of those provisions to an application which also separately designates the United Kingdom.”.
(5) The amendments in this paragraph shall be deemed always to have had effect.
(6) This paragraph shall be repealed by the order bringing the following paragraph into force.
25.- For section 89 of the M81Patents Act 1977 (effect of filing international application for patent) substitute:
“89 Effect of international application for patent.
(1) An international application for a patent (UK) for which a date of filing has been accorded under the Patent Co-operation Treaty shall, subject to:
section 89A (international and national phases of application), and
section 89B (adaptation of provisions in relation to international application),
be treated for the purposes of Parts I and III of this Act as an application for a patent under this Act.
(2) If the application, or the designation of the United Kingdom in it, is withdrawn or (except as mentioned in subsection (3)) deemed to be withdrawn under the Treaty, it shall be treated as withdrawn under this Act.
(3) An application shall not be treated as withdrawn under this Act if it, or the designation of the United Kingdom in it, is deemed to be withdrawn under the Treaty:
(a) because of an error or omission in an institution having functions under the Treaty, or
(b) because, owing to circumstances outside the applicant’s control, a copy of the application was not received by the International Bureau before the end of the time limited for that purpose under the Treaty,or in such other circumstances as may be prescribed.
(4) For the purposes of the above provisions an application shall not be treated as an international application for a patent (UK) by reason only of its containing an indication that the applicant wishes to obtain a European patent (UK), but an application shall be so treated if it also separately designates the United Kingdom.
(5) If an international application for a patent which designates the United Kingdom is refused a filing date under the Treaty and the comptroller determines that the refusal was caused by an error or omission in an institution having functions under the Treaty, he may direct that the application shall be treated as an application under this Act, having such date of filing as he may direct.
89A.- International and national phases of application.
(1) The provisions of the Patent Co-operation Treaty relating to publication, search, examination and amendment, and not those of this Act, apply to an international application for a patent (UK) during the international phase of the application.
(2) The international phase of the application means the period from the filing of the application in accordance with the Treaty until the national phase of the application begins.
(3) The national phase of the application begins:
(a) when the prescribed period expires, provided any necessary translation of the application into English has been filed at the Patent Office and the prescribed fee has been paid by the applicant; or
(b) on the applicant expressly requesting the comptroller to proceed earlier with the national phase of the application, filing at the Patent Office:
(i) a copy of the application, if none has yet been sent to the Patent Office in accordance with the Treaty, and
(ii) any necessary translation of the application into English,and paying the prescribed fee.
For this purpose a “copy of the application” includes a copy published in accordance with the Treaty in a language other than that in which it was originally filed.
(4) If the prescribed period expires without the conditions mentioned in subsection (3)(a) being satisfied, the application shall be taken to be withdrawn.
(5) Where during the international phase the application is amended in accordance with the Treaty, the amendment shall be treated as made under this Act if:
(a) when the prescribed period expires, any necessary translation of the amendment into English has been filed at the Patent Office, or
(b) where the applicant expressly requests the comptroller to proceed earlier with the national phase of the application, there is then filed at the Patent Office:
(i) a copy of the amendment, if none has yet been sent to the Patent Office in accordance with the Treaty, and
(ii) any necessary translation of the amendment into English;otherwise the amendment shall be disregarded.
(6) The comptroller shall on payment of the prescribed fee publish any translation filed at the Patent Office under subsection (3) or (5) above.
89B.- Adaptation of provisions in relation to international application.
(1) Where an international application for a patent (UK) is accorded a filing date under the Patent Co-operation Treaty:
(a) that date, or if the application is re-dated under the Treaty to a later date that later date, shall be treated as the date of filing the application under this Act,
(b) any declaration of priority made under the Treaty shall be treated as made under section 5(2) above, and where in accordance with the Treaty any extra days are allowed, the period of 12 months specified in section 5(2) shall be treated as altered accordingly, and
(c) any statement of the name of the inventor under the Treaty shall be treated as a statement filed under section 13(2) above.
(2) If the application, not having been published under this Act, is published in accordance with the Treaty it shall be treated, for purposes other than those mentioned in subsection (3), as published under section 16 above when the conditions mentioned in section 89A(3)(a) are complied with.
(3) For the purposes of section 55 (use of invention for service of the Crown) and section 69 (infringement of rights conferred by publication) the application, not having been published under this Act, shall be treated as published under section 16 above:
(a) if it is published in accordance with the Treaty in English, on its being so published; and
(b) if it is so published in a language other than English:
(i) on the publication of a translation of the application in accordance with section 89A(6) above, or
(ii) on the service by the applicant of a translation into English of the specification of the application on the government department concerned or, as the case may be, on the person committing the infringing act.The reference in paragraph (b)(ii) to the service of a translation on a government department or other person is to its being sent by post or delivered to that department or person.
(4) During the international phase of the application, section 8 above does not apply (determination of questions of entitlement in relation to application under this Act) and section 12 above (determination of entitlement in relation to foreign and convention patents) applies notwithstanding the application; but after the end of the international phase, section 8 applies and section 12 does not.
(5) When the national phase begins the comptroller shall refer the application for so much of the examination and search under section 17 and 18 above as he considers appropriate in view of any examination or search carried out under the Treaty.”.
Proceedings before the court or the comptroller
26.- In the M82Patents Act 1977, after section 99 (general powers of the court) insert:
“99A Power of Patents Court to order report.
(1) Rules of court shall make provision empowering the Patents Court in any proceedings before it under this Act, on or without the application of any party, to order the Patent Office to inquire into and report on any question of fact or opinion.
(2) Where the court makes such an order on the application of a party, the fee payable to the Patent Office shall be at such rate as may be determined in accordance with rules of court and shall be costs of the proceedings unless otherwise ordered by the court.
(3) Where the court makes such an order of its own motion, the fee payable to the Patent Office shall be at such rate as may be determined by the Lord Chancellor with the approval of the Treasury and shall be paid out of money provided by Parliament.
99B.- Power of Court of Session to order report.
(1) In any proceedings before the Court of Session under this Act the court may, either of its own volition or on the application of any party, order the Patent Office to inquire into and report on any question of fact or opinion.
(2) Where the court makes an order under subsection (1) above of its own volition the fee payable to the Patent Office shall be at such rate as may be determined by the Lord President of the Court of Session with the consent of the Treasury and shall be defrayed out of moneys provided by Parliament.
(3) Where the court makes an order under subsection (1) above on the application of a party, the fee payable to the Patent Office shall be at such rate as may be provided for in rules of court and shall be treated as expenses in the cause.”.
27.- For section 102 of the M83Patents Act 1977 (right of audience in patent proceedings) substitute:
“102 Right of audience, &c. in proceedings before comptroller.
(1) A party to proceedings before the comptroller under this Act, or under any treaty or international convention to which the United Kingdom is a party, may appear before the comptroller in person or be represented by any person whom he desires to represent him.
(2) No offence is committed under the enactments relating to the preparation of documents by persons not legally qualified by reason only of the preparation by any person of a document, other than a deed, for use in such proceedings.
(3) Subsection (1) has effect subject to rules made under section 281 of the Copyright, Designs and Patents Act 1988 (power of comptroller to refuse to recognise certain agents).
(4) In its application to proceedings in relation to applications for, or otherwise in connection with, European patents, this section has effect subject to any restrictions imposed by or under the European Patent Convention.
102A.- Right of audience, &c. in proceedings on appeal from the comptroller.
(1) A solicitor of the Supreme Court may appear and be heard on behalf of any party to an appeal under this Act from the comptroller to the Patents Court.
(2) A registered patent agent or a member of the Bar not in actual practice may do, in or in connection with proceedings on an appeal under this Act from the comptroller to the Patents Court, anything which a solicitor of the Supreme Court might do, other than prepare a deed.
(3) The Lord Chancellor may by regulations:
(a) provide that the right conferred by subsection (2) shall be subject to such conditions and restrictions as appear to the Lord Chancellor to be necessary or expedient, and
(b) apply to persons exercising that right such statutory provisions, rules of court and other rules of law and practice applying to solicitors as may be specified in the regulations;and different provision may be made for different descriptions of proceedings.
(4) Regulations under this section shall be made by statutory instrument which shall be subject to annulment in pursuance of a resolution of either House of Parliament.
(5) This section is without prejudice to the right of counsel to appear before the High Court.”.
Provision of information
28.- In section 118 of the M84Patents Act 1977 (information about patent applications, &c.), in subsection (3) (restriction on disclosure before publication of application: exceptions) for “section 22(6)(a) above” substitute “section 22(6) above”.
Power to extend time limits
29.- In section 123 of the Patents Act 1977 (rules), after subsection (3) insert:
“(3A) It is hereby declared that rules:
(a) authorising the rectification of irregularities of procedure, or
(b) providing for the alteration of any period of time,may authorise the comptroller to extend or further extend any period notwithstanding that the period has already expired.”.
Availability of samples of micro-organisms
30.- In the Patents Act 1977 after section 125 insert:
“125A Disclosure of invention by specification: availability of samples of micro-organisms.
(1) Provision may be made by rules prescribing the circumstances in which the specification of an application for a patent, or of a patent, for an invention which requires for its performance the use of a micro-organism is to be treated as disclosing the invention in a manner which is clear enough and complete enough for the invention to be performed by a person skilled in the art.
(2) The rules may in particular require the applicant or patentee:
(a) to take such steps as may be prescribed for the purposes of making available to the public samples of the micro-organism, and
(b) not to impose or maintain restrictions on the uses to which such samples may be put, except as may be prescribed.
(3) The rules may provide that, in such cases as may be prescribed, samples need only be made available to such persons or descriptions of persons as may be prescribed; and the rules may identify a description of persons by reference to whether the comptroller has given his certificate as to any matter.
(4) An application for revocation of the patent under section 72(1)(c) above may be made if any of the requirements of the rules cease to be complied with.”.
Section 296ZE.- [F938 SCHEDULE 5A.- PERMITTED ACTS TO WHICH SECTION 296ZE APPLIES
PART 1.- Copyright exceptions
section 29 (research and private study)
[F939section 29A (copies for text and data analysis for non-commercial research)]
section 31A [F940(disabled persons: copies of works for personal use)”]
section 31B [F941(making and supply of accessible copies by authorised bodies)][F942
section 31BA (making and supply of intermediate copies by authorised bodies)][F943
section 32 (illustration for instruction)]
section 35 (recording by educational establishments of broadcasts)
[F944section 36 (copying and use of extracts of works by educational establishments)]F945 …
F945 …
F945 …
[F939 section 41 (copying by librarians: supply of single copies to other libraries)]F945 …
[F939 section 42 (copying by librarians etc : replacement copies of works) ][F939 section 42A (copying by librarians: single copies of published works)]F945 …
[F939 section 43 (copying by librarians or archivists: single copies of unpublished works)]section 44 (copy of work required to be made as condition of export)
section 45 (Parliamentary and judicial proceedings)
section 46 (Royal Commissions and statutory inquiries)
section 47 (material open to public inspection or on official register)
section 48 (material communicated to the Crown in the course of public business)
section 49 (public records)
section 50 (acts done under statutory authority)
section 61 (recordings of folksongs)
section 68 (incidental recording for purposes of broadcast)
section 69 (recording for purposes of supervision and control of broadcasts)
section 70 (recording for purposes o
f time-shifting)
section 71 (photographs of broadcasts)
F946 …
[F947 section 75 (recording of broadcast for archival purposes)]PART 2.- Rights in performances exceptions
[F948paragraph 1C of Schedule 2 (research and private study)][F948paragraph 1D of Schedule 2 (copies for text and data analysis for non-commercial research)][F949[F950paragraph 3A of Schedule 2 (disabled persons: copies of recordings for personal use)][F950paragraph 3B of Schedule 2 (making and supply of accessible copies by authorised bodies)] [F950paragraph 3C of Schedule 2 (making and supply of intermediate copies by authorised bodies)]paragraph 4 of Schedule 2 (illustration for instruction)] [F951paragraph 6 of Schedule 2 (recording by educational establishments of broadcasts)] [F948paragraph 6ZA of Schedule 2 (copying and use of extracts of recordings by educational establishments)][F948paragraph 6D of Schedule 2 (copying by librarians: supply of single copies to other libraries)][F948paragraph 6E of Schedule 2 (copying by librarians etc: replacement copies of recordings)][F948paragraph 6F of Schedule 2 (copying by librarians: single copies of published recordings)][F948paragraph 6G of Schedule 2 (copying by librarians or archivists: single copies of unpublished recordings)]paragraph 7 of Schedule 2 (copy of work required to be made as condition of export)paragraph 8 of Schedule 2 (Parliamentary and judicial proceedings) paragraph 9 of Schedule 2 (Royal Commissions and statutory inquiries) paragraph 10 of Schedule 2 (public records) paragraph 11 of Schedule 2 (acts done under statutory authority) paragraph 14 of Schedule 2 (recordings of folksongs) paragraph 16 of Schedule 2 (incidental recording for purposes of broadcast) paragraph 17 of Schedule 2 (recordings for purposes of supervision and control of broadcasts)paragraph 17A of Schedule 2 (recording for the purposes of time-shifting) paragraph 17B of Schedule 2 (photographs of broadcasts) F952… paragraph 21 of Schedule 2 (recording of broadcast for archival purposes)]PART 3.- Database right exceptions
regulation 20 of and Schedule 1 to the Copyright and Rights in Databases Regulations 1997 ( S.I. 1997/3032)
Section 301.- SCHEDULE 6.- Provisions for the Benefit of [F953Great Ormond Street Hospital for Children]
Interpretation
1.-
(1) In this Schedule:
[F954 “GOSH Children’s Charity” means Great Ormond Street Hospital Children’s Charity (company registration number 9338724);]“the Hospital” means [F955Great Ormond Street Hospital for Children],
F956…
“the work” means the play “Peter Pan” by Sir James Matthew Barrie.
(2) Expressions used in this Schedule which are defined for the purposes of Part I of this Act (copyright) have the same meaning as in that Part.
Entitlement to royalty
2.-
(1) [F957GOSH Children’s Charity is] entitled, subject to the following provisions of this Schedule, to a royalty in respect of any public performance, commercial publication [F958or communication to the public] of the whole or any substantial part of the work or an adaptation of it.
(2) Where [F959GOSH Children’s Charity is] or would be entitled to a royalty, another form of remuneration may be agreed.
Exceptions
3.- No royalty is payable in respect of:
(a) anything which immediately before copyright in the work expired on 31st December 1987 could lawfully have been done without the licence, or further licence, of the [F960copyright owner at that time]; or
(b) anything which if copyright still subsisted in the work could, by virtue of any provision of Chapter III of Part I of this Act (acts permitted notwithstanding copyright), be done without infringing copyright.
Saving
4.- No royalty is payable in respect of anything done in pursuance of arrangements made before the passing of this Act.
Procedure for determining amount payable
5.-
(1) In default of agreement application may be made to the Copyright Tribunal which shall consider the matter and make such order regarding the royalty or other remuneration to be paid as it may determine to be reasonable in the circumstances.
(2) Application may subsequently be made to the Tribunal to vary its order, and the Tribunal shall consider the matter and make such order confirming or varying the original order as it may determine to be reasonable in the circumstances.
(3) An application for variation shall not, except with the special leave of the Tribunal, be made within twelve months from the date of the original order or of the order on a previous application for variation.
(4) A variation order has effect from the date on which it is made or such later date as may be specified by the Tribunal.
F961[
(5) The provisions of Chapter VIII of Part I (general provisions relating to the Copyright Tribunal) apply in relation to the Tribunal when exercising any jurisdiction under this paragraph.][F962 Sums received to be held for the benefit of the Hospital
6.- The sums received by GOSH Children’s Charity by virtue of this Schedule, after deduction of any relevant expenses, are to be held by it for the purposes of the Hospital.]
Right only for the benefit of the Hospital
7.-
(1) The right of [F963GOSH Children’s Charity] under this Schedule may not be assigned and shall cease if [F964GOSH Children’s Charity purports] to assign or charge it.
(2) The right F965… shall cease if the Hospital ceases to have a separate identity or ceases to have purposes which include the care of sick children.
F966(3). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Section 303(1).- SCHEDULE 7.-Consequential amendments: general
British Mercantile Marine Uniform Act 1919 (c.62)
1.- For section 2 of the British Mercantile Marine Uniform Act 1919 (copyright in distinctive marks of uniform) substitute:
2“ Right in registered design of distinctive marks of uniform.
The right of the Secretary of State in any design forming part of the British mercantile marine uniform which is registered under the Registered Designs Act 1949 is not limited to the period prescribed by section 8 of that Act but shall continue to subsist so long as the design remains on the register.”.
Chartered Associations (Protection of Names and Uniforms) Act 1926 (c.26)
2.- In section 1(5) of the Chartered Associations (Protection of Names and Uniforms) Act 1926 for “the copyright in respect thereof” substitute “ the right in the registered design ” .
Patents, Designs, Copyright and Trade Marks (Emergency) Act 1939 (c.107)
3.-
(1) The Patents, Designs, Copyright and Trade Marks (Emergency) Act 1939 is amended as follows.
(2) In section 1 (effect of licence where owner is enemy or enemy subject):
(a) in subsection (1) after “a copyright” and “the copyright” insert “ or design right ” ;
(b) in subsection (2) after “the copyright” insert “ or design right ” and for “or copyright” substitute “ , copyright or design right ” .
(3) In section 2 (power of comptroller to grant licences):
(a) in subsection (1) after “a copyright”, “the copyright” (twice) and “the said copyright” insert “ or design right ” and for “or copyright” (twice) substitute “ , copyright or design right ” ;
(b) in subsections (2) and (3) for “, or copyright” substitute “ , copyright or design right ” ;
(c) in subsection (4) and in subsection (5) (twice), after “the copyright” insert“ or design right ”;
(d) in subsection (8)(c) for “or work in which copyright subsists” substitute “ work in which copyright subsists or design in which design right subsists ” .
(4) In section 5 (effect of war on international arrangements):
(a) in subsection (1) for “section twenty-nine of the Copyright Act 1911” substitute “ section 159 or 256 of the Copyright, Designs and Patents Act 1988 (countries enjoying reciprocal copyright or design right protection) ” ;
(b) in subsection (2) after “copyright” (four times) insert “ or design right ” and for “the Copyright Act 1911” (twice) substitute “ Part I or III of the Copyright, Designs and Patents Act 1988 ” .
(5) In section 10(1) (interpretation) omit the definition of “copyright”, and for the definitions of “design”, “invention”, “patent” and “patentee” substitute:
“ “ design ” has in reference to a registered design the same meaning as in the Registered Designs Act 1949, and in reference to design right the same meaning as in Part III of the Copyright, Designs and Patents Act 1988;
“ invention ” and “ patent ” have the same meaning as in the Patents Act 1977. ”.
Crown Proceedings Act 1947 (c.44)
4.-
(1) In the Crown Proceedings Act 1947 for section 3 (provisions as to industrial property) substitute:
3“ Infringement of intellectual property rights.
(1) Civil proceedings lie against the Crown for an infringement committed by a servant or agent of the Crown, with the authority of the Crown, of:
(a) a patent,
(b) a registered trade mark or registered service mark,
(c) the right in a registered design,
(d) design right, or
(e) copyright;but save as provided by this subsection no proceedings lie against the Crown by virtue of this Act in respect of an infringement of any of those rights.
(2) Nothing in this section, or any other provision of this Act, shall be construed as affecting:
(a) the rights of a government department under section 55 of the Patents Act 1977, Schedule 1 to the Registered Designs Act 1949 or section 240 of the Copyright, Designs and Patents Act 1988 (Crown use of patents and designs), or
(b) the rights of the Secretary of State under section 22 of the Patents Act 1977 or section 5 of the Registered Designs Act 1949 (security of information prejudicial to defence or public safety).”.
(2) In the application of sub-paragraph (1) to Northern Ireland:
(a) the reference to the Crown Proceedings Act 1947 is to that Act as it applies to the Crown in right of Her Majesty’s Government in Northern Ireland, as well as to the Crown in right of Her Majesty’s Government in the United Kingdom, and
(b) in the substituted section 3 as it applies in relation to the Crown in right of Her Majesty’s Government in Northern Ireland, subsection (2)(b) shall be omitted.
Patents Act 1949 (c.87)
5.- In section 47 of the Patents Act 1949 (rights of third parties in respect of Crown use of patent), in the closing words of subsection (1) (which relate to the use of models or documents), after “copyright” insert “ or design right ” .
Public Libraries (Scotland) Act 1955 (c.27)
F967 6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
London County Council (General Powers) Act 1958 (c.xxi)
7.- In section 36 of the London County Council (General Powers) Act 1958 (power as to libraries: provision and repair of things other than books) for subsection (5) substitute:
“(5) Nothing in this section shall be construed as authorising an infringement of copyright.”.
Public Libraries and Museums Act 1964 (c.75)
F968 8 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Marine, &c., Broadcasting (Offences) Act 1967 (c.41)
9F969 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Medicines Act 1968 (c.67)
10.-
(1) Section 92 of the Medicines Act 1968 (scope of provisions restricting promotion of sales of medicinal products) is amended as follows.
(2) In subsection (1) (meaning of “advertisement”) for the words from “or by the exhibition” to “service” substitute “ or by means of a photograph, film, sound recording, broadcast or cable programme, ” .
(3) F970 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(4) For subsection (6) substitute:
“(6) In this section “film”, “sound recording”, “broadcast”, “cable programme”, “cable programme service”, and related expressions, have the same meaning as in Part I of the Copyright, Designs and Patents Act 1988 (copyright).”.
Post Office Act 1969 (c.48)
11.- In Schedule 10 to the Post Office Act 1969 (special transitional provisions relating to use of patents and registered designs), in the closing words of paragraphs 8(1) and 18(1) (which relate to the use of models and documents), after “copyright” insert “ or design right ” .
Merchant Shipping Act 1970 (c.36)
12.- In section 87 of the Merchant Shipping Act 1970 (merchant navy uniform), for subsection (4) substitute:
“(4) Where any design forming part of the merchant navy uniform has been registered under the Registered Designs Act 1949 and the Secretary of State is the proprietor of the design, his right in the design is not limited to the period prescribed by section 8 of that Act but shall continue to subsist so long as the design remains registered.”.
Taxes Management Act 1970 (c.9)
13.- In section 16 of the Taxes Management Act 1970 (returns to be made in respect of certain payments):
(a) in subsection (1)(c), and
(b) in subsection (2)(b),
for “or public lending right” substitute “ , public lending right, right in a registered design or design right ” .
Tribunals and Inquiries Act 1971 (c.62)
F971 14. -. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Fair Trading Act 1973 (c.41)
15.- F972 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
House of Commons Disqualification Act 1975 (c.24)
16.- In Part II of Schedule 1 to the House of Commons Disqualification Act 1975 (bodies of which all members are disqualified), at the appropriate place insert “ The Copyright Tribunal ” .
Northern Ireland Assembly Disqualification Act 1975 (c.25)
17.- In Part II of Schedule 1 to the Northern Ireland Assembly Disqualification Act 1975 (bodies of which all members are disqualified), at the appropriate place insert “The Copyright Tribunal”.
Restrictive Trade Practices Act 1976 (c.34)
18.-
(1) The Restrictive Trade Practices Act 1976 is amended as follows.
(2) In Schedule 1 (excluded services) for paragraph 10 (services of patent agents) substitute:
“10The services of registered patent agents (within the meaning of Part V of the Copyright, Designs and Patents Act 1988) in their capacity as such.”;
and in paragraph 10A (services of European patent attorneys) for “section 84(7) of the Patents Act 1977” substitute “ Part V of the Copyright, Designs and Patents Act 1988 ” .
(3) In Schedule 3 (excepted agreements), after paragraph 5A insert:
“Design right
5B
(1) This Act does not apply to:
(a) a licence granted by the owner or a licensee of any design right,
(b) an assignment of design right, or
(c) an agreement for such a licence or assignment,if the licence, assignment or agreement is one under which no such restrictions as are described in section 6(1) above are accepted, or no such information provisions as are described in section 7(1) above are made, except in respect of articles made to the design; but subject to the following provisions.
(2) Sub-paragraph (1) does not exclude a licence, assignment or agreement which is a design pooling agreement or is granted or made (directly or indirectly) in pursuance of a design pooling agreement.
(3) In this paragraph a “ design pooling agreement ” means an agreement:
(a) to which the parties are or include at least three persons(the “principal parties”) each of whom has an interest in one or more design rights, and
(b) by which each principal party agrees, in respect of design right in which he has, or may during the currency of the agreement acquire, an interest to grant an interest (directly or indirectly) to one or more of the other principal parties, or to one or more of those parties and to other persons.
(4) In this paragraph:
“assignment”, in Scotland, means assignation; and
“interest” means an interest as owner or licensee of design right.
(5) This paragraph applies to an interest held by or granted to more than one person jointly as if they were one person.
(6) References in this paragraph to the granting of an interest to a person indirectly are to its being granted to a third person for the purpose of enabling him to make a grant to the person in question.”.
Resale Prices Act 1976 (c. 53)
19.- In section 10(4) of the Resale Prices Act 1976 (patented articles: articles to be treated in same way), in paragraph (a) after “protected” insert “ by design right or ” .
Patents Act 1977 (c. 37)
20.- In section 57 of the Patents Act 1977 (rights of third parties in respect of Crown use of patent), in the closing words of subsection (1) (which relate to the use of models or documents), after “copyright” insert “ or design right ” .
21.- In section 105 of the Patents Act 1977 (privilege in Scotland for communications relating to patent proceedings), omit “within the meaning of section 104 above”, make the existing text subsection (1) and after it insert:
“(2)In this section:
“ patent proceedings ” means proceedings under this Act or any of the relevant conventions, before the court, the comptroller or the relevant convention court, whether contested or uncontested and including an application for a patent; and
“ the relevant conventions ” means the European Patent Convention, the Community Patent Convention and the Patent Co-operation Treaty. ”.
22.- In section 123(7) of the Patents Act 1977 (publication of case reports by the comptroller):
(a) for “and registered designs” substitute “ registered designs or design right ” ,
(b) for “and copyright” substitute “ , copyright and design right ” .
23.- In section 130(1) of the Patents Act 1977 (interpretation), in the definition of “court”, for paragraph (a) substitute:
“(a) as respects England and Wales, the High Court or any patents county court having jurisdiction by virtue of an order under section 287 of the Copyright, Designs and Patents Act 1988;”.
Unfair Contract Terms Act 1977 (c. 50)
24.- In paragraph 1 of Schedule 1 to the Unfair Contract Terms Act 1977 (scope of main provisions: excluded contracts), in paragraph (c) (contracts relating to grant or transfer of interest in intellectual property) after “copyright” insert “ or design right ” .
Judicature (Northern Ireland) Act 1978 (c. 23)
25.- In section 94A of the Judicature (Northern Ireland) Act 1978 (withdrawal of privilege against self-incrimination in certain proceedings relating to intellectual property), in subsection (5) (meaning of “intellectual property”) after “copyright” insert “ or design right ” .
Capital Gains Tax Act 1979 (c. 14)
F973 26.- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
British Telecommunications Act 1981 (c. 38)
27.- F974 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
[F975Senior Courts Act 1981] (c. 54)28.-
(1) The [F976Senior Courts Act 1981] is amended as follows.
(2) In section 72 (withdrawal of privilege against self-incrimination in certain proceedings relating to intellectual property), in subsection (5) (meaning of “intellectual property”) after “copyright” insert “ , design right ” .
(3) In Schedule 1 (distribution of business in the High Court), in paragraph 1(i) (business assigned to the Chancery Division: causes and matters relating to certain intellectual property) for “or copyright” substitute “ , copyright or design right ” .
F977 29 , 30.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Companies Act 1985 (c. 6)
[F978 31.-(1) Part XII of the Companies Act 1985 (registration of charges) is amended as follows.
(2) In section 396 (registration of charges in England and Wales: charges which must be registered), in subsection (1)(j) for the words from “on a patent” to the end substitute “ or on any intellectual property ” , and after subsection (3) insert:
“(3A) The following are “ intellectual property ” for the purposes of this section:
(a)any patent, trade mark, service mark, registered design, copyright or design right;
(b)any licence under or in respect of any such right.”.
(3)In section 410 (registration of charges in Scotland: charges which must be registered), in subsection (4)(c) (incorporeal moveable property) after subparagraph (vi) insert:
“(vii)a registered design or a licence in respect of such a design,
(viii)a design right or a licence under a design right,”.]
Law Reform (Miscellaneous Provisions) (Scotland) Act 1985 (c. 73)
32.- In section 15 of the Law Reform (Miscellaneous Provisions) (Scotland) Act 1985 (withdrawal of privilege against self-incrimination in certain proceedings relating to intellectual property), in subsection (5) (meaning of “intellectual property”) after “copyright” insert “ or design right ” .
Atomic Energy Authority Act 1986 (c. 3)
33.- In section 8(2) of the Atomic Energy Authority Act 1986 (powers of Authority as to exploitation of research: meaning of “intellectual property”), after “copyrights” insert “ , design rights ” .
Education and Libraries (Northern Ireland) Order 1986 ( S.I. 1986/594 (N.I.3))
F979 34.- . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Companies (Northern Ireland) Order 1986 ( S.I. 1986/1032 (N.I.6))
35.- F980 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Income and Corporation Taxes Act 1988 (c. 1)
36.-
(1)The Income and Corporation Taxes Act 1988 is amended as follows.
(2) In section 83 (fees and expenses deductible in computing profits and gains of trade) for “the extension of the period of copyright in a design” substitute “ an extension of the period for which the right in a registered design subsists ” .
(3)F981 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(4)F982 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(5)F982 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(6)F982 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
(7) In section 821 (payments made under deduction of tax before passing of Act imposing income tax for that year), in subsection (3) (payments subject to adjustment) after paragraph (a) insert:
“(aa) any payment for or in respect of a right in a design to which section 537B applies; and”.
(8) In Schedule 19 (apportionment of income of close companies), in paragraph 10(4) (cessation or liquidation: debts taken into account although creditor is participator or associate), in paragraph (c) (payments for use of certain property) for the words from “tangible property” to “extend)” substitute:
“(i) tangible property,
(ii) copyright in a literary, dramatic, musical or artistic work within the meaning of Part I of the Copyright, Designs and Patents Act 1988 (or any similar right under the law of a country to which that Part does not extend), or
(iii) design right,”.
(9) In Schedule 25 (taxation of UK-controlled foreign companies: exempt activities), in paragraph 9(1)(a) (investment business: holding of property) for “patents or copyrights” substitute “ or intellectual property ” and after that subparagraph insert:
“(1A) In sub-paragraph (1)(a) above “ intellectual property ” means patents, registered designs, copyright and design right (or any similar rights under the law of a country outside the United Kingdom). ”.
Section 303(2).- SCHEDULE 8.- Repeals
1939 c. 107. Patents, Designs, Copyright and
Trade Marks (Emergency) Act 1939. In section 10(1), the definition of “copyright”.
1945 c. 16. Limitation (Enemies and War
Prisoners) Act 1945. In sections 2(1) and 4(a), the reference to section 10 of the Copyright Act 1911.
1949 c. 88. Registered Designs Act 1949. In section 3(2), the words “or original”.
Section 5(5).
In section 11(2), the words “or original”.
In section 14(3), the words “or the Isle of Man”.
Section 32.
Section 33(2).
Section 37(1).
Section 38.
In section 44(1), the definitions of “copyright” and “Journal”.
In section 45, paragraphs (1) and (2).
In section 46, paragraphs (1) and (2).
1949 c.
88-cont. Registered Designs Act 1949 Section 48(1).
In Schedule 1, in paragraph 3(1), the words “in such manner as may be prescribed by rules of court”.
Schedule 2.
1956 c. 74. Copyright Act 1956. The whole Act.
1957 c. 6. Ghana Independence Act 1957. In Schedule 2, paragraph 12.
1957 c. 60. Federation of Malaya Independence Act 1957. In Schedule 1, paragraphs 14 and 15.
1958 c. 44. Dramatic and Musical Performers’ Protection Act 1958. The whole Act.
1958 c. 51. Public Records Act 1958. Section 11.
Schedule 3.
1960 c. 52. Cyprus Independence Act 1960. In the Schedule, paragraph 13.
1960 c. 55. Nigeria Independence Act 1960. In Schedule 2, paragraphs 12 and 13.
1961 c. 1. Tanganyika Independence Act 1961. In Schedule 2, paragraphs 13 and 14.
1961 c. 16. Sierra Leone Independence Act 1961. In Schedule 3, paragraphs 13 and 14.
1961 c. 25. Patents and Designs (Renewals,
Extensions and Fees) Act 1961. The whole Act.
1962 c. 40. Jamaica Independence Act 1962. In Schedule 2, paragraph 13.
1962 c. 54. Trinidad and Tobago Independence
Act 1962. In Schedule 2, paragraph 13.
1963 c. 53. Performers’ Protection Act 1963. The whole Act.
1964 c. 46. Malawi Independence Act 1964. In Schedule 2, paragraph 13.
1964 c. 65. Zambia Independence Act 1964. In Schedule 1, paragraph 9.
. . .
F983.
1964 c. 93. Gambia Independence Act 1964. In Schedule 2, paragraph 12.
1966 c. 24. Lesotho Independence Act 1966. In the Schedule, paragraph 9.
1966 c. 37. Barbados Independence Act 1966. In Schedule 2, paragraph 12.
1967 c. 80. Criminal Justice Act 1967. In Parts I and IV of Schedule 3, the
entries relating to the Registered Designs Act 1949.
1968 c. 56. Swaziland Independence Act 1968. In the Schedule, paragraph 9.
1968 c. 67. Medicines Act 1968. In section 92(2)(a), the words from “or
embodied” to “film”.
Section 98.
1968 c. 68. Design Copyright Act 1968. The whole Act.
1971 c. 4. Copyright (Amendment) Act 1971. The whole Act.
1971 c. 23. Courts Act 1971. In Schedule 9, the entry relating to the
Copyright Act 1956.
1971 c. 62. Tribunals and Inquiries Act 1971. In Schedule 1, paragraph 24.
1972 c. 32. Performers’ Protection Act 1972. The whole Act.
1975 c. 24. House of Commons
Disqualification Act 1975. In Part II of Schedule 1, the entry relating to the Performing Right Tribunal.
1975 c. 25. Northern Ireland Assembly
Disqualification Act 1975. In Part II of Schedule 1, the entry relating to the Performing Right Tribunal.
1977 c. 37. Patents Act 1977. Section 14(4) and (8).
In section 28(3), paragraph (b) and the word “and” preceding it.
Section 28(5) to (9).
Section 49(3).
Sections 72(3).
Sections 84 and 85.
Section 88.
Section 104.
In section 105, the words “within the meaning of section 104 above”.
Sections 114 and 115.
Section 123(2)(k).
In section 130(1), the definition of “patent agent”.
In section 130(7), the words “88(6) and (7),”.
In Schedule 5, paragraphs 1 and 2, in paragraph 3 the words “and 44(1)” and “in each case”, and paragraphs 7 and 8.
1979 c. 2. Customs and Excise Management
Act 1979. In Schedule 4, the entry relating to the Copyright Act 1956.
1980 c. 21. Competition Act 1980. Section 14.
1981 c. 68. Broadcasting Act 1981. Section 20(9)(a).
1982 c. 35. Copyright Act 1956 (Amendment) Act
1982. The whole Act.
1983 c. 42. Copyright (Amendment) Act 1983. The whole Act.
1984 c. 46. Cable and Broadcasting Act 1984. Section 8(8).
Section 16(4) and (5).
Sections 22 to 24.
Section 35(2) and (3).
Sections 53 and 54.
In section 56(2), the definition of “the 1956 Act”.
In Schedule 5, paragraphs 6, 7, 13 and 23.
1985 c. 21. Films Act 1985. Section 7(2).
1985 c. 41. Copyright (Computer Software)
Amendment Act 1985. The whole Act.
1985 c. 61. Administration of Justice Act 1985. Section 60.
1986 c. 39. Patents, Designs and Marks Act 1986. In Schedule 2, paragraph 1(2)(a), in
paragraph 1(2)(k) the words “subsection (1)(j) of section 396 and” and in paragraph 1(2)(1) the words “subsection (2)(i) of section 93”.
1988 c. 1. Income and Corporation Taxes Act
1988. In Schedule 29, paragraph 5.]
25Mar/19
11Mar/19
La Resolución 68/167 de la ONU sobre el derecho a la privacidad en la era digital.
La Resolución 68/167 de la ONU sobre el derecho a la privacidad en la era digital. Resolución aprobada por la Asamblea General el 18 de diciembre de 2013.
La Asamblea General,
Reafirmando los propósitos y principios de la Carta de las Naciones Unidas,
Reafirmando también los derechos humanos y las libertades fundamentales consagrados en la Declaración Universal de Derechos Humanos (1) y los tratados internacionales de derechos humanos pertinentes, incluidos el Pacto Internacional de Derechos Civiles y Políticos (2) y el Pacto Internacional de Derechos Económicos, Sociales y Culturales (2) ,
Reafirmando además la Declaración y el Programa de Acción de Viena (3) ,
Observando que el rápido ritmo del desarrollo tecnológico permite a las personas de todo el mundo utilizar las nuevas tecnologías de la información y las comunicaciones y, al mismo tiempo, incrementa la capacidad de los gobiernos, las empresas y las personas de llevar a cabo actividades de vigilancia, interceptación y recopilación de datos, lo que podría constituir una violación o una transgresión de los derechos humanos, en particular del derecho a la privacidad, establecido en el artículo 12 de la Declaración Universal de Derechos Humanos y el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos, y que, por lo tanto, esta cuestión suscita cada vez más preocupación,
Reafirmando el derecho humano a la privacidad, según el cual nadie debe ser objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, y el derecho a la protección de la ley contra esas injerencias, y reconociendo que el ejercicio del derecho a la privacidad es importante para materializar el derecho a la libertad de expresión y para abrigar opiniones sin interferencias, y es una de las bases de una sociedad democrática,
Destacando la importancia del pleno respeto de la libertad de buscar, recibir y difundir información, incluida la importancia fundamental del acceso a la información y la participación democrática,
Acogiendo con beneplácito el informe del Relator Especial sobre la promoción y protección del derecho a la libertad de opinión y de expresión (4) relativo a las implicaciones de la vigilancia de las comunicaciones realizada por los Estados en el ejercicio de los derechos humanos a la privacidad y a la libertad de opinión y expresión, presentado al Consejo de Derechos Humanos en su 23º período de sesiones,
Poniendo de relieve que la vigilancia y la interceptación ilícitas o arbitrarias de las comunicaciones, así como la recopilación ilícita o arbitraria de datos personales, al constituir actos de intrusión grave, violan los derechos a la privacidad y a la libertad de expresión y pueden ser contrarios a los preceptos de una sociedad democrática,
Observando que, si bien las consideraciones relacionadas con la seguridad pública pueden justificar la recopilación y la protección de determinada información delicada, los Estados deben garantizar el pleno cumplimiento de sus obligaciones en virtud del derecho internacional de los derechos humanos,
Profundamente preocupada por los efectos negativos que pueden tener para el ejercicio y el goce de los derechos humanos la vigilancia y la interceptación de las comunicaciones, incluidas la vigilancia y la interceptación extraterritoriales de las comunicaciones y la recopilación de datos personales, en particular cuando se llevan a cabo a gran escala,
Reafirmando que los Estados deben cerciorarse de que toda medida que se adopte para luchar contra el terrorismo sea conforme con sus obligaciones con arreglo al derecho internacional, en particular el derecho internacional de los derechos humanos, el derecho internacional de los refugiados y el derecho internacional humanitario,
1. Reafirma el derecho a la privacidad, según el cual nadie debe ser objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, y el derecho a la protección de la ley contra tales injerencias, establecidos en el artículo 12 de la Declaración Universal de Derechos Humanos (1) y el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos (2) ;
2. Reconoce la naturaleza global y abierta de la Internet y el rápido avance de las tecnologías de la información y las comunicaciones como fuerza impulsora de la aceleración de los progresos hacia el desarrollo en sus distintas formas;
3. Afirma que los derechos de las personas también deben estar protegidos en Internet, incluido el derecho a la privacidad;
4. Exhorta a todos los Estados a que:
a) Respeten y protejan el derecho a la privacidad, incluso en el contexto de las comunicaciones digitales;
b) Adopten medidas para poner fin a las violaciones de esos derechos y creen las condiciones necesarias para impedirlas, como cerciorarse de que la legislación nacional pertinente se ajuste a sus obligaciones en virtud del derecho internacional de los derechos humanos;
c) Examinen sus procedimientos, prácticas y legislación relativos a la vigilancia y la interceptación de las comunicaciones y la recopilación de datos personales, incluidas la vigilancia, interceptación y recopilación a gran escala, con miras a afianzar el derecho a la privacidad, velando por que se dé cumplimiento pleno y efectivo de todas sus obligaciones en virtud del derecho internacional de los derechos humanos;
d) Establezcan o mantengan mecanismos nacionales de supervisión independientes y efectivos capaces de asegurar la transparencia, cuando proceda, y la rendición de cuentas por las actividades de vigilancia de las comunicaciones y la interceptación y recopilación de datos personales que realice el Estado;
5. Solicita a la Alta Comisionada de las Naciones Unidas para los Derechos Humanos que presente al Consejo de Derechos Humanos en su 27º período de sesiones y a la Asamblea General en su sexagésimo noveno período de sesiones un informe sobre la protección y la promoción del derecho a la privacidad en el contexto de la vigilancia y la interceptación de las comunicaciones digitales y la recopilación de datos personales en los planos nacional y extraterritorial, incluso a gran escala, que incluya opiniones y recomendaciones, para que lo examinen los Estados Miembros;
6. Decide examinar la cuestión en su sexagésimo noveno período de sesiones, en relación con el subtema titulado “Cuestiones de derechos humanos, incluidos otros medios de mejorar el goce efectivo de los derechos humanos y las libertades fundamentales” del tema titulado “Promoción y protección de los derechos humanos”.
70ª sesión plenaria 18 de diciembre de 2013
(1) Resolución 217 A (III).
(2) Véase la resolución 2200 A (XXI), anexo.
(3) A/CONF.157/24 (Part I), cap. III.
(4) A/HRC/23/40.
Medida Provisoria nº 869 de 27 de Dezembro de 2018
Medida Provisoria nº 869 de 27 de Dezembro de 2018 (DOU 28.12.2018).
Medida Provisoria 869/18
Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados, e dá outras providências.
O PRESIDENTE DA REPÚBLICA, no uso da atribuição que lhe confere o Artigo 62 da Constituição, adota a seguinte Medida Provisória, com força de lei:
Artigo 1º A Lei nº 13.709, de 14 de agosto de 2018, passa a vigorar com as seguintes alterações:
“Artigo 3º ………………………………………………………………………………………………………..
………………………………………………………………………………………………………………………….
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou ……………………………………………………………………………………………………………………” (NR)
“Artigo 4º …………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………..
II – ………………………………………………………………………………………………………………….
……………………………………………………………………………………………………………………………
b) acadêmicos;
……………………………………………………………………………………………………………………………
§ 2º O tratamento dos dados a que se refere o inciso III do caput por pessoa jurídica de direito privado só será admitido em procedimentos sob a tutela de pessoa jurídica de direito público, hipótese na qual será observada a limitação de que trata o
§ 3º.
§ 3º Os dados pessoais constantes de bancos de dados constituídos para os fins de que trata o inciso III do caput não poderão ser tratados em sua totalidade por pessoas jurídicas de direito privado, não incluídas as controladas pelo Poder Público.” (NR)
“Artigo 5º …………………………………………………………………………………………………………
…………………………………………………………………………………………………………………………..
VIII – encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
……………………………………………………………………………………………………………………………
XVIII – órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico; e
XIX – autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.” (NR)
“Artigo 11. ………………………………………………………………………………………………………..
……………………………………………………………………………………………………………………………
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses de:
I – portabilidade de dados quando consentido pelo titular; ou
II – necessidade de comunicação para a adequada prestação de serviços de saúde suplementar.” (NR)
“Artigo 20. O titular dos dados tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
……………………………………………………………………………………………………………………” (NR)
“Artigo 26. ………………………………………………………………………………………………………..
§ 1º ………………………………………………………………………………………………………………
……………………………………………………………………………………………………………………………
III – se for indicado um encarregado para as operações de tratamento de dados pessoais, nos termos do Artigo 39;
IV – quando houver previsão legal ou a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
V – na hipótese de a transferência dos dados objetivar a prevenção de fraudes e irregularidades, ou proteger e resguardar a segurança e a integridade do titular dos dados; ou
VI – nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.
……………………………………………………………………………………………………………………” (NR)
“Artigo 27. A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa jurídica de direito privado dependerá de consentimento do titular, exceto:
……………………………………………………………………………………………………………………” (NR)
“Artigo 29. A autoridade nacional poderá solicitar, a qualquer momento, aos órgãos e às entidades do Poder Público a realização de operações de tratamento de dados pessoais, as informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei.” (NR)
“Artigo 55-A. Fica criada, sem aumento de despesa, a Autoridade Nacional de Proteção de Dados – ANPD, órgão da administração pública federal, integrante da Presidência da República.” (NR)
“Artigo 55-B. É assegurada autonomia técnica à ANPD.” (NR)
“Artigo 55-C. ANPD é composta por:
I – Conselho Diretor, órgão máximo de direção;
II – Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;
III – Corregedoria;
IV – Ouvidoria;
V – órgão de assessoramento jurídico próprio; e
VI – unidades administrativas e unidades especializadas necessárias à aplicação do disposto nesta Lei.” (NR)
“Artigo 55-D. O Conselho Diretor da ANPD será composto por cinco diretores, incluído o Diretor-Presidente.
§ 1º Os membros do Conselho Diretor da ANPD serão nomeados pelo Presidente da República e ocuparão cargo em comissão do Grupo-Direção e Assessoramento Superior – DAS de nível 5.” (NR)
§ 2º Os membros do Conselho Diretor serão escolhidos dentre brasileiros, de reputação ilibada, com nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados.
§ 3º O mandato dos membros do Conselho Diretor será de quatro anos.
§ 4º Os mandatos dos primeiros membros do Conselho Diretor nomeados serão de dois, de três, de quatro, de cinco e de seis anos, conforme estabelecido no ato de nomeação.
§ 5º Na hipótese de vacância do cargo no curso do mandato de membro do Conselho Diretor, o prazo remanescente será completado pelo sucessor.” (NR)
“Artigo 55-E. Os membros do Conselho Diretor somente perderão seus cargos em virtude de renúncia, condenação judicial transitada em julgado ou pena de demissão decorrente de processo administrativo disciplinar.
§ 1º Nos termos do caput, cabe ao Ministro de Estado Chefe da Casa Civil da Presidência da República instaurar o processo administrativo disciplinar, que será conduzido por comissão especial constituída por servidores públicos federais estáveis.
§ 2º Compete ao Presidente da República determinar o afastamento preventivo, caso necessário, e proferir o julgamento.” (NR)
“Artigo 55-F. Aplica-se aos membros do Conselho Diretor, após o exercício do cargo, o disposto no Artigo 6º da Lei nº 12.813, de 16 de maio de 2013.
Parágrafo único. A infração ao disposto no caput caracteriza ato de improbidade administrativa.” (NR)
“Artigo 55-G. Ato do Presidente da República disporá sobre a estrutura regimental da ANPD.
Parágrafo único. Até a data de entrada em vigor de sua estrutura regimental, a ANPD receberá o apoio técnico e administrativo da Casa Civil da Presidência da República para o exercício de suas atividades.” (NR)
“Artigo 55-H. Os cargos em comissão e as funções de confiança da ANPD serão remanejados de outros órgãos e entidades do Poder Executivo federal.” (NR)
“Artigo 55-I. Os ocupantes dos cargos em comissão e das funções de confiança da ANPD serão indicados pelo Conselho Diretor e nomeados ou designados pelo Diretor-Presidente.” (NR)
“Artigo 55-J. Compete à ANPD:
I – zelar pela proteção dos dados pessoais;
II – editar normas e procedimentos sobre a proteção de dados pessoais;
III – deliberar, na esfera administrativa, sobre a interpretação desta Lei, suas competências e os casos omissos;
IV – requisitar informações, a qualquer momento, aos controladores e operadores de dados pessoais que realizem operações de tratamento de dados pessoais;
V – implementar mecanismos simplificados, inclusive por meio eletrônico, para o registro de reclamações sobre o tratamento de dados pessoais em desconformidade com esta Lei;
VI – fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
VII – comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
VIII – comunicar aos órgãos de controle interno o descumprimento do disposto nesta Lei praticado por órgãos e entidades da administração pública federal;
IX – difundir na sociedade o conhecimento sobre as normas e as políticas públicas de proteção de dados pessoais e sobre as medidas de segurança;
X – estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle e proteção dos titulares sobre seus dados pessoais, consideradas as especificidades das atividades e o porte dos controladores;
XI – elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
XII – promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
XIII – realizar consultas públicas para colher sugestões sobre temas de relevante interesse público na área de atuação da ANPD;
XIV – realizar, previamente à edição de resoluções, a oitiva de entidades ou órgãos da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica;
XV – articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação; e
XVI – elaborar relatórios de gestão anuais acerca de suas atividades.
§ 1º A ANPD, na edição de suas normas, deverá observar a exigência de mínima intervenção, assegurados os fundamentos e os princípios previstos nesta Lei e o disposto no Artigo 170 da Constituição.
§ 2º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma desta Lei.
§ 3º A ANPD manterá fórum permanente de comunicação, inclusive por meio de cooperação técnica, com órgãos e entidades da administração pública que sejam responsáveis pela regulação de setores específicos da atividade econômica e governamental, a fim de facilitar as competências regulatória, fiscalizatória e punitiva da ANPD.
§ 4º No exercício das competências de que trata o caput, a autoridade competente deverá zelar pela preservação do segredo empresarial e do sigilo das informações, nos termos da lei, sob pena de responsabilidade.
§ 5º As reclamações colhidas conforme o disposto no inciso V do caput poderão ser analisadas de forma agregada e as eventuais providências delas decorrentes poderão ser adotadas de forma padronizada.” (NR)
“Artigo 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, cujas demais competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Parágrafo único. A ANPD articulará sua atuação com o Sistema Nacional de Defesa do Consumidor do Ministério da Justiça e com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais, e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação.” (NR)
“Artigo 58-A. O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por vinte e três representantes, titulares suplentes, dos seguintes órgãos:
I – seis do Poder Executivo federal;
II – um do Senado Federal;
III – um da Câmara dos Deputados;
IV – um do Conselho Nacional de Justiça;
V – um do Conselho Nacional do Ministério Público;
VI – um do Comitê Gestor da Internet no Brasil;
VII – quatro de entidades da sociedade civil com atuação comprovada em proteção de dados pessoais;
VIII – quatro de instituições científicas, tecnológicas e de inovação; e
IX – quatro de entidades representativas do setor empresarial relacionado à área de tratamento de dados pessoais.
§ 1º Os representantes serão designados pelo Presidente da República.
§ 2º Os representantes de que tratam os incisos I a VI do caput e seus suplentes serão indicados pelos titulares dos respectivos órgãos e entidades da administração pública.
§ 3º Os representantes de que tratam os incisos VII, VIII e IX do caput e seus suplentes:
I – serão indicados na forma de regulamento;
II – terão mandato de dois anos, permitida uma recondução; e
III – não poderão ser membros do Comitê Gestor da Internet no Brasil.
§ 4º A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada prestação de serviço público relevante, não remunerada.” (NR)
“Artigo 58-B. Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:
I – propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD;
II – elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
III – sugerir ações a serem realizadas pela ANPD;
IV – elaborar estudos e realizar debates e audiências públicas sobre a proteção de dados pessoais e da privacidade; e
V – disseminar o conhecimento sobre a proteção de dados pessoais e da privacidade à população em geral.” (NR)
“Artigo 65. Esta Lei entra em vigor:
I – quanto aos Artigo 55-A, Artigo 55-B, Artigo 55-C, Artigo 55-D, Artigo 55-E, Artigo 55-F, Artigo 55-G, Artigo 55-H, Artigo 55-I, Artigo 55-J, Artigo 55-K, Artigo 58-A e Artigo 58-B, no dia 28 de dezembro de 2018; e
II – vinte e quatro meses após a data de sua publicação quanto aos demais artigos.” (NR)
Artigo 2º A Lei nº 13.502, de 1º de novembro de 2017, passa a vigorar com as seguintes alterações:
“Artigo 2º ……………………………………………………………………………………………………….
…………………………………………………………………………………………………………………………
V – o Gabinete de Segurança Institucional;
VI – a Secretaria Especial da Aquicultura e da Pesca; e
VII – a Autoridade Nacional de Proteção de Dados Pessoais.
………………………………………………………………………………………………………………..” (NR)
“Seção VI – A Da Autoridade Nacional de Proteção de Dados Pessoais
Artigo 12-A. À Autoridade Nacional de Proteção de Dados Pessoais compete exercer as competências estabelecidas na Lei nº 13.709, de 14 de agosto de 2018.” (NR)
Artigo 3º Ficam revogados os seguintes dispositivos da Lei nº 13.709, de 2018:
I – o § 4º do Artigo 4º;
II – os § 1º e § 2º do Artigo 7º; e
III – o Artigo 62.
Artigo 4º Esta Medida Provisória entra em vigor na data de sua publicação.
Brasília, 27 de dezembro de 2018; 197º da Independência e 130º da República.
MICHEL TEMER
Esteves Pedro Colnago Junior
01Ene/19
Número 20, segundo semestre de 2018
ISSN 1989-5852
Título clave: Revista informática jurídica
Tít. abreviado: Rev. inform. jurid.
- ISSN 1989-5852Título clave: Revista informática jurídicaTít. abreviado: Rev. inform. jurid.
- Introducción
- Almaguel Guerra, Adrián
- Álvarez Izaquirre, Luis Alejandro
- Castro Dieguez, Fidel Enrique
- Guerra González, Orestes
- Llamas Covarrubias, Jersain Zadamig
- Medel Viltres, Yamira
- Reinaldo Filho, Demócrito
- Riascos Gómez, Libardo Orlando
- Vila Suárez, Yannys Vainelys
- Antúnez Sánchez, Buenaventura
- Bagarotti Acebo, Yadira Caridad
- Batista Avila, Yordan
- Castro Blanco, Yudi
- Cámbara Rodríguez, Maritza
- Escobar Mora, Camilo Alfonso
- Espinosa Domínguez, Tarcila
- Fonseca Hernández, Juan Antonio
- Fuentes Pérez, Sucel
- Gamboa Lanz, Aida Elena
- León Fonseca, Marcos Antonio
- Llamas Covarrubias, Irving Norehem
- Méndez, Víctor
- Merchán Carreño, Edwin Joao
- Mero Suárez, Karina Virginia
- Milanés Carrazana, Leyanet
- Muñiz Maldonado, Noralys
- Pérez García, Yemnysei
- Pérez Michel, Erodis
- Ramírez Tasé, Ramón Osmany
- Reyes Verdecia, Victor
- Rodríguez Ramírez, María Isabel
- Tasé Milanés, Angelina Luisa
- Vázquez Riverón, Arelys
- Casí Ladrón de Guevara, Yosvanys
- Equipo de formación Áudea
- Fernández, Plácida
- Figueredo Leon, Angel Enrique
- Fornaris Montero, Danilo
- García Pérez, Celia Maliuska
- González Mojena, Yanetsys
- Hechavarría Derronselet, Yoendris
- Márquez Delgado, José Eduardo
- Martínez Álvarez, Manuel Jacinto
- Medela, Marina
- Moratilla, José Carlos
- Palacio Ramírez, Luis Alberto
- Plá Hernández, Omar
- Saavedra, Fernando
- Sala Simón, Iker
- Verdecia Jiménez, Liusvani Victor
- Zato, Cristina
Introducción
En este vigésimo número de la Revista, aparecen artículos de colaboradores por orden alfabético.
Un agradecimiento especial a los 25 colaboradores que han aportado sus artículos para hacer posible la publicación semestral de esta revista, que ya lleva 10 años
Un cordial saludo para todos y gracias por vuestra colaboración.
Aprovecho la ocasión para desearos felices fiestas y un Venturoso año 2019
José Cuervo Álvarez
Batista Avila, Yordan
Profesor Auxiliar de la Universidad de Granma. Sede “Blas Roca Calderío”
Génesis de la cultura informática en las Universidades (30.10.2018) (Trabajo en colaboración con Lic. Yoendris Hechavarría Derronselet y MSc. Luis Alberto Palacio Ramírez)
Casí Ladrón de Guevara, Yosvanys
Profesor Auxiliar. Máster en Nuevas Tecnologías para la Educación, profesor auxiliar. Universidad de Granma. “Sede Blas Roca Calderío”
Relaciones interdisciplinarias entre las disciplinas de educación laboral e informática (07.11.2018) (Trabajo en colaboración con Yoendris Hechavarria Derronselet)
Castro Dieguez, Fidel Enrique
Software educativo sobre plataforma libre para la asignatura Investigación de Operaciones (19.09.2018) (Trabajo en colaboración con Ing. Yamira Medel Viltres, MSc. Danilo Fornaris Montero, e Ing. Omar Plá Hernández)
Sistema de gestión de información de los grupos electrógenos en la Dirección Territorial de ETECSA en Granma (13.11.2018) (Trabajo en colaboración con Ing. Liusvani Victor Verdecia Jiménez e Ing. Yamira Medel Viltres)
Equipo de formación Áudea
Plan Estratégico de Concienciación en Ciberseguridad. Fortaleciendo el eslabón más débil de la cadena. (20.11.2018)
Fernández, Plácida
Cybersecurity Departament. Áudea Seguridad de la Información
Malware, no todas las infecciones son virus (20.11.2018)
Riesgos del uso de redes sociales (20.11.2018)
Figueredo Leon, Angel Enrique
Sistema de gestión de información para el control de las ilegalidades en el Instituto de Planificación Física (19.09.2018) (Trabajo en colaboración con Yanetsys González Mojena)
Fonseca Hernández, Juan Antonio
Árboles y su implementación en Object Pascal (31.01.2018) (Trabajo en colaboración con Noralys Muñiz Maldonado y Marcos Antonio León Fonseca)
Archivos de recursos y de configuración en Delphi (31.01.2018) (Trabajo en colaboración con Marcos Antonio León Fonseca y Noralys Muñoz Maldonado)
Fornaris Montero, Danilo
Software educativo sobre plataforma libre para la asignatura Investigación de Operaciones (19.09.2018) (Trabajo en colaboración con Ing. Yamira Medel Viltres, MSc. Fidel Enrique Castro Dieguez, e Ing. Omar Plá Hernández)
García Pérez, Celia Maliuska
Universidad de Granma, Carretera a Manzanillo kilómetro 17 1/2 Peralejo. Bayamo. Granma. Cuba
Sistema Informático para el cálculo en la tecnología del molde para la obtención de piezas fundidas en la empresa de servicios técnicos “Cmdte. Manuel Fajardo Rivero” (13.11.2018) (Trabajo en colaboración con José Eduardo Márquez Delgado)
González Mojena, Yanetsys
Sistema de gestión de información para el control de las ilegalidades en el Instituto de Planificación Física (19.09.2018) (Trabajo en colaboración con MS.c. Angel Enrique Fiqueredo Leon)
Hechavarría Derronselet, Yoendris
Licenciado en Educación Laboral. Profesor Asistente de la Universidad de Granma Sede “Blas Roca Calderío”
Génesis de la cultura informática en las Universidades (30.10.2018) (Trabajo en colaboración con MSc. Yordan Batista Avila y MSc. Luis Alberto Palacio Ramírez)
Relaciones interdisciplinarias entre las disciplinas de educación laboral e informática (07.11.2018) (Trabajo en colaboración con Yosvanis Casí Ladrón de Guevara)
Márquez Delgado, José Eduardo
Universidad de Granma, Carretera a Manzanillo kilómetro 17 1/2 Peralejo. Bayamo. Granma. Cuba
Sistema Informático para el cálculo en la tecnología del molde para la obtención de piezas fundidas en la empresa de servicios técnicos “Cmdte. Manuel Fajardo Rivero” (13.11.2018) (Trabajo en colaboración con Celia Maliuska García Pérez)
Martínez Álvarez, Manuel Jacinto
Áudea Seguridad de la Información
Metadatos, (in) seguridad y fotografías digitales (13.07.2018)
Medel Viltres, Yamira
Software educativo sobre plataforma libre para la asignatura Investigación de Operaciones (19.09.2018) (Trabajo en colaboración con MSc. Fidel Enrique Castro Dieguez, MSc. Danilo Fornaris Montero, e Ing. Omar Plá Hernández)
Sistema de gestión de información de los grupos electrógenos en la Dirección Territorial de ETECSA en Granma (13.11.2018) (Trabajo en colaboración con Ing. Liusvani Victor Verdecia Jiménez y MSc. Fidel Enrique Castro Dieguez)
Medela, Marina
Legal Department
Áudea Seguridad de la Información
Data brokers, mercaderes de la intimidad (14 de febrero de 2018)
El conflicto de intereses del DPO (14 de febrero de 2018)
¿Qué hay detrás de las fake news? (13.07.2018)
Moratilla, José Carlos
Departamento Legal. Áudea Seguridad de la Informació
GDPR: ¿Una norma totalmente disruptiva? (13.07.2018)
Palacio Ramírez, Luis Alberto
Profesor Asistente de la Universidad de Granma. Sede “Blas Roca Calderío”
Génesis de la cultura informática en las Universidades (30.10.2018) (Trabajo en colaboración con Lic. Yoendris Hechavarría Derronselet y MSc. Yordan Batista Avila)
Plá Hernández, Omar
Software educativo sobre plataforma libre para la asignatura Investigación de Operaciones (19.09.2018) (Trabajo en colaboración con Ing. Yamira Medel Viltres, MSc. Danilo Fornaris Montero, y MSc, Fidel Enrique Castro Dieguez)
Reinaldo Filho, Demócrito
Lei de Proteção de Dados Pessoais aproxima o Brasil dos Países Civilizados (01.08.2018)
EUA se preparam para aprovar Lei sobre proteção de dados pessoais semelhante à Europeia? (07.11.2018)
Rodríguez Ramírez, María Isabel
Las visitas virtuales interactivas en 360º como herramienta para la difusión del Patrimonio Cultural (11.07.2018) (Trabajo en colaboración con Arelys Vázquez Riverón)
Saavedra, Fernando
Cybersecurity Manager. Áudea Seguridad de la Información
Nuevo Phising con chantaje (20.11.2018)
¿Qué son los muleros bancarios? (20.11.2018)
Sala Simón, Iker
GRC Department. Áudea Seguridad de la Información
Indicadores de Compromiso en la gestión de riesgos (20.11.2018)
Vázquez Riverón, Arelys
Las visitas virtuales interactivas en 360º como herramienta para la difusión del Patrimonio Cultural (11.07.2018) (Trabajo en colaboración con María Isabel Rodríguez Ramirez)
Verdecia Jiménez, Liusvani Victor
Sistema de gestión de información de los grupos electrógenos en la Dirección Territorial de ETECSA en Granma (13.11.2018) (Trabajo en colaboración con MSc. Fidel Enrique Castro Dieguez e Ing. Yamira Medel Viltres)
Zato, Cristina
Legal Department, Áudea Seguridad de la información
Smart Cities y el regreso a 1984 (13.07.2018)
27Dic/18
Ley 1915 de 12 de julio de 2018
Ley 1915 de 12 de julio de 2018, por la cual se modifica la Ley 23 de 1982 y se establecen otras disposiciones en materia de Derecho de Autor y Derechos Conexos.
EL CONGRESO DE COLOMBIA
DECRETA:
CAPÍTULO I.- Disposiciones relativas al derecho de autor y los derechos conexos
Artículo 1°.
Adiciónese al artículo 10 de la ley 23 de 1982 el siguiente parágrafo:
Parágrafo. En todo proceso relativo al derecho de autor, y ante cualquier jurisdicción nacional se presumirá, salvo prueba en contrario, que la persona bajo cuyo nombre, seudónimo o su equivalente se haya divulgado la obra, será el titular de los derechos de autor. También se presumirá, salvo prueba en contrario, que la obra se encuentra protegida.
Artículo 2°.
Adiciónese al artículo 11 de la ley 23 de 1982 el siguiente parágrafo:
Parágrafo. Cuando la protección de un fonograma o una interpretación o ejecución fijada en un fonograma se otorgue en virtud del criterio de primera publicación o fijación, se considerará que dicha interpretación, ejecución o fonograma es publicada por primera vez en Colombia, cuando la publicación se realice’ dentro de los treinta (30) días siguientes a la publicación inicial en otro país.
Artículo 3°.
Modifíquese el artículo 12 de la ley 23 de 1982 el cual quedará así:
Artículo 12. El autor o, en su caso, sus derechohabientes, tienen sobre las obras literarias y artísticas el derecho exclusivo de autorizar, o prohibir:
a) la reproducción de la obra bajo cualquier manera o forma, permanente o temporal, mediante cualquier procedimiento incluyendo el almacenamiento temporal en forma electrónica.
b) la comunicación al público de la obra por cualquier medio o procedimiento, ya sean estos alámbricos o inalámbricos, incluyendo la puesta a disposición al público, de tal forma que los miembros del público puedan tener acceso a ella desde el lugar y en el momento que cada uno de ellos elija.
c) la distribución pública del original y copias de sus obras, mediante la venta o a través de cualquier forma de transferencia de propiedad.
d) La importación de copias hechas sin autorización del titular del derecho.
e) El alquiler comercial al público del original o de los ejemplares de sus obras.
f) La traducción, adaptación, arreglo u otra transformación de la obra.
Parágrafo. El derecho a controlar la distribución de un soporte material se agota con la primera venta hecha por el titular del derecho o con su consentimiento, únicamente respecto de las sucesivas reventas, pero no agota ni afecta el derecho exclusivo de autorizar o prohibir el alquiler comercial y préstamo público de los ejemplares vendidos.
Artículo 4°.
Modifíquese el artículo 27 de la Ley 23 de 1982, el cual quedará así:
Artículo 27. En todos los casos en que una obra literaria o artística tenga por titular del derecho de autor a una persona jurídica, el plazo de protección será de 70 años contados a partir del final del año calendario de la primera publicación autorizada de la obra.
Si dentro de los 50 años siguientes a la creación de la obra no ha existido publicación autorizada, el plazo de protección será de 70 años a partir del final del año calendario de la creación de la obra.
Artículo 5°.
Adiciónese al Capítulo XII de la Ley 23 de 1982, un artículo 164 BIS el cual quedará así:
Artículo 164 BIS. Para los efectos de la presente ley se entiende por:
a) Radiodifusión. La transmisión al público por medios inalámbricos o por satélite de los sonidos o sonidos e imágenes, o representaciones de los mismos; incluyendo la transmisión inalámbrica de señales codificadas, donde el medio de decodificación es suministrado al público por el organismo de radiodifusión o con su consentimiento; radiodifusión no incluye las transmisiones por las redes de computación o cualquier transmisión en donde tanto el lugar como el momento de recepción pueden ser seleccionados individualmente por miembros del público.
b) Comunicación al público de una interpretación o ejecución fijada en un fonograma o de un fonograma. Solamente para los efectos del artículo 173 de la presente ley, es la transmisión al público, por cualquier medio que no sea la radiodifusión, de sonidos de una interpretación o ejecución o los sonidos o las representaciones de sonidos fijadas en un fonograma. Para los efectos de los derechos reconocidos a los artistas intérpretes o ejecutantes y productores de fonogramas, la comunicación al público incluye también hacer que los sonidos o las representaciones de sonidos fijados en un fonograma resulten audibles al público.
c) Comunicación al público de una interpretación fijada en obras y grabaciones audiovisuales. La transmisión al público por cualquier medio y por cualquier procedimiento de una interpretación fijada en una obra o grabación audiovisual.
Artículo 6°.
Modifíquese el artículo 165 de la Ley 23 de 1982, el cual quedará así:
Artículo 165. La protección ofrecida por las normas de este capítulo no afectará en modo alguno la protección del derecho del autor sobre las obras literarias, científicas y artísticas consagradas por la presente ley. En consecuencia, ninguna de las disposiciones contenidas en él podrá interpretarse en menoscabo de esa protección.
A fin de no establecer ninguna jerarquía entre el derecho de autor, por una parte, y los derechos de los artistas, intérpretes o ejecutantes y productores de fonogramas, por otra parte, en aquellos casos en donde sea necesaria la autorización tanto del autor de una obra contenida en un fonograma como del artista intérprete o ejecutante o productor titular de los derechos del fonograma, el requerimiento de la autorización del autor no deja de existir debido a que también se requiera la autorización del artista intérprete o ejecutante o del productor de fonogramas.
Así mismo, en aquellos casos en donde sea necesaria la autorización tanto del autor de una obra contenida en un fonograma como del artista intérprete o ejecutante o del productor titular de los derechos del fonograma, el requerimiento de la autorización del artista intérprete o ejecutante o productor de fonogramas no deja de existir debido a que también se requiera la autorización del autor.
Artículo 7°.
Modifíquese el artículo 166 de la Ley 23 de 1982, el cual quedará así:
Artículo 166. Los artistas intérpretes o ejecutantes, tienen respecto de sus interpretaciones o ejecuciones el derecho exclusivo de autorizar o prohibir:
a) La radiodifusión y la comunicación al público de sus interpretaciones o ejecuciones no fijadas, excepto cuando la interpretación o ejecución constituya por sí misma una ejecución o interpretación radiodifundida;
b) La fijación de sus ejecuciones o interpretaciones no fijadas;
c) La reproducción de sus interpretaciones o ejecuciones fijadas por cualquier manera o forma, permanente o temporal, mediante cualquier procedimiento incluyendo el almacenamiento temporal en forma electrónica;
d) La distribución pública del original y copias de sus interpretaciones o ejecuciones fijadas en fonograma, mediante la venta o a través de cualquier forma de transferencia de propiedad;
e) El alquiler comercial al público del original y de los ejemplares de sus Interpretaciones o ejecuciones fijadas en fonogramas, incluso después de su distribución realizada por el artista intérprete o ejecutante o con su autorización;
f) La puesta a disposición al público de sus interpretaciones o ejecuciones fijadas en fonogramas, de tal forma que los miembros del público puedan tener acceso a ella desde el lugar y en el momento que cada uno de ellos elija.
Parágrafo. El derecho a controlar la distribución de un soporte material se agota con la primera venta hecha por el titular del derecho o con su consentimiento, únicamente respecto de las sucesivas reventas, pero no agota ni afecta el derecho exclusivo de autorizar o prohibir el alquiler comercial y préstamo público de los ejemplares vendidos.
Artículo 8°.
Modifíquese el artículo 172 de la Ley 23 de 1982, el cual quedará así:
Artículo 172. El productor de fonogramas tiene el derecho exclusivo de autorizar o prohibir:
a) La reproducción del fonograma por cualquier manera o forma, temporal o permanente, mediante cualquier procedimiento incluyendo el almacenamiento temporal en forma electrónica;
b) La distribución pública del original y copias de sus fonogramas, mediante la venta o a través de cualquier forma de transferencia de propiedad;
c) La importación de copias del fonograma;
d) El alquiler comercial al público del original y de los ejemplares de sus fonogramas incluso después de su distribución realizada por ellos mismos o con su autorización;
e) La puesta a disposición al público de sus fonogramas, de tal forma que los miembros del público puedan tener acceso a ellos desde el lugar y en el momento que cada uno de ellos elija.
Parágrafo. El derecho a controlar la distribución de un soporte material se agota con la primera venta hecha por el titular del derecho o con su consentimiento, únicamente respecto de las sucesivas reventas, pero no agota ni afecta el derecho exclusivo de autorizar o prohibir el alquiler comercial y préstamo público de los ejemplares vendidos.
Artículo 9°.
Adiciónese al artículo 175 de la Ley 23 de 1982 el siguiente parágrafo:
Parágrafo. En todo proceso relativo a los derechos conexos, y ante cualquier jurisdicción se presumirá, salvo prueba en contrario, que las personas bajo cuyo nombre o seudónimo o marca u otra designación, se hubiere divulgado la interpretación o ejecución o el fonograma, serán titulares de los derechos conexos. También se presumirá, salvo prueba en contrario, que la interpretación, ejecución o el fonograma se encuentran protegidos.
Artículo 10.
Adiciónese al artículo 182 de la Ley 23 de 1982 el siguiente parágrafo 2°:
Parágrafo 2°. Las personas naturales o jurídicas, a las que en virtud de acto o contrato se les transfirieron derechos patrimoniales de autor o conexos, serán consideradas como titulares de derechos ante cualquier jurisdicción.
Artículo 11.
Modifíquese el artículo 2° de la Ley 44 de 1993 que modifica el artículo 29 de la Ley 23 de 1982, el cual quedará así:
Artículo 2°. Los derechos consagrados a favor de los artistas intérpretes o ejecutantes, los productores de fonogramas y los organismos de radiodifusión tendrán la siguiente duración:
a) Cuando el titular sea persona natural, la protección se dispensará durante su vida y 80 años más, contados a partir del primero de enero del año siguiente a su muerte.
b) Cuando el titular sea persona jurídica, el plazo de protección será de:
1.- 70 años contados a partir del final del año calendario, de la primera publicación autorizada de la interpretación, ejecución o del fonograma. A falta de tal publicación autorizada dentro de los 50 años contados a partir de la realización de la interpretación, ejecución, o del fonograma, el plazo será de 70 años a partir del final del año calendario en que se realizó la interpretación o ejecución o el fonograma;
2.- 70 años contados a partir del final del año calendario en que se haya realizado la primera emisión de radiodifusión.
Artículo 12.- Medidas tecnológicas e información sobre gestión de derechos.
Independientemente de que concurra una infracción al derecho de autor o a los derechos conexos, incurrirá en responsabilidad civil quien realice cualquiera de las siguientes conductas:
a) Sin autorización eluda las medidas tecnológicas efectivas impuestas para controlar el acceso a una obra, interpretación o ejecución o fonograma protegidos, o que protegen cualquier derecho de autor o cualquier derecho conexo al derecho de autor frente a usos no autorizados.
b) Fabrique, importe, distribuya, ofrezca al público, suministre o de otra manera comercialice dispositivos, productos o componentes, u ofrezca al público o suministre servicios que, respecto de cualquier medida tecnológica efectiva:
1.- Sean promocionados, publicitados o comercializados con el propósito de eludir dicha medida; o
2.- Tengan un limitado propósito o uso comercialmente significativo diferente al de eludir dicha medida; o
3.- Sean diseñados, producidos, ejecutados principalmente con el fin de permitir o facilitar la elusión de dicha medida;
c) Con conocimiento de causa, o teniendo motivos razonables para saber:
1.- Suprima o altere sin autorización cualquier información sobre la gestión de derechos.
2.- Distribuya o importe para su distribución, información sobre gestión de derechos que ha sido suprimida o alterada sin autorización.
3.- Distribuya, importe para su distribución, emita, comunique o ponga a disposición del público copias de las obras, interpretaciones o ejecuciones o fonogramas, con información sobre gestión de derechos suprimida o alterada sin autorización.
Parágrafo 1º.
Para los efectos de la presente ley se entenderá por medida tecnológica efectiva la tecnología, dispositivo o componente que, en el curso normal de su operación, sea apta para controlar el acceso a una obra, interpretación o ejecución o fonograma protegido, o para proteger cualquier derecho de autor o cualquier derecho conexo frente a usos no autorizados y que no pueda ser eludida accidentalmente.
Parágrafo 2°.
Para los efectos de la presente ley se entenderá por información sobre la gestión de derechos la información que identifica la obra, interpretación o ejecución o fonograma; al autor de la obra, al artista intérprete o ejecutante de la interpretación o ejecución, o al productor del fonograma; o al titular de cualquier derecho sobre la obra, interpretación o ejecución o fonograma; o información sobre los términos y condiciones de utilización de las obras, interpretaciones o ejecuciones o fonogramas; o cualquier número o código que represente dicha información, cuando cualquiera de estos elementos de. información estén adjuntos a un ejemplar de la obra, interpretación . o ejecución o fonograma o figuren en relación con la comunicación o puesta a disposición al público de una obra, interpretación o ejecución o fonograma.
Parágrafo 3°.- Medidas cautelares.
En los procesos civiles que se adelanten como consecuencia de la infracción a los derechos patrimoniales de autor y derechos conexos, o por la realización de las actividades descritas en este artículo de la presente ley, son aplicables las medidas cautelares propias de los procesos declarativos establecidas por el Código General del Proceso.
Artículo 13.
Excepciones a la responsabilidad por la elusión de las medidas tecnológicas. Las excepciones a la responsabilidad consagrada en los literales a) y b) del artículo anterior son las siguientes, las cuales serán aplicadas en consonancia con los parágrafos de este artículo.
a) Actividades de buena fe no infractoras de ingeniería inversa realizadas a la copia de un programa de computación obtenida legalmente, siempre que los elementos particulares de dicho programa no hubiesen estado a disposición inmediata de la persona involucrada en dichas actividades, con el único propósito de lograr la interoperabilidad de un programa de computación creado independientemente con otros programas.
b) Actividades de buena fe no infractoras, realizadas por un investigador que haya obtenido legalmente una copia, interpretación o ejecución no fijada o muestra de una obra, interpretación o ejecución o fonograma, y que haya hecho un esfuerzo de buena fe por obtener autorización para realizar dichas actividades, en la medida necesaria, y con el único propósito de identificar y analizar fallas y vulnerabilidades de las tecnologías para codificar y decodificar la información.
c) La inclusión de un componente o parte con el único fin de prevenir el acceso de menores al contenido inapropiado en línea en una tecnología, producto, servicio o dispositivo que por sí mismo sea diferente de los mencionados en el literal b) del artículo 12.
d) Actividades de buena fe no infractoras autorizadas por el dueño de una computadora, sistema de cómputo o red de cómputo con el único fin de probar, investigar o corregir la seguridad de dicha computadora, sistema de cómputo o red de cómputo.
e) El acceso por parte de bibliotecas, archivos o instituciones de todos los niveles educativos, sin fines de lucro, a una obra, interpretación o ejecución o fonograma a la cual no tendrían acceso de otro modo, con el único fin de tomar decisiones sobre adquisiciones.
f) Actividades no infractoras con el único fin de identificar y deshabilitar la capacidad de realizar de manera no divulgada la recolección o difusión de datos de identificación personal que reflejen las actividades en línea de una persona natural, de manera que no tenga otro efecto en la capacidad de cualquier persona de obtener acceso a cualquier obra.
g) Usos no infractores de una clase particular de obra, interpretación o ejecución, fonograma o emisión, teniendo en cuenta la existencia de evidencia sustancial de un impacto adverso real o potencial en aquellos usos no infractores.
El Gobierno nacional a través de la Unidad Administrativa Especial Dirección Nacional de Derecho de Autor hará una revisión periódica, en intervalos de no más de tres años, para determinar la necesidad y conveniencia de emitir un concepto en que se consagren los usos no infractores que han de ser objeto de la excepción prevista en este literal. Los usos no infractores mencionados en el concepto de la Dirección Nacional de Derecho de Autor serán permanentes, pero susceptibles de revocación, si desaparece la excepción o limitación al derecho de autor o a los derechos conexos en que se fundamentó la excepción de la medida tecnológica o si hay evidencia sustancial de que la necesidad de su existencia ha desaparecido.
Para esta revisión la Unidad Administrativa Especial Dirección Nacional de Derecho de Autor evaluará las inquietudes que sean planteadas a través de la Subcomisión de Derecho de Autor de la Comisión Intersectorial de Propiedad Intelectual (CIPI), la que a través de un proceso de socialización amplio y suficiente, recogerá en un documento las inquietudes manifestadas por los beneficiarios de las limitaciones y excepciones, así como por los titulares de derechos.
h) Usos no infractores de una obra, interpretación o ejecución, fonograma o emisión, amparados por las limitaciones y excepciones establecidas por la ley en favor de toda persona en situación de discapacidad en los términos de la Ley 1346 de 2009 y la Ley 1618 de 2013, que, en razón a las barreras definidas en dichas leyes, no pueda acceder a las obras en los modos, medios y formatos de comunicación adecuados a su tipo de discapacidad y conforme a su elección.
i) La actividad legalmente autorizada de investigación, protección, seguridad de la información o inteligencia, llevada a cabo por empleados, agentes o contratistas del gobierno. Para los efectos de este numeral la seguridad de la información comprende, entre otras actividades, pruebas de vulnerabilidad, hacking ético y análisis forense, llevadas a cabo para identificar y abordar la vulnerabilidad de una computadora, un sistema de cómputo o una red de cómputo gubernamentales.
Parágrafo 1°.
Todas las excepciones a las conductas establecidas en el presente artículo aplican para las medidas tecnológicas efectivas que controlen el acceso a una obra, interpretación ejecución o fonograma.
Parágrafo 2°.
A las actividades relacionadas en el artículo 12 literal b), cuando se refieran a medidas tecnológicas que controlen el acceso a una obra, interpretación, ejecución o fonograma, solo se aplicarán las excepciones establecidas en los literales a), b), c), d) del presente artículo.
Parágrafo 3°.
A las actividades relacionadas en el artículo 12 literal b), cuando se refieran a medidas tecnológicas que protegen cualquier derecho de autor o cualquier derecho conexo al derecho de autor frente a usos no autorizados, solo se aplicará la excepción establecida en el literal a) del presente artículo.
Parágrafo 4°.
Las medidas tecnológicas adoptadas para restringir usos no autorizados que protegen cualquier derecho de autor o cualquier derecho conexo podrán ser eludidas cuando el uso de una obra, interpretación o ejecución, fonograma o emisión, esté amparado en una limitación o excepción establecida en la ley o cuando se trate de la reproducción, por cualquier medio, de una obra literaria o científica, ordenada u obtenida por el interesado en un solo ejemplar para su uso privado y sin fines de lucro. En virtud de este parágrafo, las medidas tecnológicas no podrán ser eludidas en el ejercicio de la limitación y excepción consagrada en el artículo 44 de la Ley 23 de 1982.
Artículo 14.
Las disposiciones de los artículos 1° a 13 de la presente ley se aplicarán a todas las obras, interpretaciones, ejecuciones, fonogramas y emisiones que; al momento de la entrada en vigencia de la presente ley no hayan pasado al dominio público.
Artículo 15.- Obligación de informar.
Quien incorpore una medida tecnológica para controlar el acceso o los usos no autorizados de las obras, interpretaciones o ejecuciones, fonogramas o emisiones de los organismos de radiodifusión está obligado a informar sobre su existencia y alcance. El alcance de esta información, así como la responsabilidad de los titulares de derechos estará enmarcada dentro de los parámetros establecidos en la Ley 1480 de 2011, por medio de la cual se expide el Estatuto del Consumidor y se dictan otras disposiciones, así como aquellas normas que la modifiquen o sustituyan.
Artículo 16.- Limitaciones y excepciones al derecho de autor y los derechos conexos.
Sin perjuicio de las limitaciones y excepciones establecidas en la Decisión Andina 351 de 1993, en la Ley 23 de 1982 y en la Ley 1680 de 2013, se crean las siguientes:
a) La reproducción temporal en forma electrónica de una obra. interpretación o ejecución, fonograma o emisión fijada, que sea transitoria o accesoria, que forme parte integrante y esencial de un proceso tecnológico y cuya única finalidad consista en facilitar una transmisión en una red informática entre terceras partes por un intermediario, o una utilización lícita de una obra, interpretación o ejecución, fonograma, o emisión fijada que no tengan por sí mismos una significación económica independiente.
Para los fines del presente literal, se entiende que la reproducción temporal en forma electrónica incluye, los procesos tecnológicos que sean necesarios en la operación ordinaria de computadores, dispositivos digitales o de internet, siempre y cuando se cumplan con los requisitos mencionados en el párrafo anterior.
b) El préstamo sin ánimo de lucro, por una biblioteca, archivo o centro de documentación de copias o ejemplares de obras, interpretaciones o ejecuciones artísticas, fonogramas y emisiones fijadas, siempre que figuren en las colecciones permanentes de esta o hagan parte de un programa de cooperación bibliotecaria y hubiesen sido lícitamente adquiridas.
c) La puesta a disposición por parte de bibliotecas, archivos o centros de documentación, a través de terminales especializados instalados en sus propios locales, para fines de investigación o estudio personal de sus usuarios, de obras, fonogramas, grabaciones audiovisuales y emisiones fijadas, lícitamente adquiridas y que no estén sujetas a condiciones de adquisición o licencia.
d) Se permitirá la transformación de obras literarias y artísticas divulgadas, siempre que se realice con fines de parodia y caricatura, y no implique un riesgo de confusión con la obra originaria.
e) Se permitirá la reproducción por medios reprográficos para la enseñanza o para la realización de exámenes por instituciones de todos los niveles educativos, en la medida justificada por el fin que se persiga, de artículos lícitamente publicados en periódicos o colecciones periódicas, breves extractos de obras lícitamente publicadas, y obras aisladas de carácter plástico, fotográfico o figurativo, a condición que tal utilización se haga conforme a los usos honrados y que la misma no sea objeto de venta u otra transacción a título oneroso, ni tenga directa o indirectamente fines de lucro. Lo anterior siempre que se incluya el nombre del autor y la fuente.
Artículo 17.- Actualización de limitaciones y excepciones.
El Gobierno Nacional, a través de la Dirección Nacional de Derecho de Autor, convocará cada tres años a una audiencia pública con el fin de realizar una revisión periódica de las limitaciones y excepciones al derecho de autor y los derechos conexos, con el objetivo de determinar la necesidad y conveniencia de presentar ante el Congreso de la República un proyecto de ley que reforme, elimine o consagre limitaciones y excepciones al derecho de autor.
Dicho proyecto deberá observar las reglas establecidas en los tratados internacionales ratificados por Colombia para incorporar limitaciones y excepciones al derecho de autor y a los derechos conexos, y tendrá como finalidad armonizar las prerrogativas consagradas en favor de los autores y titulares, de los usuarios frente al acceso a la información, los avances tecnológicos y otros derechos fundamentales.
El proceso de revisión periódica deberá contar con la participación activa de la sociedad civil y titulares derechos de autor y derechos conexos, con quienes se podrán generar acuerdos comunes en torno a la modificación de las limitaciones y excepciones.
Así mismo la Dirección Nacional de Derecho de Autor facilitará, cuando a ello hubiere lugar, espacios de diálogo con las entidades del Estado que considere necesarias, para evaluar las limitaciones y excepciones al derecho de autor y los derechos conexos.
CAPÍTULO II.- Disposiciones relativas a obras huérfanas
Artículo 18.- Obras huérfanas.
Para los efectos de esta ley se entenderá por obras huérfanas las obras o fonogramas que estén protegidas por el derecho de autor o derechos conexos y que hayan sido publicadas por primera vez en Colombia o, a falta de publicación, cuya primera radiodifusión haya tenido lugar en Colombia, en los que ninguno de los titulares de los derechos sobre dicha obra o fonograma está identificado o si, de estarlo uno o más de ellos no ha sido localizado a pesar de haber efectuado una búsqueda diligente de los mismos, debidamente registrada con arreglo al artículo 21.
Artículo 19.- Identificación de los titulares.
Si existen varios titulares de derechos sobre una misma obra o un mismo fonograma y no todos ellos han sido identificados o, a pesar de haber sido identificados, no han sido localizados tras haber efectuado una búsqueda diligente, debidamente registrada con arreglo al artículo 21, la obra o el fonograma se podrán utilizar de conformidad con la presente ley, siempre que los titulares de derechos que hayan sido identificados y localizados hayan autorizado, en relación con los derechos que ostenten.
Artículo 20.- Personas autorizadas y ámbito de aplicación para hacer uso de obras huérfanas.
Podrán hacer usos de las obras huérfanas que se encuentren en sus repositorios, las bibliotecas, centros de enseñanza y museos, accesibles al público, así como archivos, organismos de conservación del patrimonio cinematográfico o sonoro y organismos públicos de radiodifusión, con domicilio en Colombia, con el fin de alcanzar objetivos relacionados con su misión siempre y cuando este sea de interés público, y se trate de:
a) Obras publicadas en forma de libros, revistas especializadas, periódicos, revistas u otro material impreso que figuren en las colecciones de bibliotecas, centros de enseñanza o museos, accesibles al público, así como en las colecciones de archivos o de organismos de conservación del patrimonio cinematográfico o sonoro;
b) Obras cinematográficas o audiovisuales y los fonogramas que figuren en ¡ las colecciones de bibliotecas, centros de enseñanza o museos, accesibles al público, así como en las colecciones de archivos o de organismos de conservación del patrimonio cinematográfico o sonoro;
c) Obras cinematográficas o audiovisuales y los fonogramas producidos por organismos públicos de radiodifusión que figuren en sus archivos y que estén protegidas por derechos de autor o derechos conexos a los derechos de autor y que hayan sido publicadas por primera vez en el país o, a falta de publicación, cuya primera radiodifusión haya tenido lugar en Colombia.
Parágrafo 1°.
Las obras y los fonogramas a que se hace referencia en los literales a), b) y c), que nunca hayan sido publicados ni radiodifundidos en Colombia, pero que hayan sido puestos a disposición del público por las entidades mencionadas en otros países, con el consentimiento de los titulares de derechos, siempre y cuando sea razonable suponer que los titulares de derechos no se opondrían a los usos contemplados en el artículo 23.
Parágrafo 2°.
Las normas de este capítulo se aplicarán también a las obras y otras prestaciones protegidas que estén insertadas o incorporadas en las obras o los fonogramas a que se refieren los apartados anteriores o que formen parte integral de estos.
Artículo 21.- Búsqueda diligente.
A efectos de determinar si · una obra o un fonograma son obras huérfanas, las entidades mencionadas en el artículo 20, efectuarán una búsqueda diligente y de buena fe por cada obra u otra prestación protegida, consultando para ello las fuentes adecuadas en función de la categoría de obra y de cada prestación protegida independientemente consideradas. La búsqueda diligente se efectuará con carácter previo al uso de la obra o del fonograma.
La búsqueda diligente se efectuará, en el lugar de la primera publicación o, a falta de publicación, de primera radiodifusión. Sin embargo, si existen pruebas que sugieran que en otros países existe información pertinente sobre los titulares de derechos, deberá efectuarse asimismo una consulta de las fuentes de información disponibles en esos países.
En el caso a que se refiere el artículo 20, parágrafo 10, la búsqueda diligente deberá efectuarse en el país en el que se encuentre establecida la entidad que haya puesto la obra o el fonograma a disposición del público con el consentimiento del titular de derechos.
El Gobierno nacional, a través del Ministerio del Interior y con la coordinación de la Dirección Nacional de Derecho de Autor, reglamentará la materia indicando cuáles son las fuentes de información que resultan adecuadas para la búsqueda de autores y titulares en cada categoría de obras o fonogramas en consulta con los titulares de derechos y los usuarios, e incluirán como mínimo, la información del registro nacional de derecho de autor, así como las bases de datos de las diferentes sociedades de gestión colectiva.
Artículo 22.- Prueba de la búsqueda diligente.
Las entidades mencionadas en el artículo 20, inscribirán en el registro nacional de derecho de autor, administrado por la Dirección Nacional de Derecho de Autor, previo a realizar los usos consagrados en el artículo 23 de la presente ley, sus búsquedas diligentes y tendrán a disposición del público en general, la siguiente información:
a) Los resultados de las búsquedas diligentes que dichas entidades hayan efectuado y que hayan llevado a la conclusión de que una obra o un fonograma debe considerarse obra huérfana;
b) El uso que las entidades hacen de las obras o fonogramas huérfanas, de conformidad con la presente ley;
c) Cualquier cambio, de conformidad con el artículo 24, en la condición de obra huérfana de las obras y los fonogramas que utilicen las entidades;
d) La información de contacto pertinente de la entidad en cuestión.
El Gobierno nacional apropiará los recursos necesarios para dicha labor y, a través del Ministerio del Interior, con la coordinación de la Dirección Nacional de Derecho de Autor, reglamentará la forma de realizar el mencionado registro.
Artículo 23.- Utilización de obras huérfanas.
Las entidades a que se refiere el artículo 20, podrán realizar, sin autorización del autor o titular, los usos que se establecen a continuación, en relación con las obras huérfanas que figuren en sus colecciones:
a) Puesta a disposición del público de la obra huérfana.
b) Reproducción, a efectos de digitalización. puesta a disposición del público, indexación, catalogación, conservación o restauración.
Parágrafo 1°.
Las entidades a que se refiere el artículo 20, podrán hacer uso de una obra huérfana con arreglo del presente artículo únicamente a fines del ejercicio de su misión de interés público, en particular la conservación y restauración de las obras y los fonogramas que figuren en su colección, y la facilitación del acceso a los mismos con fines culturales y educativos. las entidades podrán obtener ingresos en el transcurso de dichos usos, a los efectos exclusivos de cubrir los costes derivados de la digitalización de las obras huérfanas y de su puesta a disposición del público.
Parágrafo 2°.
Cualquier utilización de una obra huérfana por parte de las entidades a que se refiere el artículo 20, se entenderá sin perjuicio de indicar el nombre de los autores y otros titulares de derechos que sí han sido identificados.
Artículo 24.- Fin de la condición de obra huérfana.
Los titulares de derechos sobre una obra o un fonograma que se consideren obras huérfanas tendrán en todo momento la posibilidad de poner fin a dicha condición de obra huérfana en lo que se refiere a sus derechos.
Artículo 25.- Compensación por uso de una obra huérfana.
Los titulares de derechos que pongan fin a la condición de obra huérfana de sus obras u otras prestaciones protegidas recibirán una compensación equitativa por el uso que las entidades a que se refiere el artículo 20 hayan hecho de dichas obras y otras prestaciones protegidas con arreglo al artículo 23 de la presente ley. El Gobierno nacional, a través del Ministerio del Interior, con la coordinación de la Dirección Nacional de Derecho de Autor, reglamentará la materia.
Artículo 26.- Continuación de la vigencia de otras disposiciones legales.
Las disposiciones de este capítulo se entenderán sin perjuicio de las disposiciones relativas, en particular, a los derechos de patente, las marcas comerciales, los modelos de utilidad, los diseños industriales, la protección del patrimonio nacional, los requisitos sobre depósito legal, la legislación sobre prácticas restrictivas y competencia desleal, el secreto comercial, la. seguridad, la confidencialidad, la protección de datos y el derecho a la intimidad, el acceso a los documentos públicos y el derecho de contratos, así como a las normas relativas a la libertad de prensa y la libertad de expresión en los medios de comunicación.
Artículo 27.- Aplicación en el tiempo.
Las disposiciones sobre obras huérfanas se aplicarán con respecto a todas las obras y todos los fonogramas a que se refiere el artículo 20 que estén protegidos por la legislación sobre derecho de autor y derechos conexos a la fecha de expedición de la presente ley, así como para las que sean creadas con posterioridad a la entrada en vigor de esta.
CAPÍTULO III.- Depósito legal
Artículo 28.
Modifíquese el artículo 7º de la ley 44 de 1993, el cual quedará así:
El editor, el productor de obras audiovisuales, el productor fonográfico y videograbador, establecidos en el país, de toda obra, fonograma o videograma que hayan sido divulgadas y circulen en Colombia, deberá cumplir, dentro de los 60 días hábiles siguientes a su publicación, transmisión pública, reproducción o importación, con el depósito legal de las mismas ante las entidades y en la cantidad definida en la reglamentación que para el efecto expedirá el Gobierno nacional.
El incumplimiento de las obligaciones derivadas del depósito legal será sancionado por el Ministerio de Cultura, con un salario mínimo legal diario vigente por cada día de retraso en el cumplimiento de tales obligaciones y hasta el momento en que se verifique su cumplimiento, sin superar 10 salarios mínimos mensuales por cada ejemplar que incumpla el depósito. El responsable del depósito legal que no haya cumplido esta obligación no podrá participar directamente o por interpuesta persona en procesos de contratación estatal para la adquisición de libros y dotaciones bibliotecarias, hasta tanto cumpla con dicha obligación y en su caso, hubiera pagado en su totalidad las sanciones pecuniarias impuestas. La mencionada sanción será impuesta mediante resolución motivada, la cual puede ser objeto de recursos en vía gubernativa.
En caso de incumplimiento del depósito legal y una vez finalizado el plazo señalado, la Biblioteca Nacional de Colombia con la finalidad de preservar la memoria cultural de la Nación podrá realizar la reproducción de las obras, fonogramas o videogramas que no hayan sido depositadas por quienes tenían la obligación legal de hacerlo.
La Biblioteca Nacional de Colombia con la finalidad de garantizar el acceso al patrimonio cultural podrá hacer la puesta a disposición para su consulta en sala, a través de terminales especializados instalados en sus propios locales de las obras, fonogramas o videogramas, tomando las medidas efectivas para impedir cualquier otro tipo de utilización que atente contra la explotación normal de la obra o cause un perjuicio injustificado a los intereses legítimos del autor o titular del derecho.
El Gobierno nacional, en cabeza del Ministerio del Interior – Unidad Administrativa Especial Dirección Nacional de Derecho de Autor y el Ministerio de Cultura – Biblioteca Nacional de Colombia, reglamentarán el depósito legal.
CAPÍTULO IV.- Disposiciones relativas a la observancia del derecho de autor y los derechos conexos
Artículo 29.- Procedimiento ante la jurisdicción.
Las cuestiones que se susciten con motivo de la aplicación de esta ley serán resueltas por la jurisdicción ordinaria o por las autoridades administrativas en ejercicio de funciones jurisdiccionales.
Artículo 30.- Solicitud de información.
Sin perjuicio de lo establecido en el artículo 33 de la Constitución Política, las autoridades judiciales competentes para resolver los procesos de infracción en materia de derecho de autor y/o derechos conexos, estarán facultadas para ordenarle al infractor que proporcione cualquier información que posea respecto de cualquier persona involucrada en la infracción, así como de los medios o instrumentos de producción o canales de distribución utilizados para ello.
Artículo 31.- Destrucción de implementos y mercancía infractora.
En los procesos sobre infracciones al derecho de autor, los derechos conexos, la elusión de medidas tecnológicas o la supresión o alteración de cualquier información sobre la gestión de derechos, el juez estará facultado para ordenar que los materiales e implementos que hayan sido utilizados en la fabricación o creación de dichas mercancías infractoras sean destruidos, a cargo de la parte vencida y sin compensación alguna, o en circunstancias excepcionales, sin compensación alguna, se disponga su retiro de los canales comerciales.
En el caso de mercancías consideradas infractoras, el juez deberá ordenar su destrucción, a cargo de quien resulte condenado en el proceso, a menos que el titular de derecho consienta en que se disponga de ellas de otra forma. En ningún caso los jueces podrán permitir la exportación de las mercancías infractoras o permitir que tales mercancías se sometan a otros procedimientos aduaneros, salvo en circunstancias excepcionales.
Artículo 32.- Indemnizaciones preestablecidas.
La indemnización que se cause como consecuencia de la infracción a los derechos patrimoniales de autor y derechos conexos o por las conductas descritas en la presente ley, relacionadas con las medidas tecnologías y la información para la gestión de derechos, podrá sujetarse al sistema de indemnizaciones preestablecidas o a las reglas generales sobre prueba de la indemnización de perjuicios, a elección del titular del derecho infringido. El Gobierno nacional dentro de los doce (12) meses siguientes a la promulgación de esta ley reglamentará la materia.
Artículo 33.
El artículo 3° de la Ley 1032 de 2006 que modificó el artículo 272 de la Ley 599 de 2000, quedará así:
Artículo 3º Violación a los mecanismos de protección de derecho de autor y derechos conexos, y otras defraudaciones. Incurrirá en prisión de cuatro (4) a ocho (8) años y multa de veintiséis punto sesenta y seis (26.66) a mil (1.000) salarios mínimos legales mensuales vigentes, quien con el fin de lograr una ventaja comercial o ganancia económica privada y salvo las excepciones previstas en la ley:
1.- Eluda sin autorización las medidas tecnológicas efectivas impuestas para controlar el acceso a una obra, interpretación o ejecución o fonograma protegidos, o que protege cualquier derecho de autor o cualquier derecho conexo al derecho de autor frente a usos no autorizados.
2.- Fabrique, importe, distribuya, ofrezca al público, suministre o de otra manera comercialice dispositivos, productos o componentes, u ofrezca al público o suministre servicios que, respecto de cualquier medida tecnológica efectiva:
a) Sean promocionados, publicitados o comercializados con el propósito de eludir dicha medida; o
b) Tengan un limitado propósito o uso comercialmente significativo diferente al de eludir dicha medida; o
c) Sean diseñados, producidos, ejecutados principalmente con el fin de permitir o facilitar la elusión de dicha medida.
3.- Suprima o altere sin autorización cualquier información sobre la gestión de derechos.
4.- Distribuya o importe para su distribución información sobre gestión de derechos sabiendo que dicha información ha sido suprimida o alterada sin autorización.
5.- Distribuya, importe para su distribución, emita, comunique o ponga a disposición del público copias de las obras, interpretaciones o ejecuciones o fonogramas, sabiendo que la información sobre gestión de derechos ha sido suprimida o alterada sin autorización.
6.- Fabrique, ensamble, modifique, importe, exporte, venda, arriende o distribuya por otro medio un dispositivo o sistema tangible o intangible, a sabiendas o con razones para saber que la función principal del dispositivo o sistema es asistir en la descodificación de una señal codificada de satélite portadora de programas codificados sin la autorización del distribuidor legítimo de dicha señal.
7.- Recepcione o posteriormente distribuya una señal de satélite portadora de un programa que se originó como señal por satélite codificada a sabiendas que ha sido descodificada sin la autorización del distribuidor legítimo de la señal.
8.- Presente declaraciones o informaciones destinadas directa o indirectamente al pago, recaudación, liquidación o distribución de derechos económicos de autor o derechos conexos, alterando o falseando, por cualquier medio o procedimiento, los datos necesarios para estos efectos.
9.- Fabrique, importe, distribuya, ofrezca al público, suministre o de otra manera comercialice etiquetas falsificadas adheridas o diseñadas para ser adheridas a un fonograma, a una copia de un programa de computación, a la documentación o empaque de un programa de computación, a la copia de una película u otra obra audiovisual.
10.- Fabrique, importe, distribuya, ofrezca al público, suministre o de otra manera comercialice documentos o empaques falsificados para un programa de computación.
Artículo 34.
Modifíquese el artículo 22 de la Ley 44 de 1993, el cual quedará así:
Artículo 22. Prescriben a los 10 años, a partir de la notificación al interesado del proyecto de repartición o distribución, en favor de las sociedades de gestión colectiva de derecho de autor o derechos conexos, y en contra de los socios, las remuneraciones no cobradas por ellos.
La prescripción de obras o prestaciones no identificadas será de 3 años contados a partir de la publicación del listado de obras o prestaciones no identificadas en la página web de la sociedad de gestión colectiva. En caso de litigio corresponderá a la sociedad de gestión colectiva demostrar que hizo todo lo razonable para identificar el autor o titular de la obra o prestación.
Artículo 35.
El artículo 27 de la Ley 44 de 1993, quedará así:
Con el objeto de garantizar el pago y el debido recaudo de las remuneraciones provenientes por conceptos de derecho de autor y derechos conexos, las sociedades de gestión colectiva de derecho de autor o derechos conexos podrán constituir entidades recaudadoras y/o hacer convenios con empresas que puedan ofrecer licencias de derecho de autor y derechos conexos. En las entidades recaudadoras podrán tener asiento las sociedades reconocidas por la Dirección Nacional de Derecho de Autor. El Gobierno nacional determinará la forma y condiciones de la constitución, organización, administración y funcionamiento de las entidades recaudadoras y ejercerá sobre ellas inspección y vigilancia a través de la Dirección Nacional de Derecho de Autor.
Las entidades recaudadoras podrán negociar con los distintos usuarios, si así lo disponen sus asociados.
Artículo 36.
Adiciónese un parágrafo 2° al artículo 271 del Código Penal, el cual quedará así:
Parágrafo 2°. La reproducción por medios informáticos de las obras contenidas en el presente artículo será punible cuando el autor lo realice con el ánimo de obtener un beneficio económico directo o indirecto, o lo haga a escala comercial.
Artículo 37.- Vigencia.
La presente ley rige a partir de la fecha de su publicación y deroga los artículos 58 a 71 y 243 de la Ley 23 de 1982, así como las disposiciones que le sean contrarias.
EL PRESIDENTE DEL H. SENAD DE LA REPÚBLlCA, EFRAIN JOSE CEPEDA SARABIA
EL SECRETARIO GENERAL DEL H. SENADO DE LA REPÚBLlCA, GREGORIO ELJACH PACHECO
LA PRESIDENTA (E) DE LA H. CÁMARA DE REPRESENTANTES, LINA MARÍA BARRERA RUEDA
EL SECRETARIO GENERAL DE LA H. CÁMARA DE REPRESENTANTES, JORGE HUMBERTO MANTILLA SERRANO
LEY Nº 1915 POR LA CUAL SE MODIFICA LA LEY 23 DE 1982 Y SE ESTABLECEN OTRAS DISPOSICIONES EN MATERIA DE DERECHO DE AUTOR Y DERECHOS CONEXOS
REPÚBLICA DE COLOMBIA – GOBIERNO NACIONAL
PUBLÍQUESE Y CÚMPLASE
Dada en Bogotá, D.C., a los 12 DE JULIO 2018
EL MINISTRO DEL INTERIOR, GUILLERMO ABEL RIVERA FLÓREZ
EL MINISTRO DE JUSTICIA Y DEL DERECHO, ENRIQUE GIL BOTERO
LA MINISTRA DE COMERCIO, INDUSTRIA Y TURISMO, MARIA LORENA GUTIERREZ BOTERO
EL VICEMINISTRO DE CONECTIVIDAD Y DIGITALIZACIÓN DEL MINISTERIO DE TECNOLOGÍAS, DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENCARGADO DEL EMPLEO DE MINISTRO DE TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, JUAN SEBASTIAN ROZO RENGIFO
LA MINISTRA DE CULTURA, MARIANA GARCÉS CÓRDOBA
22Dic/18
Real Decreto 1398/2018, de 23 de noviembre
Real Decreto 1398/2018, de 23 de noviembre, por el que se desarrolla el artículo 25 del texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, en cuanto al sistema de compensación equitativa por copia privada.
La Directiva 2001/29/CE, del Parlamento Europeo y del Consejo, de 22 de mayo, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información, permite a los Estados miembros de la Unión Europea limitar o exceptuar el derecho exclusivo de reproducción en el caso de copias efectuadas por una persona física para uso privado y siempre que los titulares del citado derecho reciban a cambio una compensación equitativa. En el ordenamiento jurídico español, este límite de copia privada se reconoce en el artículo 31, apartados 2 y 3, del texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, y la correspondiente compensación equitativa por la vigencia del límite se regula en el artículo 25 del mismo texto refundido.
El Real Decreto-ley 12/2017, de 3 de julio, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, en cuanto al sistema de compensación equitativa por copia privada, modificó el artículo 25 del citado texto refundido. En términos generales, sustituyó el anterior modelo de compensación equitativa financiada con cargo a los Presupuestos Generales del Estado por un modelo basado en el pago de un importe a satisfacer por los fabricantes, importadores y distribuidores de equipos, aparatos y soportes materiales de reproducción.
La disposición final primera del Real Decreto-ley 12/2017, de 3 de julio, habilita al Gobierno para que, en el plazo de un año desde su entrada en vigor, desarrolle reglamentariamente las modificaciones introducidas en el texto refundido de la Ley de Propiedad Intelectual. Asimismo, también le habilita para que determine por primera vez, con carácter no transitorio, los equipos, aparatos y soportes materiales sujetos al pago de la compensación equitativa, las cantidades que los sujetos deudores del pago de esta compensación deberán abonar por este concepto a los sujetos acreedores de la misma y la distribución de la compensación entre las distintas modalidades de reproducción.
En su cumplimiento, este real decreto afronta la primera parte del referido mandato, esto es, el desarrollo reglamentario de las modificaciones introducidas por el Real Decreto-ley 12/2017, de 3 de julio, en el texto refundido de la Ley de Propiedad Intelectual.
El capítulo I se refiere a disposiciones generales, y recoge lo relativo al objeto, la determinación de las publicaciones asimiladas a libros, definiciones aplicables y la distribución de esta compensación dentro de cada modalidad de reproducción, según la categoría del sujeto acreedor (autores –y conjuntamente con ellos, en determinados casos, los editores–, productores y artistas intérpretes o ejecutantes).
El capítulo II regula el procedimiento para hacer efectiva la compensación equitativa por copia privada. Éste se basa en un sistema de presentación de relaciones trimestrales por parte de los sujetos deudores y por los distribuidores que culmina con la emisión de las correspondientes facturas de abono o de devolución de la compensación equitativa. Asimismo, regula el procedimiento para hacer efectivo el derecho a la obtención del certificado de exceptuación y del reembolso del pago de la compensación equitativa, previstos, respectivamente, en las letras b) y c) del apartado 7 y en el apartado 8 del artículo 25 del texto refundido de la Ley de Propiedad Intelectual.
El capítulo III regula el procedimiento para resolver los conflictos que pudieran surgir entre la persona jurídica constituida por las entidades de gestión de derechos de propiedad intelectual para ejercer las funciones establecidas en el artículo 25.10 del texto refundido de la Ley de Propiedad Intelectual, y los solicitantes de certificados de exceptuación y de reembolsos del pago de la compensación equitativa por copia privada. Se prevé que el ejercicio de la competencia para resolver este procedimiento, atribuida al Ministerio de Cultura y Deporte por el artículo 25.12 del texto refundido de la Ley de Propiedad Intelectual, corresponde a la Dirección General de Industrias Culturales y Cooperación.
El capítulo IV determina el porcentaje de la compensación equitativa por copia privada que las entidades de gestión deberán dedicar a determinadas actividades y servicios de carácter asistencial hacia sus socios y de formación y promoción de autores y artistas intérpretes o ejecutantes, en cumplimiento de la obligación prevista en el artículo 178.2 del texto refundido de la Ley de Propiedad Intelectual. Concretamente, dicho porcentaje se fija en un veinte por ciento.
Este real decreto forma parte del Plan Anual Normativo 2018 aprobado por el Consejo de Ministros el 7 de diciembre de 2017. Asimismo, cumple con los principios de buena regulación a los que se refiere el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. Así, cumple con los principios de necesidad y eficiencia puesto que con su aprobación se adoptan las medidas normativas necesarias para completar, en parte, el obligado desarrollo reglamentario de la nueva regulación de la compensación por copia privada introducida por el Real Decreto-ley 12/2017, de 3 de julio. Las modificaciones que se introducen son las imprescindibles para realizar el necesario desarrollo reglamentario, de tal modo que se respeta el principio de proporcionalidad. Por último, se respetan los principios de seguridad jurídica, transparencia y eficiencia puesto que las reformas introducidas son coherentes con el resto del ordenamiento jurídico; las partes interesadas han participado, en primer lugar, durante la consulta pública previa y, en segundo lugar, en el trámite posterior de información pública; y se introducen las cargas administrativas estrictamente necesarias para hacer efectiva la compensación equitativa por copia privada. Asimismo, y de conformidad con lo previsto en la disposición adicional trigésima novena de la Ley 6/2018, de 27 de junio, de Presupuestos Generales del Estado para 2018, las medidas incluidas en este real decreto no suponen un aumento neto de los gastos de personal.
Este real decreto se dicta al amparo de lo dispuesto en el artículo 149.1.9.ª de la Constitución Española, que atribuye al Estado la competencia exclusiva en materia de legislación sobre propiedad intelectual e industrial, y según la habilitación reglamentaria prevista en la disposición final primera del Real Decreto-ley 12/2017, de 3 de julio.
En la tramitación del procedimiento de elaboración de este real decreto se realizó la consulta previa, de acuerdo con el artículo 26.2 de la Ley 50/1997, de 27 de noviembre, del Gobierno y se llevó a cabo un trámite de información pública. Además, emitió dictamen la Sección Primera de la Comisión de Propiedad Intelectual; fue informado por el Consejo de Consumidores y Usuarios, así como por las Secretarías Generales Técnicas de los departamentos ministeriales competentes; y, finalmente, emitió dictamen preceptivo el Consejo de Estado, de conformidad con el artículo 22 de la Ley Orgánica 3/1980, de 22 de abril, del Consejo de Estado.
La Comisión Delegada del Gobierno para Asuntos Económicos fue informada de este real decreto en su reunión del día 24 de mayo de 2018.
En su virtud, a propuesta del Ministro de Cultura y Deporte y de la Ministra de Economía y Empresa, con la aprobación previa prevista en el artículo 26.5, quinto párrafo, de la Ley 50/1997, de 27 de noviembre, de acuerdo con el Consejo de Estado, y previa deliberación del Consejo de Ministros, en su reunión del día 23 de noviembre de 2018,
DISPONGO:
CAPÍTULO I.- Disposiciones generales
Artículo 1.- Objeto
El presente real decreto tiene como objeto desarrollar reglamentariamente el artículo 25 del texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril y, en concreto, regular, además de las disposiciones generales del presente capítulo:
a) El procedimiento para hacer efectiva la compensación equitativa por copia privada, que incluirá el procedimiento para la obtención de los certificados de exceptuación y del reembolso del pago de dicha compensación por los sujetos a los que se le reconoce tal beneficio regulados, respectivamente, en las letras b) y c) del apartado 7 y en el apartado 8 del artículo 25 del referido texto refundido.
b) El procedimiento para resolver los conflictos que surjan entre la persona jurídica constituida según lo previsto en el artículo 25.10 del texto refundido de la Ley de Propiedad Intelectual y los solicitantes de certificados de exceptuación y de reembolso del pago de la compensación equitativa por copia privada.
c) El porcentaje de la compensación equitativa por copia privada que las entidades de gestión de derechos de propiedad intelectual deberán destinar a las actividades y servicios a que se refiere el artículo 178.1, letras a) y b), del texto refundido de la Ley de Propiedad Intelectual.
Artículo 2.- Publicaciones asimiladas a libro
A los efectos del artículo 25.1 del texto refundido de la Ley de Propiedad Intelectual y de este real decreto, se entenderán asimiladas a los libros las publicaciones, tanto en soporte papel como en formato digital, de contenido cultural, científico o técnico siempre y cuando:
a) Estén editadas en serie continua con un mismo título a intervalos regulares o irregulares, de forma que los ejemplares de la serie lleven una numeración consecutiva o estén fechados, con periodicidad mínima mensual y máxima semestral.
b) Tengan al menos 48 páginas por ejemplar en soporte papel, o extensión similar en formato digital.
Artículo 3.- Otras definiciones
A los efectos de este real decreto se entenderá por:
a) Certificado de exceptuación: cada uno de los certificados mencionados en el artículo 25.7, letras a) a c), del texto refundido de la Ley de Propiedad Intelectual, que podrán ser de titularidad de los siguientes sujetos:
1.º Entidades que integran el sector público según se establece en la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, así como el Congreso de los Diputados, el Senado, el Consejo General del Poder Judicial, el Tribunal de Cuentas, el Defensor del Pueblo, las Asambleas legislativas de las Comunidades Autónomas y las instituciones autonómicas análogas al Tribunal de Cuentas y al Defensor del Pueblo.
2.º Personas jurídicas o físicas que actúen como consumidores finales, que justifiquen el destino exclusivamente profesional de los equipos, aparatos o soportes materiales que adquieran y siempre que estos no se pongan, de derecho o de hecho, a disposición de usuarios privados y que estén manifiestamente reservados a usos distintos a la realización de copias privadas.
3.º Sujetos que cuenten con la preceptiva autorización para llevar a efecto la correspondiente reproducción de obras, prestaciones artísticas, fonogramas o videogramas, según proceda, en el ejercicio de su actividad.
b) Compensación: la reconocida en el artículo 25 del texto refundido de la Ley de Propiedad Intelectual por la vigencia del límite al derecho de reproducción por copia privada reconocido en el artículo 31, apartados 2 y 3, del citado texto refundido.
c) Distribuidores: los distribuidores, mayoristas y minoristas, sucesivos adquirentes de los equipos, aparatos y soportes materiales.
d) Entidades de gestión: las entidades legalmente constituidas que tienen establecimiento en territorio español y que poseen la autorización del Ministerio de Cultura y Deporte, prevista en el artículo 147 del texto refundido de la Ley de Propiedad Intelectual, para gestionar, en nombre propio o ajeno, derechos de explotación u otros de carácter patrimonial, por cuenta y en interés de varios autores u otros titulares de derechos de propiedad intelectual.
e) Equipos, aparatos y soportes materiales: según el artículo 25.1 del texto refundido de la Ley de Propiedad Intelectual, los objetos idóneos para realizar las reproducciones amparadas por la vigencia del límite al derecho de reproducción por copia privada y que estarán sujetos al pago de la compensación.
Los equipos, aparatos y soportes sujetos al pago de la compensación, las cantidades que los deudores deberán abonar por este concepto a los acreedores y la distribución de dicha compensación entre las distintas modalidades de reproducción se determinarán mediante la Orden del Ministerio de la Presidencia, Relaciones con las Cortes e Igualdad prevista en el artículo 25.4 del texto refundido de la Ley de Propiedad Intelectual.
f) Modalidades de reproducción: cada una de las tres modalidades de reproducción de obras divulgadas que se mencionan en el artículo 25.1 del texto refundido de la Ley de Propiedad Intelectual:
1.º Reproducción de libros o publicaciones asimiladas a libros.
2.º Reproducción de fonogramas o de otros soportes sonoros.
3.º Reproducción de videogramas o de otros soportes visuales o audiovisuales.
g) Persona jurídica: la persona jurídica constituida por las entidades de gestión de conformidad con el artículo 25.10 del texto refundido de la Ley de Propiedad Intelectual y la disposición adicional única del Real Decreto-ley 12/2017, de 3 de julio, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, en cuanto al sistema de compensación equitativa por copia privada.
h) Responsables solidarios: según el artículo 25.3, segundo párrafo, del texto refundido de la Ley de Propiedad Intelectual, los distribuidores que no acrediten haber satisfecho la compensación a un sujeto deudor.
i) Sujetos acreedores: según el artículo 25.2 del texto refundido de la Ley de Propiedad Intelectual:
1.º Los autores de obras divulgadas en alguno de los formatos descritos en la letra f), conjuntamente y, en los casos y modalidades de reproducción en que corresponda, con los editores.
2.º Los productores de fonogramas y videogramas.
3.º Los artistas intérpretes o ejecutantes cuyas actuaciones hayan sido fijadas en dichos fonogramas y videogramas.
j) Sujetos deudores: según el artículo 25.4 del texto refundido de la Ley de Propiedad Intelectual, los fabricantes en España, en tanto actúen como distribuidores comerciales, así como los adquirentes fuera del territorio español, para su distribución comercial o utilización dentro de éste, de equipos, aparatos y soportes materiales.
Artículo 4.- Distribución de la compensación en cada modalidad de reproducción según la categoría del acreedor
1.- La distribución de la compensación en cada modalidad de reproducción según la categoría del sujeto acreedor, se realizará de la siguiente manera:
a) En la modalidad de fonogramas y demás soportes sonoros, el 40 por ciento para los autores, el 30 por ciento para los artistas intérpretes o ejecutantes y el 30 por ciento para los productores.
b) En la modalidad de videogramas y demás soportes visuales o audiovisuales, un tercio para los autores, un tercio para los artistas intérpretes o ejecutantes y un tercio para los productores.
c) En la modalidad de libros y publicaciones asimiladas, el 55 por ciento para los autores y el 45 por ciento para los editores.
2.- Conforme a los porcentajes de distribución previstos en el apartado anterior, las entidades de gestión concurrentes en la gestión de derechos de una misma categoría de acreedores de una misma modalidad de reproducción, determinarán de mutuo acuerdo los porcentajes o sistema de reparto correspondientes a cada una de ellas.
3.- En caso de que las entidades de gestión concurrentes en la gestión de derechos de una categoría de acreedores de una misma modalidad de reproducción no alcancen el acuerdo indicado en el apartado anterior, la determinación de los porcentajes o sistema de reparto por cada modalidad podrá establecerse por la Sección Primera de la Comisión de Propiedad Intelectual, de conformidad con lo previsto en el artículo 194.2 del texto refundido de la Ley de Propiedad Intelectual o mediante laudo de otro órgano arbitral, de conformidad con la normativa vigente en materia de arbitraje. El laudo establecerá, al menos, los porcentajes o sistema de reparto de la cantidad de la compensación asignada a cada modalidad, permitiendo reconocer las obligaciones y el pago a las entidades de gestión de conformidad con sus términos.
CAPÍTULO II.- Procedimiento para hacer efectiva la compensación
Artículo 5.- Obligaciones de facturación e información
1.- Los sujetos deudores y los distribuidores deberán incluir el importe de la compensación de forma separada en la factura que, conforme a la normativa vigente en materia de facturación, entreguen a su cliente, salvo que éste disponga de un certificado vigente de exceptuación.
El importe de la compensación derivada del suministro o la importación de equipos, aparatos y soportes materiales quedará sujeto al Impuesto sobre el Valor Añadido, al Impuesto General Indirecto Canario, o al Impuesto sobre la Producción, los Servicios y la Importación, según proceda.
2.- Cuando el cliente sea consumidor final que no disponga de un certificado vigente de exceptuación, los sujetos deudores y los distribuidores deberán poner a su disposición un documento con la siguiente información:
a) El derecho a solicitar un certificado de exceptuación, conforme a lo previsto en el artículo 25.7 del texto refundido de la Ley de Propiedad Intelectual y en el presente real decreto.
b) El derecho a obtener, si no se dispone de certificado de exceptuación, el reembolso del pago de la compensación, conforme a lo previsto en el artículo 25.8 del texto refundido de la Ley de Propiedad Intelectual y en el presente real decreto.
3.- La persona jurídica difundirá en su portal de internet un modelo del documento conforme a lo previsto en el apartado anterior.
4.- En ningún caso los distribuidores aceptarán de sus respectivos proveedores el suministro de equipos, aparatos y soportes materiales sometidos al pago de la compensación si no vienen facturados conforme a lo previsto en el apartado 1.
Sin perjuicio de lo dispuesto en el párrafo anterior, cuando el importe de la compensación no aparezca de forma separada en la factura, se presumirá, salvo prueba en contrario, que la compensación derivada de los equipos, aparatos y soportes materiales que comprenda no ha sido satisfecha.
Artículo 6.- Comunicación de la relación de equipos, aparatos y soportes materiales respecto de los que haya nacido la obligación de pago de la compensación
1.- Los sujetos deudores presentarán a la persona jurídica, dentro de los treinta días naturales siguientes a la finalización de cada trimestre natural, una relación de las unidades de equipos, aparatos y soportes materiales, incluyendo sus características técnicas y capacidad, en la medida que sea relevante para la determinación de la cuantía de la compensación aplicable, respecto de los cuales haya nacido la obligación de pago de la compensación durante dicho trimestre.
Con el mismo detalle, deducirán las cantidades correspondientes a las unidades:
a) Destinadas fuera del territorio español. Respecto de estas unidades, deberá aportarse copia de la factura, albaranes o cualquier otra documentación que acredite que se ha perfeccionado la exportación.
b) Vendidas o que se haya cedido su uso y disfrute a sujetos que sean titulares de un certificado vigente de exceptuación. Respecto de estas unidades, deberán detallar la siguiente información:
1.º La fecha y número de la factura.
2.º Número de identificación fiscal y nombre y apellidos o razón o denominación social del titular del certificado de exceptuación.
Los sujetos deudores referidos en el artículo 25.6.b) del texto refundido de la Ley de Propiedad Intelectual harán una declaración a la persona jurídica de las unidades de equipos, aparatos y soportes materiales adquiridos dentro de los treinta días naturales siguientes al nacimiento de la obligación.
2.- Los distribuidores presentarán a la persona jurídica, dentro de los treinta días naturales siguientes a la finalización de cada trimestre natural, una relación de las unidades de equipos, aparatos y soportes materiales respecto de las que haya nacido la obligación de pago de la compensación durante dicho trimestre, de la siguiente manera:
a) Respecto de las unidades adquiridas por ellos en territorio español, de deudores que no les hayan repercutido y hecho constar en la factura la correspondiente compensación, deberán presentar la relación conforme a lo previsto en el apartado 1.
b) Respecto de las unidades adquiridas por ellos en territorio español, de deudores que sí les hayan repercutido y hecho constar en la factura la correspondiente compensación, deberán detallar aquellas unidades destinadas fuera del territorio español y aquéllas que hayan vendido o cedido su uso y disfrute a sujetos que dispusieran de un certificado vigente de exceptuación, de acuerdo con lo previsto en el segundo párrafo del apartado 1 y, además, deberán acreditar haber satisfecho previamente la compensación.
3.- Una vez recibidas las relaciones trimestrales de unidades previstas en los apartados 1 y 2, la persona jurídica las remitirá a las entidades de gestión al objeto de que hagan las comprobaciones necesarias.
Artículo 7.- Pago de la compensación
1.- Cuando, tras realizar las comprobaciones necesarias de las relaciones trimestrales de unidades recibidas, las entidades de gestión constaten la existencia de una obligación de pago de la compensación a su favor, emitirán una factura a nombre del deudor o del responsable solidario con el importe a pagar por éste.
2.- Las entidades de gestión realizarán una comunicación unificada de la facturación al sujeto deudor o al responsable solidario a través de la persona jurídica.
3.- El pago se efectuará por el sujeto deudor o por el responsable solidario en el plazo de un mes desde la recepción de la comunicación unificada de la facturación, salvo que se aprecie error en alguna de las facturas comunicadas En este último caso, el cómputo del plazo para el pago de esa factura comenzará desde la recepción de la misma una vez corregida.
4.- Los sujetos deudores y los responsables solidarios se considerarán depositarios de la compensación devengada hasta el efectivo pago de ésta.
Artículo 8.- Devolución de la compensación
1.- Cuando, tras realizar las comprobaciones necesarias de las relaciones trimestrales de unidades recibidas, las entidades de gestión constaten la existencia de una obligación de devolución del importe de la compensación, deberán solicitar la emisión de la correspondiente factura al sujeto deudor o al distribuidor.
2.- El pago de la devolución se efectuará por las entidades de gestión en el plazo de un mes desde la recepción de la factura del sujeto deudor o del distribuidor, salvo que no se haya acreditado el haber satisfecho previamente la compensación o se aprecie error en la factura. En este último caso, el cómputo del plazo comenzará desde la recepción de la factura corregida.
3.- Las entidades de gestión se considerarán depositarias del importe de la devolución hasta el efectivo pago de ésta.
Artículo 9.- Declaración y facturación complementaria o rectificativa
1.- La persona jurídica comunicará a las entidades de gestión, tras el ejercicio de las funciones de control que le atribuye el artículo 25.11 del texto refundido de la Ley de Propiedad Intelectual, las unidades no declaradas o exceptuadas erróneamente por los sujetos deudores o los distribuidores, o las unidades facturadas en exceso o indebidamente por las entidades de gestión a un sujeto deudor o a un responsable solidario.
2.- La persona jurídica remitirá a las entidades de gestión la documentación de soporte que justifique esas diferencias de comprobación para que se emitan las correspondientes facturas complementarias o rectificativas según el caso.
Artículo 10.- Procedimiento de obtención y utilización del certificado de exceptuación
1.- Para obtener el certificado de exceptuación previsto en el artículo 3.a)2.º, el sujeto interesado deberá remitir a la persona jurídica una solicitud que, preferentemente, deberá firmarse electrónicamente, y que deberá incluir la siguiente información:
a) Número de identificación fiscal y nombre y apellidos o razón o denominación social.
b) Indicación del objeto social o una declaración de actividad del solicitante.
c) Declaración, bajo la responsabilidad del solicitante, sobre los siguientes aspectos:
1.º El régimen de utilización de los equipos, aparatos y soportes materiales que vaya a adquirir, que deberán ser destinados a usos exclusivamente profesionales y manifiestamente distintos a la realización de copias privadas.
2.º Que no pondrá dichos equipos, aparatos y soportes materiales, ni de hecho ni de derecho, a disposición de usuarios privados.
3.º Que se someterá a las facultades de control reconocidas a la persona jurídica por el artículo 25.11 del texto refundido de la Ley de Propiedad Intelectual.
d) En el caso de que el solicitante emplee trabajadores por cuenta ajena a cuya disposición vaya a poner los equipos, aparatos o soportes materiales que vaya a adquirir, declaración de que, bajo su responsabilidad, esos trabajadores tienen conocimiento de la siguiente información:
1.º Que los equipos, aparatos o soportes materiales que su empleador les facilita para el desarrollo de sus funciones profesionales deberán utilizarse exclusivamente para tal finalidad.
2.º Que no está permitido el uso para fines privados de los citados equipos, aparatos o soportes materiales.
2.- La persona jurídica difundirá en su portal de Internet un modelo normalizado de solicitud de certificado de exceptuación que cumpla con los requisitos previstos en el apartado anterior.
3.- Para obtener el certificado de exceptuación previsto en el artículo 3.a)3.º, el solicitante deberá remitir a la persona jurídica una solicitud a la que deberá acompañar una copia de la autorización para llevar a efecto la correspondiente reproducción de obras, prestaciones artísticas, fonogramas o videogramas en el ejercicio de su actividad.
4.- Una vez recibida la solicitud de emisión de un certificado de exceptuación, la persona jurídica dispondrá de quince días hábiles para conceder o denegar el certificado y comunicar su decisión al solicitante.
5.- La persona jurídica solamente podrá denegar la concesión del certificado en los siguientes supuestos:
a) Cuando la solicitud no incluya toda la información exigida en el presente artículo.
b) Cuando las declaraciones responsables no reflejen lo exigido en el presente artículo.
c) Cuando el solicitante hubiera sido objeto previamente de una revocación del certificado de exceptuación, salvo que las causas que la motivaron hubieran desaparecido.
En los supuestos previstos en las letras a) y b) anteriores, la persona jurídica deberá otorgar previamente al solicitante un plazo de siete días hábiles para que subsane su solicitud.
La denegación se comunicará al solicitante junto con una justificación adecuada de los motivos de tal decisión y, asimismo, le informará del derecho a plantear, en el plazo de un mes a contar desde la comunicación de la denegación, un conflicto ante el Ministerio de Cultura y Deporte, en virtud del artículo 25.12 del texto refundido de la Ley de Propiedad Intelectual.
6.- El certificado expedido por la persona jurídica tendrá la siguiente duración:
a) El certificado previsto en el artículo 3.a) 2.º tendrá una duración indefinida siempre que su titular no modifique su actividad profesional de manera que no destine a un uso exclusivamente profesional los equipos aparatos o soportes materiales que adquiera. En este último caso, deberá comunicar a la persona jurídica dicha modificación en el plazo de siete días hábiles.
b) El certificado previsto en el artículo 3.a) 3.º tendrá la misma duración que la autorización de reproducción de la que derive.
No obstante, si la persona jurídica, en el ejercicio de sus facultades de control, detectara que el titular de un certificado vigente de exceptuación no cumple con los requisitos necesarios para poseerlo, podrá revocarlo siempre que, con carácter previo, haya permitido al titular hacer las alegaciones y aportar los documentos que estime oportunos para su defensa. La revocación, una vez sea definitiva, deberá hacerse constar de forma inmediata en el listado previsto en el apartado 8.
7.- El certificado de exceptuación solamente podrá hacerse valer en las operaciones comerciales que se realicen tras la fecha de su emisión. Deberá presentarse y estar vigente en el momento de la firma del contrato de compraventa o de cesión de uso y disfrute y, en todo caso, con carácter previo a la emisión de la factura. La vigencia del certificado se verificará mediante consulta del listado a que se refiere el apartado siguiente.
8.- La persona jurídica mantendrá en su portal de internet un listado actualizado de los sujetos que dispongan de un certificado vigente de exceptuación, con indicación de su número de identificación fiscal. Asimismo, deberá garantizar de forma fehaciente la fecha de actualización de dicho listado e informar de las actualizaciones del mismo, en el momento que se produzcan, a los sujetos deudores y a los distribuidores.
9.- La factura que se emita con razón de la transacción en la que se haga valer el certificado de exceptuación deberá hacerse a nombre del titular del mismo.
10.- En defecto de certificado, los sujetos beneficiarios de la exceptuación podrán utilizar el procedimiento de reembolso.
Artículo 11.- Procedimiento de reembolso del pago de la compensación
1.- La solicitud de reembolso del pago de la compensación se remitirá a la persona jurídica. Dicha solicitud, que deberá firmarse, preferentemente, de forma electrónica, deberá acompañarse de la siguiente información:
a) Número de identificación fiscal y nombre y apellidos o razón o denominación social.
b) Indicación del objeto social o una declaración de actividad del solicitante.
c) Copia de la factura de adquisición de los equipos, aparatos o soportes materiales.
d) Declaración, bajo responsabilidad del solicitante, sobre los siguientes aspectos:
1.º Que el destino dado a los equipos, aparatos o soportes materiales adquiridos es exclusivamente profesional y manifiestamente distinto a la realización de copias privadas.
2.º Que no ha puesto dichos equipos, aparatos y soportes materiales, ni de hecho ni de derecho, a disposición de usuarios privados.
3.º Que se someterá a las facultades de control reconocidas a la persona jurídica por el artículo 25.11 del texto refundido de la Ley de Propiedad Intelectual.
e) En el caso de que el solicitante emplee trabajadores por cuenta ajena a cuya disposición haya puesto los equipos, aparatos o soportes materiales que haya adquirido, declaración de que, bajo su responsabilidad, estos trabajadores tienen conocimiento de los siguientes aspectos:
1.º Que los equipos, aparatos o soportes materiales que su empleador les facilita para el desarrollo de sus funciones profesionales deben utilizarse exclusivamente para tal finalidad.
2.º Que no está permitido el uso para fines privados de los citados equipos, aparatos o soportes materiales.
2.- La persona jurídica difundirá en su portal de Internet un modelo normalizado de solicitud de reembolso que cumpla con los requisitos previstos en el apartado anterior.
3.- La persona jurídica dispondrá de un plazo de un mes desde la recepción de la solicitud para realizar las comprobaciones necesarias para acreditar la existencia o inexistencia del derecho al reembolso y comunicar su decisión al solicitante.
4.- Si se acredita la existencia del derecho al reembolso, la persona jurídica, cuando lo comunique al solicitante, le requerirá la emisión de la correspondiente factura para proceder a su pago.
5.- La persona jurídica sólo podrá denegar el reembolso de la compensación en los siguientes supuestos:
a) Cuando la solicitud de reembolso no incluya toda la información exigida en el presente artículo.
b) Cuando las declaraciones responsables no reflejen lo exigido en el presente artículo.
c) Cuando el importe de la solicitud de reembolso sea inferior al previsto en el penúltimo párrafo del artículo 25.8 del texto refundido de la Ley de Propiedad Intelectual con la salvedad prevista en dicho artículo.
d) Cuando, una vez analizada la solicitud, no se acredite la existencia del derecho al reembolso.
En los supuestos previstos en las letras a) y b) anteriores, se otorgará al solicitante un plazo de siete días hábiles para que subsane su solicitud.
La denegación se comunicará al solicitante junto con una justificación adecuada de los motivos de la misma y, asimismo, le informará del derecho a plantear, en el plazo de un mes a contar desde la comunicación de la denegación, un conflicto ante el Ministerio de Cultura y Deporte en virtud del artículo 25.12 del texto refundido de la Ley de Propiedad Intelectual.
Artículo 12.- Obligación de confidencialidad
1.- Las entidades de gestión y la persona jurídica respetarán el carácter confidencial de cualquier información que conozcan en el ejercicio de sus funciones, y su tratamiento, en todo caso, estará sujeto al cumplimiento de la normativa de defensa de la competencia y de protección de datos.
2.- Los deudores, los distribuidores y los titulares de certificados de exceptuación no podrán hacer valer el secreto de contabilidad empresarial contemplado en el artículo 32, apartado 1, del Código de Comercio, cuando la persona jurídica ejerza las facultades de control que se le reconocen en el artículo 25.11 del texto refundido de la Ley de Propiedad Intelectual.
Artículo 13.- Convenios de colaboración sobre la compensación
1.- La persona jurídica promoverá la celebración de convenios de colaboración con los siguientes sujetos, entre otros:
a) Sujetos deudores y distribuidores o asociaciones representativas de los mismos.
b) Colegios Profesionales, Cámaras de Comercio o corporaciones equivalentes; asociaciones de profesionales; o cualquier otra asociación representativa de usuarios de equipos, aparatos y soportes materiales.
2.- Los convenios de colaboración tendrán por objeto, entre otros aspectos, los siguientes:
a) Aportar eficiencia a la gestión para hacer efectiva la compensación y, en particular, la devolución de la misma. Como medida en este sentido, podrán regularse mecanismos que permitan a los sujetos deudores y a los distribuidores exceptuar del pago de la compensación las sucesivas transacciones relativas a los equipos, aparatos y soportes materiales respecto de los que pueda acreditarse de antemano que, en última instancia, van a ser destinados fuera del territorio español o a sujetos que sean titulares de un certificado vigente de exceptuación.
b) Informar y facilitar la obtención de certificados de exceptuación y prestar servicios para agrupar el reembolso del pago de la compensación.
c) Desarrollar acciones formativas.
CAPÍTULO III.- Procedimiento para la resolución de conflictos relacionados con la concesión de certificados de exceptuación y reembolsos del pago de la compensación
Artículo 14.- Iniciación y finalización del procedimiento
1.- La Dirección General de Industrias Culturales y Cooperación será el órgano competente para resolver los conflictos que surjan entre la persona jurídica y los solicitantes de certificados de exceptuación y de reembolsos del pago de la compensación.
2.- El procedimiento administrativo para resolver el conflicto se tramitará de conformidad con lo previsto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y de acuerdo con las especialidades procedimentales reguladas en este artículo.
3.- La solicitud de resolución de conflicto deberá presentarse ante la Dirección General de Industrias Culturales y Cooperación en el plazo de un mes desde la notificación de la denegación del certificado de exceptuación o del reembolso. La solicitud deberá adjuntar, al menos, los siguientes documentos:
a) Copia de la solicitud de certificado de exceptuación o de reembolso cursada a la persona jurídica con todos los documentos que la acompañaron.
b) Copia del documento emitido por la persona jurídica denegando la solicitud cursada.
4.- El plazo máximo para que la Dirección General de Industrias Culturales y Cooperación emita y notifique la decisión resolviendo el conflicto será de seis meses a computar desde la recepción completa de la solicitud.
5.- La resolución de la Dirección General de Industrias Culturales y Cooperación, que vinculará a todas las partes y pondrá fin a la vía administrativa, podrá declarar la existencia o inexistencia del derecho a obtener el certificado de exceptuación o el reembolso del pago de la compensación. En el caso de declarar la existencia del derecho a obtener el reembolso, conminará a la persona jurídica al pago de la cuantía que en Derecho corresponda al solicitante del mismo.
CAPÍTULO IV.- Porcentaje de la compensación equitativa que las entidades de gestión deben dedicar a determinadas actividades y servicios
Artículo 15.- Realización de actividades de asistencia y fomento por parte de las entidades de gestión
1.- Las entidades de gestión, directamente o por medio de otras entidades deberán, según lo establecido en el artículo 178 del texto refundido de la Ley de Propiedad Intelectual:
a) Promover actividades o servicios de carácter asistencial en beneficio de sus miembros.
b) Atender actividades de formación y promoción de autores y artistas intérpretes o ejecutantes.
2.- Las entidades de gestión deberán dedicar a las dos modalidades de actividades a que se refiere el apartado anterior, por partes iguales, el veinte por ciento del importe de la compensación.
3.- En el primer trimestre de cada año, las entidades de gestión remitirán a la Dirección General de Industrias Culturales y Cooperación la información referida al ejercicio anterior que a continuación se relaciona:
a) Memoria pormenorizada de las actividades o servicios a que se refieren los apartados a) y b) del apartado 1.
b) Cantidades desglosadas que se hayan afectado a dichas actividades o servicios de acuerdo con lo previsto en el apartado 2, y
c) Relación pormenorizada de titulares beneficiarios.
4.- Asimismo deberán remitir a la Dirección General de Industrias Culturales y Cooperación cualquier otra información que ésta requiera en relación con la realización de actividades de asistencia y fomento a la que están obligadas las entidades de gestión.
DISPOSICIONES ADICIONALES
Disposición adicional primera.- Realización de actividades de asistencia y fomento por parte de las entidades de gestión de derechos de propiedad intelectual
La obligación regulada en el artículo 15.2 de este real decreto resultará de aplicación a la compensación equitativa que las entidades de gestión hayan recaudado desde la entrada en vigor de la disposición transitoria segunda del Real Decreto-ley 12/2017, de 3 de julio, por el que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, en cuanto al sistema de compensación equitativa por copia privada.
Disposición adicional segunda.- Función de la Sección Primera de la Comisión de Propiedad Intelectual en materia de compensación equitativa por copia privada
Las reuniones de la Sección Primera de la Comisión de Propiedad Intelectual cuyo objeto sea la emisión del informe preceptivo previsto en el artículo 25.4 del texto refundido de la Ley de Propiedad Intelectual tendrán como tales el mismo tratamiento que las reuniones de dicho órgano colegiado que tengan como objeto el ejercicio de su función de determinación de tarifas.
Disposición adicional tercera.- No incremento del gasto público
Las medidas incluidas en este real decreto no podrán suponer un aumento neto de los gastos de personal.
Disposición transitoria única.- Plazo máximo para resolver las solicitudes de reembolso
Durante el plazo de seis meses a computar desde la fecha de entrada en vigor del presente real decreto, el plazo máximo para resolver las solicitudes de reembolso, cursadas conforme al procedimiento regulado en el artículo 11 de este real decreto, será de dos meses.
Disposición derogatoria única.- Derogación normativa
Quedan derogadas las disposiciones de igual o inferior rango que se opongan al presente real decreto y, en particular, los preceptos vigentes del Real Decreto 1434/1992, de 27 de noviembre, de desarrollo de los artículos 24, 25 y 140 de la Ley 22/1987, de 11 de noviembre, de Propiedad Intelectual, en la versión dada a los mismos por la Ley 20/1992, de 7 de julio; y el Real Decreto 1802/1995, de 3 de noviembre, por el que se establece el sistema para la determinación de la remuneración compensatoria por copia privada en las ciudades de Ceuta y Melilla.
DISPOSICIONES FINALES
Disposición final primera.- Reparto de la compensación entre modalidades de reproducción
1.- El acuerdo que, en su caso, exista entre las entidades de gestión autorizadas por el Ministerio de Cultura y Deporte para determinar el reparto de la compensación equitativa regulada en el apartado 1 de la disposición transitoria segunda del Real Decreto-ley 12/2017, de 3 de julio, entre las distintas modalidades de reproducción, deberá remitirse al Ministerio de Cultura y Deporte, a la Secretaría de Estado para el Avance Digital y a las principales asociaciones representativas de sujetos deudores y distribuidores en el plazo de cinco días tras la entrada en vigor de este real decreto.
2.- Una vez resueltas todas las solicitudes de reembolso correspondientes a la compensación equitativa regulada en el apartado 1 de la disposición transitoria segunda del Real Decreto-ley 12/2017, de 3 de julio, que hubiera sido recaudada hasta la entrada en vigor del presente real decreto, las entidades de gestión liberarán el saldo remanente de la provisión dotada en cumplimiento del apartado 5 de dicha disposición transitoria que no haya sido consumido en la atención de reembolsos.
Disposición final segunda.- Título competencial
Este real decreto se dicta al amparo de lo dispuesto en el artículo 149.1.9.ª de la Constitución Española, que atribuye al Estado la competencia exclusiva en materia de legislación sobre propiedad intelectual e industrial.
Disposición final tercera.- Entrada en vigor
El presente real decreto entrará en vigor el 2 de enero de 2019.
22Dic/18
Acuerdo GOV/143/2018, de 27 de noviembre
Acuerdo GOV/143/2018, de 27 de noviembre, por el que se impulsa el Programa internet segura para la sensibilización y concienciación de la ciudadanía en materia de ciberseguridad y se crea la Comisión de Coordinación Interdepartamental del Programa Internet Segura. (Diari Oficial de la Generalitat de Catalunya Núm. 7758 – 29.11.2018)
DEPARTAMENTO DE POLÍTICAS DIGITALES Y ADMINISTRACIÓN PÚBLICA
El desarrollo de la sociedad digital se configura como una revolución social que se caracteriza por la masiva y libre circulación de informaciones, ideas y conocimiento a través de redes, infraestructuras, dispositivos y nuevas aplicaciones. Dicho desarrollo está afectado por varios retos y amenazas; el más relevante de ellos es, actualmente, el de la seguridad y la calidad de las tecnologías de la información y la comunicación (TIC).
Los poderes públicos apuestan por la plena implantación de esta sociedad digital y utilizan cada día más las herramientas que los prestadores de servicios ponen a su disposición. El uso cotidiano de estas tecnologías y el tratamiento de la información que hacen de ellas convierten los servicios y las infraestructuras TIC en elementos esenciales para el actual desarrollo económico y para la convivencia social. La dependencia de estos servicios e infraestructuras los convierte en básicos para garantizar la continuidad de las actividades, para ofrecer seguridad jurídica en las acciones de los ciudadanos y el tráfico mercantil, así como para garantizar el progreso y el desarrollo de la ciudadanía de Cataluña en esta sociedad digital.
La ciberseguridad es uno de los pilares sobre los que debe construirse la sociedad digital que se quiere en Cataluña y, por eso, hace falta que los poderes públicos lleven a cabo las actuaciones necesarias para garantizarla, de manera simultánea al desarrollo de la tecnología y los nuevos servicios. Con esta finalidad, el 17 de marzo de 2009 el Gobierno de la Generalidad aprobó el Plan de seguridad de la información en Cataluña, cuya ejecución corresponde a la Fundación Centro de Seguridad de la Información de Cataluña (CESICAT).
Para la consecución de los fines fundacionales, sus estatutos determinan que el CESICAT desarrolla las actividades que el Patronato considera necesarias directamente y/o en colaboración con otras entidades, instituciones o personas, de acuerdo con lo que dispone la normativa sobre fundaciones.
En concreto, sus estatutos indican que el CESICAT tiene, entre sus objetivos, incrementar la confianza y protección de la ciudadanía catalana en la sociedad de la información, con una atención especial a los colectivos con más riesgos —por ejemplo, los niños y los jóvenes— mediante el establecimiento de programas de concienciación y apoyo específicamente dirigidos a estos colectivos, y actuar en apoyo de la lucha contra todas las formas de delincuencia informática, de forma coordinada con los agentes competentes, reforzando las capacidades de detección y denuncia de ilícitos de todo tipo, filtraje de contenidos y análisis forense de evidencias electrónicas.
En la ejecución de este cometido, el CESICAT fue designado el año 2011 centro de internet segura para el territorio de Cataluña, en el ámbito del Programa Safer Internet Centre, impulsado por la Comisión Europea.
Como centro de internet segura, el CESICAT puso en funcionamiento un programa de concienciación y una línea de atención telefónica con el fin de dar apoyo e información a la ciudadanía sobre los riesgos que plantea la sociedad digital en materia de ciberseguridad.
Asimismo, el CESICAT ha participado en numerosos acontecimientos para fomentar estos contenidos y concienciar sobre esta materia —por ejemplo, en la Fiesta de los Súpers, que coordina la Corporación Catalana de Medios Audiovisuales.
El CESICAT ha producido, desde su origen, una gran cantidad de contenidos y ha creado portales y canales de comunicación —por ejemplo, el portal internetsegura.cat— para poner a disposición de la ciudadanía la información adecuada.
Sin perjuicio de ello, es necesario un impulso de este programa y las campañas que incluye por parte de la Generalidad de Cataluña, así como una coordinación con otros departamentos o entidades del sector público que, o bien realizan acciones en materia de concienciación en ciberseguridad que deben coordinarse en el marco del Programa internet segura, o bien resultan medios imprescindibles con el fin de garantizar el adecuado impacto del programa de concienciación.
Por todos estos motivos, este Acuerdo del Gobierno tiene como objetivo impulsar el Programa internet segura como programa oficial de la Generalidad de Cataluña en materia de concienciación en ciberseguridad y fijar medidas de coordinación con otros departamentos o entidades de la Generalidad de Cataluña y de impulso para desplegarlo correctamente en los sectores destinatarios del Programa.
A propuesta del consejero de Políticas Digitales y Administración Pública, el Gobierno
Acuerda:
1.- Impulsar el Programa internet segura, desarrollado y ejecutado por la Fundación Centro de Seguridad de la Información de Cataluña (CESICAT), como programa oficial de la Generalidad de Cataluña para sensibilizar y concienciar a la ciudadanía en materia de ciberseguridad.
El Programa internet segura tiene las siguientes finalidades:
a) Crear cultura de ciberseguridad.
b) Aumentar la concienciación en materia de ciberseguridad en diferentes colectivos de la sociedad catalana, incluyendo a las administraciones locales, las empresas y la ciudadanía. El Programa internet segura tiene especialmente en cuenta a aquellos colectivos vulnerables a los riesgos que plantea la ciberseguridad a la sociedad catalana.
c) Establecer programas de formación de formadores en materia de ciberseguridad, identificar a colectivos clave que puedan llevar a cabo el efecto multiplicativo, y aumentar la capilaridad del contenido. A este efecto, el Programa internet segura se coordinará con otros liderados por la Dirección General de la Sociedad Digital —por ejemplo, el programa de puntos TIC— o con programas que puedan ser impulsados por otros departamentos.
d) Promover la colaboración con otras administraciones o entidades públicas o privadas con el fin de maximizar el impacto del Programa internet segura. Con esta finalidad, se podrán firmar convenios de colaboración con otras administraciones para garantizar el mayor impacto y capilaridad del Programa internet segura y alcanzar un nivel de concienciación adecuado en el entorno de la Administración pública.
e) Cualquier otra de carácter análogo y directamente relacionada con las anteriores que se pueda entender incluida en el Programa.
2.- Crear la Comisión de Coordinación Interdepartamental del Programa Internet Segura para permitir la compartición de información, la coordinación de acciones y el establecimiento de iniciativas conjuntas en el ámbito del Programa internet segura. La Comisión de Coordinación Interdepartamental del Programa Internet Segura se adscribe al Departamento de Políticas Digitales y Administración Pública, que la lidera de forma coordinada con el CESICAT.
3.- La Comisión de Coordinación Interdepartamental del Programa Internet Segura tiene las funciones siguientes:
a) Coordinar la elaboración de un plan de trabajo para identificar las campañas que debe llevar a cabo el CESICAT, los objetivos esperados de cada una de ellas y las actuaciones que se desarrollarán.
b) Colaborar en la ejecución de las campañas que se acuerden de conformidad con su ámbito de responsabilidad.
c) Facilitar al CESICAT los medios y la información adecuada para lograr los objetivos del Programa.
4.- La Comisión de Coordinación Interdepartamental del Programa Internet Segura está formada por:
a) Un representante del Departamento de Políticas Digitales y Administración Pública, que asume la presidencia.
b) Un representante del CESICAT, que asume la vicepresidencia.
c) Un representante de la unidad directiva competente en materia de medios de comunicación.
d) Un representante de la unidad directiva competente en materia de mando de las unidades policiales.
e) Un representante de la unidad directiva competente en materia de políticas educativas.
f) Un representante de la unidad directiva o entidad competente en materia de formación o promoción de formación tecnológica en el ámbito de la salud.
g) Un representante de la unidad directiva competente en materia de infancia, adolescencia y juventud.
h) Un representante de la unidad directiva competente en materia de empresa y competitividad.
i) Un funcionario/aria de la Secretaría de Telecomunicaciones, Ciberseguridad y Sociedad Digital, que actuará como secretario/aria, con voz y sin voto. El secretario/aria de la Comisión será nombrado/ada por la persona titular de la unidad directiva mencionada. El ejercicio de las funciones de secretario/aria de la Comisión no comportará la creación ni la ocupación de un puesto de trabajo específico a este efecto.
El rango orgánico mínimo de los representantes de la Comisión de Coordinación Interdepartamental del Programa internet segura es el de director general.
5.- Para desplegar las diferentes actuaciones, la Comisión podrá solicitar el asesoramiento de expertos de reconocido prestigio que puedan aportar su visión.
6.- La Secretaría de Telecomunicaciones, Ciberseguridad y Sociedad Digital da apoyo técnico y logístico a la Comisión de Coordinación Interdepartamental del Programa Internet Segura.
7.- Los miembros de la Comisión de Coordinación Interdepartamental del Programa Internet Segura y los expertos a los que se hace referencia en el apartado quinto no perciben ninguna retribución por el ejercicio de sus funciones y no tienen ningún derecho de naturaleza económica en razón de la asistencia a las reuniones de la Comisión ni tienen derecho a ningún tipo de indemnización.
8.- La Comisión de Coordinación Interdepartamental del Programa Internet Segura, en todo lo que no prevé este Acuerdo, se rige por lo que dispone la normativa vigente en materia de órganos colegiados aplicable a la Generalidad de Cataluña.
9.- Disponer la publicación de este Acuerdo en el Diari Oficial de la Generalitat de Catalunya.
Barcelona, 27 de noviembre de 2018
Víctor Cullell i Comellas, Secretario del Gobierno
22Dic/18
Reglamento de Ejecución (UE) 2018/151 de la Comisión de 30 de Enero de 2018
Reglamento de Ejecución (UE) 2018/151 de la Comisión de 30 de enero de 2018 por el que se establecen normas para la aplicación de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo en lo que respecta a la especificación de los elementos que han de tener en cuenta los proveedores de servicios digitales para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información, así como de los parámetros para determinar si un incidente tiene un impacto significativo. (Diario Oficial de la Unión Europea 31.1.2018).
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (1), y en particular su artículo 16, apartado 8,
Considerando lo siguiente:
(1) De conformidad con la Directiva (UE) 2016/1148, los proveedores de servicios digitales pueden tomar las medidas técnicas y de organización que consideren adecuadas y proporcionadas para gestionar los riesgos existentes para la seguridad de sus redes y sistemas de información, siempre que dichas medidas garanticen un nivel adecuado de seguridad y tengan en cuenta los elementos previstos en dicha Directiva.
(2) Cuando determinen las medidas técnicas y de organización adecuadas y proporcionadas, los proveedores de servicios digitales deben plantear la seguridad de la información de forma sistemática, utilizando un enfoque basado en los riesgos.
(3) Con el fin de garantizar la seguridad de los sistemas e instalaciones, los proveedores de servicios digitales deben realizar procedimientos de evaluación y análisis. Estas actividades deben atañer a la gestión sistemática de las redes y sistemas de información, la seguridad física y del entorno, la seguridad de abastecimiento y los controles de acceso.
(4) Cuando se realice un análisis de riesgos dentro de la gestión sistemática de las redes y sistemas de información, se debe animar a los proveedores de servicios digitales a que determinen riesgos concretos y cuantifiquen su importancia, por ejemplo identificando amenazas para los activos críticos y la forma en que pueden afectar a las operaciones, y determinando la mejor manera de atenuar dichas amenazas en función de las capacidades disponibles y de las necesidades de recursos.
(5) Las políticas en materia de recursos humanos pueden referirse a la gestión de capacidades e incluir aspectos relativos al desarrollo de capacidades de seguridad y a la sensibilización. Cuando se tomen decisiones sobre un conjunto adecuado de políticas en materia de seguridad de las operaciones, debe animarse a los proveedores de servicios digitales a que tengan en cuenta aspectos de la gestión de cambios, la gestión de la vulnerabilidad, la formalización de prácticas operativas y administrativas y la cartografía del sistema.
(6) Las políticas relativas a la arquitectura de la seguridad pueden incluir, en particular, la segregación de redes y sistemas, así como medidas de seguridad específicas para operaciones críticas como las de administración. La segregación de redes y sistemas puede permitir a un proveedor de servicios digitales hacer distinciones entre elementos como los flujos de datos y los recursos informáticos que pertenecen a un cliente, a un grupo de clientes, al proveedor de servicios digitales o a terceros.
(7) Las medidas adoptadas en relación con la seguridad física y del entorno deben garantizar la seguridad de las redes y sistemas de información de una organización frente a los daños provocados por incidentes como robos, incendios, inundaciones u otros efectos de fenómenos meteorológicos, fallos de telecomunicaciones o de suministro de electricidad.
(8) La seguridad de suministros tales como la energía eléctrica, el combustible o la refrigeración puede englobar la seguridad de la cadena de suministro, que incluye en particular la seguridad de los contratistas y subcontratistas terceros y la gestión de estos. La trazabilidad de los suministros críticos se refiere a la capacidad del proveedor de servicios digitales de determinar y registrar las fuentes de tales suministros.
(9) Los usuarios de servicios digitales deben englobar a las personas físicas y jurídicas que sean clientes o subscriptores de un mercado en línea o un servicio de computación en nube o que sean visitantes del sitio web de un motor de búsqueda en línea con el fin de realizar búsquedas por palabras clave.
(10) A la hora de definir la importancia del impacto de un incidente, los casos que figuran en el presente Reglamento deben considerarse como una lista no exhaustiva de incidentes significativos. De la aplicación del presente Reglamento y del trabajo del Grupo de cooperación deben extraerse conclusiones en lo referente a la recopilación de información de mejores prácticas sobre los riesgos e incidentes y las discusiones sobre las modalidades para informar sobre notificaciones de incidentes a que hace referencia el artículo 11, apartado 3, letras i) y m), de la Directiva (UE) 2016/1148. El resultado podría ser unas orientaciones exhaustivas sobre los umbrales cuantitativos de los parámetros de notificación que pueden dar lugar a la obligación de notificación para los proveedores de servicios digitales en virtud del artículo 16, apartado 3, de la Directiva (UE) 2016/1148. En su caso, la Comisión también podría estudiar la revisión de los umbrales fijados en el presente Reglamento.
(11) Con el fin de que las autoridades competentes estén informadas de nuevos riesgos potenciales, debe animarse a los proveedores de servicios digitales a que notifiquen voluntariamente cualquier incidente cuyas características hubieran sido desconocidas previamente para ellos, como nuevos exploits, vectores de ataque, actores de amenazas, vulnerabilidades y peligros.
(12) El presente Reglamento debe aplicarse a partir del día siguiente a la fecha de expiración del plazo de transposición de la Directiva (UE) 2016/1148.
(13) Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité de Seguridad de las Redes y Sistemas de Información a que se hace referencia en el artículo 22 de la Directiva (UE) 2016/1148.
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1.- Objeto
El presente Reglamento precisa los elementos que han de tener en cuenta los proveedores de servicios digitales a la hora de establecer y adoptar medidas para garantizar un nivel de seguridad de las redes y sistemas de información que utilizan en el marco de la oferta de los servicios contemplados en el anexo III de la Directiva (UE) 2016/1148, y detalla los parámetros para determinar si un incidente tiene un impacto significativo en la prestación de dichos servicios.
Artículo 2.- Elementos de seguridad
1.- La seguridad de los sistemas e instalaciones a que hace referencia el artículo 16, apartado 1, letra a), de la Directiva (UE) 2016/1148 se refiere a la seguridad de las redes y sistemas de información y de su entorno físico, e incluirá los siguientes elementos:
a) la gestión sistemática de redes y sistemas de información, es decir, una cartografía de los sistemas de información y la creación de un conjunto de políticas adecuadas en materia de gestión de la seguridad de la información, incluidos el análisis de riesgos, los recursos humanos, la seguridad de las operaciones, la arquitectura de la seguridad, la gestión segura del ciclo de vida de datos y sistemas, y, si procede, el cifrado y su gestión;
b) la seguridad física y del entorno, es decir, la disponibilidad de un conjunto de medidas para proteger la seguridad de las redes y sistemas de información de los proveedores de servicios digitales frente a los daños, utilizando un enfoque basado en los riesgos que abarque todos los peligros y tenga en cuenta, por ejemplo, los fallos del sistema, los errores humanos, las acciones malintencionadas o los fenómenos naturales;
c) la seguridad de abastecimiento, es decir, el establecimiento y mantenimiento de políticas adecuadas con el fin de garantizar la accesibilidad y, en su caso, la trazabilidad de los suministros críticos utilizados en la prestación de los servicios;
d) el control del acceso a las redes y sistemas de información, es decir, la disponibilidad de un conjunto de medidas para garantizar que el acceso físico y lógico a las redes y sistemas de información, incluida la seguridad administrativa de las redes y sistemas de información, se autorice y restrinja sobre la base de requisitos de actividad de negocio y de seguridad.
2.- En relación con la gestión de incidentes a que hace referencia el artículo 16, apartado 1, letra b), de la Directiva (UE) 2016/1148, las medidas adoptadas por los proveedores de servicios digitales incluirán:
a) procesos y procedimientos de detección mantenidos y ensayados para garantizar el conocimiento oportuno y adecuado de sucesos anómalos;
b) procesos y políticas sobre la notificación de incidentes y la detección de deficiencias y vulnerabilidades en sus sistemas de información;
c) una respuesta acorde con procedimientos establecidos y la comunicación de los resultados de la medida adoptada;
d) la evaluación de la gravedad del incidente, documentando las enseñanzas extraídas del análisis del incidente, y la recopilación de información pertinente que pueda servir como prueba y apoyo a un proceso de mejora continua.
3.- La gestión de la continuidad de las actividades a que hace referencia el artículo 16, apartado 1, letra c), de la Directiva (UE) 2016/1148 se refiere a la capacidad de una organización de mantener o, en su caso, restablecer, después de un incidente perturbador, la prestación de los servicios a niveles aceptables preestablecidos, e incluirá:
a) el establecimiento y la utilización de planes de contingencia basados en un análisis de impacto en la actividad para garantizar la continuidad de los servicios prestados por proveedores de servicios digitales, que serán evaluados y ensayados con carácter periódico, por ejemplo mediante ejercicios;
b) capacidades de recuperación en caso de catástrofe, que serán evaluadas y ensayadas con carácter periódico, por ejemplo mediante ejercicios.
4.- La supervisión, auditorías y pruebas a que hace referencia el artículo 16, apartado 1, letra d), de la Directiva (UE) 2016/1148 incluirán el establecimiento y el mantenimiento de políticas sobre:
a) la realización de una secuencia programada de observaciones o mediciones para evaluar si las redes y sistemas de información están funcionando según lo previsto;
b) la inspección y verificación para comprobar si se está siguiendo una norma o una serie de directrices, si los registros son exactos, y si los objetivos de eficiencia y eficacia se están cumpliendo;
c) un proceso destinado a revelar fallos en los mecanismos de seguridad de una red y sistema de información que proteja los datos y mantenga la funcionalidad según lo previsto; dicho proceso incluirá procesos técnicos y personal encargado del flujo de operaciones.
5.- Las normas internacionales a que hace referencia el artículo 16, apartado 1, letra e), de la Directiva (UE) 2016/1148 designan las normas adoptadas por un organismo internacional de normalización contemplado en el artículo 2, apartado 1, letra a), del Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo (2). De conformidad con el artículo 19 de la Directiva (UE) 2016/1148, también podrán utilizarse normas y especificaciones aceptadas a nivel europeo o internacional que sean pertinentes en materia de seguridad de las redes y sistemas de información, incluidas normas nacionales existentes.
6.- Los proveedores de servicios digitales garantizarán la disponibilidad de documentación adecuada para permitir que la autoridad competente verifique la conformidad con los elementos de seguridad a que se refieren los apartados 1, 2, 3, 4 y 5.
Artículo 3.- Parámetros que han de ser tenidos en cuenta para determinar si el impacto de un incidente es significativo
1.- En relación con el número de usuarios afectados por un incidente, en particular los usuarios que dependen del servicio para la prestación de sus propios servicios, a que hace referencia el artículo 16, apartado 4, letra a), de la Directiva (UE) 2016/1148, el proveedor de servicios digitales deberá estar en condiciones de estimar cualquiera de estos elementos:
a) el número de personas físicas y jurídicas afectadas con las que se haya celebrado un contrato de prestación de servicios, o
b) el número de usuarios afectados que hayan utilizado el servicio basándose en particular en el tráfico de datos previo.
2.- La duración de un incidente a que hace referencia el artículo 16, apartado 4, letra b), de la Directiva (UE) 2016/1148 designa el plazo transcurrido desde la perturbación de la correcta prestación del servicio en cuanto a su disponibilidad, autenticidad, integridad o confidencialidad hasta el momento de su restablecimiento.
3.- En relación con la extensión geográfica con respecto a la zona afectada por el incidente a que hace referencia el artículo 16, apartado 4, letra c), de la Directiva (UE) 2016/1148, el proveedor de servicios digitales deberá estar en condiciones de determinar si el incidente afecta a la prestación de sus servicios en Estados miembros concretos.
4.- El grado de perturbación del funcionamiento del servicio a que hace referencia el artículo 16, apartado 4, letra d), de la Directiva (UE) 2016/1148 se medirá en relación con una o varias de las siguientes características afectadas por un incidente: la disponibilidad, autenticidad, integridad o confidencialidad de los datos o de los servicios correspondientes.
5.- En relación con el alcance del impacto sobre las actividades económicas y sociales a que se hace referencia en el artículo 16, apartado 4, letra e), de la Directiva (UE) 2016/1148, el proveedor de servicios digitales deberá poder concluir, basándose en indicaciones tales como el carácter de sus relaciones contractuales con el cliente o, en su caso, el número de usuarios potencialmente afectados, si el incidente ha causado pérdidas significativas materiales o inmateriales a los usuarios, por ejemplo relativas a la salud, a la seguridad o daños a la propiedad.
6.- A los efectos de los apartados 1, 2, 3, 4 y 5, no se exigirá a los proveedores de servicios digitales que recopilen información adicional a la que no tengan acceso.
Artículo 4.- Impacto significativo de un incidente
1.- Se considerará que un incidente tiene un impacto significativo cuando se haya producido al menos una de las siguientes situaciones:
a) El servicio prestado por el proveedor de servicios digitales ha estado indisponible durante más de 5 000 000 horas de usuario, donde la expresión “horas de usuario” se refiere al número de usuarios afectados en la Unión por una duración de sesenta minutos.
b) El incidente ha dado lugar a una pérdida de autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o de los servicios correspondientes ofrecidos, o accesibles mediante una red y sistema de información del proveedor de servicios digitales, que ha afectado a más de 100 000 usuarios en la Unión.
c) El incidente ha creado un riesgo para la seguridad pública o de pérdida de vidas humanas.
d) El incidente ha causado daños materiales como mínimo a un usuario en la Unión, y el daño causado a dicho usuario es superior a 1 000 000 EUR.
2.- Partiendo de las mejores prácticas recopiladas por el Grupo de cooperación en el ejercicio de sus funciones de conformidad con el artículo 11, apartado 3, de la Directiva (UE) 2016/1148 y de los debates en virtud del artículo 11, apartado 3, letra m), de la misma Directiva, la Comisión podrá revisar los umbrales establecidos en el apartado 1.
Artículo 5.- Entrada en vigor
1.- El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
2.- Será aplicable a partir del 10 de mayo de 2018.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 30 de enero de 2018.
Por la Comisión
El Presidente, Jean-Claude JUNCKER
————————————————————————————————————————-
(1) DO L 194 de 19.7.2016, p. 1.
(2) Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión nº 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).
10Dic/18
Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial
Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial (Modificada por Disposición Final Cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).
JUAN CARLOS I, REY DE ESPAÑA
A todos los que la presente vieren y entendieren,
Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente Ley Orgánica:
EXPOSICIÓN DE MOTIVOS
I
El artículo 1.º de la Constitución afirma que España se constituye en un Estado social y democrático de Derecho que propugna como valores superiores de su ordenamiento jurídico la libertad, la justicia, la igualdad y el pluralismo político.
El Estado de Derecho, al implicar, fundamentalmente, separación de los poderes del Estado, imperio de la Ley como expresión de la soberanía popular, sujeción de todos los poderes públicos, a la Constitución y al resto del ordenamiento jurídico y garantía procesal efectiva de los derechos fundamentales y de las libertades públicas, requiere la existencia de unos órganos que, institucionalmente caracterizados por su independencia, tengan un emplazamiento constitucional que les permita ejecutar y aplicar imparcialmente las normas que expresan la voluntad popular, someter a todos los poderes públicos al cumplimiento de la ley, controlar la legalidad de la actuación administrativa y ofrecer a todas las personas tutela efectiva en el ejercicio de sus derechos e intereses legítimos.
El conjunto de órganos que desarrollan esa función constituye el Poder Judicial del que se ocupa el título VI de nuestra Constitución, configurándolo como uno de los tres poderes del Estado y encomendándole, con exclusividad, el ejercicio de la potestad jurisdiccional en todo tipo de procesos, juzgando y haciendo ejecutar lo juzgado, según las normas de competencia y procedimiento que las leyes establezcan.
El artículo 122 de la Constitución española dispone de que la Ley Orgánica del Poder Judicial determinará la constitución, funcionamiento y gobierno de los Juzgados y Tribunales, el estatuto jurídico de los Jueces y Magistrados de carrera, que formarán un cuerpo único, y del personal al servicio de la Administración de Justicia, así como el estatuto y el régimen de incompatibilidades de los miembros del Consejo General del Poder Judicial y sus funciones, en particular en materia de nombramientos, ascensos, inspección y régimen disciplinario.
Las exigencias del desarrollo constitucional demandaron la aprobación de una Ley Orgánica que regulara la elección, composición y funcionamiento del Consejo General del Poder Judicial, aun antes de que se procediese a la organización integral del Poder Judicial. Tal Ley Orgánica tiene, en no pocos aspectos, un carácter provisional que se reconoce explícitamente en sus disposiciones transitorias, las cuales remiten a la futura Ley Orgánica del Poder Judicial.
La presente Ley Orgánica satisface, por tanto, un doble objetivo: pone fin a la situación de provisionalidad hasta ahora existente en la organización y funcionamiento del Poder Judicial y cumple el mandato constitucional.
II
En la actualidad, el Poder Judicial está regulado por la Ley Provisional sobre organización del Poder Judicial de 18 de septiembre de 1870, por la Ley Adicional a la Orgánica del Poder Judicial de 14 de octubre de 1882, por la Ley de Bases para la reforma de la Justicia Municipal de 19 de Julio de 1944 y por numerosas disposiciones legales y reglamentarias que, con posterioridad, se dictaron de forma dispersa en relación con la misma materia.
Estas normas no se ajustan a las demandas de la sociedad española de hoy. Desde el régimen liberal de separación de poderes, entonces recién conquistado, que promulgó aquellas Leyes, se ha transitado, un siglo después, a un Estado Social y Democrático de Derecho, que es la organización política de una Nación que desea establecer una sociedad democrática avanzada y en la que los poderes públicos están obligados a promover las condiciones para que la libertad y la igualdad del individuo y de los grupos sean reales y efectivas, a remover los obstáculos que impidan o dificulten su plenitud y a facilitar la participación de todos los ciudadanos en la vida política, económica y social. El cumplimiento de estos objetivos constitucionales precisa de un Poder Judicial adaptado a una sociedad predominantemente industrial y urbana y diseñado en atención a los cambios producidos en la distribución territorial de su población, en la división social del trabajo y en las concepciones éticas de los ciudadanos.
A todo ello hay que añadir la notable transformación que se ha producido, por obra de la Constitución, en la distribución territorial del poder. La existencia de Comunidades Autónomas que tienen asignadas por la Constitución y los Estatutos competencias en relación con la Administración de Justicia obliga a modificar la legislación vigente a ese respecto. Tanto la Constitución como los Estatutos de Autonomía prevén la existencia de los Tribunales Superiores de Justicia que, según nuestra Carta Magna, culminarán la organización judicial en el ámbito territorial de la Comunidad Autónoma.
La ineludible e inaplazable necesidad de acomodar la organización del Poder Judicial a estas previsiones constitucionales y estatutarias es, pues, un imperativo más que justifica la aprobación de la presente Ley Orgánica.
Por último, hay que señalar que ésta es solamente una de las normas que, en unión de otras muchas, tiene que actualizar el cuerpo legislativo –tanto sustantivo como procesal– español y adecuarlo a la realidad jurídica, económica y social. Será preciso para ello una ardua labor de reforma de la legislación española, parte de la cual ha sido ya acometida, al objeto de lograr un todo armónico caracterizado por su uniformidad.
III
Las grandes líneas de la Ley están expresadas en su título preliminar. Se recogen en él los principios que se consagran en la Constitución. El primero de ellos es la independencia, que constituye la característica esencial del Poder Judicial en cuanto tal. Sus exigencias se desenvuelven a través de mandatos concretos que delimitan con el rigor preciso su exacto contenido. Así, se precisa que la independencia en el ejercicio de la función jurisdiccional se extiende frente a todos, incluso frente a los propios órganos jurisdiccionales, lo que implica la imposibilidad de que ni los propios Jueces o Tribunales corrijan, a no ser con ocasión del recurso que legalmente proceda, la actuación de sus inferiores, quedando igualmente excluida la posibilidad de circulares o instrucciones con carácter general y relativas a la aplicación o interpretación de la ley.
De la forma en que la Ley Orgánica regula la independencia del Poder Judicial se puede afirmar que posee una característica: su plenitud. Plenitud que se deriva de la obligación que se impone a los poderes públicos y a los particulares de respetar la independencia del Poder Judicial y de la absoluta sustracción del estatuto jurídico de Jueces y Magistrados a toda posible interferencia que parta de los otros poderes del Estado, de tal suerte que a la clásica garantía –constitucionalmente reconocida– de inamovilidad se añade una regulación, en virtud de la cual se excluye toda competencia del poder ejecutivo sobre la aplicación del estatuto orgánico de aquéllos. En lo sucesivo, pues, la carrera profesional de Jueces y Magistrados estará plena y regladamente gobernada por la norma o dependerá, con exclusividad absoluta, de las decisiones que en el ámbito discrecional estatutariamente delimitado adopte el Consejo General del Poder Judicial.
La importancia que la plenitud de la independencia judicial tendrá en nuestro ordenamiento debe ser valorada completándola con el carácter de totalidad con que la Ley dota a la potestad jurisdiccional. Los Tribunales, en efecto, controlan sin excepciones la potestad reglamentaria y la actividad administrativa, con lo que ninguna actuación del poder ejecutivo quedará sustraída a la fiscalización de un poder independiente y sometido exclusivamente al imperio de la Ley. Habrá que convenir que el Estado de Derecho proclamado en la Constitución alcanza, como organización regida por la ley que expresa la voluntad popular y como sistema en el que el Gobierno de los hombres es sustituido por el imperio de la ley, la máxima potencialidad posible.
Corolarios de la independencia judicial son otros preceptos del título preliminar que concretan sus distintas perspectivas. Así, la unidad de la jurisdicción, que, en consecuencia con el mandato constitucional, es absoluta, con la única salvedad de la competencia de la jurisdicción militar, que queda limitada al ámbito estrictamente castrense regulado por la ley y a los supuestos de estado de sitio; la facultad que se reconoce a los Jueces y Tribunales de requerir la colaboración de particulares y poderes públicos; y, en fin, la regulación del procedimiento y de las garantías en él previstas, para los supuestos de expropiación de los derechos reconocidos frente a la Administración Pública en una sentencia firme.
IV
Una de las características de la Constitución española es la superación del carácter meramente programático que antaño se asignó a las normas constitucionales, la asunción de una eficacia jurídica directa e inmediata y, como resumen, la posición de indiscutible supremacía de que goza en el ordenamiento jurídico. Todo ello hace de nuestra Constitución una norma directamente aplicable, con preferencia a cualquier otra.
Todos estos caracteres derivan del propio tenor del texto constitucional. En primer lugar, del artículo 9.1 que prescribe que «los ciudadanos y los poderes públicos están sujetos a la Constitución y al resto del ordenamiento». Otras disposiciones constitucionales, como la que deroga cuantas normas se opongan al texto constitucional o la que regula los procedimientos de declaración de inconstitucionalidad, completan el efecto del citado párrafo 1 del Artículo 9.º y cierran el sistema que hace de la Carta Magna la norma suprema de nuestro ordenamiento con todos los efectos jurídicos a ello inherentes.
El Título preliminar de la presente Ley Orgánica singulariza en el Poder Judicial la vinculación genérica del Artículo 9.1 de la Constitución, disponiendo que las Leyes y Reglamentos habrán de aplicarse según los preceptos y principios constitucionales y conforme a la interpretación de los mismos que realice el Tribunal Constitucional. Se ratifica así la importancia de los valores propugnados por la Constitución como superiores, y de todos los demás principios generales del Derecho que de ellos derivan, como fuente del Derecho, lo que dota plenamente al ordenamiento de las características de plenitud y coherencia que le son exigibles y garantiza la eficacia de los preceptos constitucionales y la uniformidad en la interpretación de los mismos.
Además, se dispone que sólo procederá el planteamiento de la cuestión de inconstitucionalidad cuando no sea posible acomodar, por la vía interpretativa, la norma controvertida al mandato constitucional. Se refuerza, con ello, la vinculación del juzgador para con la norma fundamental, y se introduce en esa sujeción un elemento dinámico de protección activa, que trasciende del mero respeto pasivo por la Ley suprema.
El valor de la Constitución como norma suprema del ordenamiento se manifiesta, también, en otros preceptos complementarios. Así, se configura la infracción de precepto constitucional como motivo suficiente del recurso de casación y se menciona expresamente la directa aplicabilidad de los derechos fundamentales, haciéndose explícita protección del contenido esencial que salvaguarda la Constitución.
V
El Estado se organiza territorialmente, a efectos judiciales, en municipios, partidos, provincias y Comunidades Autónomas, sobre los que ejercen potestad jurisdiccional Juzgados de Paz, Juzgados de Primera Instancia e Instrucción, de lo Contencioso-Administrativo, de lo Social, de Vigilancia Penitenciaria y de Menores, Audiencias Provinciales y Tribunales Superiores de Justicia. Sobre todo el territorio nacional ejercen potestad jurisdiccional la Audiencia Nacional y el Tribunal Supremo.
La Ley contiene en este punto innovaciones importantes. Así, se democratiza el procedimiento de designación de los Jueces de Paz; se suprimen los Juzgados de Distrito, que se transforman en Juzgados de Primera Instancia o de Instrucción; se crean Juzgados unipersonales de lo Contencioso-Administrativo, así como de lo Social, sustitutivos estos últimos de las Magistraturas de Trabajo; se atribuyen competencias en materia civil a las Audiencias Provinciales y, en fin, se modifica la esfera de la Audiencia Nacional, creando en la misma una Sala de lo Social, y manteniendo las Salas de lo Penal y de lo Contencioso-Administrativo.
Sin embargo, las modificaciones más relevantes son las derivadas de la configuración territorial del Estado en Comunidades Autónomas que realiza la Constitución y que, lógicamente, se proyecta sobre la organización territorial del Poder Judicial.
La Ley Orgánica cumple en este punto las exigencias constitucionales y estatutarias. Por ello, y como decisiones más relevantes, se crean los Tribunales Superiores de Justicia, que culminarán la organización judicial en la Comunidad Autónoma, lo que implica la desaparición de las Audiencias Territoriales hasta ahora existentes como órganos jurisdiccionales supraprovinciales de ámbito no nacional.
A ello hay que añadir la regulación de la participación reconocida a las Comunidades Autónomas en la delimitación de las demarcaciones territoriales, así como las competencias que se les asignan en referencia a la gestión de los medios materiales.
Con esta nueva organización judicial, necesitada del desarrollo que llevará a cabo la futura Ley de planta y demarcación judicial –que el Gobierno se compromete a remitir a las Cortes Generales en el plazo de un año–, se pretende poner a disposición del pueblo español una red de órganos judiciales que, junto a la mayor inmediación posible, garantice sobre todo la realización efectiva de los derechos fundamentales reconocidos en el artículo 24 de la Constitución Española, entre ellos, destacadamente, el derecho a un juicio público sin dilaciones indebidas y con todas las garantías.
VI
Para garantizar la independencia del Poder Judicial, la Constitución crea el Consejo General del Poder Judicial, al que encomienda el gobierno del mismo, y remite a la Ley Orgánica el desarrollo de las normas contenidas en su artículo 122.2 y 3.
En cumplimiento de tales mandatos, la presente Ley Orgánica reconoce al Consejo General todas las atribuciones necesarias para la aplicación del estatuto orgánico de los Jueces y Magistrados, en particular en materia de nombramientos, ascensos, inspección y régimen disciplinario. La Ley concibe las facultades de inspección de Juzgados y Tribunales, no como una mera actividad represiva, sino, más bien, como una potestad que incorpora elementos de perfeccionamiento de la organización que se inspecciona.
Para la elección de los doce miembros del Consejo General del Poder Judicial que, de acuerdo con el artículo 122.2 de la Constitución Española, deben ser elegidos «entre Jueces y Magistrados de todas las categorías judiciales», la Ley, informada por un principio democrático, partiendo de la base de que se trata del órgano de gobierno de un Poder del Estado, recordando que los poderes del Estado emanan del pueblo y en atención al carácter de representantes del pueblo soberano que ostentan las Cortes Generales, atribuye a éstas la selección de dichos miembros de procedencia judicial del Consejo General. La exigencia de una muy cualificada mayoría de tres quintos –a la que la Constitución requiere para la elección de los otros miembros– garantiza, a la par que la absoluta coherencia con el carácter general del sistema democrático, la convergencia de fuerzas diversas y evita la conformación de un Consejo General que responda a una mayoría parlamentaria concreta y coyuntural. La Ley regula también el estatuto de los miembros del Consejo y la composición y atribuciones de los órganos en que se articula. Igualmente, se refuerza la mayoría necesaria para la propuesta de nombramiento del Presidente del Tribunal Supremo y del Consejo General del Poder Judicial y otros cargos institucionales. Por último, se atribuye a la Sala de lo Contencioso-Administrativo del Tribunal Supremo la competencia para conocer de los recursos que se interpongan contra los actos y disposiciones emanados del pleno o de la comisión disciplinaria del Consejo General del Poder Judicial no susceptibles de alzada.
Resta añadir que la entrada en vigor de esta Ley Orgánica significará la derogación de la Ley del mismo carácter 1/1980, de 10 de enero, cuya provisionalidad ya ha sido puesta de manifiesto.
La Ley Orgánica modifica el sistema de designación de las Salas de Gobierno, introduciendo parcialmente los métodos electivos. Ello está aconsejado por las funciones gubernativas y no jurisdiccionales que vienen llamadas a cumplir, así como por las nuevas competencias que esta misma Ley Orgánica les atribuye. En estas condiciones, habida cuenta de que la actividad de las Salas de Gobierno afecta fundamentalmente a Jueces y Magistrados y no incide directamente sobre los particulares, se adopta un sistema parcial de elección abierto y mayoritario, en el que desempeña un papel notable el conocimiento personal de electores y elegidos.
La materialización de los principios de pluralismo y participación de que se quiere impregnar el gobierno del Poder Judicial impone una profunda modificación de la actual regulación del derecho de asociación profesional que el artículo 127.1 de la Constitución reconoce a Jueces, Magistrados y Fiscales. El régimen transitorio de libertad asociativa hasta ahora existente contiene restricciones injustificadas a las que se pone fin. De ahí que esta Ley Orgánica reconozca el derecho de libre asociación profesional con la única limitación de no poder llevar a cabo actuaciones políticas ni tener vinculaciones con partidos políticos o sindicatos. Las asociaciones profesionales quedarán válidamente constituidas desde que se inscriban en el registro que será llevado al efecto por el Consejo General del Poder Judicial.
VII
La realización práctica del derecho, constitucionalmente reconocido, a la tutela judicial efectiva, requiere como presupuesto indispensable que todos los órganos jurisdiccionales estén provistos de sus correspondientes titulares, Jueces o Magistrados. Muy graves perjuicios se producen en la seguridad jurídica, en el derecho a un juicio sin dilaciones, cuando los Juzgados y Tribunales se encuentran vacantes durante prolongados lapsos de tiempo, con la correspondiente acumulación de asuntos pendientes y retraso en la Administración de Justicia. Ello ha obligado a recurrir a fórmulas de sustituciones o prórrogas de jurisdicción especialmente inconvenientes en aquellos territorios en los que tiene lugar un progresivo y creciente incremento del trabajo. Resulta por todo ello indemorable afrontar y resolver tal problema.
Los hechos demuestran que los clásicos mecanismos de selección de personal judicial no permiten que la sociedad española se dote de Jueces y Magistrados en número suficiente. Es obligado, pues, recurrir a mecanismos complementarios. A tal fin, la Ley Orgánica prevé un sistema de acceso a la carrera judicial de juristas de reconocido prestigio. Ello permitirá, en primer lugar, hacer frente a las necesidades y cubrir las vacantes que de otra forma no podrían serlo; en segundo término, incorporar a función tan relevante como la judicial a quienes, en otros campos jurídicos, han demostrado estar en condiciones de ofrecer capacidad y competencia acreditadas; por último, lograr entre la carrera judicial y el resto del universo jurídico la ósmosis que, a buen seguro, se dará cuando se integren en la judicatura quienes, por haber ejercido el Derecho en otros sectores, aportarán perspectivas diferentes e incorporarán distintas sensibilidades a un ejercicio que se caracteriza por la riqueza conceptual y la diversidad de enfoques. Los requisitos exigidos, y el hecho de que operarán aquí las mismas garantías de selección objetiva y rigurosa que rigen el clásico camino de la oposición libre, aseguran simultáneamente la imparcialidad del elector y la capacidad del elegido. No se hace con ello, en definitiva, otra cosa que incorporar a nuestro sistema de selección mecanismos experimentados con éxito de antiguo no solo en varios países, sino, incluso, entre nosotros mismos, y precisamente en el Tribunal Supremo.
Sin embargo, el sistema básico de ingreso en la carrera judicial sigue siendo el de oposición libre entre licenciados en Derecho, completada por la aprobación de un curso en el centro de estudios judiciales y con las prácticas en un órgano jurisdiccional.
El acceso a la categoría de Magistrado se verifica en las proporciones siguientes: de cada cuatro vacantes, dos se proveerán con los Jueces que ocupen el primer lugar en el escalafón dentro de la categoría; la tercera, por medio de pruebas selectivas y de especialización en los órdenes contencioso-administrativo y social entre los Jueces, y la cuarta, por concurso entre juristas de reconocida competencia y con más de diez años de ejercicio.
Por lo que se refiere al régimen de provisión de destinos, se sigue manteniendo como criterio básico, en lo que respecta a Juzgados, Audiencias y Tribunales Superiores de Justicia, el de la antigüedad. Ello no obsta, sin embargo, para que se introduzca también, como sistema de promoción en la carrera judicial, la especialización que es, por un lado, necesaria a la vista de la magnitud y complejidad de la legislación de nuestros días y, por otra parte, conveniente en cuanto introduce elementos de estímulo en orden a la permanente formación de Jueces y Magistrados.
Por lo demás, la regulación de la carrera judicial se realiza bajo el criterio básico de su homologación con las normas comunes que rigen el resto de los funcionarios públicos, manteniendo tan solo aquellas peculiaridades que se derivan de su específica función.
VIII
Los cuatro primeros Libros de la Ley regulan cuanto se refiere a la organización, gobierno y régimen de los órganos que integran el Poder Judicial y de su órgano de gobierno. Los Libros V y VI establecen el marco básico regulador de aquellos otros órganos, cuerpos de funcionarios y profesionales que, sin integrar el Poder Judicial, colaboran de diversas formas con él, haciendo posible la efectividad de su tutela en los términos establecidos por la Constitución.
La Ley se refiere así, en primer lugar, al Ministerio Fiscal, que tiene por misión promover la acción de la justicia en defensa de la legalidad, de los derechos de los ciudadanos y el interés público, y la de velar por la independencia de los Tribunales y la satisfacción del interés social conforme a lo previsto por el artículo 124 de la Constitución.
Consagra también la Ley de la función de los Abogados y Procuradores, a los que se reserva la dirección y defensa de la representación de las partes, pues a ellos corresponde garantizar la asistencia jurídica al ciudadano en el proceso, de forma obligatoria cuando así lo exija y, en todo caso, como derecho a la defensa y asistencia letrada expresamente reconocido por la Constitución.
La Policía Judicial, como institución que coopera y auxilia a la Administración de Justicia, se ve potenciada por el establecimiento de unidades funcionalmente dependientes de las autoridades judiciales y del Ministerio Fiscal.
Regula también la Ley el personal que sirve a la Administración de Justicia, comprendiendo en él a los Secretarios, así como a los Médicos Forenses, Oficiales, Auxiliares y Agentes, cuerpos todos ellos de funcionarios que en sus respectivas competencias auxilian y colaboran con los Jueces y Tribunales.
Las funciones de los Secretarios merecen especial regulación en el Título IV del Libro III, pues a ellos corresponde la fe pública judicial al mismo tiempo que la ordenación e impulso del procedimiento, viéndose reforzadas sus funciones de dirección procesal.
Junto a las previsiones básicas sobre la estructura y funciones de los cuerpos de Oficiales, Auxiliares y Agentes, así como de los Médicos Forenses, la Ley establece la previsión de que otros técnicos puedan servir a la Administración de Justicia, constituyendo al efecto cuerpos y escalas, o bajo contrato laboral. Con ello se trata de garantizar y potenciar la estructura del personal al servicio de los órganos judiciales y su cada vez más necesaria especialización.
IX
El ciudadano es el destinatario de la Administración de Justicia. La Constitución exige y esta Ley Orgánica consagra los principios de oralidad y publicidad, para lo que se acentúa la necesaria inmediación que ha de desarrollarse en las leyes procesales y, junto a ello, se regula por primera vez la responsabilidad patrimonial del Estado que pueda derivarse del error judicial o del funcionamiento anormal de la Administración de Justicia, sin perjuicio de la responsabilidad individual de Jueces y Magistrados de carácter civil, penal y disciplinaria, complementándose de esta forma un Poder Judicial plenamente responsable.
X
Las disposiciones adicionales, transitorias y final de la Ley regulan los problemas de su aplicación sincrónica, haciendo posible la adecuación de la organización judicial vigente a la que esta Ley establece y previendo expresamente las leyes de desarrollo que han de implantar en su totalidad la nueva organización del Poder Judicial.
LIBRO I.- DE LA EXTENSIÓN Y LÍMITES DE LA JURISDICCIÓN Y DE LA PLANTA Y ORGANIZACIÓN DE LOS JUZGADOS Y TRIBUNALES
TÍTULO I.- De la extensión y límites de la jurisdicción
TÍTULO II.- De la planta y organización territorial
TÍTULO III.- De los conflictos de jurisdicción y de los conflictos y cuestiones de competencia
TÍTULO IV.- De la composición y atribuciones de los órganos jurisdiccionales
CAPÍTULO I.- Del Tribunal Supremo
Artículo 58.
La Sala de lo Contencioso-administrativo del Tribunal Supremo conocerá:
Primero. En única instancia, de los recursos contencioso-administrativos contra actos y disposiciones del Consejo de Ministros, de las Comisiones Delegadas del Gobierno y del Consejo General del Poder Judicial y contra los actos y disposiciones de los órganos competentes del Congreso de los Diputados y del Senado, del Tribunal Constitucional, del Tribunal de Cuentas y del Defensor del Pueblo en los términos y materias que la Ley establezca y de aquellos otros recursos que excepcionalmente le atribuya la Ley.
Segundo. De los recursos de casación y revisión en los términos que establezca la Ley.
Tercero. De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por el Consejo General del Poder Judicial. (Se añade este apartado en virtud de Disposición final cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)
CAPÍTULO II.- De la Audiencia Nacional
Artículo 66.
La Sala de lo Contencioso-Administrativo de la Audiencia Nacional conocerá:
a) En única instancia, de los recursos contencioso-administrativos contra disposiciones y actos de los Ministros y Secretarios de Estado que la ley no atribuya a los Juzgados Centrales de lo Contencioso-Administrativo.
b) En única instancia, de los recursos contencioso-administrativos contra los actos dictados por la Comisión de Vigilancia de Actividades de Financiación del Terrorismo. Conocerá, asimismo, de la posible prórroga de los plazos que le plantee dicha Comisión de Vigilancia respecto de las medidas previstas en los artículos 1 y 2 de la Ley 12/2003, de prevención y bloqueo de la financiación del terrorismo.
c) De los recursos devolutivos que la ley establezca contra las resoluciones de los Juzgados Centrales de lo Contencioso-Administrativo.
d) De los recursos no atribuidos a los Tribunales Superiores de Justicia en relación a los convenios entre las Administraciones públicas y a las resoluciones del Tribunal Económico-Administrativo Central.
e) De las cuestiones de competencia que se puedan plantear entre los Juzgados Centrales de lo Contencioso-Administrativo y de aquellos otros recursos que excepcionalmente le atribuya la ley.
f) De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por la Agencia Española de Protección de Datos. (Se añade este apartado en virtud de Disposición final cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)
Artículo 66.
La Sala de lo Contencioso-Administrativo de la Audiencia Nacional conocerá:
a) En única instancia, de los recursos contencioso-administrativos contra disposiciones y actos de los Ministros y Secretarios de Estado que la ley no atribuya a los Juzgados Centrales de lo Contencioso-Administrativo.
b) En única instancia, de los recursos contencioso-administrativos contra los actos dictados por la Comisión de Vigilancia de Actividades de Financiación del Terrorismo. Conocerá, asimismo, de la posible prórroga de los plazos que le plantee dicha Comisión de Vigilancia respecto de las medidas previstas en los artículos 1 y 2 de la Ley 12/2003, de prevención y bloqueo de la financiación del terrorismo.
c) De los recursos devolutivos que la ley establezca contra las resoluciones de los Juzgados Centrales de lo Contencioso-Administrativo.
d) De los recursos no atribuidos a los Tribunales Superiores de Justicia en relación a los convenios entre las Administraciones públicas y a las resoluciones del Tribunal Económico-Administrativo Central.
e) De las cuestiones de competencia que se puedan plantear entre los Juzgados Centrales de lo Contencioso-Administrativo y de aquellos otros recursos que excepcionalmente le atribuya la ley.
f) De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por la Agencia Española de Protección de Datos. (Se añade este apartado en virtud de Disposición final cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)
CAPÍTULO III.- De los Tribunales Superiores de Justicia
Artículo 74.
1. Las Salas de lo Contencioso-administrativo de los Tribunales Superiores de Justicia conocerán, en única instancia, de los recursos que se deduzcan en relación con:
a) Los actos de las Entidades locales y de las Administraciones de las Comunidades Autónomas, cuyo conocimiento no esté atribuido a los Juzgados de lo Contencioso-administrativo.
b) Las disposiciones generales emanadas de las Comunidades Autónomas y de las Entidades locales.
c) Los actos y disposiciones de los órganos de gobierno de las Asambleas legislativas de las Comunidades Autónomas y de las instituciones autonómicas análogas al Tribunal de Cuentas y al Defensor del Pueblo, en materia de personal, administración y gestión patrimonial.
d) Los actos y resoluciones dictados por los Tribunales Económico-Administrativos Regionales y Locales que pongan fin a la vía económico administrativa.
e) Las resoluciones dictadas en alzada por el Tribunal Económico-Administrativo Central en materia de tributos cedidos.
f) Los actos y disposiciones de las Juntas Electorales Provinciales y de Comunidades Autónomas, así como los recursos contencioso-electorales contra acuerdos de las Juntas Electorales sobre proclamación de electos y elección y proclamación de Presidentes de Corporaciones locales en los términos de la legislación electoral.
g) Los convenios entre Administraciones públicas cuyas competencias se ejerzan en el ámbito territorial de la correspondiente Comunidad Autónoma.
h) La prohibición o la propuesta de modificación de reuniones previstas en la Ley Orgánica reguladora del Derecho de Reunión.
i) Los actos y resoluciones dictados por órganos de la Administración General del Estado cuya competencia se extienda a todo el territorio nacional y cuyo nivel orgánico sea inferior a Ministro o Secretario de Estado, en materias de personal, propiedades especiales y expropiación forzosa.
j) Cualesquiera otras actuaciones administrativas no atribuidas expresamente a la competencia de otros órganos de este orden jurisdiccional.
k) De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por la autoridad de protección de datos de la Comunidad Autónoma respectiva. (Se añade una letra k) al apartado 1, en virtud de Disposición final cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)
2. Conocerán, en segunda instancia, de las apelaciones promovidas contra sentencias y autos dictados por los Juzgados de lo Contencioso-administrativo y de los correspondientes recursos de queja.
3. También les corresponde, con arreglo a lo establecido en esta Ley, el conocimiento de los recursos de revisión contra las sentencias firmes de los Juzgados de lo Contencioso-administrativo.
4. Conocerán de las cuestiones de competencia entre los Juzgados de lo Contencioso-administrativo con sede en la Comunidad Autónoma.
5. Conocerán del recurso de casación para la unificación de doctrina en los casos previstos en la Ley reguladora de la Jurisdicción Contencioso-administrativa.
6. Conocerán del recurso de casación en interés de la Ley en los casos previstos en la Ley reguladora de la Jurisdicción Contencioso-administrativa.
7. Corresponde a las Salas de lo Contencioso-administrativo de los Tribunales Superiores de Justicia autorizar, mediante auto, el requerimiento de información por parte de autoridades autonómicas de protección de datos a los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, cuando ello sea necesario de acuerdo con la legislación específica. (Se añade un nuevo apartado 7 en virtud de Disposición final cuarta de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)
LIBRO III. DEL RÉGIMEN DE LOS JUZGADOS Y TRIBUNALES
TÍTULO III.- DE LAS ACTUACIONES JUDICIALES
CAPÍTULO PRIMERO.- DE LA ORALIDAD, PUBLICIDAD Y LENGUA OFICIAL
Artículo 230
1. Los Juzgados y Tribunales y las Fiscalías están obligados a utilizar cualesquiera medios técnicos, electrónicos, informáticos y telemáticos, puestos a su disposición para el desarrollo de su actividad y ejercicio de sus funciones, con las limitaciones que a la utilización de tales medios establecen el Capítulo I bis de este Título, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y las demás leyes que resulten de aplicación.
Las instrucciones generales o singulares de uso de las nuevas tecnologías que el Consejo General del Poder Judicial o la Fiscalía General del Estado dirijan a los Jueces y Magistrados o a los Fiscales, respectivamente, determinando su utilización, serán de obligado cumplimiento.
2. Los documentos emitidos por los medios anteriores, cualquiera que sea su soporte, gozarán de la validez y eficacia de un documento original siempre que quede garantizada su autenticidad, integridad y el cumplimiento de los requisitos exigidos por las leyes procesales.
3. Las actuaciones orales y vistas grabadas y documentadas en soporte digital no podrán transcribirse.
4. Los procesos que se tramiten con soporte informático garantizarán la identificación y el ejercicio de la función jurisdiccional por el órgano que la ejerce, así como la confidencialidad, privacidad y seguridad de los datos de carácter personal que contengan en los términos que establezca la ley.
5. Las personas que demanden la tutela judicial de sus derechos e intereses podrán relacionarse con la Administración de Justicia a través de los medios técnicos a que se refiere el apartado 1 cuando sean compatibles con los que dispongan los Juzgados y Tribunales y se respeten las garantías y requisitos previstos en el procedimiento que se trate.
6. Los programas y aplicaciones informáticos que se utilicen en la Administración de Justicia deberán ser previamente informados por el Consejo General del Poder Judicial.
Los sistemas informáticos que se utilicen en la Administración de Justicia deberán ser compatibles entre sí para facilitar su comunicación e integración, en los términos que determine el Comité Técnico Estatal de la Administración de Justicia Electrónica.
09Dic/18
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
FELIPE VI, REY DE ESPAÑA
A todos los que la presente vieren y entendieren.
Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente ley orgánica.
PREÁMBULO
I
La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. De esta manera, nuestra Constitución fue pionera en el reconocimiento del derecho fundamental a la protección de datos personales cuando dispuso que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Se hacía así eco de los trabajos desarrollados desde finales de la década de 1960 en el Consejo de Europa y de las pocas disposiciones legales adoptadas en países de nuestro entorno.
El Tribunal Constitucional señaló en su Sentencia 94/1998, de 4 de mayo, que nos encontramos ante un derecho fundamental a la protección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su obtención. Por su parte, en la Sentencia 292/2000, de 30 de noviembre, lo considera como un derecho autónomo e independiente que consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso.
A nivel legislativo, la concreción y desarrollo del derecho fundamental de protección de las personas físicas en relación con el tratamiento de datos personales tuvo lugar en sus orígenes mediante la aprobación de la Ley Orgánica 5/1992, de 29 de octubre, reguladora del tratamiento automatizado de datos personales, conocida como LORTAD. La Ley Orgánica 5/1992 fue reemplazada por la Ley Orgánica 15/1999, de 5 de diciembre, de protección de datos personales, a fin de trasponer a nuestro derecho a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta ley orgánica supuso un segundo hito en la evolución de la regulación del derecho fundamental a la protección de datos en España y se complementó con una cada vez más abundante jurisprudencia procedente de los órganos de la jurisdicción contencioso-administrativa.
Por otra parte, también se recoge en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea. Anteriormente, a nivel europeo, se había adoptado la Directiva 95/46/CE citada, cuyo objeto era procurar que la garantía del derecho a la protección de datos personales no supusiese un obstáculo a la libre circulación de los datos en el seno de la Unión, estableciendo así un espacio común de garantía del derecho que, al propio tiempo, asegurase que en caso de transferencia internacional de los datos, su tratamiento en el país de destino estuviese protegido por salvaguardas adecuadas a las previstas en la propia directiva.
II
En los últimos años de la pasada década se intensificaron los impulsos tendentes a lograr una regulación más uniforme del derecho fundamental a la protección de datos en el marco de una sociedad cada vez más globalizada. Así, se fueron adoptando en distintas instancias internacionales propuestas para la reforma del marco vigente. Y en este marco la Comisión lanzó el 4 de noviembre de 2010 su Comunicación titulada «Un enfoque global de la protección de los datos personales en la Unión Europea», que constituye el germen de la posterior reforma del marco de la Unión Europea. Al propio tiempo, el Tribunal de Justicia de la Unión ha venido adoptando a lo largo de los últimos años una jurisprudencia que resulta fundamental en su interpretación.
El último hito en esta evolución tuvo lugar con la adopción del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), así como de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.
III
El Reglamento general de protección de datos pretende con su eficacia directa superar los obstáculos que impidieron la finalidad armonizadora de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos. La transposición de la directiva por los Estados miembros se ha plasmado en un mosaico normativo con perfiles irregulares en el conjunto de la Unión Europea lo que, en último extremo, ha conducido a que existan diferencias apreciables en la protección de los derechos de los ciudadanos.
Asimismo, se atiende a nuevas circunstancias, principalmente el aumento de los flujos transfronterizos de datos personales como consecuencia del funcionamiento del mercado interior, los retos planteados por la rápida evolución tecnológica y la globalización, que ha hecho que los datos personales sean el recurso fundamental de la sociedad de la información. El carácter central de la información personal tiene aspectos positivos, porque permite nuevos y mejores servicios, productos o hallazgos científicos. Pero tiene también riesgos, pues las informaciones sobre los individuos se multiplican exponencialmente, son más accesibles, por más actores, y cada vez son más fáciles de procesar mientras que es más difícil el control de su destino y uso.
El Reglamento general de protección de datos supone la revisión de las bases legales del modelo europeo de protección de datos más allá de una mera actualización de la vigente normativa. Procede a reforzar la seguridad jurídica y transparencia a la vez que permite que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios. Así, el Reglamento general de protección de datos contiene un buen número de habilitaciones, cuando no imposiciones, a los Estados miembros, a fin de regular determinadas materias, permitiendo incluso en su considerando 8, y a diferencia de lo que constituye principio general del Derecho de la Unión Europea que, cuando sus normas deban ser especificadas, interpretadas o, excepcionalmente, restringidas por el Derecho de los Estados miembros, estos tengan la posibilidad de incorporar al derecho nacional previsiones contenidas específicamente en el reglamento, en la medida en que sea necesario por razones de coherencia y comprensión.
En este punto hay que subrayar que no se excluye toda intervención del Derecho interno en los ámbitos concernidos por los reglamentos europeos. Al contrario, tal intervención puede ser procedente, incluso necesaria, tanto para la depuración del ordenamiento nacional como para el desarrollo o complemento del reglamento de que se trate. Así, el principio de seguridad jurídica, en su vertiente positiva, obliga a los Estados miembros a integrar el ordenamiento europeo en el interno de una manera lo suficientemente clara y pública como para permitir su pleno conocimiento tanto por los operadores jurídicos como por los propios ciudadanos, en tanto que, en su vertiente negativa, implica la obligación para tales Estados de eliminar situaciones de incertidumbre derivadas de la existencia de normas en el Derecho nacional incompatibles con el europeo. De esta segunda vertiente se colige la consiguiente obligación de depurar el ordenamiento jurídico. En definitiva, el principio de seguridad jurídica obliga a que la normativa interna que resulte incompatible con el Derecho de la Unión Europea quede definitivamente eliminada «mediante disposiciones internas de carácter obligatorio que tengan el mismo valor jurídico que las disposiciones internas que deban modificarse» (Sentencias del Tribunal de Justicia de 23 de febrero de 2006, asunto Comisión vs. España; de 13 de julio de 2000, asunto Comisión vs. Francia; y de 15 de octubre de 1986, asunto Comisión vs. Italia). Por último, los reglamentos, pese a su característica de aplicabilidad directa, en la práctica pueden exigir otras normas internas complementarias para hacer plenamente efectiva su aplicación. En este sentido, más que de incorporación cabría hablar de «desarrollo» o complemento del Derecho de la Unión Europea.
La adaptación al Reglamento general de protección de datos, que será aplicable a partir del 25 de mayo de 2018, según establece su artículo 99, requiere, en suma, la elaboración de una nueva ley orgánica que sustituya a la actual. En esta labor se han preservado los principios de buena regulación, al tratarse de una norma necesaria para la adaptación del ordenamiento español a la citada disposición europea y proporcional a este objetivo, siendo su razón última procurar seguridad jurídica.
IV
Internet, por otra parte, se ha convertido en una realidad omnipresente tanto en nuestra vida personal como colectiva. Una gran parte de nuestra actividad profesional, económica y privada se desarrolla en la Red y adquiere una importancia fundamental tanto para la comunicación humana como para el desarrollo de nuestra vida en sociedad. Ya en los años noventa, y conscientes del impacto que iba a producir Internet en nuestras vidas, los pioneros de la Red propusieron elaborar una Declaración de los Derechos del Hombre y del Ciudadano en Internet.
Hoy identificamos con bastante claridad los riesgos y oportunidades que el mundo de las redes ofrece a la ciudadanía. Corresponde a los poderes públicos impulsar políticas que hagan efectivos los derechos de la ciudadanía en Internet promoviendo la igualdad de los ciudadanos y de los grupos en los que se integran para hacer posible el pleno ejercicio de los derechos fundamentales en la realidad digital. La transformación digital de nuestra sociedad es ya una realidad en nuestro desarrollo presente y futuro tanto a nivel social como económico. En este contexto, países de nuestro entorno ya han aprobado normativa que refuerza los derechos digitales de la ciudadanía.
Los constituyentes de 1978 ya intuyeron el enorme impacto que los avances tecnológicos provocarían en nuestra sociedad y, en particular, en el disfrute de los derechos fundamentales. Una deseable futura reforma de la Constitución debería incluir entre sus prioridades la actualización de la Constitución a la era digital y, específicamente, elevar a rango constitucional una nueva generación de derechos digitales. Pero, en tanto no se acometa este reto, el legislador debe abordar el reconocimiento de un sistema de garantía de los derechos digitales que, inequívocamente, encuentra su anclaje en el mandato impuesto por el apartado cuarto del artículo 18 de la Constitución Española y que, en algunos casos, ya han sido perfilados por la jurisprudencia ordinaria, constitucional y europea.
V
Esta ley orgánica consta de noventa y siete artículos estructurados en diez títulos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y dieciséis disposiciones finales.
El Título I, relativo a las disposiciones generales, comienza regulando el objeto de la ley orgánica, que es, conforme a lo que se ha indicado, doble. Así, en primer lugar, se pretende lograr la adaptación del ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, Reglamento general de protección de datos, y completar sus disposiciones. A su vez, establece que el derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica. Las comunidades autónomas ostentan competencias de desarrollo normativo y ejecución del derecho fundamental a la protección de datos personales en su ámbito de actividad y a las autoridades autonómicas de protección de datos que se creen les corresponde contribuir a garantizar este derecho fundamental de la ciudadanía. En segundo lugar, es también objeto de la ley garantizar los derechos digitales de la ciudadanía, al amparo de lo dispuesto en el artículo 18.4 de la Constitución.
Destaca la novedosa regulación de los datos referidos a las personas fallecidas, pues, tras excluir del ámbito de aplicación de la ley su tratamiento, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido. También excluye del ámbito de aplicación los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga la citada Directiva (UE) 2016/680, previéndose en la disposición transitoria cuarta la aplicación a estos tratamientos de la Ley Orgánica 15/1999, de 13 de diciembre, hasta que se apruebe la citada normativa.
En el Título II, «Principios de protección de datos», se establece que a efectos del Reglamento (UE) 2016/679 no serán imputables al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de los datos obtenidos directamente del afectado, cuando hubiera recibido los datos de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad, o cuando el responsable los obtuviese del mediador o intermediario cuando las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establezcan la posibilidad de intervención de un intermediario o mediador o cuando los datos hubiesen sido obtenidos de un registro público. También se recoge expresamente el deber de confidencialidad, el tratamiento de datos amparado por la ley, las categorías especiales de datos y el tratamiento de datos de naturaleza penal, se alude específicamente al consentimiento, que ha de proceder de una declaración o de una clara acción afirmativa del afectado, excluyendo lo que se conocía como «consentimiento tácito», se indica que el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que se otorga para todas ellas, y se mantiene en catorce años la edad a partir de la cual el menor puede prestar su consentimiento.
Se regulan asimismo las posibles habilitaciones legales para el tratamiento fundadas en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal, Este es el caso, por ejemplo, de las bases de datos reguladas por ley y gestionadas por autoridades públicas que responden a objetivos específicos de control de riesgos y solvencia, supervisión e inspección del tipo de la Central de Información de Riesgos del Banco de España regulada por la Ley 44/2002, de 22 de noviembre, de Medidas de Reforma del Sistema Financiero, o de los datos, documentos e informaciones de carácter reservado que obren en poder de la Dirección General de Seguros y Fondos de Pensiones de conformidad con lo previsto en la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
Se podrán igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras, cuando ello derive del ejercicio de potestades públicas o del cumplimiento de una obligación legal y solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el reglamento europeo, cuando derive de una competencia atribuida por la ley. Y se mantiene la prohibición de consentir tratamientos con la finalidad principal de almacenar información identificativa de determinadas categorías de datos especialmente protegidos, lo que no impide que los mismos puedan ser objeto de tratamiento en los demás supuestos previstos en el Reglamento (UE) 2016/679. Así, por ejemplo, la prestación del consentimiento no dará cobertura a la creación de «listas negras» de sindicalistas, si bien los datos de afiliación sindical podrán ser tratados por el empresario para hacer posible el ejercicio de los derechos de los trabajadores al amparo del artículo 9.2.b) del Reglamento (UE) 2016/679 o por los propios sindicatos en los términos del artículo 9.2.d) de la misma norma europea.
También en relación con el tratamiento de categorías especiales de datos, el artículo 9.2 consagra el principio de reserva de ley para su habilitación en los supuestos previstos en el Reglamento (UE) 2016/679. Dicha previsión no sólo alcanza a las disposiciones que pudieran adoptarse en el futuro, sino que permite dejar a salvo las distintas habilitaciones legales actualmente existentes, tal y como se indica específicamente, respecto de la legislación sanitaria y aseguradora, en la disposición adicional decimoséptima. El Reglamento general de protección de datos no afecta a dichas habilitaciones, que siguen plenamente vigentes, permitiendo incluso llevar a cabo una interpretación extensiva de las mismas, como sucede, en particular, en cuanto al alcance del consentimiento del afectado o el uso de sus datos sin consentimiento en el ámbito de la investigación biomédica. A tal efecto, el apartado 2 de la Disposición adicional decimoséptima introduce una serie de previsiones encaminadas a garantizar el adecuado desarrollo de la investigación en materia de salud, y en particular la biomédica, ponderando los indudables beneficios que la misma aporta a la sociedad con las debidas garantías del derecho fundamental a la protección de datos.
El Título III, dedicado a los derechos de las personas, adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento y recoge la denominada «información por capas» ya generalmente aceptada en ámbitos como el de la videovigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las «cookies»), facilitando al afectado la información básica, si bien, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
Se hace uso en este Título de la habilitación permitida por el considerando 8 del Reglamento (UE) 2016/679 para complementar su régimen, garantizando la adecuada estructura sistemática del texto. A continuación, la ley orgánica contempla los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.
En el Título IV se recogen «Disposiciones aplicables a tratamientos concretos», incorporando una serie de supuestos que en ningún caso debe considerarse exhaustiva de todos los tratamientos lícitos. Dentro de ellos cabe apreciar, en primer lugar, aquellos respecto de los que el legislador establece una presunción «iuris tantum» de prevalencia del interés legítimo del responsable cuando se lleven a cabo con una serie de requisitos, lo que no excluye la licitud de este tipo de tratamientos cuando no se cumplen estrictamente las condiciones previstas en el texto, si bien en este caso el responsable deberá llevar a cabo la ponderación legalmente exigible, al no presumirse la prevalencia de su interés legítimo. Junto a estos supuestos se recogen otros, tales como la videovigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas en que la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del Reglamento (UE) 2016/679. Finalmente, se hace referencia en este Título a la licitud de otros tratamientos regulados en el Capítulo IX del reglamento, como los relacionados con la función estadística o con fines de archivo de interés general. En todo caso, el hecho de que el legislador se refiera a la licitud de los tratamientos no enerva la obligación de los responsables de adoptar todas las medidas de responsabilidad activa establecidas en el Capítulo IV del reglamento europeo y en el Título V de esta ley orgánica.
El Título V se refiere al responsable y al encargado del tratamiento. Es preciso tener en cuenta que la mayor novedad que presenta el Reglamento (UE) 2016/679 es la evolución de un modelo basado, fundamentalmente, en el control del cumplimiento a otro que descansa en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos personales para, a partir de dicha valoración, adoptar las medidas que procedan. Con el fin de aclarar estas novedades, la ley orgánica mantiene la misma denominación del Capítulo IV del Reglamento, dividiendo el articulado en cuatro capítulos dedicados, respectivamente, a las medidas generales de responsabilidad activa, al régimen del encargado del tratamiento, a la figura del delegado de protección de datos y a los mecanismos de autorregulación y certificación. La figura del delegado de protección de datos adquiere una destacada importancia en el Reglamento (UE) 2016/679 y así lo recoge la ley orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. Asimismo, no podrá ser removido, salvo en los supuestos de dolo o negligencia grave. Es de destacar que el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, pues el interesado podrá reproducir ante él la reclamación que no sea atendida por el responsable o encargado del tratamiento.
El Título VI, relativo a las transferencias internacionales de datos, procede a la adaptación de lo previsto en el Reglamento (UE) 2016/679 y se refiere a las especialidades relacionadas con los procedimientos a través de los cuales las autoridades de protección de datos pueden aprobar modelos contractuales o normas corporativas vinculantes, supuestos de autorización de una determinada transferencia, o información previa.
El Título VII se dedica a las autoridades de protección de datos, que siguiendo el mandato del Reglamento (UE) 2016/679 se han de establecer por ley nacional. Manteniendo el esquema que se venía recogiendo en sus antecedentes normativos, la ley orgánica regula el régimen de la Agencia Española de Protección de Datos y refleja la existencia de las autoridades autonómicas de protección de datos y la necesaria cooperación entre las autoridades de control. La Agencia Española de Protección de Datos se configura como una autoridad administrativa independiente con arreglo a la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Justicia.
El Título VIII regula el «Procedimientos en caso de posible vulneración de la normativa de protección de datos». El Reglamento (UE) 2016/679 establece un sistema novedoso y complejo, evolucionando hacia un modelo de «ventanilla única» en el que existe una autoridad de control principal y otras autoridades interesadas. También se establece un procedimiento de cooperación entre autoridades de los Estados miembros y, en caso de discrepancia, se prevé la decisión vinculante del Comité Europeo de Protección de Datos. En consecuencia, con carácter previo a la tramitación de cualquier procedimiento, será preciso determinar si el tratamiento tiene o no carácter transfronterizo y, en caso de tenerlo, qué autoridad de protección de datos ha de considerarse principal.
La regulación se limita a delimitar el régimen jurídico; la iniciación de los procedimientos, siendo posible que la Agencia Española de Protección de Datos remita la reclamación al delegado de protección de datos o a los órganos o entidades que tengan a su cargo la resolución extrajudicial de conflictos conforme a lo establecido en un código de conducta; la inadmisión de las reclamaciones; las actuaciones previas de investigación; las medidas provisionales, entre las que destaca la orden de bloqueo de los datos; y el plazo de tramitación de los procedimientos y, en su caso, su suspensión. Las especialidades del procedimiento se remiten al desarrollo reglamentario.
El Título IX, que contempla el régimen sancionador, parte de que el Reglamento (UE) 2016/679 establece un sistema de sanciones o actuaciones correctivas que permite un amplio margen de apreciación. En este marco, la ley orgánica procede a describir las conductas típicas, estableciendo la distinción entre infracciones muy graves, graves y leves, tomando en consideración la diferenciación que el Reglamento general de protección de datos establece al fijar la cuantía de las sanciones. La categorización de las infracciones se introduce a los solos efectos de determinar los plazos de prescripción, teniendo la descripción de las conductas típicas como único objeto la enumeración de manera ejemplificativa de algunos de los actos sancionables que deben entenderse incluidos dentro de los tipos generales establecidos en la norma europea. La ley orgánica regula los supuestos de interrupción de la prescripción partiendo de la exigencia constitucional del conocimiento de los hechos que se imputan a la persona, pero teniendo en cuenta la problemática derivada de los procedimientos establecidos en el reglamento europeo, en función de si el procedimiento se tramita exclusivamente por la Agencia Española de Protección de Datos o si se acude al procedimiento coordinado del artículo 60 del Reglamento general de protección de datos.
El Reglamento (UE) 2016/679 establece amplios márgenes para la determinación de la cuantía de las sanciones. La ley orgánica aprovecha la cláusula residual del artículo 83.2 de la norma europea, referida a los factores agravantes o atenuantes, para aclarar que entre los elementos a tener en cuenta podrán incluirse los que ya aparecían en el artículo 45.4 y 5 de la Ley Orgánica 15/1999, y que son conocidos por los operadores jurídicos.
Finalmente, el Título X de esta ley acomete la tarea de reconocer y garantizar un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en la Constitución. En particular, son objeto de regulación los derechos y libertades predicables al entorno de Internet como la neutralidad de la Red y el acceso universal o los derechos a la seguridad y educación digital así como los derechos al olvido, a la portabilidad y al testamento digital. Ocupa un lugar relevante el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral y la protección de los menores en Internet. Finalmente, resulta destacable la garantía de la libertad de expresión y el derecho a la aclaración de informaciones en medios de comunicación digitales.
Las disposiciones adicionales se refieren a cuestiones como las medidas de seguridad en el ámbito del sector público, protección de datos y transparencia y acceso a la información pública, cómputo de plazos, autorización judicial en materia de transferencias internacionales de datos, la protección frente a prácticas abusivas que pudieran desarrollar ciertos operadores, o los tratamientos de datos de salud, entre otras.
De conformidad con la disposición adicional decimocuarta, la normativa relativa a las excepciones y limitaciones en el ejercicio de los derechos que hubiese entrado en vigor con anterioridad a la fecha de aplicación del reglamento europeo y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, seguirá vigente en tanto no sea expresamente modificada, sustituida o derogada. La pervivencia de esta normativa supone la continuidad de las excepciones y limitaciones que en ella se contienen hasta que se produzca su reforma o abrogación, si bien referida a los derechos tal y como se regulan en el Reglamento (UE) 2016/679 y en esta ley orgánica. Así, por ejemplo, en virtud de la referida disposición adicional, las Administraciones tributarias responsables de los ficheros de datos con trascendencia tributaria a que se refiere el artículo 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria, podrán, en relación con dichos datos, denegar el ejercicio de los derechos a que se refieren los artículos 15 a 22 del Reglamento (UE) 2016/679, cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.
Las disposiciones transitorias están dedicadas, entre otras cuestiones, al estatuto de la Agencia Española de Protección de Datos, el régimen transitorio de los procedimientos o los tratamientos sometidos a la Directiva (UE) 2016/680. Se recoge una disposición derogatoria y, a continuación, figuran las disposiciones finales sobre los preceptos con carácter de ley ordinaria, el título competencial y la entrada en vigor.
Asimismo, se introducen las modificaciones necesarias de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil y la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, la Ley Orgánica, 6/1985, de 1 de julio, del Poder Judicial, la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, la Ley 14/1986, de 25 de abril, General de Sanidad, la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica y la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Finalmente, y en relación con la garantía de los derechos digitales, también se introducen modificaciones en la Ley Orgánica 2/2006, de 3 de mayo, de Educación, la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, así como en el Texto Refundido de la Ley del Estatuto de los Trabajadores y en el Texto Refundido de la Ley del Estatuto Básico del Empleado Público.
TÍTULO I.- Disposiciones generales
Artículo 1.- Objeto de la ley.
La presente ley orgánica tiene por objeto:
a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.
El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.
b) Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.
Artículo 2.- Ámbito de aplicación de los Títulos I a IX y de los artículos 89 a 94.
1. Lo dispuesto en los Títulos I a IX y en los artículos 89 a 94 de la presente ley orgánica se aplica a cualquier tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
2. Esta ley orgánica no será de aplicación:
a) A los tratamientos excluidos del ámbito de aplicación del Reglamento general de protección de datos por su artículo 2.2, sin perjuicio de lo dispuesto en los apartados 3 y 4 de este artículo.
b) A los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo 3.
c) A los tratamientos sometidos a la normativa sobre protección de materias clasificadas.
3. Los tratamientos a los que no sea directamente aplicable el Reglamento (UE) 2016/679 por afectar a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea, se regirán por lo dispuesto en su legislación específica si la hubiere y supletoriamente por lo establecido en el citado reglamento y en la presente ley orgánica. Se encuentran en esta situación, entre otros, los tratamientos realizados al amparo de la legislación orgánica del régimen electoral general, los tratamientos realizados en el ámbito de instituciones penitenciarias y los tratamientos derivados del Registro Civil, los Registros de la Propiedad y Mercantiles.
4. El tratamiento de datos llevado a cabo con ocasión de la tramitación por los órganos judiciales de los procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina Judicial, se regirán por lo dispuesto en el Reglamento (UE) 2016/679 y la presente ley orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, que le sean aplicables.
Artículo 3.- Datos de las personas fallecidas.
1. Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.
Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.
2. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión.
Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos.
3. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada.
En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.
TÍTULO II.- Principios de protección de datos
Artículo 4.- Exactitud de los datos.
1. Conforme al artículo 5.1.d) del Reglamento (UE) 2016/679 los datos serán exactos y, si fuere necesario, actualizados.
2. A los efectos previstos en el artículo 5.1.d) del Reglamento (UE) 2016/679, no será imputable al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:
a) Hubiesen sido obtenidos por el responsable directamente del afectado.
b) Hubiesen sido obtenidos por el responsable de un mediador o intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario o mediador que recoja en nombre propio los datos de los afectados para su transmisión al responsable. El mediador o intermediario asumirá las responsabilidades que pudieran derivarse en el supuesto de comunicación al responsable de datos que no se correspondan con los facilitados por el afectado.
c) Fuesen sometidos a tratamiento por el responsable por haberlos recibido de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad conforme al artículo 20 del Reglamento (UE) 2016/679 y lo previsto en esta ley orgánica.
d) Fuesen obtenidos de un registro público por el responsable.
Artículo 5.- Deber de confidencialidad.
1. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.
2. La obligación general señalada en el apartado anterior será complementaria de los deberes de secreto profesional de conformidad con su normativa aplicable.
3. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.
Artículo 6.- Tratamiento basado en el consentimiento del afectado.
1. De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
2. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste de manera específica e inequívoca que dicho consentimiento se otorga para todas ellas.
3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el tratamiento de los datos personales para finalidades que no guarden relación con el mantenimiento, desarrollo o control de la relación contractual.
Artículo 7.- Consentimiento de los menores de edad.
1. El tratamiento de los datos personales de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de catorce años.
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de la patria potestad o tutela para la celebración del acto o negocio jurídico en cuyo contexto se recaba el consentimiento para el tratamiento.
2. El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.
Artículo 8.- Tratamiento de datos por obligación legal, interés público o ejercicio de poderes públicos.
1. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679.
2. El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, en los términos previstos en el artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una competencia atribuida por una norma con rango de ley.
Artículo 9.- Categorías especiales de datos.
1. A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.
Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda.
2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.
En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.
Artículo 10.- Tratamiento de datos de naturaleza penal.
1. El tratamiento de datos personales relativos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas, para fines distintos de los de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, solo podrá llevarse a cabo cuando se encuentre amparado en una norma de Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal.
2. El registro completo de los datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas a que se refiere el artículo 10 del Reglamento (UE) 2016/679, podrá realizarse conforme con lo establecido en la regulación del Sistema de registros administrativos de apoyo a la Administración de Justicia.
3. Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a condenas e infracciones penales, así como a procedimientos y medidas cautelares y de seguridad conexas solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.
TÍTULO III.- Derechos de las personas
CAPÍTULO I.- Transparencia e información
Artículo 11.- Transparencia e información al afectado.
1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/679.
3. Cuando los datos personales no hubieran sido obtenidos del afectado, el responsable podrá dar cumplimiento al deber de información establecido en el artículo 14 del Reglamento (UE) 2016/679 facilitando a aquel la información básica señalada en el apartado anterior, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
En estos supuestos, la información básica incluirá también:
a) Las categorías de datos objeto de tratamiento.
b) Las fuentes de las que procedieran los datos.
CAPÍTULO II.- Ejercicio de los derechos
Artículo 12.- Disposiciones generales sobre ejercicio de los derechos.
1. Los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, podrán ejercerse directamente o por medio de representante legal o voluntario.
2. El responsable del tratamiento estará obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio.
3. El encargado podrá tramitar, por cuenta del responsable, las solicitudes de ejercicio formuladas por los afectados de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule.
4. La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el afectado recaerá sobre el responsable.
5. Cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que afecte al ejercicio de los derechos previstos en el Capítulo III del Reglamento (UE) 2016/679, se estará a lo dispuesto en aquellas.
6. En cualquier caso, los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgánica.
7. Serán gratuitas las actuaciones llevadas a cabo por el responsable del tratamiento para atender las solicitudes de ejercicio de estos derechos, sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del Reglamento (UE) 2016/679 y en los apartados 3 y 4 del artículo 13 de esta ley orgánica.
Artículo 13.- Derecho de acceso.
1. El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del Reglamento (UE) 2016/679.
Cuando el responsable trate una gran cantidad de datos relativos al afectado y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud.
2. El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. A tales efectos, la comunicación por el responsable al afectado del modo en que este podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho.
No obstante, el interesado podrá solicitar del responsable la información referida a los extremos previstos en el artículo 15.1 del Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso remoto.
3. A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.
Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte. En este caso, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones indebidas.
Artículo 14.- Derecho de rectificación.
Al ejercer el derecho de rectificación reconocido en el artículo 16 del Reglamento (UE) 2016/679, el afectado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar, cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de tratamiento.
Artículo 15.- Derecho de supresión.
1. El derecho de supresión se ejercerá de acuerdo con lo establecido en el artículo 17 del Reglamento (UE) 2016/679.
2. Cuando la supresión derive del ejercicio del derecho de oposición con arreglo al artículo 21.2 del Reglamento (UE) 2016/679, el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.
Artículo 16.- Derecho a la limitación del tratamiento.
1. El derecho a la limitación del tratamiento se ejercerá de acuerdo con lo establecido en el artículo 18 del Reglamento (UE) 2016/679.
2. El hecho de que el tratamiento de los datos personales esté limitado debe constar claramente en los sistemas de información del responsable.
Artículo 17.- Derecho a la portabilidad.
El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del Reglamento (UE) 2016/679.
Artículo 18.- Derecho de oposición.
El derecho de oposición, así como los derechos relacionados con las decisiones individuales automatizadas, incluida la realización de perfiles, se ejercerán de acuerdo con lo establecido, respectivamente, en los artículos 21 y 22 del Reglamento (UE) 2016/679.
TÍTULO IV.- Disposiciones aplicables a tratamientos concretos
Artículo 19.- Tratamiento de datos de contacto, de empresarios individuales y de profesionales liberales.
1. Salvo prueba en contrario, se presumirá amparado en lo dispuesto en el artículo 6.1.f) del Reglamento (UE) 2016/679 el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica siempre que se cumplan los siguientes requisitos:
a) Que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional.
b) Que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
2. La misma presunción operará para el tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales, cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
3. Los responsables o encargados del tratamiento a los que se refiere el artículo 77.1 de esta ley orgánica podrán también tratar los datos mencionados en los dos apartados anteriores cuando ello se derive de una obligación legal o sea necesario para el ejercicio de sus competencias.
Artículo 20.- Sistemas de información crediticia.
1. Salvo prueba en contrario, se presumirá lícito el tratamiento de datos personales relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito por sistemas comunes de información crediticia cuando se cumplan los siguientes requisitos:
a) Que los datos hayan sido facilitados por el acreedor o por quien actúe por su cuenta o interés.
b) Que los datos se refieran a deudas ciertas, vencidas y exigibles, cuya existencia o cuantía no hubiese sido objeto de reclamación administrativa o judicial por el deudor o mediante un procedimiento alternativo de resolución de disputas vinculante entre las partes.
c) Que el acreedor haya informado al afectado en el contrato o en el momento de requerir el pago acerca de la posibilidad de inclusión en dichos sistemas, con indicación de aquéllos en los que participe.
La entidad que mantenga el sistema de información crediticia con datos relativos al incumplimiento de obligaciones dinerarias, financieras o de crédito deberá notificar al afectado la inclusión de tales datos y le informará sobre la posibilidad de ejercitar los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 dentro de los treinta días siguientes a la notificación de la deuda al sistema, permaneciendo bloqueados los datos durante ese plazo.
d) Que los datos únicamente se mantengan en el sistema mientras persista el incumplimiento, con el límite máximo de cinco años desde la fecha de vencimiento de la obligación dineraria, financiera o de crédito.
e) Que los datos referidos a un deudor determinado solamente puedan ser consultados cuando quien consulte el sistema mantuviese una relación contractual con el afectado que implique el abono de una cuantía pecuniaria o este le hubiera solicitado la celebración de un contrato que suponga financiación, pago aplazado o facturación periódica, como sucede, entre otros supuestos, en los previstos en la legislación de contratos de crédito al consumo y de contratos de crédito inmobiliario.
Cuando se hubiera ejercitado ante el sistema el derecho a la limitación del tratamiento de los datos impugnando su exactitud conforme a lo previsto en el artículo 18.1.a) del Reglamento (UE) 2016/679, el sistema informará a quienes pudieran consultarlo con arreglo al párrafo anterior acerca de la mera existencia de dicha circunstancia, sin facilitar los datos concretos respecto de los que se hubiera ejercitado el derecho, en tanto se resuelve sobre la solicitud del afectado.
f) Que, en el caso de que se denegase la solicitud de celebración del contrato, o éste no llegara a celebrarse, como consecuencia de la consulta efectuada, quien haya consultado el sistema informe al afectado del resultado de dicha consulta.
2. Las entidades que mantengan el sistema y las acreedoras, respecto del tratamiento de los datos referidos a sus deudores, tendrán la condición de corresponsables del tratamiento de los datos, siendo de aplicación lo establecido por el artículo 26 del Reglamento (UE) 2016/679.
Corresponderá al acreedor garantizar que concurren los requisitos exigidos para la inclusión en el sistema de la deuda, respondiendo de su inexistencia o inexactitud.
3. La presunción a la que se refiere el apartado 1 de este artículo no ampara los supuestos en que la información crediticia fuese asociada por la entidad que mantuviera el sistema a informaciones adicionales a las contempladas en dicho apartado, relacionadas con el deudor y obtenidas de otras fuentes, a fin de llevar a cabo un perfilado del mismo, en particular mediante la aplicación de técnicas de calificación crediticia.
Artículo 21.- Tratamientos relacionados con la realización de determinadas operaciones mercantiles.
1. Salvo prueba en contrario, se presumirán lícitos los tratamientos de datos, incluida su comunicación con carácter previo, que pudieran derivarse del desarrollo de cualquier operación de modificación estructural de sociedades o la aportación o transmisión de negocio o de rama de actividad empresarial, siempre que los tratamientos fueran necesarios para el buen fin de la operación y garanticen, cuando proceda, la continuidad en la prestación de los servicios.
2. En el caso de que la operación no llegara a concluirse, la entidad cesionaria deberá proceder con carácter inmediato a la supresión de los datos, sin que sea de aplicación la obligación de bloqueo prevista en esta ley orgánica.
Artículo 22.- Tratamientos con fines de videovigilancia.
1. Las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones.
2. Solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada en el apartado anterior.
No obstante, será posible la captación de la vía pública en una extensión superior cuando fuese necesario para garantizar la seguridad de bienes o instalaciones estratégicos o de infraestructuras vinculadas al transporte, sin que en ningún caso pueda suponer la captación de imágenes del interior de un domicilio privado.
3. Los datos serán suprimidos en el plazo máximo de un mes desde su captación, salvo cuando hubieran de ser conservados para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones. En tal caso, las imágenes deberán ser puestas a disposición de la autoridad competente en un plazo máximo de setenta y dos horas desde que se tuviera conocimiento de la existencia de la grabación.
No será de aplicación a estos tratamientos la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica.
4. El deber de información previsto en el artículo 12 del Reglamento (UE) 2016/679 se entenderá cumplido mediante la colocación de un dispositivo informativo en lugar suficientemente visible identificando, al menos, la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679. También podrá incluirse en el dispositivo informativo un código de conexión o dirección de internet a esta información.
En todo caso, el responsable del tratamiento deberá mantener a disposición de los afectados la información a la que se refiere el citado reglamento.
5. Al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio.
Esta exclusión no abarca el tratamiento realizado por una entidad de seguridad privada que hubiera sido contratada para la vigilancia de un domicilio y tuviese acceso a las imágenes.
6. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, se regirá por la legislación de transposición de la Directiva (UE) 2016/680, cuando el tratamiento tenga fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública. Fuera de estos supuestos, dicho tratamiento se regirá por su legislación específica y supletoriamente por el Reglamento (UE) 2016/679 y la presente ley orgánica.
7. Lo regulado en el presente artículo se entiende sin perjuicio de lo previsto en la Ley 5/2014, de 4 de abril, de Seguridad Privada y sus disposiciones de desarrollo.
8. El tratamiento por el empleador de datos obtenidos a través de sistemas de cámaras o videocámaras se somete a lo dispuesto en el artículo 89 de esta ley orgánica.
Artículo 23.- Sistemas de exclusión publicitaria.
1. Será lícito el tratamiento de datos personales que tenga por objeto evitar el envío de comunicaciones comerciales a quienes hubiesen manifestado su negativa u oposición a recibirlas.
A tal efecto, podrán crearse sistemas de información, generales o sectoriales, en los que solo se incluirán los datos imprescindibles para identificar a los afectados. Estos sistemas también podrán incluir servicios de preferencia, mediante los cuales los afectados limiten la recepción de comunicaciones comerciales a las procedentes de determinadas empresas.
2. Las entidades responsables de los sistemas de exclusión publicitaria comunicarán a la autoridad de control competente su creación, su carácter general o sectorial, así como el modo en que los afectados pueden incorporarse a los mismos y, en su caso, hacer valer sus preferencias.
La autoridad de control competente hará pública en su sede electrónica una relación de los sistemas de esta naturaleza que le fueran comunicados, incorporando la información mencionada en el párrafo anterior. A tal efecto, la autoridad de control competente a la que se haya comunicado la creación del sistema lo pondrá en conocimiento de las restantes autoridades de control para su publicación por todas ellas.
3. Cuando un afectado manifieste a un responsable su deseo de que sus datos no sean tratados para la remisión de comunicaciones comerciales, este deberá informarle de los sistemas de exclusión publicitaria existentes, pudiendo remitirse a la información publicada por la autoridad de control competente.
4. Quienes pretendan realizar comunicaciones de mercadotecnia directa, deberán previamente consultar los sistemas de exclusión publicitaria que pudieran afectar a su actuación, excluyendo del tratamiento los datos de los afectados que hubieran manifestado su oposición o negativa al mismo. A estos efectos, para considerar cumplida la obligación anterior será suficiente la consulta de los sistemas de exclusión incluidos en la relación publicada por la autoridad de control competente.
No será necesario realizar la consulta a la que se refiere el párrafo anterior cuando el afectado hubiera prestado, conforme a lo dispuesto en esta ley orgánica, su consentimiento para recibir la comunicación a quien pretenda realizarla.
Artículo 24.- Sistemas de información de denuncias internas.
1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales pueda ponerse en conocimiento de una entidad de Derecho privado, incluso anónimamente, la comisión en el seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de información.
2. El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente a quienes, incardinados o no en el seno de la entidad, desarrollen las funciones de control interno y de cumplimiento, o a los encargados del tratamiento que eventualmente se designen a tal efecto. No obstante, será lícito su acceso por otras personas, o incluso su comunicación a terceros, cuando resulte necesario para la adopción de medidas disciplinarias o para la tramitación de los procedimientos judiciales que, en su caso, procedan.
Sin perjuicio de la notificación a la autoridad competente de hechos constitutivos de ilícito penal o administrativo, solo cuando pudiera proceder la adopción de medidas disciplinarias contra un trabajador, dicho acceso se permitirá al personal con funciones de gestión y control de recursos humanos.
3. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la confidencialidad de los datos correspondientes a las personas afectadas por la información suministrada, especialmente la de la persona que hubiera puesto los hechos en conocimiento de la entidad, en caso de que se hubiera identificado.
4. Los datos de quien formule la comunicación y de los empleados y terceros deberán conservarse en el sistema de denuncias únicamente durante el tiempo imprescindible para decidir sobre la procedencia de iniciar una investigación sobre los hechos denunciados.
En todo caso, transcurridos tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. Las denuncias a las que no se haya dado curso solamente podrán constar de forma anonimizada, sin que sea de aplicación la obligación de bloqueo prevista en el artículo 32 de esta ley orgánica.
Transcurrido el plazo mencionado en el párrafo anterior, los datos podrán seguir siendo tratados, por el órgano al que corresponda, conforme al apartado 2 de este artículo, la investigación de los hechos denunciados, no conservándose en el propio sistema de información de denuncias internas.
5. Los principios de los apartados anteriores serán aplicables a los sistemas de denuncias internas que pudieran crearse en las Administraciones Públicas.
Artículo 25.- Tratamiento de datos en el ámbito de la función estadística pública.
1. El tratamiento de datos personales llevado a cabo por los organismos que tengan atribuidas las competencias relacionadas con el ejercicio de la función estadística pública se someterá a lo dispuesto en su legislación específica, así como en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
2. La comunicación de los datos a los órganos competentes en materia estadística solo se entenderá amparada en el artículo 6.1 e) del Reglamento (UE) 2016/679 en los casos en que la estadística para la que se requiera la información venga exigida por una norma de Derecho de la Unión Europea o se encuentre incluida en los instrumentos de programación estadística legalmente previstos.
De conformidad con lo dispuesto en el artículo 11.2 de la Ley 12/1989, de 9 de mayo, de la Función Estadística Pública, serán de aportación estrictamente voluntaria y, en consecuencia, solo podrán recogerse previo consentimiento expreso de los afectados los datos a los que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679.
3. Los organismos competentes para el ejercicio de la función estadística pública podrán denegar las solicitudes de ejercicio por los afectados de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 cuando los datos se encuentren amparados por las garantías del secreto estadístico previstas en la legislación estatal o autonómica.
Artículo 26. -Tratamiento de datos con fines de archivo en interés público por parte de las Administraciones Públicas.
Será lícito el tratamiento por las Administraciones Públicas de datos con fines de archivo en interés público, que se someterá a lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica con las especialidades que se derivan de lo previsto en la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español, en el Real Decreto 1708/2011, de 18 de noviembre, por el que se establece el Sistema Español de Archivos y se regula el Sistema de Archivos de la Administración General del Estado y de sus Organismos Públicos y su régimen de acceso, así como la legislación autonómica que resulte de aplicación.
Artículo 27.- Tratamiento de datos relativos a infracciones y sanciones administrativas.
1. A los efectos del artículo 86 del Reglamento (UE) 2016/679, el tratamiento de datos relativos a infracciones y sanciones administrativas, incluido el mantenimiento de registros relacionados con las mismas, exigirá:
a) Que los responsables de dichos tratamientos sean los órganos competentes para la instrucción del procedimiento sancionador, para la declaración de las infracciones o la imposición de las sanciones.
b) Que el tratamiento se limite a los datos estrictamente necesarios para la finalidad perseguida por aquel.
2. Cuando no se cumpla alguna de las condiciones previstas en el apartado anterior, los tratamientos de datos referidos a infracciones y sanciones administrativas habrán de contar con el consentimiento del interesado o estar autorizados por una norma con rango de ley, en la que se regularán, en su caso, garantías adicionales para los derechos y libertades de los afectados.
3. Fuera de los supuestos señalados en los apartados anteriores, los tratamientos de datos referidos a infracciones y sanciones administrativas solo serán posibles cuando sean llevados a cabo por abogados y procuradores y tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.
TÍTULO V.- Responsable y encargado del tratamiento
CAPÍTULO I.- Disposiciones generales. Medidas de responsabilidad activa
Artículo 28.- Obligaciones generales del responsable y encargado del tratamiento.
1. Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.
2. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que podrían producirse en los siguientes supuestos:
a) Cuando el tratamiento pudiera generar situaciones de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico, moral o social significativo para los afectados.
b) Cuando el tratamiento pudiese privar a los afectados de sus derechos y libertades o pudiera impedirles el ejercicio del control sobre sus datos personales.
c) Cuando se produjese el tratamiento no meramente incidental o accesorio de las categorías especiales de datos a las que se refieren los artículos 9 y 10 del Reglamento (UE) 2016/679 y 9 y 10 de esta ley orgánica o de los datos relacionados con la comisión de infracciones administrativas.
d) Cuando el tratamiento implicase una evaluación de aspectos personales de los afectados con el fin de crear o utilizar perfiles personales de los mismos, en particular mediante el análisis o la predicción de aspectos referidos a su rendimiento en el trabajo, su situación económica, su salud, sus preferencias o intereses personales, su fiabilidad o comportamiento, su solvencia financiera, su localización o sus movimientos.
e) Cuando se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad.
f) Cuando se produzca un tratamiento masivo que implique a un gran número de afectados o conlleve la recogida de una gran cantidad de datos personales.
g) Cuando los datos personales fuesen a ser objeto de transferencia, con carácter habitual, a terceros Estados u organizaciones internacionales respecto de los que no se hubiese declarado un nivel adecuado de protección.
h) Cualesquiera otros que a juicio del responsable o del encargado pudieran tener relevancia y en particular aquellos previstos en códigos de conducta y estándares definidos por esquemas de certificación.
Artículo 29.- Supuestos de corresponsabilidad en el tratamiento.
La determinación de las responsabilidades a las que se refiere el artículo 26.1 del Reglamento (UE) 2016/679 se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento.
Artículo 30.- Representantes de los responsables o encargados del tratamiento no establecidos en la Unión Europea.
1. En los supuestos en que el Reglamento (UE) 2016/679 sea aplicable a un responsable o encargado del tratamiento no establecido en la Unión Europea en virtud de lo dispuesto en su artículo 3.2 y el tratamiento se refiera a afectados que se hallen en España, la Agencia Española de Protección de Datos o, en su caso, las autoridades autonómicas de protección de datos podrán imponer al representante, solidariamente con el responsable o encargado del tratamiento, las medidas establecidas en el Reglamento (UE) 2016/679.
Dicha exigencia se entenderá sin perjuicio de la responsabilidad que pudiera en su caso corresponder al responsable o al encargado del tratamiento y del ejercicio por el representante de la acción de repetición frente a quien proceda.
2. Asimismo, en caso de exigencia de responsabilidad en los términos previstos en el artículo 82 del Reglamento (UE) 2016/679, los responsables, encargados y representantes responderán solidariamente de los daños y perjuicios causados.
Artículo 31.- Registro de las actividades de tratamiento.
1. Los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento al que se refiere el artículo 30 del Reglamento (UE) 2016/679, salvo que sea de aplicación la excepción prevista en su apartado 5.
El registro, que podrá organizarse en torno a conjuntos estructurados de datos, deberá especificar, según sus finalidades, las actividades de tratamiento llevadas a cabo y las demás circunstancias establecidas en el citado reglamento.
Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro.
2. Los sujetos enumerados en el artículo 77.1 de esta ley orgánica harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información establecida en el artículo 30 del Reglamento (UE) 2016/679 y su base legal.
Artículo 32.- Bloqueo de los datos.
1. El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión.
2. El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.
Transcurrido ese plazo deberá procederse a la destrucción de los datos.
3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.
4. Cuando para el cumplimiento de esta obligación, la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos durante el mismo.
5. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo, en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.
CAPÍTULO II.- Encargado del tratamiento
Artículo 33.- Encargado del tratamiento.
1. El acceso por parte de un encargado de tratamiento a los datos personales que resulten necesarios para la prestación de un servicio al responsable no se considerará comunicación de datos siempre que se cumpla lo establecido en el Reglamento (UE) 2016/679, en la presente ley orgánica y en sus normas de desarrollo.
2. Tendrá la consideración de responsable del tratamiento y no la de encargado quien en su propio nombre y sin que conste que actúa por cuenta de otro, establezca relaciones con los afectados aun cuando exista un contrato o acto jurídico con el contenido fijado en el artículo 28.3 del Reglamento (UE) 2016/679. Esta previsión no será aplicable a los encargos de tratamiento efectuados en el marco de la legislación de contratación del sector público.
Tendrá asimismo la consideración de responsable del tratamiento quien figurando como encargado utilizase los datos para sus propias finalidades.
3. El responsable del tratamiento determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado.
No procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista.
4. El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.
5. En el ámbito del sector público podrán atribuirse las competencias propias de un encargado del tratamiento a un determinado órgano de la Administración General del Estado, la Administración de las comunidades autónomas, las Entidades que integran la Administración Local o a los Organismos vinculados o dependientes de las mismas mediante la adopción de una norma reguladora de dichas competencias, que deberá incorporar el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679.
CAPÍTULO III.- Delegado de protección de datos
Artículo 34.- Designación de un delegado de protección de datos.
1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.
2. Los responsables o encargados del tratamiento no incluidos en el párrafo anterior podrán designar de manera voluntaria un delegado de protección de datos, que quedará sometido al régimen establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
3. Los responsables y encargados del tratamiento comunicarán en el plazo de diez días a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, las designaciones, nombramientos y ceses de los delegados de protección de datos tanto en los supuestos en que se encuentren obligadas a su designación como en el caso en que sea voluntaria.
4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos.
5. En el cumplimiento de las obligaciones de este artículo los responsables y encargados del tratamiento podrán establecer la dedicación completa o a tiempo parcial del delegado, entre otros criterios, en función del volumen de los tratamientos, la categoría especial de los datos tratados o de los riesgos para los derechos o libertades de los interesados.
Artículo 35.- Cualificación del delegado de protección de datos.
El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos.
Artículo 36.- Posición del delegado de protección de datos.
1. El delegado de protección de datos actuará como interlocutor del responsable o encargado del tratamiento ante la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos. El delegado podrá inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica y emitir recomendaciones en el ámbito de sus competencias.
2. Cuando se trate de una persona física integrada en la organización del responsable o encargado del tratamiento, el delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones salvo que incurriera en dolo o negligencia grave en su ejercicio. Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitarse cualquier conflicto de intereses.
3. En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento, no pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto, incluyendo el previsto en el artículo 5 de esta ley orgánica.
4. Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento.
Artículo 37.- Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos.
1. Cuando el responsable o el encargado del tratamiento hubieran designado un delegado de protección de datos el afectado podrá, con carácter previo a la presentación de una reclamación contra aquéllos ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, dirigirse al delegado de protección de datos de la entidad contra la que se reclame.
En este caso, el delegado de protección de datos comunicará al afectado la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación.
2. Cuando el afectado presente una reclamación ante la Agencia Española de Protección de Datos o, en su caso, ante las autoridades autonómicas de protección de datos, aquellas podrán remitir la reclamación al delegado de protección de datos a fin de que este responda en el plazo de un mes.
Si transcurrido dicho plazo el delegado de protección de datos no hubiera comunicado a la autoridad de protección de datos competente la respuesta dada a la reclamación, dicha autoridad continuará el procedimiento con arreglo a lo establecido en el Título VIII de esta ley orgánica y en sus normas de desarrollo.
3. El procedimiento ante la Agencia Española de Protección de Datos será el establecido en el Título VIII de esta ley orgánica y en sus normas de desarrollo. Asimismo, las comunidades autónomas regularán el procedimiento correspondiente ante sus autoridades autonómicas de protección de datos.
CAPÍTULO IV.- Códigos de conducta y certificación
Artículo 38. Códigos de conducta.
1. Los códigos de conducta regulados por la sección 5.ª del Capítulo IV del Reglamento (UE) 2016/679 serán vinculantes para quienes se adhieran a los mismos.
Dichos códigos podrán dotarse de mecanismos de resolución extrajudicial de conflictos.
2. Dichos códigos podrán promoverse, además de por las asociaciones y organismos a los que se refiere el artículo 40.2 del Reglamento (UE) 2016/679, por empresas o grupos de empresas así como por los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica.
Asimismo, podrán ser promovidos por los organismos o entidades que asuman las funciones de supervisión y resolución extrajudicial de conflictos a los que se refiere el artículo 41 del Reglamento (UE) 2016/679.
Los responsables o encargados del tratamiento que se adhieran al código de conducta se obligan a someter al organismo o entidad de supervisión las reclamaciones que les fueran formuladas por los afectados en relación con los tratamientos de datos incluidos en su ámbito de aplicación en caso de considerar que no procede atender a lo solicitado en la reclamación, sin perjuicio de lo dispuesto en el artículo 37 de esta ley orgánica. Además, sin menoscabo de las competencias atribuidas por el Reglamento (UE) 2016/679 a las autoridades de protección de datos, podrán voluntariamente y antes de llevar a cabo el tratamiento, someter al citado organismo o entidad de supervisión la verificación de la conformidad del mismo con las materias sujetas al código de conducta.
En caso de que el organismo o entidad de supervisión rechace o desestime la reclamación, o si el responsable o encargado del tratamiento no somete la reclamación a su decisión, el afectado podrá formularla ante la Agencia Española de Protección de Datos o, en su caso, las autoridades autonómicas de protección de datos.
La autoridad de protección de datos competente verificará que los organismos o entidades que promuevan los códigos de conducta han dotado a estos códigos de organismos de supervisión que reúnan los requisitos establecidos en el artículo 41.2 del Reglamento (UE) 2016/679.
3. Los códigos de conducta serán aprobados por la Agencia Española de Protección de Datos o, en su caso, por la autoridad autonómica de protección de datos competente.
4. La Agencia Española de Protección de Datos o, en su caso, las autoridades autonómicas de protección de datos someterán los proyectos de código al mecanismo de coherencia mencionado en el artículo 63 de Reglamento (UE) 2016/679 en los supuestos en que ello proceda según su artículo 40.7. El procedimiento quedará suspendido en tanto el Comité Europeo de Protección de Datos no emita el dictamen al que se refieren los artículos 64.1.b) y 65.1.c) del citado reglamento.
Cuando sea una autoridad autonómica de protección de datos la que someta el proyecto de código al mecanismo de coherencia, se estará a lo dispuesto en el artículo 60 de esta ley orgánica.
5. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán registros de los códigos de conducta aprobados por las mismas, que estarán interconectados entre sí y coordinados con el registro gestionado por el Comité Europeo de Protección de Datos conforme al artículo 40.11 del citado reglamento.
El registro será accesible a través de medios electrónicos.
6. Mediante real decreto se establecerán el contenido del registro y las especialidades del procedimiento de aprobación de los códigos de conducta.
Artículo 39.- Acreditación de instituciones de certificación.
Sin perjuicio de las funciones y poderes de acreditación de la autoridad de control competente en virtud de los artículos 57 y 58 del Reglamento (UE) 2016/679, la acreditación de las instituciones de certificación a las que se refiere el artículo 43.1 del citado reglamento podrá ser llevada a cabo por la Entidad Nacional de Acreditación (ENAC), que comunicará a la Agencia Española de Protección de Datos y a las autoridades de protección de datos de las comunidades autónomas las concesiones, denegaciones o revocaciones de las acreditaciones, así como su motivación.
TÍTULO VI.- Transferencias internacionales de datos
Artículo 40.- Régimen de las transferencias internacionales de datos.
Las transferencias internacionales de datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica y sus normas de desarrollo aprobadas por el Gobierno, y en las circulares de la Agencia Española de Protección de Datos y de las autoridades autonómicas de protección de datos, en el ámbito de sus respectivas competencias.
En todo caso se aplicarán a los tratamientos en que consista la propia transferencia las disposiciones contenidas en dichas normas, en particular las que regulan los principios de protección de datos.
Artículo 41.- Supuestos de adopción por la Agencia Española de Protección de Datos.
1. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos podrán adoptar, conforme a lo dispuesto en el artículo 46.2.c) del Reglamento (UE) 2016/679, cláusulas contractuales tipo para la realización de transferencias internacionales de datos, que se someterán previamente al dictamen del Comité Europeo de Protección de Datos previsto en el artículo 64 del citado reglamento.
2. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos podrán aprobar normas corporativas vinculantes de acuerdo con lo previsto en el artículo 47 del Reglamento (UE) 2016/679.
El procedimiento se iniciará a instancia de una entidad situada en España y tendrá una duración máxima de nueve meses. Quedará suspendido como consecuencia de la remisión del expediente al Comité Europeo de Protección de Datos para que emita el dictamen al que se refiere el artículo 64.1.f) del Reglamento (UE) 2016/679, y continuará tras su notificación a la Agencia Española de Protección de Datos o a la autoridad autonómica de protección de datos competente.
Artículo 42.- Supuestos sometidos a autorización previa de las autoridades de protección de datos.
1. Las transferencias internacionales de datos a países u organizaciones internacionales que no cuenten con decisión de adecuación aprobada por la Comisión o que no se amparen en alguna de las garantías previstas en el artículo anterior y en el artículo 46.2 del Reglamento (UE) 2016/679, requerirán una previa autorización de la Agencia Española de Protección de Datos o, en su caso, autoridades autonómicas de protección de datos, que podrá otorgarse en los siguientes supuestos:
a) Cuando la transferencia pretenda fundamentarse en la aportación de garantías adecuadas con fundamento en cláusulas contractuales que no correspondan a las cláusulas tipo previstas en el artículo 46.2, letras c) y d), del Reglamento (UE) 2016/679.
b) Cuando la transferencia se lleve a cabo por alguno de los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica y se funde en disposiciones incorporadas a acuerdos internacionales no normativos con otras autoridades u organismos públicos de terceros Estados, que incorporen derechos efectivos y exigibles para los afectados, incluidos los memorandos de entendimiento.
El procedimiento tendrá una duración máxima de seis meses.
2. La autorización quedará sometida a la emisión por el Comité Europeo de Protección de Datos del dictamen al que se refieren los artículos 64.1.e), 64.1.f) y 65.1.c) del Reglamento (UE) 2016/679. La remisión del expediente al citado comité implicará la suspensión del procedimiento hasta que el dictamen sea notificado a la Agencia Española de Protección de Datos o, por conducto de la misma, a la autoridad de control competente, en su caso.
Artículo 43.- Supuestos sometidos a información previa a la autoridad de protección de datos competente.
Los responsables del tratamiento deberán informar a la Agencia Española de Protección de Datos o, en su caso, a las autoridades autonómicas de protección de datos, de cualquier transferencia internacional de datos que pretendan llevar a cabo sobre la base de su necesidad para fines relacionados con intereses legítimos imperiosos perseguidos por aquéllos y la concurrencia del resto de los requisitos previstos en el último párrafo del artículo 49.1 del Reglamento (UE) 2016/679. Asimismo, informarán a los afectados de la transferencia y de los intereses legítimos imperiosos perseguidos.
Esta información deberá facilitarse con carácter previo a la realización de la transferencia.
Lo dispuesto en este artículo no será de aplicación a las actividades llevadas a cabo por las autoridades públicas en el ejercicio de sus poderes públicos, de acuerdo con el artículo 49.3 del Reglamento (UE) 2016/679.
TÍTULO VII.- Autoridades de protección de datos
CAPÍTULO I.- La Agencia Española de Protección de Datos
Sección 1.ª Disposiciones generales
Artículo 44. Disposiciones generales.
1. La Agencia Española de Protección de Datos es una autoridad administrativa independiente de ámbito estatal, de las previstas en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, con personalidad jurídica y plena capacidad pública y privada, que actúa con plena independencia de los poderes públicos en el ejercicio de sus funciones.
Su denominación oficial, de conformidad con lo establecido en el artículo 109.3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, será «Agencia Española de Protección de Datos, Autoridad Administrativa Independiente».
Se relaciona con el Gobierno a través del Ministerio de Justicia.
2. La Agencia Española de Protección de Datos tendrá la condición de representante común de las autoridades de protección de datos del Reino de España en el Comité Europeo de Protección de Datos.
3. La Agencia Española de Protección de Datos y el Consejo General del Poder Judicial colaborarán en aras del adecuado ejercicio de las respectivas competencias que la Ley Orgánica 6/1985, de 1 julio, del Poder Judicial, les atribuye en materia de protección de datos personales en el ámbito de la Administración de Justicia.
Artículo 45.- Régimen jurídico.
1. La Agencia Española de Protección de Datos se rige por lo dispuesto en el Reglamento (UE) 2016/679, la presente ley orgánica y sus disposiciones de desarrollo.
Supletoriamente, en cuanto sea compatible con su plena independencia y sin perjuicio de lo previsto en el artículo 63.2 de esta ley orgánica, se regirá por las normas citadas en el artículo 110.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
2. El Gobierno, a propuesta de la Agencia Española de Protección de Datos, aprobará su Estatuto mediante real decreto.
Artículo 46.- Régimen económico presupuestario y de personal.
1. La Agencia Española de Protección de Datos elaborará y aprobará su presupuesto y lo remitirá al Gobierno para que sea integrado, con independencia, en los Presupuestos Generales del Estado.
2. El régimen de modificaciones y de vinculación de los créditos de su presupuesto será el establecido en el Estatuto de la Agencia Española de Protección de Datos.
Corresponde a la Presidencia de la Agencia Española de Protección de Datos autorizar las modificaciones presupuestarias que impliquen hasta un tres por ciento de la cifra inicial de su presupuesto total de gastos, siempre que no se incrementen los créditos para gastos de personal. Las restantes modificaciones que no excedan de un cinco por ciento del presupuesto serán autorizadas por el Ministerio de Hacienda y, en los demás casos, por el Gobierno.
3. La Agencia Española de Protección de Datos contará para el cumplimiento de sus fines con las asignaciones que se establezcan con cargo a los Presupuestos Generales del Estado, los bienes y valores que constituyan su patrimonio y los ingresos, ordinarios y extraordinarios derivados del ejercicio de sus actividades, incluidos los derivados del ejercicio de las potestades establecidos en el artículo 58 del Reglamento (UE) 2016/679.
4. El resultado positivo de sus ingresos se destinará por la Agencia Española de Protección de Datos a la dotación de sus reservas con el fin de garantizar su plena independencia.
5. El personal al servicio de la Agencia Española de Protección de Datos será funcionario o laboral y se regirá por lo previsto en el texto refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre, y demás normativa reguladora de los funcionarios públicos y, en su caso, por la normativa laboral.
6. La Agencia Española de Protección Datos elaborará y aprobará su relación de puestos de trabajo, en el marco de los criterios establecidos por el Ministerio de Hacienda, respetando el límite de gasto de personal establecido en el presupuesto. En dicha relación de puestos de trabajo constarán, en todo caso, aquellos puestos que deban ser desempeñados en exclusiva por funcionarios públicos, por consistir en el ejercicio de las funciones que impliquen la participación directa o indirecta en el ejercicio de potestades públicas y la salvaguarda de los intereses generales del Estado y de las Administraciones Públicas.
7. Sin perjuicio de las competencias atribuidas al Tribunal de Cuentas, la gestión económico-financiera de la Agencia Española de Protección de Datos estará sometida al control de la Intervención General de la Administración del Estado en los términos que establece la Ley 47/2003, de 26 de noviembre, General Presupuestaria.
Artículo 47.- Funciones y potestades de la Agencia Española de Protección de Datos.
Corresponde a la Agencia Española de Protección de Datos supervisar la aplicación de esta ley orgánica y del Reglamento (UE) 2016/679 y, en particular, ejercer las funciones establecidas en el artículo 57 y las potestades previstas en el artículo 58 del mismo reglamento, en la presente ley orgánica y en sus disposiciones de desarrollo.
Asimismo, corresponde a la Agencia Española de Protección de Datos el desempeño de las funciones y potestades que le atribuyan otras leyes o normas de Derecho de la Unión Europea.
Artículo 48.- La Presidencia de la Agencia Española de Protección de Datos.
1. La Presidencia de la Agencia Española de Protección de Datos la dirige, ostenta su representación y dicta sus resoluciones, circulares y directrices.
2. La Presidencia de la Agencia Española de Protección de Datos estará auxiliada por un Adjunto en el que podrá delegar sus funciones, a excepción de las relacionadas con los procedimientos regulados por el Título VIII de esta ley orgánica, y que la sustituirá en el ejercicio de las mismas en los términos previstos en el Estatuto Orgánico de la Agencia Española de Protección de Datos.
Ambos ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño. Les será aplicable la legislación reguladora del ejercicio del alto cargo de la Administración General del Estado.
3. La Presidencia de la Agencia Española de Protección de Datos y su Adjunto serán nombrados por el Gobierno, a propuesta del Ministerio de Justicia, entre personas de reconocida competencia profesional, en particular en materia de protección de datos.
Dos meses antes de producirse la expiración del mandato o, en el resto de las causas de cese, cuando se haya producido éste, el Ministerio de Justicia ordenará la publicación en el Boletín Oficial del Estado de la convocatoria pública de candidatos.
Previa evaluación del mérito, capacidad, competencia e idoneidad de los candidatos, el Gobierno remitirá al Congreso de los Diputados una propuesta de Presidencia y Adjunto acompañada de un informe justificativo que, tras la celebración de la preceptiva audiencia de los candidatos, deberá ser ratificada por la Comisión de Justicia en votación pública por mayoría de tres quintos de sus miembros en primera votación o, de no alcanzarse ésta, por mayoría absoluta en segunda votación, que se realizará inmediatamente después de la primera. En este último supuesto, los votos favorables deberán proceder de Diputados pertenecientes, al menos, a dos grupos parlamentarios diferentes.
4. La Presidencia y el Adjunto de la Agencia Española de Protección de Datos serán nombrados por el Consejo de Ministros mediante real decreto.
5. El mandato de la Presidencia y del Adjunto de la Agencia Española de Protección de Datos tiene una duración de cinco años y puede ser renovado para otro período de igual duración.
La Presidencia y el Adjunto solo cesarán antes de la expiración de su mandato, a petición propia o por separación acordada por el Consejo de Ministros, por:
a) Incumplimiento grave de sus obligaciones,
b) incapacidad sobrevenida para el ejercicio de su función,
c) incompatibilidad, o
d) condena firme por delito doloso.
En los supuestos previstos en las letras a), b) y c) será necesaria la ratificación de la separación por las mayorías parlamentarias previstas en el apartado 3 de este artículo.
6. Los actos y disposiciones dictados por la Presidencia de la Agencia Española de Protección de Datos ponen fin a la vía administrativa, siendo recurribles, directamente, ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.
Artículo 49.- Consejo Consultivo de la Agencia Española de Protección de Datos.
1. La Presidencia de la Agencia Española de Protección de Datos estará asesorada por un Consejo Consultivo compuesto por los siguientes miembros:
a) Un Diputado, propuesto por el Congreso de los Diputados.
b) Un Senador, propuesto por el Senado.
c) Un representante designado por el Consejo General del Poder Judicial.
d) Un representante de la Administración General del Estado con experiencia en la materia, propuesto por el Ministro de Justicia.
e) Un representante de cada Comunidad Autónoma que haya creado una Autoridad de protección de datos en su ámbito territorial, propuesto de acuerdo con lo que establezca la respectiva Comunidad Autónoma.
f) Un experto propuesto por la Federación Española de Municipios y Provincias.
g) Un experto propuesto por el Consejo de Consumidores y Usuarios.
h) Dos expertos propuestos por las Organizaciones Empresariales.
i) Un representante de los profesionales de la protección de datos y de la privacidad, propuesto por la asociación de ámbito estatal con mayor número de asociados.
j) Un representante de los organismos o entidades de supervisión y resolución extrajudicial de conflictos previstos en el Capítulo IV del Título V, propuesto por el Ministro de Justicia.
k) Un experto, propuesto por la Conferencia de Rectores de las Universidades Españolas.
l) Un representante de las organizaciones que agrupan a los Consejos Generales, Superiores y Colegios Profesionales de ámbito estatal de las diferentes profesiones colegiadas, propuesto por el Ministro de Justicia.
m) Un representante de los profesionales de la seguridad de la información, propuesto por la asociación de ámbito estatal con mayor número de asociados.
n) Un experto en transparencia y acceso a la información pública propuesto por el Consejo de Transparencia y Buen Gobierno.
ñ) Dos expertos propuestos por las organizaciones sindicales más representativas.
2. A los efectos del apartado anterior, la condición de experto requerirá acreditar conocimientos especializados en el Derecho y la práctica en materia de protección de datos mediante el ejercicio profesional o académico.
3. Los miembros del Consejo Consultivo serán nombrados por orden del Ministro de Justicia, publicada en el Boletín Oficial del Estado.
4. El Consejo Consultivo se reunirá cuando así lo disponga la Presidencia de la Agencia Española de Protección de Datos y, en todo caso, una vez al semestre.
5. Las decisiones tomadas por el Consejo Consultivo no tendrán en ningún caso carácter vinculante.
6. En todo lo no previsto por esta ley orgánica, el régimen, competencias y funcionamiento del Consejo Consultivo serán los establecidos en el Estatuto Orgánico de la Agencia Española de Protección de Datos.
Artículo 50.- Publicidad.
La Agencia Española de Protección de Datos publicará las resoluciones de su Presidencia que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos de reclamación, las que archiven las actuaciones previas de investigación, las que sancionen con apercibimiento a las entidades a que se refiere el artículo 77.1 de esta ley orgánica, las que impongan medidas cautelares y las demás que disponga su Estatuto.
Sección 2.ª- Potestades de investigación y planes de auditoría preventiva
Artículo 51. Ámbito y personal competente.
1. La Agencia Española de Protección de Datos desarrollará su actividad de investigación a través de las actuaciones previstas en el Título VIII y de los planes de auditoría preventivas.
2. La actividad de investigación se llevará a cabo por los funcionarios de la Agencia Española de Protección de Datos o por funcionarios ajenos a ella habilitados expresamente por su Presidencia.
3. En los casos de actuaciones conjuntas de investigación conforme a lo dispuesto en el artículo 62 del Reglamento (UE) 2016/679, el personal de las autoridades de control de otros Estados Miembros de Unión Europea que colabore con la Agencia Española de Protección de Datos ejercerá sus facultades con arreglo a lo previsto en la presente ley orgánica y bajo la orientación y en presencia del personal de esta.
4. Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones, y estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él.
Artículo 52.- Deber de colaboración.
1. Las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social, y los particulares estarán obligados a proporcionar a la Agencia Española de Protección de Datos los datos, informes, antecedentes y justificantes necesarios para llevar a cabo su actividad de investigación.
Cuando la información contenga datos personales la comunicación de dichos datos estará amparada por lo dispuesto en el artículo 6.1 c) del Reglamento (UE) 2016/679.
2. En el marco de las actuaciones previas de investigación, cuando no haya podido realizar la identificación por otros medios, la Agencia Española de Protección de Datos podrá recabar de las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social, las informaciones y datos que resulten imprescindibles con la exclusiva finalidad de lograr la identificación de los responsables de las conductas que pudieran ser constitutivas de infracción del Reglamento (UE) 2016/679 y de la presente ley orgánica.
En el supuesto de las Administraciones tributarias y de la Seguridad Social, la información se limitará a la que resulte necesaria para poder identificar inequívocamente contra quién debe dirigirse la actuación de la Agencia Española de Protección de Datos en los supuestos de creación de entramados societarios que dificultasen el conocimiento directo del presunto responsable de la conducta contraria al Reglamento (UE) 2016/679 y a la presente ley orgánica.
3. Cuando no haya podido realizar la identificación por otros medios, la Agencia Española de Protección de Datos podrá recabar de los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información los datos que obren en su poder y que resulten imprescindibles para la identificación del presunto responsable de la conducta contraria al Reglamento (UE) 2016/679 y a la presente ley orgánica cuando se hubiere llevado a cabo mediante la utilización de un servicio de la sociedad de la información o la realización de una comunicación electrónica. A tales efectos, los datos que la Agencia Española de Protección de Datos podrá recabar al amparo de este apartado son los siguientes:
a) Cuando la conducta se hubiera realizado mediante la utilización de un servicio de telefonía fija o móvil:
1.º El número de teléfono de origen de la llamada en caso de que el mismo se hubiese ocultado.
2.º El nombre, número de documento identificativo y dirección del abonado o usuario registrado al que corresponda ese número de teléfono.
3.º La mera confirmación de que se ha realizado una llamada específica entre dos números en una determinada fecha y hora.
b) Cuando la conducta se hubiera realizado mediante la utilización de un servicio de la sociedad de la información:
1.º La identificación de la dirección de protocolo de Internet desde la que se hubiera llevado a cabo la conducta y la fecha y hora de su realización.
2.º Si la conducta se hubiese llevado a cabo mediante correo electrónico, la identificación de la dirección de protocolo de Internet desde la que se creó la cuenta de correo y la fecha y hora en que la misma fue creada.
3.º El nombre, número de documento identificativo y dirección del abonado o del usuario registrado al que se le hubiera asignado la dirección de Protocolo de Internet a la que se refieren los dos párrafos anteriores.
Estos datos deberán ser cedidos, previo requerimiento motivado de la Agencia Española de Protección de Datos, exclusivamente en el marco de actuaciones de investigación iniciadas como consecuencia de una denuncia presentada por un afectado respecto de una conducta de una persona jurídica o respecto a la utilización de sistemas que permitan la divulgación sin restricciones de datos personales. En el resto de los supuestos la cesión de estos datos requerirá la previa obtención de autorización judicial otorgada conforme a las normas procesales cuando resultara exigible.
Quedan excluidos de lo previsto en este apartado los datos de tráfico que los operadores estuviesen tratando con la exclusiva finalidad de dar cumplimiento a las obligaciones previstas en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, cuya cesión solamente podrá tener lugar de acuerdo con lo dispuesto en ella, previa autorización judicial solicitada por alguno de los agentes facultados a los que se refiere el artículo 6 de dicha ley.
Artículo 53.- Alcance de la actividad de investigación.
1. Quienes desarrollen la actividad de investigación podrán recabar las informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones, requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos, obtener copia de ellos, inspeccionar los equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación.
2. Cuando fuese necesario el acceso por el personal que desarrolla la actividad de investigación al domicilio constitucionalmente protegido del inspeccionado, será preciso contar con su consentimiento o haber obtenido la correspondiente autorización judicial.
3. Cuando se trate de órganos judiciales u oficinas judiciales el ejercicio de las facultades de inspección se efectuará a través y por mediación del Consejo General del Poder Judicial.
Artículo 54.- Planes de auditoría.
1. La Presidencia de la Agencia Española de Protección de Datos podrá acordar la realización de planes de auditoría preventiva, referidos a los tratamientos de un sector concreto de actividad. Tendrán por objeto el análisis del cumplimiento de las disposiciones del Reglamento (UE) 2016/679 y de la presente ley orgánica, a partir de la realización de actividades de investigación sobre entidades pertenecientes al sector inspeccionado o sobre los responsables objeto de la auditoría.
2. A resultas de los planes de auditoría, la Presidencia de la Agencia Española de Protección de Datos podrá dictar las directrices generales o específicas para un concreto responsable o encargado de los tratamientos precisas para asegurar la plena adaptación del sector o responsable al Reglamento (UE) 2016/679 y a la presente ley orgánica.
En la elaboración de dichas directrices la Presidencia de la Agencia Española de Protección de Datos podrá solicitar la colaboración de los organismos de supervisión de los códigos de conducta y de resolución extrajudicial de conflictos, si los hubiere.
3. Las directrices serán de obligado cumplimiento para el sector o responsable al que se refiera el plan de auditoría.
Sección 3.ª- Otras potestades de la Agencia Española de Protección de Datos
Artículo 55.- Potestades de regulación. Circulares de la Agencia Española de Protección de Datos.
1. La Presidencia de la Agencia Española de Protección de Datos podrá dictar disposiciones que fijen los criterios a que responderá la actuación de esta autoridad en la aplicación de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, que se denominarán «Circulares de la Agencia Española de Protección de Datos».
2. Su elaboración se sujetará al procedimiento establecido en el Estatuto de la Agencia Española de Protección de Datos, que deberá prever los informes técnicos y jurídicos que fueran necesarios y la audiencia a los interesados.
3. Las circulares serán obligatorias una vez publicadas en el Boletín Oficial del Estado.
Artículo 56.- Acción exterior.
1. Corresponde a la Agencia Española de Protección de Datos la titularidad y el ejercicio de las funciones relacionadas con la acción exterior del Estado en materia de protección de datos.
Asimismo a las comunidades autónomas, a través de las autoridades autonómicas de protección de datos, les compete ejercitar las funciones como sujetos de la acción exterior en el marco de sus competencias de conformidad con lo dispuesto en la Ley 2/2014, de 25 de marzo, de la Acción y del Servicio Exterior del Estado, así como celebrar acuerdos internacionales administrativos en ejecución y concreción de un tratado internacional y acuerdos no normativos con los órganos análogos de otros sujetos de derecho internacional, no vinculantes jurídicamente para quienes los suscriben, sobre materias de su competencia en el marco de la Ley 25/2014, de 27 de noviembre, de Tratados y otros Acuerdos Internacionales.
2. La Agencia Española de Protección de Datos es el organismo competente para la protección de las personas físicas en lo relativo al tratamiento de datos personales derivado de la aplicación de cualquier Convenio Internacional en el que sea parte el Reino de España que atribuya a una autoridad nacional de control esa competencia y la representante común de las autoridades de Protección de Datos en el Comité Europeo de Protección de Datos, conforme a lo dispuesto en el artículo 68.4 del Reglamento (UE) 2016/679.
La Agencia Española de Protección de Datos informará a las autoridades autonómicas de protección de datos acerca de las decisiones adoptadas en el Comité Europeo de Protección de Datos y recabará su parecer cuando se trate de materias de su competencia.
3. Sin perjuicio de lo dispuesto en el apartado 1, la Agencia Española de Protección de Datos:
a) Participará en reuniones y foros internacionales de ámbito distinto al de la Unión Europea establecidos de común acuerdo por las autoridades de control independientes en materia de protección de datos.
b) Participará, como autoridad española, en las organizaciones internacionales competentes en materia de protección de datos, en los comités o grupos de trabajo, de estudio y de colaboración de organizaciones internacionales que traten materias que afecten al derecho fundamental a la protección de datos personales y en otros foros o grupos de trabajo internacionales, en el marco de la acción exterior del Estado.
c) Colaborará con autoridades, instituciones, organismos y Administraciones de otros Estados a fin de impulsar, promover y desarrollar el derecho fundamental a la protección de datos, en particular en el ámbito iberoamericano, pudiendo suscribir acuerdos internacionales administrativos y no normativos en la materia.
CAPÍTULO II.- Autoridades autonómicas de protección de datos
Sección 1.ª- Disposiciones generales
Artículo 57.- Autoridades autonómicas de protección de datos.
1. Las autoridades autonómicas de protección de datos personales podrán ejercer, las funciones y potestades establecidas en los artículos 57 y 58 del Reglamento (UE) 2016/679, de acuerdo con la normativa autonómica, cuando se refieran a:
a) Tratamientos de los que sean responsables las entidades integrantes del sector público de la correspondiente Comunidad Autónoma o de las Entidades Locales incluidas en su ámbito territorial o quienes presten servicios a través de cualquier forma de gestión directa o indirecta.
b) Tratamientos llevados a cabo por personas físicas o jurídicas para el ejercicio de las funciones públicas en materias que sean competencia de la correspondiente Administración Autonómica o Local.
c) Tratamientos que se encuentren expresamente previstos, en su caso, en los respectivos Estatutos de Autonomía.
2. Las autoridades autonómicas de protección de datos podrán dictar, en relación con los tratamientos sometidos a su competencia, circulares con el alcance y los efectos establecidos para la Agencia Española de Protección de Datos en el artículo 55 de esta ley orgánica.
Artículo 58.- Cooperación institucional.
La Presidencia de la Agencia Española de Protección de Datos convocará, por iniciativa propia o cuando lo solicite otra autoridad, a las autoridades autonómicas de protección de datos para contribuir a la aplicación coherente del Reglamento (UE) 2016/679 y de la presente ley orgánica. En todo caso, se celebrarán reuniones semestrales de cooperación.
La Presidencia de la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos podrán solicitar y deberán intercambiarse mutuamente la información necesaria para el cumplimiento de sus funciones y, en particular, la relativa a la actividad del Comité Europeo de Protección de Datos. Asimismo, podrán constituir grupos de trabajo para tratar asuntos específicos de interés común.
Artículo 59.- Tratamientos contrarios al Reglamento (UE) 2016/679.
Cuando la Presidencia de la Agencia Española de Protección de Datos considere que un tratamiento llevado a cabo en materias que fueran competencia de las autoridades autonómicas de protección de datos vulnera el Reglamento (UE) 2016/679 podrá requerirlas a que adopten, en el plazo de un mes, las medidas necesarias para su cesación.
Si la autoridad autonómica no atendiere en plazo el requerimiento o las medidas adoptadas no supusiesen la cesación en el tratamiento ilícito, la Agencia Española de Protección de Datos podrá ejercer las acciones que procedan ante la jurisdicción contencioso-administrativa.
Sección 2.ª- Coordinación en el marco de los procedimientos establecidos en el Reglamento (UE) 2016/679
Artículo 60.- Coordinación en caso de emisión de dictamen por el Comité Europeo de Protección de Datos.
Se practicarán por conducto de la Agencia Española de Protección de Datos todas las comunicaciones entre el Comité Europeo de Protección de Datos y las autoridades autonómicas de protección de datos cuando éstas, como autoridades competentes, deban someter su proyecto de decisión al citado comité o le soliciten el examen de un asunto en virtud de lo establecido en los apartados 1 y 2 del artículo 64 del Reglamento (UE) 2016/679.
En estos casos, la Agencia Española de Protección de Datos será asistida por un representante de la Autoridad autonómica en su intervención ante el Comité.
Artículo 61.- Intervención en caso de tratamientos transfronterizos.
1. Las autoridades autonómicas de protección de datos ostentarán la condición de autoridad de control principal o interesada en el procedimiento establecido por el artículo 60 del Reglamento (UE) 2016/679 cuando se refiera a un tratamiento previsto en el artículo 57 de esta ley orgánica que se llevara a cabo por un responsable o encargado del tratamiento de los previstos en el artículo 56 del Reglamento (UE) 2016/679, salvo que desarrollase significativamente tratamientos de la misma naturaleza en el resto del territorio español.
2. Corresponderá en estos casos a las autoridades autonómicas intervenir en los procedimientos establecidos en el artículo 60 del Reglamento (UE) 2016/679, informando a la Agencia Española de Protección de Datos sobre su desarrollo en los supuestos en que deba aplicarse el mecanismo de coherencia.
Artículo 62.- Coordinación en caso de resolución de conflictos por el Comité Europeo de Protección de Datos.
1. Se practicarán por conducto de la Agencia Española de Protección de Datos todas las comunicaciones entre el Comité Europeo de Protección de Datos y las autoridades autonómicas de protección de datos cuando estas, como autoridades principales, deban solicitar del citado Comité la emisión de una decisión vinculante según lo previsto en el artículo 65 del Reglamento (UE) 2016/679.
2. Las autoridades autonómicas de protección de datos que tengan la condición de autoridad interesada no principal en un procedimiento de los previstos en el artículo 65 del Reglamento (UE) 2016/679 informarán a la Agencia Española de Protección de Datos cuando el asunto sea remitido al Comité Europeo de Protección de Datos, facilitándole la documentación e información necesarias para su tramitación.
La Agencia Española de Protección de Datos será asistida por un representante de la autoridad autonómica interesada en su intervención ante el mencionado comité.
TÍTULO VIII.- Procedimientos en caso de posible vulneración de la normativa de protección de datos
Artículo 63.- Régimen jurídico.
1. Las disposiciones de este Título serán de aplicación a los procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, así como en los que aquella investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y en la presente ley orgánica.
2. Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos.
3. El Gobierno regulará por real decreto los procedimientos que tramite la Agencia Española de Protección de Datos al amparo de este Título, asegurando en todo caso los derechos de defensa y audiencia de los interesados.
Artículo 64.- Forma de iniciación del procedimiento y duración.
1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica.
En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.
2. Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, se iniciará mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de reclamación.
Si el procedimiento se fundase en una reclamación formulada ante la Agencia Española de Protección de Datos, con carácter previo, esta decidirá sobre su admisión a trámite, conforme a lo dispuesto en el artículo 65 de esta ley orgánica.
Cuando fuesen de aplicación las normas establecidas en el artículo 60 del Reglamento (UE) 2016/679, el procedimiento se iniciará mediante la adopción del proyecto de acuerdo de inicio de procedimiento sancionador, del que se dará conocimiento formal al interesado a los efectos previstos en el artículo 75 de esta ley orgánica.
Admitida a trámite la reclamación así como en los supuestos en que la Agencia Española de Protección de Datos actúe por propia iniciativa, con carácter previo al acuerdo de inicio, podrá existir una fase de actuaciones previas de investigación, que se regirá por lo previsto en el artículo 67 de esta ley orgánica.
El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones.
3. El procedimiento podrá también tramitarse como consecuencia de la comunicación a la Agencia Española de Protección de Datos por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679. Será en este caso de aplicación lo dispuesto en el apartado 1 y en los párrafos primero, tercero, cuarto y quinto del apartado 2.
4. Los plazos de tramitación establecidos en este artículo así como los de admisión a trámite regulados por el artículo 65.5 y de duración de las actuaciones previas de investigación previstos en el artículo 67.2, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.
Artículo 65.- Admisión a trámite de las reclamaciones.
1. Cuando se presentase ante la Agencia Española de Protección de Datos una reclamación, esta deberá evaluar su admisibilidad a trámite, de conformidad con las previsiones de este artículo.
2. La Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos personales, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales de la existencia de una infracción.
3. Igualmente, la Agencia Española de Protección de Datos podrá inadmitir la reclamación cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia Española de Protección de Datos, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias:
a) Que no se haya causado perjuicio al afectado en el caso de las infracciones previstas en el artículo 74 de esta ley orgánica.
b) Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.
4. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica.
La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación en el plazo de un mes.
5. La decisión sobre la admisión o inadmisión a trámite, así como la que determine, en su caso, la remisión de la reclamación a la autoridad de control principal que se estime competente, deberá notificarse al reclamante en el plazo de tres meses. Si transcurrido este plazo no se produjera dicha notificación, se entenderá que prosigue la tramitación de la reclamación con arreglo a lo dispuesto en este Título a partir de la fecha en que se cumpliesen tres meses desde que la reclamación tuvo entrada en la Agencia Española de Protección de Datos.
Artículo 66.- Determinación del alcance territorial.
1. Salvo en los supuestos a los que se refiere el artículo 64.3 de esta ley orgánica, la Agencia Española de Protección de Datos deberá, con carácter previo a la realización de cualquier otra actuación, incluida la admisión a trámite de una reclamación o el comienzo de actuaciones previas de investigación, examinar su competencia y determinar el carácter nacional o transfronterizo, en cualquiera de sus modalidades, del procedimiento a seguir.
2. Si la Agencia Española de Protección de Datos considera que no tiene la condición de autoridad de control principal para la tramitación del procedimiento remitirá, sin más trámite, la reclamación formulada a la autoridad de control principal que considere competente, a fin de que por la misma se le dé el curso oportuno. La Agencia Española de Protección de Datos notificará esta circunstancia a quien, en su caso, hubiera formulado la reclamación.
El acuerdo por el que se resuelva la remisión a la que se refiere el párrafo anterior implicará el archivo provisional del procedimiento, sin perjuicio de que por la Agencia Española de Protección de Datos se dicte, en caso de que así proceda, la resolución a la que se refiere el apartado 8 del artículo 60 del Reglamento (UE) 2016/679.
Artículo 67.- Actuaciones previas de investigación.
1. Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.
La Agencia Española de Protección de Datos actuará en todo caso cuando sea precisa la investigación de tratamientos que implique un tráfico masivo de datos personales.
2. Las actuaciones previas de investigación se someterán a lo dispuesto en la Sección 2.ª del Capítulo I del Título VII de esta ley orgánica y no podrán tener una duración superior a doce meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la Agencia Española de Protección de Datos actúe por propia iniciativa o como consecuencia de la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unión Europea, conforme al artículo 64.3 de esta ley orgánica.
Artículo 68.- Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora.
1. Concluidas, en su caso, las actuaciones a las que se refiere el artículo anterior, corresponderá a la Presidencia de la Agencia Española de Protección de Datos, cuando así proceda, dictar acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que se concretarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la infracción que hubiera podido cometerse y su posible sanción.
2. Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679, el proyecto de acuerdo de inicio de procedimiento sancionador se someterá a lo dispuesto en el mismo.
Artículo 69.- Medidas provisionales y de garantía de los derechos.
1. Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.
2. En los casos en que la Agencia Española de Protección de Datos considere que la continuación del tratamiento de los datos personales, su comunicación o transferencia internacional comportara un menoscabo grave del derecho a la protección de datos personales, podrá ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, en caso de incumplirse por estos dichos mandatos, proceder a su inmovilización.
3. Cuando se hubiese presentado ante la Agencia Española de Protección de Datos una reclamación que se refiriese, entre otras cuestiones, a la falta de atención en plazo de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, la Agencia Española de Protección de Datos podrá acordar en cualquier momento, incluso con anterioridad a la iniciación del procedimiento para el ejercicio de la potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado, prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación.
TÍTULO IX.- Régimen sancionador
Artículo 70. Sujetos responsables.
1. Están sujetos al régimen sancionador establecido en el Reglamento (UE) 2016/679 y en la presente ley orgánica:
a) Los responsables de los tratamientos.
b) Los encargados de los tratamientos.
c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
d) Las entidades de certificación.
e) Las entidades acreditadas de supervisión de los códigos de conducta.
2. No será de aplicación al delegado de protección de datos el régimen sancionador establecido en este Título.
Artículo 71.- Infracciones.
Constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, así como las que resulten contrarias a la presente ley orgánica.
Artículo 72.- Infracciones consideradas muy graves.
1. En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679.
b) El tratamiento de datos personales sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 6 del Reglamento (UE) 2016/679.
c) El incumplimiento de los requisitos exigidos por el artículo 7 del Reglamento (UE) 2016/679 para la validez del consentimiento.
d) La utilización de los datos para una finalidad que no sea compatible con la finalidad para la cual fueron recogidos, sin contar con el consentimiento del afectado o con una base legal para ello.
e) El tratamiento de datos personales de las categorías a las que se refiere el artículo 9 del Reglamento (UE) 2016/679, sin que concurra alguna de las circunstancias previstas en dicho precepto y en el artículo 9 de esta ley orgánica.
f) El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad conexas fuera de los supuestos permitidos por el artículo 10 del Reglamento (UE) 2016/679 y en el artículo 10 de esta ley orgánica.
g) El tratamiento de datos personales relacionados con infracciones y sanciones administrativas fuera de los supuestos permitidos por el artículo 27 de esta ley orgánica.
h) La omisión del deber de informar al afectado acerca del tratamiento de sus datos personales conforme a lo dispuesto en los artículos 13 y 14 del Reglamento (UE) 2016/679 y 12 de esta ley orgánica.
i) La vulneración del deber de confidencialidad establecido en el artículo 5 de esta ley orgánica.
j) La exigencia del pago de un canon para facilitar al afectado la información a la que se refieren los artículos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679, fuera de los supuestos establecidos en su artículo 12.5.
k) El impedimento o la obstaculización o la no atención reiterada del ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
l) La transferencia internacional de datos personales a un destinatario que se encuentre en un tercer país o a una organización internacional, cuando no concurran las garantías, requisitos o excepciones establecidos en los artículos 44 a 49 del Reglamento (UE) 2016/679.
m) El incumplimiento de las resoluciones dictadas por la autoridad de protección de datos competente en ejercicio de los poderes que le confiere el artículo 58.2 del Reglamento (UE) 2016/679.
n) El incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 32 de esta ley orgánica cuando la misma sea exigible.
ñ) No facilitar el acceso del personal de la autoridad de protección de datos competente a los datos personales, información, locales, equipos y medios de tratamiento que sean requeridos por la autoridad de protección de datos para el ejercicio de sus poderes de investigación.
o) La resistencia u obstrucción del ejercicio de la función inspectora por la autoridad de protección de datos competente.
p) La reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados.
2. Tendrán la misma consideración y también prescribirán a los tres años las infracciones a las que se refiere el artículo 83.6 del Reglamento (UE) 2016/679.
Artículo 73.- Infracciones consideradas graves.
En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se consideran graves y prescribirán a los dos años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales de un menor de edad sin recabar su consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad o tutela, conforme al artículo 8 del Reglamento (UE) 2016/679.
b) No acreditar la realización de esfuerzos razonables para verificar la validez del consentimiento prestado por un menor de edad o por el titular de su patria potestad o tutela sobre el mismo, conforme a lo requerido por el artículo 8.2 del Reglamento (UE) 2016/679.
c) El impedimento o la obstaculización o la no atención reiterada de los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación.
d) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos desde el diseño, así como la no integración de las garantías necesarias en el tratamiento, en los términos exigidos por el artículo 25 del Reglamento (UE) 2016/679.
e) La falta de adopción de las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se tratarán los datos personales necesarios para cada uno de los fines específicos del tratamiento, conforme a lo exigido por el artículo 25.2 del Reglamento (UE) 2016/679.
f) La falta de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento, en los términos exigidos por el artículo 32.1 del Reglamento (UE) 2016/679.
g) El quebrantamiento, como consecuencia de la falta de la debida diligencia, de las medidas técnicas y organizativas que se hubiesen implantado conforme a lo exigido por el artículo 32.1 del Reglamento (UE) 2016/679.
h) El incumplimiento de la obligación de designar un representante del responsable o encargado del tratamiento no establecido en el territorio de la Unión Europea, conforme a lo previsto en el artículo 27 del Reglamento (UE) 2016/679.
i) La falta de atención por el representante en la Unión del responsable o del encargado del tratamiento de las solicitudes efectuadas por la autoridad de protección de datos o por los afectados.
j) La contratación por el responsable del tratamiento de un encargado de tratamiento que no ofrezca las garantías suficientes para aplicar las medidas técnicas y organizativas apropiadas conforme a lo establecido en el Capítulo IV del Reglamento (UE) 2016/679.
k) Encargar el tratamiento de datos a un tercero sin la previa formalización de un contrato u otro acto jurídico escrito con el contenido exigido por el artículo 28.3 del Reglamento (UE) 2016/679.
l) La contratación por un encargado del tratamiento de otros encargados sin contar con la autorización previa del responsable, o sin haberle informado sobre los cambios producidos en la subcontratación cuando fueran legalmente exigibles.
m) La infracción por un encargado del tratamiento de lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica, al determinar los fines y los medios del tratamiento, conforme a lo dispuesto en el artículo 28.10 del citado reglamento.
n) No disponer del registro de actividades de tratamiento establecido en el artículo 30 del Reglamento (UE) 2016/679.
ñ) No poner a disposición de la autoridad de protección de datos que lo haya solicitado, el registro de actividades de tratamiento, conforme al apartado 4 del artículo 30 del Reglamento (UE) 2016/679.
o) No cooperar con las autoridades de control en el desempeño de sus funciones en los supuestos no previstos en el artículo 72 de esta ley orgánica.
p) El tratamiento de datos personales sin llevar a cabo una previa valoración de los elementos mencionados en el artículo 28 de esta ley orgánica.
q) El incumplimiento del deber del encargado del tratamiento de notificar al responsable del tratamiento las violaciones de seguridad de las que tuviera conocimiento.
r) El incumplimiento del deber de notificación a la autoridad de protección de datos de una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del Reglamento (UE) 2016/679.
s) El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos de conformidad con lo previsto en el artículo 34 del Reglamento (UE) 2016/679 si el responsable del tratamiento hubiera sido requerido por la autoridad de protección de datos para llevar a cabo dicha notificación.
t) El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de las operaciones de tratamiento en la protección de datos personales en los supuestos en que la misma sea exigible.
u) El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos en los casos en que dicha consulta resulta preceptiva conforme al artículo 36 del Reglamento (UE) 2016/679 o cuando la ley establezca la obligación de llevar a cabo esa consulta.
v) El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.
w) No posibilitar la efectiva participación del delegado de protección de datos en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
x) La utilización de un sello o certificación en materia de protección de datos que no haya sido otorgado por una entidad de certificación debidamente acreditada o en caso de que la vigencia del mismo hubiera expirado.
y) Obtener la acreditación como organismo de certificación presentando información inexacta sobre el cumplimiento de los requisitos exigidos por el artículo 43 del Reglamento (UE) 2016/679.
z) El desempeño de funciones que el Reglamento (UE) 2016/679 reserva a los organismos de certificación, sin haber sido debidamente acreditado conforme a lo establecido en el artículo 39 de esta ley orgánica.
aa) El incumplimiento por parte de un organismo de certificación de los principios y deberes a los que está sometido según lo previsto en los artículos 42 y 43 de Reglamento (UE) 2016/679.
ab) El desempeño de funciones que el artículo 41 del Reglamento (UE) 2016/679 reserva a los organismos de supervisión de códigos de conducta sin haber sido previamente acreditado por la autoridad de protección de datos competente.
ac) La falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de las medidas que resulten oportunas en caso que se hubiera producido una infracción del código, conforme exige el artículo 41.4 del Reglamento (UE) 2016/679.
Artículo 74.- Infracciones consideradas leves.
Se consideran leves y prescribirán al año las restantes infracciones de carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del artículo 83 del Reglamento (UE) 2016/679 y, en particular, las siguientes:
a) El incumplimiento del principio de transparencia de la información o el derecho de información del afectado por no facilitar toda la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679.
b) La exigencia del pago de un canon para facilitar al afectado la información exigida por los artículos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de derechos de los afectados previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679, cuando así lo permita su artículo 12.5, si su cuantía excediese el importe de los costes afrontados para facilitar la información o realizar la actuación solicitada.
c) No atender las solicitudes de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, salvo que resultase de aplicación lo dispuesto en el artículo 72.1.k) de esta ley orgánica.
d) No atender los derechos de acceso, rectificación, supresión, limitación del tratamiento o a la portabilidad de los datos en tratamientos en los que no se requiere la identificación del afectado, cuando este, para el ejercicio de esos derechos, haya facilitado información adicional que permita su identificación, salvo que resultase de aplicación lo dispuesto en el artículo 73 c) de esta ley orgánica.
e) El incumplimiento de la obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento exigida por el artículo 19 del Reglamento (UE) 2016/679.
f) El incumplimiento de la obligación de informar al afectado, cuando así lo haya solicitado, de los destinatarios a los que se hayan comunicado los datos personales rectificados, suprimidos o respecto de los que se ha limitado el tratamiento.
g) El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando ello fuera exigible conforme al artículo 3 de esta ley orgánica.
h) La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas con respecto al tratamiento de datos personales y sus relaciones con los afectados al que se refiere el artículo 26 del Reglamento (UE) 2016/679 o la inexactitud en la determinación de las mismas.
i) No poner a disposición de los afectados los aspectos esenciales del acuerdo formalizado entre los corresponsables del tratamiento, conforme exige el artículo 26.2 del Reglamento (UE) 2016/679.
j) La falta del cumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de la posible infracción por una instrucción recibida de este de las disposiciones del Reglamento (UE) 2016/679 o de esta ley orgánica, conforme a lo exigido por el artículo 28.3 del citado reglamento.
k) El incumplimiento por el encargado de las estipulaciones impuestas en el contrato o acto jurídico que regula el tratamiento o las instrucciones del responsable del tratamiento, salvo que esté legalmente obligado a ello conforme al Reglamento (UE) 2016/679 y a la presente ley orgánica o en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento.
l) Disponer de un Registro de actividades de tratamiento que no incorpore toda la información exigida por el artículo 30 del Reglamento (UE) 2016/679.
m) La notificación incompleta, tardía o defectuosa a la autoridad de protección de datos de la información relacionada con una violación de seguridad de los datos personales de conformidad con lo previsto en el artículo 33 del Reglamento (UE) 2016/679.
n) El incumplimiento de la obligación de documentar cualquier violación de seguridad, exigida por el artículo 33.5 del Reglamento (UE) 2016/679.
ñ) El incumplimiento del deber de comunicación al afectado de una violación de la seguridad de los datos que entrañe un alto riesgo para los derechos y libertades de los afectados, conforme a lo exigido por el artículo 34 del Reglamento (UE) 2016/679, salvo que resulte de aplicación lo previsto en el artículo 73 s) de esta ley orgánica.
o) Facilitar información inexacta a la Autoridad de protección de datos, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa, conforme al artículo 36 del Reglamento (UE) 2016/679.
p) No publicar los datos de contacto del delegado de protección de datos, o no comunicarlos a la autoridad de protección de datos, cuando su nombramiento sea exigible de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica.
q) El incumplimiento por los organismos de certificación de la obligación de informar a la autoridad de protección de datos de la expedición, renovación o retirada de una certificación, conforme a lo exigido por los apartados 1 y 5 del artículo 43 del Reglamento (UE) 2016/679.
r) El incumplimiento por parte de los organismos acreditados de supervisión de un código de conducta de la obligación de informar a las autoridades de protección de datos acerca de las medidas que resulten oportunas en caso de infracción del código, conforme exige el artículo 41.4 del Reglamento (UE) 2016/679.
Artículo 75.- Interrupción de la prescripción de la infracción.
Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.
Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679 interrumpirá la prescripción el conocimiento formal por el interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas.
Artículo 76.- Sanciones y medidas correctivas.
1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que existan controversias entre aquellos y cualquier interesado.
3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE) 2016/679.
4. Será objeto de publicación en el Boletín Oficial del Estado la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica.
Cuando la autoridad competente para imponer la sanción sea una autoridad autonómica de protección de datos, se estará a su normativa de aplicación.
Artículo 77.- Régimen aplicable a determinadas categorías de responsables o encargados del tratamiento.
1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados:
a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas.
e) Las autoridades administrativas independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.
k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.
3. Sin perjuicio de lo establecido en el apartado anterior, la autoridad de protección de datos propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
Asimismo, cuando las infracciones sean imputables a autoridades y directivos, y se acredite la existencia de informes técnicos o recomendaciones para el tratamiento que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargo responsable y se ordenará la publicación en el Boletín Oficial del Estado o autonómico que corresponda.
4. Se deberán comunicar a la autoridad de protección de datos las resoluciones que recaigan en relación con las medidas y actuaciones a que se refieren los apartados anteriores.
5. Se comunicarán al Defensor del Pueblo o, en su caso, a las instituciones análogas de las comunidades autónomas las actuaciones realizadas y las resoluciones dictadas al amparo de este artículo.
6. Cuando la autoridad competente sea la Agencia Española de Protección de Datos, esta publicará en su página web con la debida separación las resoluciones referidas a las entidades del apartado 1 de este artículo, con expresa indicación de la identidad del responsable o encargado del tratamiento que hubiera cometido la infracción.
Cuando la competencia corresponda a una autoridad autonómica de protección de datos se estará, en cuanto a la publicidad de estas resoluciones, a lo que disponga su normativa específica.
Artículo 78.- Prescripción de las sanciones.
1. Las sanciones impuestas en aplicación del Reglamento (UE) 2016/679 y de esta ley orgánica prescriben en los siguientes plazos:
a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año.
b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años.
c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.
2. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.
3. La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.
TÍTULO X.- Garantía de los derechos digitales
Artículo 79.- Los derechos en la Era digital.
Los derechos y libertades consagrados en la Constitución y en los Tratados y Convenios Internacionales en que España sea parte son plenamente aplicables en Internet. Los prestadores de servicios de la sociedad de la información y los proveedores de servicios de Internet contribuirán a garantizar su aplicación.
Artículo 80.- Derecho a la neutralidad de Internet.
Los usuarios tienen derecho a la neutralidad de Internet. Los proveedores de servicios de Internet proporcionarán una oferta transparente de servicios sin discriminación por motivos técnicos o económicos.
Artículo 81.- Derecho de acceso universal a Internet.
1. Todos tienen derecho a acceder a Internet independientemente de su condición personal, social, económica o geográfica.
2. Se garantizará un acceso universal, asequible, de calidad y no discriminatorio para toda la población.
3. El acceso a Internet de hombres y mujeres procurará la superación de la brecha de género tanto en el ámbito personal como laboral.
4. El acceso a Internet procurará la superación de la brecha generacional mediante acciones dirigidas a la formación y el acceso a las personas mayores.
5. La garantía efectiva del derecho de acceso a Internet atenderá la realidad específica de los entornos rurales.
6. El acceso a Internet deberá garantizar condiciones de igualdad para las personas que cuenten con necesidades especiales.
Artículo 82.- Derecho a la seguridad digital.
Los usuarios tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a través de Internet. Los proveedores de servicios de Internet informarán a los usuarios de sus derechos.
Artículo 83.- Derecho a la educación digital.
1. El sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales. Las actuaciones realizadas en este ámbito tendrán carácter inclusivo, en particular en lo que respecta al alumnado con necesidades educativas especiales.
Las Administraciones educativas deberán incluir en el diseño del bloque de asignaturas de libre configuración la competencia digital a la que se refiere el apartado anterior, así como los elementos relacionados con las situaciones de riesgo derivadas de la inadecuada utilización de las TIC, con especial atención a las situaciones de violencia en la red.
2. El profesorado recibirá las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos referidos en el apartado anterior.
3. Los planes de estudio de los títulos universitarios, en especial, aquellos que habiliten para el desempeño profesional en la formación del alumnado, garantizarán la formación en el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales en Internet.
4. Las Administraciones Públicas incorporarán a los temarios de las pruebas de acceso a los cuerpos superiores y a aquéllos en que habitualmente se desempeñen funciones que impliquen el acceso a datos personales materias relacionadas con la garantía de los derechos digitales y en particular el de protección de datos.
Artículo 84.- Protección de los menores en Internet.
1. Los padres, madres, tutores, curadores o representantes legales procurarán que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales.
2. La utilización o difusión de imágenes o información personal de menores en las redes sociales y servicios de la sociedad de la información equivalentes que puedan implicar una intromisión ilegítima en sus derechos fundamentales determinará la intervención del Ministerio Fiscal, que instará las medidas cautelares y de protección previstas en la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor.
Artículo 85.- Derecho de rectificación en Internet.
1. Todos tienen derecho a la libertad de expresión en Internet.
2. Los responsables de redes sociales y servicios equivalentes adoptarán protocolos adecuados para posibilitar el ejercicio del derecho de rectificación ante los usuarios que difundan contenidos que atenten contra el derecho al honor, la intimidad personal y familiar en Internet y el derecho a comunicar o recibir libremente información veraz, atendiendo a los requisitos y procedimientos previstos en la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación.
Cuando los medios de comunicación digitales deban atender la solicitud de rectificación formulada contra ellos deberán proceder a la publicación en sus archivos digitales de un aviso aclaratorio que ponga de manifiesto que la noticia original no refleja la situación actual del individuo. Dicho aviso deberá aparecer en lugar visible junto con la información original.
Artículo 86.- Derecho a la actualización de informaciones en medios de comunicación digitales.
Toda persona tiene derecho a solicitar motivadamente de los medios de comunicación digitales la inclusión de un aviso de actualización suficientemente visible junto a las noticias que le conciernan cuando la información contenida en la noticia original no refleje su situación actual como consecuencia de circunstancias que hubieran tenido lugar después de la publicación, causándole un perjuicio.
En particular, procederá la inclusión de dicho aviso cuando las informaciones originales se refieran a actuaciones policiales o judiciales que se hayan visto afectadas en beneficio del interesado como consecuencia de decisiones judiciales posteriores. En este caso, el aviso hará referencia a la decisión posterior.
Artículo 87.- Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
1. Los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador.
2. El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos.
3. Los empleadores deberán establecer criterios de utilización de los dispositivos digitales respetando en todo caso los estándares mínimos de protección de su intimidad de acuerdo con los usos sociales y los derechos reconocidos constitucional y legalmente. En su elaboración deberán participar los representantes de los trabajadores.
El acceso por el empleador al contenido de dispositivos digitales respecto de los que haya admitido su uso con fines privados requerirá que se especifiquen de modo preciso los usos autorizados y se establezcan garantías para preservar la intimidad de los trabajadores, tales como, en su caso, la determinación de los períodos en que los dispositivos podrán utilizarse para fines privados.
Los trabajadores deberán ser informados de los criterios de utilización a los que se refiere este apartado.
Artículo 88.- Derecho a la desconexión digital en el ámbito laboral.
1. Los trabajadores y los empleados públicos tendrán derecho a la desconexión digital a fin de garantizar, fuera del tiempo de trabajo legal o convencionalmente establecido, el respeto de su tiempo de descanso, permisos y vacaciones, así como de su intimidad personal y familiar.
2. Las modalidades de ejercicio de este derecho atenderán a la naturaleza y objeto de la relación laboral, potenciarán el derecho a la conciliación de la actividad laboral y la vida personal y familiar y se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores.
3. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos, en la que definirán las modalidades de ejercicio del derecho a la desconexión y las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática. En particular, se preservará el derecho a la desconexión digital en los supuestos de realización total o parcial del trabajo a distancia así como en el domicilio del empleado vinculado al uso con fines laborales de herramientas tecnológicas.
Artículo 89.- Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
1. Los empleadores podrán tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo. Los empleadores habrán de informar con carácter previo, y de forma expresa, clara y concisa, a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de esta medida.
En el supuesto de que se haya captado la comisión flagrante de un acto ilícito por los trabajadores o los empleados públicos se entenderá cumplido el deber de informar cuando existiese al menos el dispositivo al que se refiere el artículo 22.4 de esta ley orgánica.
2. En ningún caso se admitirá la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos.
3. La utilización de sistemas similares a los referidos en los apartados anteriores para la grabación de sonidos en el lugar de trabajo se admitirá únicamente cuando resulten relevantes los riesgos para la seguridad de las instalaciones, bienes y personas derivados de la actividad que se desarrolle en el centro de trabajo y siempre respetando el principio de proporcionalidad, el de intervención mínima y las garantías previstas en los apartados anteriores. La supresión de los sonidos conservados por estos sistemas de grabación se realizará atendiendo a lo dispuesto en el apartado 3 del artículo 22 de esta ley.
Artículo 90.- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
1. Los empleadores podrán tratar los datos obtenidos a través de sistemas de geolocalización para el ejercicio de las funciones de control de los trabajadores o los empleados públicos previstas, respectivamente, en el artículo 20.3 del Estatuto de los Trabajadores y en la legislación de función pública, siempre que estas funciones se ejerzan dentro de su marco legal y con los límites inherentes al mismo.
2. Con carácter previo, los empleadores habrán de informar de forma expresa, clara e inequívoca a los trabajadores o los empleados públicos y, en su caso, a sus representantes, acerca de la existencia y características de estos dispositivos. Igualmente deberán informarles acerca del posible ejercicio de los derechos de acceso, rectificación, limitación del tratamiento y supresión.
Artículo 91.- Derechos digitales en la negociación colectiva.
Los convenios colectivos podrán establecer garantías adicionales de los derechos y libertades relacionados con el tratamiento de los datos personales de los trabajadores y la salvaguarda de derechos digitales en el ámbito laboral.
Artículo 92.- Protección de datos de los menores en Internet.
Los centros educativos y cualesquiera personas físicas o jurídicas que desarrollen actividades en las que participen menores de edad garantizarán la protección del interés superior del menor y sus derechos fundamentales, especialmente el derecho a la protección de datos personales, en la publicación o difusión de sus datos personales a través de servicios de la sociedad de la información.
Cuando dicha publicación o difusión fuera a tener lugar a través de servicios de redes sociales o servicios equivalentes deberán contar con el consentimiento del menor o sus representantes legales, conforme a lo prescrito en el artículo 7 de esta ley orgánica.
Artículo 93.- Derecho al olvido en búsquedas de Internet.
1. Toda persona tiene derecho a que los motores de búsqueda en Internet eliminen de las listas de resultados que se obtuvieran tras una búsqueda efectuada a partir de su nombre los enlaces publicados que contuvieran información relativa a esa persona cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.
Del mismo modo deberá procederse cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los enlaces por el servicio de búsqueda en Internet.
Este derecho subsistirá aun cuando fuera lícita la conservación de la información publicada en el sitio web al que se dirigiera el enlace y no se procediese por la misma a su borrado previo o simultáneo.
2. El ejercicio del derecho al que se refiere este artículo no impedirá el acceso a la información publicada en el sitio web a través de la utilización de otros criterios de búsqueda distintos del nombre de quien ejerciera el derecho.
Artículo 94.- Derecho al olvido en servicios de redes sociales y servicios equivalentes.
1. Toda persona tiene derecho a que sean suprimidos, a su simple solicitud, los datos personales que hubiese facilitado para su publicación por servicios de redes sociales y servicios de la sociedad de la información equivalentes.
2. Toda persona tiene derecho a que sean suprimidos los datos personales que le conciernan y que hubiesen sido facilitados por terceros para su publicación por los servicios de redes sociales y servicios de la sociedad de la información equivalentes cuando fuesen inadecuados, inexactos, no pertinentes, no actualizados o excesivos o hubieren devenido como tales por el transcurso del tiempo, teniendo en cuenta los fines para los que se recogieron o trataron, el tiempo transcurrido y la naturaleza e interés público de la información.
Del mismo modo deberá procederse a la supresión de dichos datos cuando las circunstancias personales que en su caso invocase el afectado evidenciasen la prevalencia de sus derechos sobre el mantenimiento de los datos por el servicio.
Se exceptúan de lo dispuesto en este apartado los datos que hubiesen sido facilitados por personas físicas en el ejercicio de actividades personales o domésticas.
3. En caso de que el derecho se ejercitase por un afectado respecto de datos que hubiesen sido facilitados al servicio, por él o por terceros, durante su minoría de edad, el prestador deberá proceder sin dilación a su supresión por su simple solicitud, sin necesidad de que concurran las circunstancias mencionadas en el apartado 2.
Artículo 95.- Derecho de portabilidad en servicios de redes sociales y servicios equivalentes.
Los usuarios de servicios de redes sociales y servicios de la sociedad de la información equivalentes tendrán derecho a recibir y transmitir los contenidos que hubieran facilitado a los prestadores de dichos servicios, así como a que los prestadores los transmitan directamente a otro prestador designado por el usuario, siempre que sea técnicamente posible.
Los prestadores podrán conservar, sin difundirla a través de Internet, copia de los contenidos cuando dicha conservación sea necesaria para el cumplimiento de una obligación legal.
Artículo 96.- Derecho al testamento digital.
1. El acceso a contenidos gestionados por prestadores de servicios de la sociedad de la información sobre personas fallecidas se regirá por las siguientes reglas:
a) Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán dirigirse a los prestadores de servicios de la sociedad de la información al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas sobre su utilización, destino o supresión.
Como excepción, las personas mencionadas no podrán acceder a los contenidos del causante, ni solicitar su modificación o eliminación, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los contenidos que pudiesen formar parte del caudal relicto.
b) El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los contenidos con vistas a dar cumplimiento a tales instrucciones.
c) En caso de personas fallecidas menores de edad, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada.
d) En caso de fallecimiento de personas con discapacidad, estas facultades podrán ejercerse también, además de por quienes señala la letra anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.
2. Las personas legitimadas en el apartado anterior podrán decidir acerca del mantenimiento o eliminación de los perfiles personales de personas fallecidas en redes sociales o servicios equivalentes, a menos que el fallecido hubiera decidido acerca de esta circunstancia, en cuyo caso se estará a sus instrucciones.
El responsable del servicio al que se le comunique, con arreglo al párrafo anterior, la solicitud de eliminación del perfil, deberá proceder sin dilación a la misma.
3. Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de los mandatos e instrucciones y, en su caso, el registro de los mismos, que podrá coincidir con el previsto en el artículo 3 de esta ley orgánica.
4. Lo establecido en este artículo en relación con las personas fallecidas en las comunidades autónomas con derecho civil, foral o especial, propio se regirá por lo establecido por estas dentro de su ámbito de aplicación.
Artículo 97.- Políticas de impulso de los derechos digitales.
1. El Gobierno, en colaboración con las comunidades autónomas, elaborará un Plan de Acceso a Internet con los siguientes objetivos:
a) superar las brechas digitales y garantizar el acceso a Internet de colectivos vulnerables o con necesidades especiales y de entornos familiares y sociales económicamente desfavorecidos mediante, entre otras medidas, un bono social de acceso a Internet;
b) impulsar la existencia de espacios de conexión de acceso público; y
c) fomentar medidas educativas que promuevan la formación en competencias y habilidades digitales básicas a personas y colectivos en riesgo de exclusión digital y la capacidad de todas las personas para realizar un uso autónomo y responsable de Internet y de las tecnologías digitales.
2. Asimismo se aprobará un Plan de Actuación dirigido a promover las acciones de formación, difusión y concienciación necesarias para lograr que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de las redes sociales y de los servicios de la sociedad de la información equivalentes de Internet con la finalidad de garantizar su adecuado desarrollo de la personalidad y de preservar su dignidad y derechos fundamentales.
3. El Gobierno presentará un informe anual ante la comisión parlamentaria correspondiente del Congreso de los Diputados en el que se dará cuenta de la evolución de los derechos, garantías y mandatos contemplados en el presente Título y de las medidas necesarias para promover su impulso y efectividad.
Disposición adicional primera.- Medidas de seguridad en el ámbito del sector público.
1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.
En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.
Disposición adicional segunda.- Protección de datos y transparencia y acceso a la información pública.
La publicidad activa y el acceso a la información pública regulados por el Título I de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, así como las obligaciones de publicidad activa establecidas por la legislación autonómica, se someterán, cuando la información contenga datos personales, a lo dispuesto en los artículos 5.3 y 15 de la Ley 19/2013, en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
Disposición adicional tercera.- Cómputo de plazos.
Los plazos establecidos en el Reglamento (UE) 2016/679 o en esta ley orgánica, con independencia de que se refieran a relaciones entre particulares o con entidades del sector público, se regirán por las siguientes reglas:
a) Cuando los plazos se señalen por días, se entiende que estos son hábiles, excluyéndose del cómputo los sábados, los domingos y los declarados festivos.
b) Si el plazo se fija en semanas, concluirá el mismo día de la semana en que se produjo el hecho que determina su iniciación en la semana de vencimiento.
c) Si el plazo se fija en meses o años, concluirá el mismo día en que se produjo el hecho que determina su iniciación en el mes o el año de vencimiento. Si en el mes de vencimiento no hubiera día equivalente a aquel en que comienza el cómputo, se entenderá que el plazo expira el último día del mes.
d) Cuando el último día del plazo sea inhábil, se entenderá prorrogado al primer día hábil siguiente.
Disposición adicional cuarta.- Procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras leyes.
Lo dispuesto en el Título VIII y en sus normas de desarrollo será de aplicación a los procedimientos que la Agencia Española de Protección de Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes.
Disposición adicional quinta.- Autorización judicial en relación con decisiones de la Comisión Europea en materia de transferencia internacional de datos.
1. Cuando una autoridad de protección de datos considerase que una decisión de la Comisión Europea en materia de transferencia internacional de datos, de cuya validez dependiese la resolución de un procedimiento concreto, infringiese lo dispuesto en el Reglamento (UE) 2016/679, menoscabando el derecho fundamental a la protección de datos, acordará inmediatamente la suspensión del procedimiento, a fin de solicitar del órgano judicial autorización para declararlo así en el seno del procedimiento del que esté conociendo. Dicha suspensión deberá ser confirmada, modificada o levantada en el acuerdo de admisión o inadmisión a trámite de la solicitud de la autoridad de protección de datos dirigida al tribunal competente.
Las decisiones de la Comisión Europea a las que puede resultar de aplicación este cauce son:
a) aquellas que declaren el nivel adecuado de protección de un tercer país u organización internacional, en virtud del artículo 45 del Reglamento (UE) 2016/679;
b) aquellas por las que se aprueben cláusulas tipo de protección de datos para la realización de transferencias internacionales de datos, o
c) aquellas que declaren la validez de los códigos de conducta a tal efecto.
2. La autorización a la que se refiere esta disposición solamente podrá ser concedida si, previo planteamiento de cuestión prejudicial de validez en los términos del artículo 267 del Tratado de Funcionamiento de la Unión Europea, la decisión de la Comisión Europea cuestionada fuera declarada inválida por el Tribunal de Justicia de la Unión Europea.
Disposición adicional sexta.- Incorporación de deudas a sistemas de información crediticia.
No se incorporarán a los sistemas de información crediticia a los que se refiere el artículo 20.1 de esta ley orgánica deudas en que la cuantía del principal sea inferior a cincuenta euros.
El Gobierno, mediante real decreto, podrá actualizar esta cuantía.
Disposición adicional séptima.- Identificación de los interesados en las notificaciones por medio de anuncios y publicaciones de actos administrativos.
1. Cuando sea necesaria la publicación de un acto administrativo que contuviese datos personales del afectado, se identificará al mismo mediante su nombre y apellidos, añadiendo cuatro cifras numéricas aleatorias del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente. Cuando la publicación se refiera a una pluralidad de afectados estas cifras aleatorias deberán alternarse.
Cuando se trate de la notificación por medio de anuncios, particularmente en los supuestos a los que se refiere el artículo 44 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se identificará al afectado exclusivamente mediante el número completo de su documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.
Cuando el afectado careciera de cualquiera de los documentos mencionados en los dos párrafos anteriores, se identificará al afectado únicamente mediante su nombre y apellidos. En ningún caso debe publicarse el nombre y apellidos de manera conjunta con el número completo del documento nacional de identidad, número de identidad de extranjero, pasaporte o documento equivalente.
2. A fin de prevenir riesgos para víctimas de violencia de género, el Gobierno impulsará la elaboración de un protocolo de colaboración que defina procedimientos seguros de publicación y notificación de actos administrativos, con la participación de los órganos con competencia en la materia.
Disposición adicional octava.- Potestad de verificación de las Administraciones Públicas.
Cuando se formulen solicitudes por cualquier medio en las que el interesado declare datos personales que obren en poder de las Administraciones Públicas, el órgano destinatario de la solicitud podrá efectuar en el ejercicio de sus competencias las verificaciones necesarias para comprobar la exactitud de los datos.
Disposición adicional novena.- Tratamiento de datos personales en relación con la notificación de incidentes de seguridad.
Cuando, de conformidad con lo dispuesto en la legislación nacional que resulte de aplicación, deban notificarse incidentes de seguridad, las autoridades públicas competentes, equipos de respuesta a emergencias informáticas (CERT), equipos de respuesta a incidentes de seguridad informática (CSIRT), proveedores de redes y servicios de comunicaciones electrónicas y proveedores de tecnologías y servicios de seguridad, podrán tratar los datos personales contenidos en tales notificaciones, exclusivamente durante el tiempo y alcance necesarios para su análisis, detección, protección y respuesta ante incidentes y adoptando las medidas de seguridad adecuadas y proporcionadas al nivel de riesgo determinado.
Disposición adicional décima.- Comunicaciones de datos por los sujetos enumerados en el artículo 77.1.
Los responsables enumerados en el artículo 77.1 de esta ley orgánica podrán comunicar los datos personales que les sean solicitados por sujetos de derecho privado cuando cuenten con el consentimiento de los afectados o aprecien que concurre en los solicitantes un interés legítimo que prevalezca sobre los derechos e intereses de los afectados conforme a lo establecido en el artículo 6.1 f) del Reglamento (UE) 2016/679.
Disposición adicional undécima.- Privacidad en las comunicaciones electrónicas.
Lo dispuesto en la presente ley orgánica se entenderá sin perjuicio de la aplicación de las normas de Derecho interno y de la Unión Europea reguladoras de la privacidad en el sector de las comunicaciones electrónicas, sin imponer obligaciones adicionales a las personas físicas o jurídicas en materia de tratamiento en el marco de la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación en ámbitos en los que estén sujetas a obligaciones específicas establecidas en dichas normas.
Disposición adicional duodécima.- Disposiciones específicas aplicables a los tratamientos de los registros de personal del sector público.
1. Los tratamientos de los registros de personal del sector público se entenderán realizados en el ejercicio de poderes públicos conferidos a sus responsables, de acuerdo con lo previsto en el artículo 6.1.e) del Reglamento (UE) 2016/679.
2. Los registros de personal del sector público podrán tratar datos personales relativos a infracciones y condenas penales e infracciones y sanciones administrativas, limitándose a los datos estrictamente necesarios para el cumplimiento de sus fines.
3. De acuerdo con lo previsto en el artículo 18.2 del Reglamento (UE) 2016/679, y por considerarlo una razón de interés público importante, los datos cuyo tratamiento se haya limitado en virtud del artículo 18.1 del citado reglamento, podrán ser objeto de tratamiento cuando sea necesario para el desarrollo de los procedimientos de personal.
Disposición adicional decimotercera.- Transferencias internacionales de datos tributarios.
Las transferencias de datos tributarios entre el Reino de España y otros Estados o entidades internacionales o supranacionales, se regularán por los términos y con los límites establecidos en la normativa sobre asistencia mutua entre los Estados de la Unión Europea, o en el marco de los convenios para evitar la doble imposición o de otros convenios internacionales, así como por las normas sobre la asistencia mutua establecidas en el Capítulo VI del Título III de la Ley 58/2003, de 17 de diciembre, General Tributaria.
Disposición adicional decimocuarta.- Normas dictadas en desarrollo del artículo 13 de la Directiva 95/46/CE.
Las normas dictadas en aplicación del artículo 13 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que hubiesen entrado en vigor con anterioridad a 25 de mayo de 2018, y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, siguen vigentes en tanto no sean expresamente modificadas, sustituidas o derogadas.
Disposición adicional decimoquinta.- Requerimiento de información por parte de la Comisión Nacional del Mercado de Valores.
Cuando no haya podido obtener por otros medios la información necesaria para realizar sus labores de supervisión o inspección, la Comisión Nacional del Mercado de Valores podrá recabar de los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, los datos que obren en su poder relativos a la comunicación electrónica o servicio de la sociedad de la información proporcionados por dichos prestadores que sean distintos a su contenido y resulten imprescindibles para el ejercicio de dichas labores.
La cesión de estos datos requerirá la previa obtención de autorización judicial otorgada conforme a las normas procesales.
Quedan excluidos de lo previsto en este apartado los datos de tráfico que los operadores estuviesen tratando con la exclusiva finalidad de dar cumplimiento a las obligaciones previstas en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
Disposición adicional decimosexta.- Prácticas agresivas en materia de protección de datos.
A los efectos previstos en el artículo 8 de la Ley 3/1991, de 10 de enero, de Competencia Desleal, se consideran prácticas agresivas las siguientes:
a) Actuar con intención de suplantar la identidad de la Agencia Española de Protección de Datos o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados.
b) Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios.
c) Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales.
d) Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente.
e) Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la Agencia Española de Protección de Datos o las autoridades autonómicas de protección de datos.
Disposición adicional decimoséptima.- Tratamientos de datos de salud.
1. Se encuentran amparados en las letras g), h), i) y j) del artículo 9.2 del Reglamento (UE) 2016/679 los tratamientos de datos relacionados con la salud y de datos genéticos que estén regulados en las siguientes leyes y sus disposiciones de desarrollo:
a) La Ley 14/1986, de 25 de abril, General de Sanidad.
b) La Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales.
c) La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
d) La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.
e) La Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias.
f) La Ley 14/2007, de 3 de julio, de Investigación biomédica.
g) La Ley 33/2011, de 4 de octubre, General de Salud Pública.
h) La Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.
i) El texto refundido de la Ley de garantías y uso racional de los 105 medicamentos y productos sanitarios, aprobado por Real Decreto Legislativo 1/2015, de 24 de julio.
j) El texto refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, aprobado por Real Decreto Legislativo 1/2013 de 29 de noviembre.
2. El tratamiento de datos en la investigación en salud se regirá por los siguientes criterios:
a) El interesado o, en su caso, su representante legal podrá otorgar el consentimiento para el uso de sus datos con fines de investigación en salud y, en particular, la biomédica. Tales finalidades podrán abarcar categorías relacionadas con áreas generales vinculadas a una especialidad médica o investigadora.
b) Las autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin el consentimiento de los afectados en situaciones de excepcional relevancia y gravedad para la salud pública.
c) Se considerará lícita y compatible la reutilización de datos personales con fines de investigación en materia de salud y biomédica cuando, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen los datos para finalidades o áreas de investigación relacionadas con el área en la que se integrase científicamente el estudio inicial.
En tales casos, los responsables deberán publicar la información establecida por el artículo 13 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, en un lugar fácilmente accesible de la página web corporativa del centro donde se realice la investigación o estudio clínico, y, en su caso, en la del promotor, y notificar la existencia de esta información por medios electrónicos a los afectados. Cuando estos carezcan de medios para acceder a tal información, podrán solicitar su remisión en otro formato.
Para los tratamientos previstos en esta letra, se requerirá informe previo favorable del comité de ética de la investigación.
d) Se considera lícito el uso de datos personales seudonimizados con fines de investigación en salud y, en particular, biomédica.
El uso de datos personales seudonimizados con fines de investigación en salud pública y biomédica requerirá:
1.º Una separación técnica y funcional entre el equipo investigador y quienes realicen la seudonimización y conserven la información que posibilite la reidentificación.
2.º Que los datos seudonimizados únicamente sean accesibles al equipo de investigación cuando:
i) Exista un compromiso expreso de confidencialidad y de no realizar ninguna actividad de reidentificación.
ii) Se adopten medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados.
Podrá procederse a la reidentificación de los datos en su origen, cuando con motivo de una investigación que utilice datos seudonimizados, se aprecie la existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza grave para sus derechos o sea necesaria para garantizar una adecuada asistencia sanitaria.
e) Cuando se traten datos personales con fines de investigación en salud, y en particular la biomédica, a los efectos del artículo 89.2 del Reglamento (UE) 2016/679, podrán excepcionarse los derechos de los afectados previstos en los artículos 15, 16, 18 y 21 del Reglamento (EU) 2016/679 cuando:
1.º Los citados derechos se ejerzan directamente ante los investigadores o centros de investigación que utilicen datos anonimizados o seudonimizados.
2.º El ejercicio de tales derechos se refiera a los resultados de la investigación.
3.º La investigación tenga por objeto un interés público esencial relacionado con la seguridad del Estado, la defensa, la seguridad pública u otros objetivos importantes de interés público general, siempre que en este último caso la excepción esté expresamente recogida por una norma con rango de Ley.
f) Cuando conforme a lo previsto por el artículo 89 del Reglamento (UE) 2016/679, se lleve a cabo un tratamiento con fines de investigación en salud pública y, en particular, biomédica se procederá a:
1.º Realizar una evaluación de impacto que determine los riesgos derivados del tratamiento en los supuestos previstos en el artículo 35 del Reglamento (UE) 2016/679 o en los establecidos por la autoridad de control. Esta evaluación incluirá de modo específico los riesgos de reidentificación vinculados a la anonimización o seudonimización de los datos.
2.º Someter la investigación científica a las normas de calidad y, en su caso, a las directrices internacionales sobre buena práctica clínica.
3.º Adoptar, en su caso, medidas dirigidas a garantizar que los investigadores no acceden a datos de identificación de los interesados.
4.º Designar un representante legal establecido en la Unión Europea, conforme al artículo 74 del Reglamento (UE) 536/2014, si el promotor de un ensayo clínico no está establecido en la Unión Europea. Dicho representante legal podrá coincidir con el previsto en el artículo 27.1 del Reglamento (UE) 2016/679.
g) El uso de datos personales seudonimizados con fines de investigación en salud pública y, en particular, biomédica deberá ser sometido al informe previo del comité de ética de la investigación previsto en la normativa sectorial.
En defecto de la existencia del mencionado Comité, la entidad responsable de la investigación requerirá informe previo del delegado de protección de datos o, en su defecto, de un experto con los conocimientos previos en el artículo 37.5 del Reglamento (UE) 2016/679.
h) En el plazo máximo de un año desde la entrada en vigor de esta ley, los comités de ética de la investigación, en el ámbito de la salud, biomédico o del medicamento, deberán integrar entre sus miembros un delegado de protección de datos o, en su defecto, un experto con conocimientos suficientes del Reglamento (UE) 2016/679 cuando se ocupen de actividades de investigación que comporten el tratamiento de datos personales o de datos seudonimizados o anonimizados.
Disposición adicional decimoctava.- Criterios de seguridad.
La Agencia Española de Protección de Datos desarrollará, con la colaboración, cuando sea precisa, de todos los actores implicados, las herramientas, guías, directrices y orientaciones que resulten precisas para dotar a los profesionales, microempresas y pequeñas y medianas empresas de pautas adecuadas para el cumplimiento de las obligaciones de responsabilidad activa establecidas en el Título IV del Reglamento (UE) 2016/679 y en el Título V de esta ley orgánica.
Disposición adicional decimonovena.- Derechos de los menores ante Internet.
En el plazo de un año desde la entrada en vigor de esta ley orgánica, el Gobierno remitirá al Congreso de los Diputados un proyecto de ley dirigido específicamente a garantizar los derechos de los menores ante el impacto de Internet, con el fin de garantizar su seguridad y luchar contra la discriminación y la violencia que sobre los mismos es ejercida mediante las nuevas tecnologías.
Disposición adicional vigésima.- Especialidades del régimen jurídico de la Agencia Española de Protección de Datos.
1. No será de aplicación a la Agencia Española de Protección de Datos el artículo 50.2.c) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
2. La Agencia Española de Protección de Datos podrá adherirse a los sistemas de contratación centralizada establecidos por las Administraciones Públicas y participar en la gestión compartida de servicios comunes prevista en el artículo 85 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Disposición adicional vigésima primera.- Educación digital.
Las Administraciones educativas darán cumplimiento al mandato contenido en el párrafo segundo del apartado 1 del artículo 83 de esta ley orgánica en el plazo de un año a contar desde la entrada en vigor de la misma.
Disposición adicional vigésima segunda.- Acceso a los archivos públicos y eclesiásticos.
Las autoridades públicas competentes facilitarán el acceso a los archivos públicos y eclesiásticos en relación con los datos que se soliciten con ocasión de investigaciones policiales o judiciales de personas desaparecidas, debiendo atender las solicitudes con prontitud y diligencia las instituciones o congregaciones religiosas a las que se realicen las peticiones de acceso.
Disposición transitoria primera.- Estatuto de la Agencia Española de Protección de Datos.
1. El Estatuto de la Agencia Española de Protección de Datos, aprobado por Real Decreto 428/1993, de 26 de marzo, continuará vigente en lo que no se oponga a lo establecido en el Título VIII de esta ley orgánica.
2. Lo dispuesto en los apartados 2, 3 y 5 del artículo 48 y en el artículo 49 de esta ley orgánica se aplicará una vez expire el mandato de quien ostente la condición de Director de la Agencia Española de Protección de Datos a la entrada en vigor de la misma.
Disposición transitoria segunda.- Códigos tipo inscritos en las autoridades de protección de datos conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Los promotores de los códigos tipo inscritos en el registro de la Agencia Española de Protección de Datos o en las autoridades autonómicas de protección de datos deberán adaptar su contenido a lo dispuesto en el artículo 40 del Reglamento (UE) 2016/679 en el plazo de un año a contar desde la entrada en vigor de esta ley orgánica.
Si, transcurrido dicho plazo, no se hubiera solicitado la aprobación prevista en el artículo 38.4 de esta ley orgánica, se cancelará la inscripción y se comunicará a sus promotores.
Disposición transitoria tercera.- Régimen transitorio de los procedimientos.
1. Los procedimientos ya iniciados a la entrada en vigor de esta ley orgánica se regirán por la normativa anterior, salvo que esta ley orgánica contenga disposiciones más favorables para el interesado.
2. Lo dispuesto en el apartado anterior será asimismo de aplicación a los procedimientos respecto de los cuales ya se hubieren iniciado las actuaciones previas a las que se refiere la Sección 2.ª del Capítulo III del Título IX del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre.
Disposición transitoria cuarta.- Tratamientos sometidos a la Directiva (UE) 2016/680.
Los tratamientos sometidos a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo, continuarán rigiéndose por la Ley Orgánica 15/1999, de 13 de diciembre, y en particular el artículo 22, y sus disposiciones de desarrollo, en tanto no entre en vigor la norma que trasponga al Derecho español lo dispuesto en la citada directiva.
Disposición transitoria quinta.- Contratos de encargado del tratamiento.
Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679 y en el Capítulo II del Título V de esta ley orgánica.
Disposición transitoria sexta.- Reutilización con fines de investigación en materia de salud y biomédica de datos personales recogidos con anterioridad a la entrada en vigor de esta ley orgánica.
Se considerará lícita y compatible la reutilización con fines de investigación en salud y biomédica de datos personales recogidos lícitamente con anterioridad a la entrada en vigor de esta ley orgánica cuando concurra alguna de las circunstancias siguientes:
a) Que dichos datos personales se utilicen para la finalidad concreta para la que se hubiera prestado consentimiento.
b) Que, habiéndose obtenido el consentimiento para una finalidad concreta, se utilicen tales datos para finalidades o áreas de investigación relacionadas con la especialidad médica o investigadora en la que se integrase científicamente el estudio inicial.
Disposición derogatoria única.- Derogación normativa.
1. Sin perjuicio de lo previsto en la disposición adicional decimocuarta y en la disposición transitoria cuarta, queda derogada la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
2. Queda derogado el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.
3. Asimismo, quedan derogadas cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la presente ley orgánica.
Disposición final primera.- Naturaleza de la presente ley.
La presente ley tiene el carácter de ley orgánica.
No obstante, tienen carácter de ley ordinaria:
– El Título IV,
– el Título VII, salvo los artículos 52 y 53, que tienen carácter orgánico,
– el Título VIII,
– el Título IX,
– los artículos 79, 80, 81, 82, 88, 95, 96 y 97 del Título X,
– las disposiciones adicionales, salvo la disposición adicional segunda y la disposición adicional decimoséptima, que tienen carácter orgánico,
– las disposiciones transitorias,
– y las disposiciones finales, salvo las disposiciones finales primera, segunda, tercera, cuarta, octava, décima y decimosexta, que tienen carácter orgánico.
Disposición final segunda.- Título competencial.
1. Esta ley orgánica se dicta al amparo del artículo 149.1.1.ª de la Constitución, que atribuye al Estado la competencia exclusiva para la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales.
2. El Capítulo I del Título VII, el Título VIII, la disposición adicional cuarta y la disposición transitoria primera sólo serán de aplicación a la Administración General del Estado y a sus organismos públicos.
3. Los artículos 87 a 90 se dictan al amparo de la competencia exclusiva que el artículo 149.1.7.ª y 18.ª de la Constitución reserva al Estado en materia de legislación laboral y bases del régimen estatutario de los funcionarios públicos respectivamente.
4. La disposición adicional quinta y las disposiciones finales séptima y sexta se dictan al amparo de la competencia que el artículo 149.1.6.ª de la Constitución atribuye al Estado en materia de legislación procesal.
5. La disposición adicional tercera se dicta al amparo del artículo 149.1.18.ª de la Constitución.
6. El artículo 96 se dicta al amparo del artículo 149.1.8.ª de la Constitución.
Disposición final tercera.- Modificación de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General.
Se modifica la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General que queda redactada como sigue:
Uno. El apartado 3 del artículo treinta y nueve queda redactado como sigue:
“3. Dentro del plazo anterior, cualquier persona podrá formular reclamación dirigida a la Delegación Provincial de la Oficina del Censo Electoral sobre sus datos censales, si bien solo podrán ser tenidas en cuenta las que se refieran a la rectificación de errores en los datos personales, a los cambios de domicilio dentro de una misma circunscripción o a la no inclusión del reclamante en ninguna Sección del Censo de la circunscripción pese a tener derecho a ello. También serán atendidas las solicitudes de los electores que se opongan a su inclusión en las copias del censo electoral que se faciliten a los representantes de las candidaturas para realizar envíos postales de propaganda electoral. No serán tenidas en cuenta para la elección convocada las que reflejen un cambio de residencia de una circunscripción a otra, realizado con posterioridad a la fecha de cierre del censo para cada elección, debiendo ejercer su derecho en la sección correspondiente a su domicilio anterior.”
Dos. Se añade un nuevo artículo cincuenta y ocho bis, con el contenido siguiente:
“Artículo cincuenta y ocho bis.- Utilización de medios tecnológicos y datos personales en las actividades electorales.
1. La recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales se encontrará amparada en el interés público únicamente cuando se ofrezcan garantías adecuadas.
2. Los partidos políticos, coaliciones y agrupaciones electorales podrán utilizar datos personales obtenidos en páginas web y otras fuentes de acceso público para la realización de actividades políticas durante el periodo electoral.
3. El envío de propaganda electoral por medios electrónicos o sistemas de mensajería y la contratación de propaganda electoral en redes sociales o medios equivalentes no tendrán la consideración de actividad o comunicación comercial.
4. Las actividades divulgativas anteriormente referidas identificarán de modo destacado su naturaleza electoral.
5. Se facilitará al destinatario un modo sencillo y gratuito de ejercicio del derecho de oposición.”
Disposición final cuarta.- Modificación de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial.
Se modifica la Ley Orgánica, 6/1985, de 1 de julio, del Poder Judicial, en los siguientes términos:
Uno. Se añade un apartado tercero al artículo 58, con la siguiente redacción:
“Artículo 58.
Tercero. De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por el Consejo General del Poder Judicial.”
Dos. Se añade una letra f) al artículo 66, con la siguiente redacción:
“Artículo 66.
f) De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por la Agencia Española de Protección de Datos.”
Tres. Se añaden una letra k) al apartado 1 y un nuevo apartado 7 al artículo 74, con la siguiente redacción:
“Artículo 74.
1. […]
k) De la solicitud de autorización para la declaración prevista en la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, cuando tal solicitud sea formulada por la autoridad de protección de datos de la Comunidad Autónoma respectiva.
[…]
7. Corresponde a las Salas de lo Contencioso-administrativo de los Tribunales Superiores de Justicia autorizar, mediante auto, el requerimiento de información por parte de autoridades autonómicas de protección de datos a los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, cuando ello sea necesario de acuerdo con la legislación específica.”
Cuatro. Se añade un nuevo apartado 7 al artículo 90:
“7. Corresponde a los Juzgados Centrales de lo Contencioso-administrativo autorizar, mediante auto, el requerimiento de información por parte de la Agencia Española de Protección de Datos y otras autoridades administrativas independientes de ámbito estatal a los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, cuando ello sea necesario de acuerdo con la legislación específica.”
Disposición final quinta.- Modificación de la Ley 14/1986, de 25 de abril, General de Sanidad.
Se añade un nuevo Capítulo II al Título VI de la Ley 14/1986, de 25 de abril, General de Sanidad con el siguiente contenido:
“CAPÍTULO II.- Tratamiento de datos de la investigación en salud
Artículo 105 bis.
El tratamiento de datos personales en la investigación en salud se regirá por lo dispuesto en la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.”
Disposición final sexta.- Modificación de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.
La Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, se modifica en los siguientes términos:
Uno. Se añade un nuevo apartado 7 al artículo 10:
“7. Conocerán de la solicitud de autorización al amparo del artículo 122 ter, cuando sea formulada por la autoridad de protección de datos de la Comunidad Autónoma respectiva.”
Dos. Se añade un nuevo apartado 5 al artículo 11:
“5. Conocerá de la solicitud de autorización al amparo del artículo 122 ter, cuando sea formulada por la Agencia Española de Protección de Datos.”
Tres. Se añade un nuevo apartado 4 al artículo 12:
“4. Conocerá de la solicitud de autorización al amparo del artículo 122 ter, cuando sea formulada por el Consejo General del Poder Judicial.”
Cuatro. Se introduce un nuevo artículo 122 ter, con el siguiente tenor:
“Artículo 122 ter. Procedimiento de autorización judicial de conformidad de una decisión de la Comisión Europea en materia de transferencia internacional de datos.
1. El procedimiento para obtener la autorización judicial a que se refiere la disposición adicional quinta de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, se iniciará con la solicitud de la autoridad de protección de datos dirigida al Tribunal competente para que se pronuncie acerca de la conformidad de una decisión de la Comisión Europea en materia de transferencia internacional de datos con el Derecho de la Unión Europea. La solicitud irá acompañada de copia del expediente que se encontrase pendiente de resolución ante la autoridad de protección de datos.
2. Serán partes en el procedimiento, además de la autoridad de protección de datos, quienes lo fueran en el procedimiento tramitado ante ella y, en todo caso, la Comisión Europea.
3. El acuerdo de admisión o inadmisión a trámite del procedimiento confirmará, modificará o levantará la suspensión del procedimiento por posible vulneración de la normativa de protección de datos tramitado ante la autoridad de protección de datos, del que trae causa este procedimiento de autorización judicial.
4. Admitida a trámite la solicitud, el Tribunal competente lo notificará a la autoridad de protección de datos a fin de que dé traslado a quienes interviniesen en el procedimiento tramitado ante la misma para que se personen en el plazo de tres días. Igualmente, se dará traslado a la Comisión Europea a los mismos efectos.
5. Concluido el plazo mencionado en la letra anterior, se dará traslado de la solicitud de autorización a las partes personadas a fin de que en el plazo de diez días aleguen lo que estimen procedente, pudiendo solicitar en ese momento la práctica de las pruebas que estimen necesarias.
6. Transcurrido el período de prueba, si alguna de las partes lo hubiese solicitado y el órgano jurisdiccional lo estimase pertinente, se celebrará una vista. El Tribunal podrá decidir el alcance de las cuestiones sobre las que las partes deberán centrar sus alegaciones en dicha vista.
7. Finalizados los trámites mencionados en los tres apartados anteriores, el Tribunal competente adoptará en el plazo de diez días una de estas decisiones:
a) Si considerase que la decisión de la Comisión Europea es conforme al Derecho de la Unión Europea, dictará sentencia declarándolo así y denegando la autorización solicitada.
b) En caso de considerar que la decisión es contraria al Derecho de la Unión Europea, dictará auto de planteamiento de cuestión prejudicial de validez de la citada decisión ante el Tribunal de Justicia de la Unión Europea, en los términos del artículo 267 del Tratado de Funcionamiento de la Unión Europea.
La autorización solamente podrá ser concedida si la decisión de la Comisión Europea cuestionada fuera declarada inválida por el Tribunal de Justicia de la Unión Europea.
8. El régimen de recursos será el previsto en esta ley.”
Disposición final séptima.- Modificación de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.
Se modifica el artículo 15 bis de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, que queda redactado como sigue:
“Artículo 15 bis. Intervención en procesos de defensa de la competencia y de protección de datos.
1. La Comisión Europea, la Comisión Nacional de los Mercados y la Competencia y los órganos competentes de las comunidades autónomas en el ámbito de sus competencias podrán intervenir en los procesos de defensa de la competencia y de protección de datos, sin tener la condición de parte, por propia iniciativa o a instancia del órgano judicial, mediante la aportación de información o presentación de observaciones escritas sobre cuestiones relativas a la aplicación de los artículos 101 y 102 del Tratado de Funcionamiento de la Unión Europea o los artículos 1 y 2 de la Ley 15/2007, de 3 de julio, de Defensa de la Competencia. Con la venia del correspondiente órgano judicial, podrán presentar también observaciones verbales. A estos efectos, podrán solicitar al órgano jurisdiccional competente que les remita o haga remitir todos los documentos necesarios para realizar una valoración del asunto de que se trate.
La aportación de información no alcanzará a los datos o documentos obtenidos en el ámbito de las circunstancias de aplicación de la exención o reducción del importe de las multas previstas en los artículos 65 y 66 de la Ley 15/2007, de 3 de julio, de Defensa de la Competencia.
2. La Comisión Europea, la Comisión Nacional de los Mercados y la Competencia y los órganos competentes de las comunidades autónomas aportarán la información o presentarán las observaciones previstas en el número anterior diez días antes de la celebración del acto del juicio a que se refiere el artículo 433 o dentro del plazo de oposición o impugnación del recurso interpuesto.
3. Lo dispuesto en los anteriores apartados en materia de procedimiento será asimismo de aplicación cuando la Comisión Europea, la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, en el ámbito de sus competencias, consideren precisa su intervención en un proceso que afecte a cuestiones relativas a la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.”
Disposición final octava.- Modificación de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades.
Se incluye una nueva letra l) en el apartado 2 del artículo 46 de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, con el contenido siguiente:
“l) La formación en el uso y seguridad de los medios digitales y en la garantía de los derechos fundamentales en Internet.”
Disposición final novena.- Modificación de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
Se modifica el apartado 3 del artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, que pasa a tener el siguiente tenor:
“Artículo 16. […]
El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clinicoasistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.
Se exceptúan los supuestos de investigación previstos en el apartado 2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.
Asimismo se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clinicoasistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.
Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos.”
Disposición final décima.- Modificación de la Ley Orgánica 2/2006, de 3 de mayo, de Educación.
Se incluye una nueva letra l) en el apartado 1 del artículo 2 de la Ley Orgánica 2/2006, de 3 de mayo, de Educación, que queda redactado como sigue:
“l) La capacitación para garantizar la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso seguro de los medios digitales y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente, con el respeto y la garantía de la intimidad individual y colectiva.”
Disposición final undécima.- Modificación de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.
Se modifica la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, en los siguientes términos:
Uno. Se añade un nuevo artículo 6 bis, con la siguiente redacción:
“Artículo 6 bis. Registro de actividades de tratamiento.
Los sujetos enumerados en el artículo 77.1 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, publicarán su inventario de actividades de tratamiento en aplicación del artículo 31 de la citada Ley Orgánica.”
Dos. El apartado 1 del artículo 15 queda redactado como sigue:
“1. Si la información solicitada contuviera datos personales que revelen la ideología, afiliación sindical, religión o creencias, el acceso únicamente se podrá autorizar en caso de que se contase con el consentimiento expreso y por escrito del afectado, a menos que dicho afectado hubiese hecho manifiestamente públicos los datos con anterioridad a que se solicitase el acceso.
Si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley.”
Disposición final duodécima.- Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Se modifican los apartados 2 y 3 del artículo 28 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, que pasan a tener la siguiente redacción:
“Artículo 28. […]
2. Los interesados tienen derecho a no aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por cualquier otra Administración. La administración actuante podrá consultar o recabar dichos documentos salvo que el interesado se opusiera a ello. No cabrá la oposición cuando la aportación del documento se exigiera en el marco del ejercicio de potestades sancionadoras o de inspección.
Las Administraciones Públicas deberán recabar los documentos electrónicamente a través de sus redes corporativas o mediante consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto.
Cuando se trate de informes preceptivos ya elaborados por un órgano administrativo distinto al que tramita el procedimiento, estos deberán ser remitidos en el plazo de diez días a contar desde su solicitud. Cumplido este plazo, se informará al interesado de que puede aportar este informe o esperar a su remisión por el órgano competente.
3. Las Administraciones no exigirán a los interesados la presentación de documentos originales, salvo que, con carácter excepcional, la normativa reguladora aplicable establezca lo contrario.
Asimismo, las Administraciones Públicas no requerirán a los interesados datos o documentos no exigidos por la normativa reguladora aplicable o que hayan sido aportados anteriormente por el interesado a cualquier Administración. A estos efectos, el interesado deberá indicar en qué momento y ante qué órgano administrativo presentó los citados documentos, debiendo las Administraciones Públicas recabarlos electrónicamente a través de sus redes corporativas o de una consulta a las plataformas de intermediación de datos u otros sistemas electrónicos habilitados al efecto, salvo que conste en el procedimiento la oposición expresa del interesado o la ley especial aplicable requiera su consentimiento expreso. Excepcionalmente, si las Administraciones Públicas no pudieran recabar los citados documentos, podrán solicitar nuevamente al interesado su aportación.”
Disposición final decimotercera.- Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
Se añade un nuevo artículo 20 bis al texto refundido de la Ley del Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo 2/2015, de 23 de octubre, con el siguiente contenido:
“Artículo 20 bis. Derechos de los trabajadores a la intimidad en relación con el entorno digital y a la desconexión.
Los trabajadores tienen derecho a la intimidad en el uso de los dispositivos digitales puestos a su disposición por el empleador, a la desconexión digital y a la intimidad frente al uso de dispositivos de videovigilancia y geolocalización en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales.”
Disposición final decimocuarta.- Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
Se añade una nueva letra j bis) en el artículo 14 del texto refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por Real Decreto Legislativo 5/2015, de 30 de octubre, que quedará redactada como sigue:
“j bis) A la intimidad en el uso de dispositivos digitales puestos a su disposición y frente al uso de dispositivos de videovigilancia y geolocalización, así como a la desconexión digital en los términos establecidos en la legislación vigente en materia de protección de datos personales y garantía de los derechos digitales.”
Disposición final decimoquinta.- Desarrollo normativo.
Se habilita al Gobierno para desarrollar lo dispuesto en los artículos 3.2, 38.6, 45.2, 63.3, 96.3 y disposición adicional sexta, en los términos establecidos en ellos.
Disposición final decimosexta.- Entrada en vigor.
La presente ley orgánica entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del Estado.
Por tanto,
Mando a todos los españoles, particulares y autoridades, que guarden y hagan guardar esta ley orgánica.
Madrid, 5 de diciembre de 2018.
FELIPE R.
El Presidente del Gobierno, PEDRO SÁNCHEZ PÉREZ-CASTEJÓN
25Nov/18
Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos
Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos (Boletín Oficial del Estado número 183, de 30 de julio de 2018)
(Derogado por la Disposición derogatoria única de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)
PREÁMBULO
I
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), es plenamente aplicable en España desde el pasado 25 de mayo.
El Reglamento General de Protección de Datos supone una profunda modificación del régimen vigente en materia de protección de datos personales, no sólo desde el punto de vista sustantivo y de cumplimiento por los sujetos obligados, sino particularmente en lo que afecta a la actividad de supervisión por parte de las autoridades de control que el mismo regula.
Además, la plena aplicación del Reglamento General de Protección de Datos implica que hayan de considerarse desplazadas por él aquellas disposiciones de Derecho interno que no resulten conformes con el régimen que el mismo establece. Así sucedería con muchos de los preceptos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, de 21 de diciembre.
Por otra parte, numerosos preceptos del reglamento europeo se remiten a su desarrollo, obligatorio o potestativo, por los Estados miembros, conteniendo un total de cincuenta y seis remisiones a los ordenamientos nacionales. De entre estas remisiones, el reglamento impone a los Estados miembros, entre otras cuestiones, la regulación del estatuto de las autoridades de control, la determinación del régimen aplicable a los inspectores de un tercer Estado que lleven a cabo actividades conjuntas de investigación o la designación de la autoridad que representará al Estado miembro en el Comité Europeo de Protección de Datos.
Otras disposiciones del Reglamento General de Protección de Datos exigen una adecuación del Derecho interno, aun cuando no exista una remisión directa y expresa al mismo. Así, si bien el reglamento europeo establece un régimen sancionador en que se tipifican las conductas típicas, no regula cuestiones tan esenciales como los plazos de prescripción de dichas infracciones, al considerar que dicha cuestión corresponde al ordenamiento de los Estados Miembros. Del mismo modo, establece un procedimiento de cooperación entre los Estados miembros en los supuestos de tratamientos denominados transfronterizos, con la participación de todas las autoridades implicadas, pero no regula el modo en que el Derecho interno de los Estados habrá de verse afectado como consecuencia de los trámites previstos en la propia norma europea para estos procedimientos.
La necesidad de adaptar el marco normativo interno al Reglamento General de Protección de Datos supuso la aprobación por el Consejo de Ministros en su sesión de 10 de noviembre de 2017 de un proyecto de ley orgánica, remitido a las Cortes Generales, que actualmente se encuentra en tramitación parlamentaria.
Teniendo en cuenta lo anterior, y sin perjuicio de que los aspectos que configuran el contenido esencial del derecho fundamental a la protección de datos de carácter personal hayan de incorporarse a una ley orgánica, no es menos cierto que en determinadas cuestiones que no son objeto de reserva de ley orgánica resulta imprescindible la adopción urgente de una norma con rango de ley que permita la adaptación del Derecho español al Reglamento General de Protección de Datos. En otras palabras, el objeto de este real decreto-ley se ciñe a la adecuación de nuestro ordenamiento al reglamento europeo en aquellos aspectos concretos que, sin rango orgánico, no admiten demora y debe entenderse sin perjuicio de la necesidad de una legislación orgánica de protección de datos que procure la plena adaptación de la normativa interna a los estándares fijados en la materia por la Unión Europea a través de una disposición directamente aplicable.
II
El real decreto-ley comprende catorce artículos estructurados en tres capítulos, dos disposiciones adicionales, dos transitorias, una derogatoria y una final. Su contenido afecta únicamente a cuestiones cuya inmediata incorporación al Derecho interno resulta imprescindible para la adecuada aplicación en España del Reglamento General de Protección de Datos y que no están excluidas del ámbito del legislador de urgencia por el artículo 86 de la Constitución Española.
El Capítulo I atiende a la necesidad de identificar al personal competente para el ejercicio de los poderes de investigación que el Reglamento General de Protección de Datos otorga en su artículo 58.1 a las autoridades de control. Ello exige que el Derecho interno regule el modo en que podrán ejercerse dichos poderes, qué personas ejercerán la actividad de investigación e inspección y en qué consistirán esas atribuciones expresamente establecidas en el reglamento europeo desde el punto de vista del ordenamiento español. Asimismo, y en aplicación del artículo 62.3 del Reglamento General de Protección de Datos, es preciso determinar el régimen aplicable al personal de las autoridades de supervisión de otros Estados miembros que participen en actuaciones conjuntas de investigación.
El Capítulo II articula el novedoso régimen sancionador establecido en el Reglamento General de Protección de Datos, reemplazando los tipos infractores actualmente contenidos en la Ley Orgánica 15/1999 por la remisión a los que están establecidos en los apartados 4, 5 y 6 del artículo 83 de dicho reglamento, lo que resulta de todo punto necesario. Además, existen dos cuestiones sobre las que es ineludible la adopción de disposiciones por el Derecho interno que garanticen la efectividad de este régimen sancionador y la seguridad jurídica en su aplicación. La primera se refiere a la necesaria delimitación de los sujetos que pudieran incurrir en la responsabilidad derivada de la aplicación de dicho régimen sancionador. La segunda reviste aún mayor importancia y se refiere a la necesidad de determinar los plazos de prescripción de las infracciones y sanciones previstas en la norma europea.
El Capítulo III contiene la regulación del procedimiento en caso de que exista una posible vulneración del Reglamento General de Protección de Datos. En este punto, es preciso tener en cuenta que el reglamento distingue en la práctica tres tipos de tratamientos a los que aplicaría distintas normas procedimentales: los tratamientos transfronterizos, definidos por el artículo 4.23 del Reglamento general de Protección de Datos, los transfronterizos con relevancia local en un Estado miembro, a los que se refiere el artículo 56 del mismo, y aquéllos que tendrían la condición de exclusivamente nacionales, entre los que figuran en todo caso los previstos en el artículo 55 de la norma europea. El reglamento europeo prevé una serie de trámites específicos para los dos primeros supuestos entre los que se encuentran los necesarios para determinar la competencia de la autoridad de control principal, así como los que permiten la adopción de una decisión consensuada entre las autoridades principal e interesadas en el procedimiento. En estos casos la regulación europea establece la obligación de que la autoridad principal someta los distintos proyectos de decisión a las restantes autoridades, que dispondrán de plazos tasados para la emisión de «observaciones pertinentes motivadas», y previéndose el sometimiento de la resolución al Comité Europeo de Protección de Datos en caso de no alcanzarse un acuerdo entre todas ellas.
Estas previsiones han de trasladarse a la normas que regulen el procedimiento en caso de plantearse una reclamación ante la Agencia Española de Protección de Datos así como en los supuestos en que, sin haber recibido reclamación, tenga la condición de autoridad principal respecto de la reclamación recibida en otro Estado Miembros o considere que ha de intervenir como interesada en un procedimiento ya abierto.
Todo ello impone la necesidad de incorporar al procedimiento fases específicas como la admisión a trámite de las reclamaciones o la posibilidad de archivo provisional del expediente en los supuestos en que la Agencia Española de Protección de Datos no tramite la reclamación pero pueda tener que resolver sobre la misma. En particular, es indispensable incluir en las normas de procedimiento su suspensión en los supuestos en que proceda recabar el parecer de las autoridades de otros Estados miembros durante todo el tiempo previsto para su obtención, dado que en caso contrario existe una muy alta probabilidad de caducidad de los procedimientos, con las consecuencias negativas que ello conlleva no sólo para la aplicabilidad en España de las normas de protección de datos, sino para la garantía del derecho fundamental de los ciudadanos europeos en su conjunto en aquellos casos en que la Agencia Española de Protección de Datos tuviera la condición de autoridad de control principal.
En definitiva, este último capítulo tiene como objetivo hacer posible la aplicación de las especialidades del régimen procedimental del Reglamento General de Protección de Datos, en un contexto en el que, siendo la norma europea directamente aplicable, ya se han puesto en marcha procedimientos de especial trascendencia al amparo de este régimen.
Por último, en cumplimiento del artículo 68.4 del Reglamento General de Protección de Datos, la disposición adicional primera designa como representante de España en el Comité Europeo a la Agencia Española de Protección de Datos, que informará a las autoridades autonómicas acerca de las decisiones adoptadas en dicho organismo de la Unión y recabará su parecer cuando se trate de materias de su competencia. Por su parte, la disposición adicional segunda contiene previsiones en lo relativo a la publicidad de las resoluciones de la Agencia Española de Protección de Datos, con el fin de garantizar la transparencia de su actuación, ante el nuevo marco procedimental configurado por el Reglamento General de Protección de Datos.
En consecuencia, a la vista de los hechos descritos, la extraordinaria y urgente necesidad de este real decreto-ley resulta plenamente justificada. Dada la plena aplicación del Reglamento General de Protección de Datos desde el 25 de mayo de 2018, hasta la completa adecuación a él de nuestro ordenamiento, que solamente será posible a través de una nueva legislación orgánica, es ineludible la adopción de una disposición con rango de ley que permita la adaptación del Derecho español en varias cuestiones a la normativa de la Unión Europea en materia de protección de datos, para garantizar de forma efectiva el derecho del artículo 18.4 de la Constitución en un marco de seguridad jurídica. En coherencia con ello, la vigencia de este real decreto-ley se limita al período que medie entre el día siguiente de su publicación en el Boletín Oficial del Estado y la entrada en vigor de la nueva ley orgánica que se encuentra en tramitación parlamentaria.
Además, este real decreto-ley no afecta al ordenamiento de las instituciones básicas del Estado, a los derechos, deberes y libertades de los ciudadanos regulados en el Título I de la Constitución, al régimen de las Comunidades Autónomas ni al Derecho electoral general.
En definitiva, de todo lo anterior resulta que, en este caso, el real decreto-ley representa un instrumento constitucionalmente lícito, en tanto que pertinente y adecuado para la consecución del fin que justifica la legislación de urgencia, que no es otro, tal como reiteradamente ha exigido nuestro Tribunal Constitucional, que subvenir a un situación concreta, dentro de los objetivos gubernamentales, que por razones difíciles de prever requiere una acción normativa inmediata en un plazo más breve que el requerido por la vía normal o por el procedimiento de urgencia para la tramitación parlamentaria de las Leyes.
Por tanto, en el conjunto y en cada una de las medidas que se adoptan, concurren, por su naturaleza y finalidad, las circunstancias de extraordinaria y urgente necesidad que exige el artículo 86 de la Constitución Española como presupuestos habilitantes para la aprobación de un real decreto-ley.
En su virtud, en uso de la autorización contenida en el artículo 86 de la Constitución Española, a propuesta de la Ministra de Justicia, previa deliberación del Consejo de Ministros en su reunión del día 27 de julio de 2018,
DISPONGO:
CAPÍTULO I.- INSPECCIÓN EN MATERIA DE PROTECCIÓN DE DATOS
Artículo 1.- Ámbito y personal competente para el ejercicio de la actividad de investigación de la Agencia Española de Protección de Datos.
1.- La actividad de investigación de la Agencia Española de Protección de Datos se llevará a cabo por los funcionarios de la Agencia o por funcionarios ajenos a ella habilitados expresamente por su Director.
2.- En los casos de actuaciones conjuntas de investigación conforme a lo dispuesto en el artículo 62 del Reglamento (UE) 2016/679, el personal de las autoridades de control de otros Estados Miembros de Unión Europea que colabore con la Agencia ejercerá sus facultades con arreglo a lo previsto en la normativa española y bajo la orientación y en presencia del personal de ésta.
3.- Los funcionarios que desarrollen actividades de investigación tendrán la consideración de agentes de la autoridad en el ejercicio de sus funciones, y estarán obligados a guardar secreto sobre las informaciones que conozcan con ocasión de dicho ejercicio, incluso después de haber cesado en él.
Artículo 2.- Alcance de la actividad de investigación.
Quienes desarrollen la actividad de investigación podrán recabar las informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones, requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos en el lugar en que se encuentren depositados o en donde se lleven a cabo los tratamientos, obtener copia de ellos, inspeccionar los equipos físicos y lógicos y requerir la ejecución de tratamientos y programas o procedimientos de gestión y soporte del tratamiento sujetos a investigación. Los poderes de investigación en lo que se refiere a la entrada en domicilios deben ejercerse de conformidad con las normas procesales, en particular, en los casos en los que sea precisa la autorización judicial previa. Cuando se trate de órganos judiciales u Oficinas Judiciales el ejercicio de las facultades de inspección se efectuará a través y por mediación del Consejo General del Poder Judicial.
CAPÍTULO II.- RÉGIMEN SANCIONADOR EN MATERIA DE PROTECCIÓN DE DATOS
Artículo 3.- Sujetos responsables.
1.- Están sujetos al régimen sancionador establecido en el Reglamento (UE) 2016/679 y la normativa española de protección de datos:
a) Los responsables de los tratamientos.
b) Los encargados de los tratamientos.
c) Los representantes de los responsables o encargados de los tratamientos no establecidos en el territorio de la Unión Europea.
d) Las entidades de certificación.
e) Las entidades acreditadas de supervisión de los códigos de conducta.
2.- No será de aplicación al delegado de protección de datos el régimen sancionador en esta materia.
Artículo 4.- Infracciones.
Constituyen infracciones las vulneraciones del Reglamento (UE) 2016/679 a las que se refieren los apartados 4, 5 y 6 de su artículo 83.
Artículo 5.- Prescripción de las infracciones.
1.- Las infracciones previstas en los apartados 5 y 6 del artículo 83 del Reglamento (UE) 2016/679 prescribirán a los tres años.
2.- Las infracciones previstas en el artículo 83.4 Reglamento (UE) 2016/679 prescribirán a los dos años.
3.- Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.
Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679 interrumpirá la prescripción el conocimiento formal por el interesado del proyecto de acuerdo de inicio que sea sometido a las autoridades de control interesadas.
Artículo 6.- Prescripción de las sanciones.
1.- Las sanciones impuestas en aplicación del Reglamento (UE) 2016/679 prescriben en los siguientes plazos:
a) Las sanciones por importe igual o inferior a 40.000 euros, prescriben en el plazo de un año.
b) Las sanciones por importe comprendido entre 40.001 y 300.000 euros prescriben a los dos años.
c) Las sanciones por un importe superior a 300.000 euros prescriben a los tres años.
2.- El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.
3.- La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.
CAPÍTULO III.- PROCEDIMIENTOS EN CASO DE POSIBLE VULNERACIÓN DE LA NORMATIVA DE PROTECCIÓN DE DATOS
Artículo 7.- Régimen jurídico.
1.- Las disposiciones de este capítulo serán de aplicación a los procedimientos tramitados por la Agencia Española de Protección de Datos en los supuestos en los que un afectado reclame que no ha sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, así como en los que aquélla investigue la existencia de una posible infracción de lo dispuesto en el mencionado reglamento y la normativa española de protección de datos.
2.- Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la normativa española de protección de datos y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos.
Artículo 8.- Forma de iniciación del procedimiento y duración.
1.- Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo siguiente.
En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.
2.- Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 y la normativa española de protección de datos, se iniciará mediante acuerdo de inicio adoptado por propia iniciativa o como consecuencia de reclamación.
Si el procedimiento se fundase en una reclamación formulada ante la Agencia Española de Protección de Datos, con carácter previo, ésta decidirá sobre su admisión a trámite, conforme a lo dispuesto en el artículo siguiente.
Cuando fuesen de aplicación las normas establecidas en el artículo 60 del Reglamento (UE) 2016/679, el procedimiento se iniciará mediante la adopción del proyecto de acuerdo de inicio de procedimiento sancionador, del que se dará conocimiento formal al interesado a los efectos previstos en el artículo 5 de este real decreto-ley.
Admitida a trámite la reclamación así como en los supuestos en que la Agencia Española de Protección de Datos actúe por propia iniciativa, con carácter previo al acuerdo de inicio, podrá existir una fase de actuaciones previas de investigación, que se regirá por lo previsto en el artículo 11 de este real decreto-ley.
El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de inicio o, en su caso, del proyecto de acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad, y en consecuencia, el archivo de actuaciones.
3.- El procedimiento podrá también tramitarse como consecuencia de la comunicación a la Agencia Española de Protección de Datos por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679. Será en este caso de aplicación lo dispuesto en el apartado 1 y en los párrafos primero, tercero, cuarto y quinto del apartado 2.
4.- Los plazos de tramitación establecidos en este artículo así como los de admisión a trámite regulado por el apartado 5 del artículo siguiente y de duración de las actuaciones previas de investigación previsto en el artículo 11.2 de este real decreto-ley, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.
Artículo 9.- Admisión a trámite de las reclamaciones.
1.- Cuando se presentase ante la Agencia Española de Protección de datos una reclamación, ésta deberá evaluar su admisibilidad a trámite, de conformidad con las previsiones de este artículo.
2.- La Agencia Española de Protección de Datos inadmitirá las reclamaciones presentadas cuando no versen sobre cuestiones de protección de datos de carácter personal, carezcan manifiestamente de fundamento, sean abusivas o no aporten indicios racionales de la existencia de una infracción.
3.- Igualmente, la Agencia Española de Protección de Datos podrá inadmitir la reclamación cuando el responsable o encargado del tratamiento, previa advertencia formulada por la Agencia, hubiera adoptado las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos y concurra alguna de las siguientes circunstancias:
a) Que no se haya causado perjuicio al afectado.
b) Que el derecho del afectado quede plenamente garantizado mediante la aplicación de las medidas.
4.- Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento o al organismo de supervisión establecido para la aplicación de los códigos de conducta, a fin de que den respuesta a la reclamación en el plazo de un mes.
La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación también en el plazo de un mes.
5.- La decisión sobre la admisión o inadmisión a trámite, así como la que determine, en su caso, la remisión de la reclamación a la Autoridad de control principal que se estime competente, deberá notificarse al reclamante en el plazo de tres meses. Si, transcurrido este plazo, no se produjera dicha notificación, se entenderá que prosigue la tramitación de la reclamación con arreglo a lo dispuesto en este capítulo a partir de la fecha en que se cumpliesen tres meses desde que la reclamación tuvo entrada en la Agencia Española de Protección de Datos.
Artículo 10.- Determinación del alcance territorial.
1.- Salvo en los supuestos a los que se refiere el artículo 8.3 de este real decreto-ley, la Agencia Española de Protección de Datos deberá, con carácter previo a la realización de cualquier otra actuación, incluida la admisión a trámite de una reclamación o el comienzo de actuaciones previas de investigación, examinar su competencia y determinar el carácter nacional o transfronterizo, en cualquiera de sus modalidades, del procedimiento a seguir.
2.- Si la Agencia considera que no tiene la condición de autoridad de control principal para la tramitación del procedimiento remitirá, sin más trámite, la reclamación formulada a la Autoridad de control principal que considere competente, a fin de que por la misma se le dé el curso oportuno. La Agencia notificará esta circunstancia a quien, en su caso, hubiera formulado la reclamación.
El acuerdo por el que se resuelva la remisión a la que se refiere el párrafo anterior implicará el archivo provisional del procedimiento, sin perjuicio de que por la Agencia se dicte, en caso de que así proceda, la resolución a la que se refiere el apartado 8 del artículo 60 del Reglamento (UE) 2016/679.
Artículo 11.- Actuaciones previas de investigación.
1.- Antes de la adopción del acuerdo de inicio de procedimiento, y una vez admitida a trámite la reclamación si la hubiese, la Agencia Española de Protección de Datos podrá llevar a cabo actuaciones previas de investigación a fin de lograr una mejor determinación de los hechos y las circunstancias que justifican la tramitación del procedimiento.
La Agencia Española de Protección de Datos actuará en todo caso cuando sea precisa la investigación de tratamientos que implique un tratamiento masivo de datos personales.
2.- Las actuaciones previas de investigación se someterán a lo dispuesto en el capítulo I y no podrán tener una duración superior a doce meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la Agencia actúe por propia iniciativa o como consecuencia de la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unión Europea, conforme al artículo 8.3 de este real decreto-ley.
Artículo 12.- Acuerdo de inicio del procedimiento para el ejercicio de la potestad sancionadora.
1.- Concluidas, en su caso, las actuaciones a las que se refiere el artículo anterior, corresponderá al Director de la Agencia Española de Protección de Datos, cuando así proceda, dictar acuerdo de inicio de procedimiento para el ejercicio de la potestad sancionadora, en que se concretarán los hechos, la identificación de la persona o entidad contra la que se dirija el procedimiento, la infracción que hubiera podido cometerse y su posible sanción.
2.- Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679, el proyecto de acuerdo de inicio de procedimiento sancionador se someterá a lo dispuesto en el mismo.
Artículo 13.- Medidas provisionales
1.- Durante la realización de las actuaciones previas de investigación o iniciado un procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado.
2.- En los casos en que la Agencia Española de Protección de Datos considere que la continuación del tratamiento de los datos de carácter personal, su comunicación o transferencia internacional comportara un menoscabo grave del derecho a la protección de datos de carácter personal, podrá ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, caso de incumplirse por éstos dichos mandatos, proceder a su inmovilización.
3.- Cuando se hubiese presentado ante la Agencia Española de Protección de Datos una reclamación que se refiriese, entre otras cuestiones, a la falta de atención en plazo de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, la Agencia Española de Protección de Datos podrá acordar en cualquier momento, incluso con anterioridad a la iniciación del procedimiento para el ejercicio de la potestad sancionadora, mediante resolución motivada y previa audiencia del responsable del tratamiento, la obligación de atender el derecho solicitado, prosiguiéndose el procedimiento en cuanto al resto de las cuestiones objeto de la reclamación.
Artículo 14.- Procedimiento en relación con las competencias atribuidas a la Agencia Española de Protección de Datos por otras leyes.
Lo dispuesto en este capítulo será de aplicación a los procedimientos que la Agencia Española de Protección de Datos hubiera de tramitar en ejercicio de las competencias que le fueran atribuidas por otras leyes.
Disposición adicional primera.- Representación española en el Comité Europeo de Protección de Datos.
La Agencia Española de Protección de Datos tendrá la condición de representante común de las autoridades de protección de datos en el Comité Europeo de Protección de Datos.
La Agencia Española de Protección de Datos informará a las autoridades autonómicas de protección de datos acerca de las decisiones adoptadas en el Comité Europeo de Protección de Datos y recabará su parecer cuando se trate de materias de su competencia.
Disposición adicional segunda.- Publicación de resoluciones de la Agencia Española de Protección de Datos.
La Agencia Española de Protección de Datos publicará las resoluciones de su Director que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos de reclamación, las que archiven las actuaciones previas de investigación, las que sancionen con apercibimiento a las entidades a que se refiere el artículo 46 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, las que impongan medidas cautelares y las demás que disponga su Estatuto.
Disposición transitoria primera.- Régimen transitorio de los procedimientos.
1.- Los procedimientos ya iniciados a la entrada en vigor de este real decreto-ley se regirán por la normativa anterior, salvo que el régimen establecido en el mismo contenga disposiciones más favorables para el interesado.
2.- Lo dispuesto en el apartado anterior será asimismo de aplicación a los procedimientos respecto de los cuales ya se hubieren iniciado las actuaciones previas a las que se refiere la Sección 2.ª del Capítulo III del Título IX del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre.
Disposición transitoria segunda.- Contratos de encargado del tratamiento.
Los contratos de encargado del tratamiento suscritos con anterioridad al 25 de mayo de 2018 al amparo de lo dispuesto en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal mantendrán su vigencia hasta la fecha de vencimiento señalada en los mismos y en caso de haberse pactado de forma indefinida, hasta el 25 de mayo de 2022.
Durante dichos plazos cualquiera de las partes podrá exigir a la otra la modificación del contrato a fin de que el mismo resulte conforme a lo dispuesto en el artículo 28 del Reglamento (UE) 2016/679
Disposición derogatoria única.- Derogación normativa.
Quedan derogadas todas las normas de igual o inferior rango que se opongan a lo establecido en el presente real decreto-ley, y en particular, los siguientes artículos de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal:
a) El artículo 40.
b) Los artículos 43 al 49, con excepción del artículo 46.
Disposición final única.- Vigencia.
El presente real decreto-ley entrará en vigor al día siguiente de su publicación en el «Boletín Oficial del Estado» y lo estará hasta la vigencia de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.
Dado en Madrid, el 27 de julio de 2018.
FELIPE R.
El Presidente del Gobierno, PEDRO SÁNCHEZ PÉREZ-CASTEJÓN
11Nov/18
Universidad Internacional de la Rioja (UNIR) La Universidad en Internet
MÁSTER UNIVERSITARIOS
Máster Universitario en Protección de Datos
Máster Universitario en Propiedad Intelectual y Derecho de las Nuevas Tecnologías
Máster Universitario en Seguridad Informática
Máster Universitario en Análisis y Visualización de Datos Masivos / Visual Analytics & Big Data
ESTUDIOS AVANZADOS
Programa Avanzado en Reglamento General de Protección de Datos
08Nov/18
07Nov/18
EUA se preparam para aprovar Lei sobre proteção de dados pessoais semelhante à Europeia?
EUA SE PREPARAM PARA APROVAR LEI SOBRE PROTEÇÃO DE DADOS PESSOAIS SEMELHANTE À EUROPEIA?
Demócrito Reinaldo Filho
Desembargador do TJPE
A semana passada foi marcada por uma declaração do CEO da Apple, Tim Cook, proferida durante uma conferência sobre privacidade em Bruxelas[1], de que as grandes empresas de tecnologia estavam criando um “complexo industrial de dados”. Sem dar nomes a quem acusava (embora tenha ficado perceptível de que se referia às empresas concorrentes Google e Facebook), afirmou que essas empresas utilizam os dados das pessoas com “eficiência militar” e que, “levado ao extremo, esse processo cria um perfil digital duradouro que permite que as empresas o conheçam melhor do que você pode se conhecer”[2]. Tim Cook defendeu a edição de uma lei federal nos EUA que proteja as pessoas contra ameaças à privacidade, à semelhança do novo regulamento europeu de proteção de dados pessoais (o RGPD)[3].
Esse movimento do executivo da Apple apenas demonstra a mudança de estratégia das “Bigtech”, diante do movimento pela aprovação de leis de proteção à privacidade individual. A Apple, embora não tenha como modelo único de negócio a monetização dos dados pessoais dos usuários por meio da venda de publicidade dirigida, também não é nenhum exemplo quando se trata da defesa das liberdades individuais. Tem sido criticada por ceder à pressão do Governo chinês para remover de sua plataforma (a App Store) aplicativos que permitem a anonimização das pessoas, contribuindo dessa maneira para o vigilantismo exercido pela China sobre seus cidadãos[4]. A atitude do executivo revela que as empresas de tecnologia enxergam agora que a aprovação de leis robustas de proteção de dados pessoais é uma tendência irreversível e universal. Depois do escândalo da Cambridge Analytica[5], que levou Mark Zukerberg a depor perante o congresso dos EUA e do parlamento inglês, bem como do vazamento de dados na rede social Google+[6], que permitiu o acesso a terceiros de dados pessoais, os congressistas norte-americanos acordaram para o problema. Muitos agora já defendem medidas legislativas para prevenir abusos com a utilização de dados pessoais, daí a mudança de postura das empresas de tecnologia. Se antes mostravam-se contrárias a todo e qualquer tipo de legislação garantidora da privacidade individual, parece terem chegado à conclusão de que é melhor aceitar algum tipo de regulamento. Agora querem participar das discussões e influenciar no processo legislativo de modo a aprovar lei menos rigorosa[7].
Era previsível, assim, uma iniciativa legislativa no âmbito federal, que se concretizou esta semana. Na quinta (dia 01.11), o Senador Ron Wyden (democrata do Oregon) apresentou um projeto de lei prevendo pesadas sanções para empresas que violarem a privacidade dos usuários de seus produtos e serviços. A Lei, que recebeu o nome de Consumer Data Protection Act[8], somente vai se aplicável a empresas com faturamento superior a 50 milhões de dólares e com mais de 1 milhão de usuários.
Não se trata de uma lei geral de proteção de dados, pois não estabelece princípios gerais e regras sobre coleta e uso de informações pessoais, não havendo semelhança com o regulamento europeu (o RGPD), a não ser na parte em que prevê multas para coibir atos de coleta indevida de dados. O projeto em essência cuida de ampliar os poderes da Federal Trade Comission (FTC)[9], espécie de agência reguladora de defesa de interesses de consumidores, possibilitando a esse órgão servir como regulador de assuntos ligados à privacidade. Atualmente, a FTC não dispõe de poderes para aplicar multas por violação à privacidade dos consumidores.
O projeto impõe às empresas que coletam dados a apresentação de relatórios anuais, acompanhados de declaração do CPO (Chief Privacy Officer), que pode pagar multa ou sofrer pena de prisão se contiver informações inexatas. As multas por descumprimento aos preceitos da lei e regulamentos da FTC podem chegar a 4% do faturamento da empresa.
O que existe de mais original no projeto do Senador Ron Wyden é a criação do cadastro “Do Not Track”, para permitir que a pessoa que não deseje ver seus dados sendo repassados a terceiros manifeste sua opção por ser deixado de fora (“opt out”). O projeto prevê que, num prazo de até dois anos após sua aprovação, a FTC deverá construir um website onde as pessoas possam manifestar sua opção por não terem seus dados transferidos. A intenção é boa, mas de duvidosa eficácia prática, pois os escândalos de vazamento de dados e uso indevido de informações pessoais que têm surgido nos últimos tempos são decorrentes de falhas de segurança ou comportamento inadequado das empresas de tecnologia. Além do mais, o projeto prevê uma série de exceções ao impedimento da transferência de dados.
O Senador Ron Wyden justificou que seu projeto traz finalmente uma significativa proteção à privacidade dos consumidores norte-americanos. O projeto, é certo, constitui uma resposta direta ao oceano de escândalos de invasão de privacidade e vazamento de dados pessoais que as grandes empresas de tecnologia norte-americanas se envolveram na última década. Todavia, é muito cedo para compartilhar do otimismo do Senador.
O problema é que os Estados Unidos não têm um conjunto sistematizado de leis de proteção à privacidade, como ocorre na União Europeia. Diferentemente dos países do bloco europeu, lá não existe um regulamento geral, aplicável a todas as atividades de processamento de dados. A opção foi por regular cada setor de maneira estanque, daí que existe uma lei para o setor bancário, uma para o setor médico, outra para o setor de seguros e assim por diante. O modelo europeu é considerado mais eficaz e tem servido como padrão universal, sendo copiado pela legislação de diversos outros países, como aconteceu recentemente no Brasil, que aprovou em julho deste ano sua Lei Geral de Proteção de Dados (LGPD)[10].
A inexistência de uma lei geral de proteção de dados pessoais enfraquece a luta pela proteção da privacidade dos cidadãos norte-americanos. De qualquer maneira, o projeto do Senador Wyden é um primeiro passo na direção certa, para combater a formação do “complexo industrial de dados” que mencionou Tim Cook.
Recife, 30.10.18.
[1] A declaração de Tim Cook foi feita no dia 24 de outubro, durante um encontro que reuniu autoridades de proteção de dados pessoais do mundo todo – 40th International Conference of Data Protection and Privacy Commissioners (ICDPPC).
[2] Ver notícia publicada em 24.10.18, publicada em: https://www.technocracy.news/apple-ceo-tim-cook-personal-data-is-being-weaponized-against-us-with-military-efficiency/
[3] RGPD é a abreviatura para Regulamento Geral de Proteção de Dados, que entrou em vigor em 25 de maio deste ano.
[4] A Apple tem sido criticada por remover de sua App Store aplicativos que possibilitam aos usuários encriptar suas mensagens, dificultando o rastreamento de suas comunicações pelo Governo chinês. Ver notícia em 06.11.17, publicada em: https://9to5mac.com/2017/12/06/apple-china-criticisms-response/
[5] A Cambridge Alnalytica era é uma empresa inglesa que se apropriou de milhões de perfis de usuários do Facebook e utilizou seus dados para influenciar a eleição de Donald Trump e o plebiscito do Brexit. Ver notícia em: https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election
[6] O Google + é o serviço de rede social da Google, que foi desativado depois que uma brecha de segurança expôs informações de cerca de 500 mil usuários. Ver notícia publicada em 08.10.18, acessível em: https://www.techtudo.com.br/noticias/2018/10/google-encerra-google-apos-vazamento-de-dados.ghtml
[7] As empresas de tecnologia querem aprovar uma lei federal que suplante leis estaduais, como a Lei da Califórnia, aprovada em junho deste ano, considerada a mais rigorosa do país. Ver notícia em: https://www.cnet.com/news/us-privacy-law-is-on-the-horizon-heres-how-tech-companies-want-to-shape-it/
[8] O texto integral do projeto de Lei pode ser acessado em: https://assets.documentcloud.org/documents/5026543/Wyden-Privacy-Bill.pdf
[9] De fato, o objetivo do projeto é emendar o Federal Trade Commission Act, uma lei de 1914 que criou essa agência (a FTC). A Lei, sancionada por Woodrow Wilson, proíbe métodos injustos de concorrência e atos ou práticas desleais que afetem o comércio.
[10] Ver artigo de nossa autoria sobre a LGPD, sob o título “Lei de Proteção de Dados aproxima o Brasil dos países civilizados”, publicado no site Jus Navigandi, em julho deste ano, acessível em: https://jus.com.br/artigos/67668/lei-de-protecao-de-dados-pessoais-aproxima-o-brasil-dos-paises-civilizados
07Nov/18
IMN. Instituto dos Magistrados do Nordeste
Novas turmas de pós-graduação do IMN-Instituto dos Magistrados do Nordeste começam em fevereiro/19
Estão sendo oferecidas pós-graduações em Direito Processual Civil, Direito do Trabalho e Previdenciário, Direito Médico e da Saúde, Direito Registral e Imobiliário e Direito Penal e Processo Penal. As aulas serão ministradas no auditório do Instituto, no bairro do Pina (Av. Domingos Ferreira, 341). As inscrições já estão abertas.
Maiores informações pelo tel. (81) 992904309, no site www.imn.org.br ou pelo e-mail: [email protected]
Estude pós graduação:
Especialização lato sensu em:
23Oct/18
Decreto 90 del 18 de enero de 2018
Decreto 90 del 18 de enero de 2018, del Ministerio de Comercio, Industria y Turismo, por el cual se modifican los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074
de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo.
EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA
En ejercicio de sus facultades constitucionales y legales, en especial, las conferidas en el numeral 11 del artículo 189 de la Constitución Política, y el artículo 25 de la Ley 1581 de 2012, y
CONSIDERANDO
Que el artículo 2.2.2.26.1.2 del Decreto 1074 de 2015, establece el ámbito de aplicación del Registro Nacional de Bases de Datos, creado por Ley Estatutaria 1581 de 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”, el cual comprende las bases de datos que contengan datos personales cuyo tratamiento automatizado o manual se realice por personas naturales o jurídicas, de naturaleza pública o privada, en el territorio colombiano o fuera de él, siempre que al Responsable o al Encargado del tratamiento le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.
Que el artículo 2.2.2.26.3.1 del Decreto 1074 de 2015 establece el plazo para que los Responsables del Tratamiento inscriban sus bases de datos en el Registro Nacional de Bases de Datos, de acuerdo con las instrucciones que para el efecto imparta la Superintendencia de Industria y Comercio, entidad que tiene a cargo la administración del Registro Nacional de Bases de Datos.
Que en atención a múltiples solicitudes recibidas en la mencionada Superintendencia ha sido ampliado en dos oportunidades el plazo de inscripción inicialmente establecido para que los Responsables del Tratamiento de la información personal inscribieran sus bases de datos en dicho registro, con el fin de aumentar la divulgación y socialización de esta obligación legal y garantizar un alto grado de cumplimiento de la citada disposición entre los destinatarios de la norma.
Que pese a la divulgación y socialización de esta obligación realizada por la Superintendencia de Industria y Comercio dentro de los términos de extensión del referido plazo, el número de Responsables de Tratamiento que han inscrito sus bases de datos representa solo el veinticinco por ciento (25%) del total de personas jurídicas y menos del uno por ciento (1%) de personas naturales.
Que teniendo en cuenta criterios de priorización acordes a los riesgos en la administración de la información personal, la carga asumida por los sujetos obligados para llevar a cabo el registro de sus bases de datos, así como los resultados obtenidos en el proceso de registro de tal información hasta la fecha, se hace necesario modificar el ámbito de aplicación y el plazo señalados en los artículos 2.2.2.26.1.2 y 2.2.2.26.3.1 del Decreto 1074 de 2015, con el fin de reducir el universo de vigilados que deben cumplir con la especial obligación de registrar sus bases de datos en el sistema dispuesto por la Superintendencia de Industria y Comercio y garantizar un alto grado de cumplimiento de esta obligación legal.
Que la Ley 905 de 2004, modificada por la Ley 1111 de 2006, establece en el artículo 2 los parámetros con base en los cuales se define la Micro, Pequeña y Mediana Empresa, dentro de los que se incluye el valor de los activos totales así: i) Mediana Empresa: Activos totales por valor entre 100.000 a 610.000 Unidades de Valor Tributario (UVT); ii) Pequeña Empresa: Activos totales por valor entre quinientos uno (501) Y menos de cinco mil (5.000) salarios mínimos mensuales legales vigentes y, iii) Microempresa: Activos totales excluida la vivienda por valor inferior a quinientos (500) salarios mínimos mensuales legales vigentes.
Que, a fin de limitar el universo de vigilados que deben cumplir con la obligación de registrar sus bases de datos, se tendrá en cuenta el parámetro dispuesto en la Ley 905 de 2004 relativo a los activos totales, para excluir las sociedades y entidades sin ánimo de lucro que cumplan lo establecido para las micro y pequeñas empresas. Igualmente, serán excluidas las personas naturales.
Que en virtud de la modificación del ámbito de aplicación, los Responsables del tratamiento que no resulten obligados a efectuar el registro de sus bases de datos en el RNBD, pero que ya realizaron este trámite, no estarán obligados a efectuar la actualización de que trata el artículo 2.2.2.26.3.3 del Decreto 1074 de 2015 – Decreto Único Reglamentario del sector Comercio, Industria y Turismo y la información registrada no estará disponible para consulta.
Que la limitación del universo de vigilados frente al deber de registrar sus bases de datos no implica de ninguna manera que las personas jurídicas y naturales que se exceptúan de efectuar dicho registro mediante el presente decreto queden relevadas del cumplimiento de los demás deberes establecidos para los Responsables del Tratamiento de datos personales.
En consecuencia, si bien no están obligadas a registrar sus bases de datos ante la Superintendencia de Industria y Comercio, siguen sujetas al cumplimiento de las disposiciones contenidas en la Ley 1581 de 2012. Que las normas del presente Decreto fueron sometidas a Consulta Pública por el término de quince (15) días, de conformidad con lo dispuesto en el artículo 8 de la Ley 1471 de 2011 y el Decreto 270 de 2017.
DECRETA
Artículo 1.
Modifíquese el artículo 2.2.2.26.1.2 del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo, el cual quedará así:
“Artículo 2.2.2.26.1.2. Ámbito de aplicación. Serán objeto de inscripción en el Registro Nacional de Bases de Datos, las bases de datos que contengan datos personales cuyo Tratamiento automatizado o manual sea realizado por los Responsables del tratamiento que reúnan las siguientes características:
a) Sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 Unidades de Valor Tributario (UVT).
b) Personas jurídicas de naturaleza pública”.
Artículo 2.
Modifíquese el artículo 2.2.2.26.3.1 del Decreto 1074 de 2015 – Decreto Único Reglamentario del Sector Comercio, Industria y Turismo el cual quedará así:
“Artículo 2.2.2.26.3.1. Plazo de inscripción. La inscripción de las bases de datos en el Registro Nacional de Bases de Datos se llevará a cabo en los siguientes plazos:
a) Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 610.000 Unidades de Valor Tributario (UVT), deberán realizar la referida inscripción a más tardar el treinta (30) de septiembre de 2018, de acuerdo con las instrucciones impartidas por la Superintendencia de Industria y Comercio;
b) Los Responsables del Tratamiento, sociedades y entidades sin ánimo de lucro que tengan activos totales superiores a 100.000 y hasta 610.000 Unidades de Valor Tributario (UVT), deberán realizar la referida inscripción a más tardar el treinta (30) de noviembre de 2018, de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio;
c) Los Responsables del Tratamiento, personas jurídicas de naturaleza pública, deberán realizar la referida inscripción a más tardar el treinta y uno (31) de enero de 2019, de conformidad con las instrucciones impartidas por la Superintendencia de Industria y Comercio.
Las bases de datos que se creen con posterioridad al vencimiento de los plazos referidos en los literales a), b) y c) del presente artículo, deberán inscribirse dentro de los dos (2) meses siguientes, contados a partir de su creación”.
Artículo 3.- Vigencias y derogatorias.
El presente decreto rige a partir de su publicación y deroga todas las disposiciones que le sean contrarias.
PUBLÍQUESE y CÚMPLASE
Dado en Bogotá D.C. al 18 de enero de 2018
El Viceministro de Desarrollo Empresarial encargado de las funciones del despacho de la Ministra de Comercio, Industria y Turismo, Daniel Arango Ángel
23Oct/18
Proyecto de Ley Estatutaria nº de 2018
Proyecto de Ley Estatutaria nº de 2018, por medio de la cual se modifica y adiciona la Ley Estatutaria 1266 de 2008, y se dictan disposiciones generales del Hábeas Data con relación a la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.
El Congreso de Colombia
DECRETA:
Artículo 1º. Objeto.
La presente ley tiene por objeto modificar y adicionar la Ley 1266 de 2008, fortaleciendo el derecho al hábeas data.
Artículo 2º.
Adiciónese un literal (K) al artículo 3º de la Ley 1266 de 2008, el cual quedará así:
- k) Previa comunicación al titular. Para efectos de la presente ley, la previa comunicación al titular de la información se entenderá como una notificación, y se regirá por la normativa vigente sobre el tema.
Artículo 3º.
Modifíquese y adiciónense tres parágrafos al artículo 13 de la Ley 1266 de 2008, que quedará así:
Artículo 13. Permanencia de la información. La información de carácter positivo permanecerá de manera indefinida en los Bancos de Datos de los operadores de información. Los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general aquellos datos referentes a una situación de incumplimiento de obligaciones, se regirán por un término máximo de permanencia, vencido el cual deberá ser retirada de los Bancos de Datos por el operador, de forma que los usuarios no puedan acceder o consultar dicha información.
El término de permanencia de esta información será igual al tiempo de mora, máximo dos (2) años contados a partir de la fecha en que sean pagadas las cuotas vencidas o sea extinguida la obligación.
Parágrafo 1°. El dato negativo y los datos cuyo contenido haga referencia al tiempo de mora, tipo de cobro, estado de la cartera, y en general aquellos datos referentes a una situación de incumplimiento de obligaciones, caducarán una vez cumplido el término de cinco (5) años, contados a partir del momento en que entre en mora la obligación, cumplido este término deberán ser eliminados de la base de datos. Lo anterior, toda vez que no se hayan iniciado acciones de cobro judicial, caso en el cual el dato caducará de inmediato una vez terminado el proceso.
Parágrafo 2°. En las obligaciones inferiores o iguales al veinte por ciento (20%) de un (1) salario mínimo legal mensual vigente, el dato negativo será suprimido de inmediato una vez sea extinguida la obligación.
Parágrafo 3°. Toda información negativa o desfavorable que se encuentre en bases de datos y se relacione con calificaciones, récord (scorings-score) o cualquier tipo de medición financiera, comercial o crediticia, deberá ser actualizada al nivel de riesgo preexistente al reporte negativo de manera simultánea con el retiro del dato negativo o con la cesación del hecho que generó la disminución de la medición.
Artículo 4º.
Adiciónese el numeral 11 al artículo 8° de la Ley 1266 de 2008, el cual quedará así:
Numeral 11. Reportar la información negativa de los titulares, máximo (18) meses después de hacerse exigible la obligación.
Artículo 5º.
Adiciónese el numeral 6 y un parágrafo al artículo 9° de la Ley 1266 de 2008, el cual quedará así:
Numeral 6. Acceder a la información contenida en las Centrales de Riesgo para los fines permitidos por la ley y para el estudio de riesgo financiero, crediticio o comercial. La revisión continua de esta información no podrá ser causal de disminución en la calificación de riesgo, récord (scorings-Score) o cualquier tipo de medición, ni podrá alterar en nada los estudios financieros o crediticios.
Parágrafo. En ningún caso se podrá consultar esta información para fines de toma de decisiones laborales.
Artículo 6º.
Modifíquese el parágrafo 2º del artículo 10 de la Ley 1266 de 2008, el cual quedará así:
Parágrafo 2°. La consulta de la información financiera, crediticia, comercial, de servicios y la proveniente de terceros países por parte del titular, en toda ocasión y por todos los medios será gratuita.
Artículo 7º.
Adiciónese un parágrafo al artículo 12 de la Ley 1266 de 2008, el cual quedará así:
Parágrafo. El incumplimiento de la previa comunicación al titular de la información en los casos en que la obligación ya haya sido extinguida, dará lugar al retiro inmediato del reporte negativo; para los casos en que se genere el reporte sin el cumplimiento de la notificación y no se haya extinguido la obligación, se deberá retirar el reporte y cumplir con la notificación antes de volver a realizarlo.
Artículo 8º.
Adiciónese el parágrafo 5 al artículo 14 de la Ley 1266 de 2008, el cual quedará sí:
Parágrafo 5º. El Gobierno Nacional deberá promover la firma de convenios internacionales que permitan que toda información positiva, que se encuentre en bases de datos en el exterior y se relacione con, calificaciones, record (Scorings-Score) o cualquier tipo de medición financiera, comercial o crediticia de titulares colombianos radicados o residenciados en esos países, se homologue en Colombia y sea tenida en cuenta para mejorar la calificación, record (Scorings-Score) o cualquier tipo de medición del comportamiento del titular que se utilice para la toma de decisiones y análisis de riesgo.
Artículo 9º.
Adiciónese el numeral 7 en el numeral II del artículo 16 de la Ley 1266 de 2008, el cual quedará sí:
Numeral 7. De los casos de suplantación. En el caso que el titular sea víctima del delito de Falsedad Personal contemplado en el Código Penal, y le sea exigido el pago de obligaciones como resultado de la conducta punible de la que es víctima, deberá presentar denuncia ante autoridad competente y elevar petición de corrección ante la fuente adjuntando los soportes correspondientes.
La fuente deberá cotejar los documentos utilizados para adquirir las obligaciones, con los documentos allegados por el titular en la petición, los cuales se tendrán como prueba sumaria para probar la falsedad, la fuente deberá denunciar el delito de estafa del que ha sido víctima.
Con la solicitud debidamente sustentada por el titular, el dato negativo, récord (Scorings- Score) y cualquier otro dato que refleje el comportamiento del titular, deberán ser modificados por la fuente reflejando que la víctima de falsedad no es quien adquirió las obligaciones, y se incluirá una leyenda dentro del registro personal que diga -Víctima de Falsedad Personal-.
Artículo 10º.
Actualización y rectificación de los datos. Las fuentes de información deberán reportar como mínimo una vez al mes al operador las novedades acerca de los datos, para que el operador los actualice en el menor tiempo posible término.
Artículo 11.
Régimen de transición. Los titulares de la información que a la entrada en vigencia de esta ley hubieran extinguido sus obligaciones objeto de reporte, y cuya información negativa hubiere permanecido en los Bancos de Datos por lo menos seis (6) meses contados a partir de la extinción de las obligaciones, serán beneficiarios de la caducidad inmediata de la información negativa.
Los titulares que tengan extintas sus obligaciones objeto de reporte, cuya información negativa no hubiere permanecido en los Bancos de Datos al menos seis (6) meses después de la extinción de las obligaciones, permanecerán con dicha información negativa por el tiempo que les hiciere falta para cumplir los seis (6) meses, contados a partir de la extinción de las obligaciones. En el caso que las obligaciones registren mora inferior a seis (6) meses, la información negativa permanecerá por el mismo tiempo de mora contado a partir de la extinción de las obligaciones.
Los titulares de la información que extingan sus obligaciones objeto de reporte dentro de los seis (6) meses siguientes a la entrada en vigencia de la presente ley, permanecerán con dicha información negativa en los Bancos de Datos por el término máximo de seis (6) meses, contados a partir de la fecha de extinción de tales obligaciones. Cumplido este plazo de máximo seis (6) meses, el dato negativo deberá ser retirado automáticamente de los Bancos de Datos.
Artículo 12.
Vigencia y derogatoria. Esta ley rige a partir de la fecha de publicación y deroga las disposiciones que le sean contrarias.
Luis Fernando Velasco Chaves, Senador de la República
David Alejandro Barguil Assis, Senador de la Republica
06Oct/18
Organización Estados Americanos (OEA)
Introducción a los Datos Abiertos Ed. 6
Este curso tiene una duración de 6 semanas, del 30 octubre al 7 de diciembre de 2018
02Oct/18
Ley 1918 de 24 de julio de 2018
Ley 1918 de 24 de julio de 2018, por medio de la cual se aprueba el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest.
El Congreso de Colombia
Visto el texto del “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest.
Se adjunta copia fiel y completa del texto certificado en español del Convenio, por la Jefe de Área de la Oficina de Interpretación de Lenguas del Ministerio de Asuntos Exteriores del Reino de España, certificado por la Coordinadora del Grupo Interno de Trabajo de Tratados de la Dirección de Asuntos Jurídicos Internacionales del Ministerio de Relaciones Exteriores, documento que reposa en el Archivo del Grupo Interno de Trabajo de Tratados y consta en dieciséis (16) folios.
El presente proyecto de ley consta de veinticuatro (24) folios.
PROYECTO DE LEY NÚMERO 58 DE 2017 por medio de la cual se aprueba el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest. El Congreso de la República
Visto el texto del “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest.
Se adjunta copia fiel y completa del texto en español del Convenio, certificado por la Jefe de Área de la Oficina de Interpretación de Lenguas del Ministerio de Asuntos Exteriores del Reino de España, certificado por la Coordinadora del Grupo Interno de Trabajo de Tratados de la Dirección de Asuntos Jurídicos Internacionales del Ministerio de Relaciones Exteriores, documento que reposa en el Archivo del Grupo Interno de Trabajo de Tratados y consta en dieciséis (16) folios.
El presente proyecto de ley consta de veinticuatro (24) folios.
CONVENIO SOBRE LA CIBERDELINCUENCIA, BUDAPEST 23 DE NOVIEMBRE DE 2001
DECRETA:
Artículo 1°. Apruébase el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest.
Artículo 2°. De conformidad con lo dispuesto en el artículo 1° de la Ley 7ª de 1944, el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest, que por el artículo 1° de esta ley se aprueba, obligará a la República de Colombia a partir de la fecha en que se perfeccione el vínculo internacional respecto del mismo.
Artículo 3°. La presente ley rige a partir de la fecha de su publicación.
El Presidente del honorable Senado de la República, Efraín José Cepeda Sarabia.
El Secretario General del honorable Senado de la República, Gregorio Eljach Pacheco.
La Presidenta (E) de la honorable Cámara de Representantes, Lina María Barrera Rueda.
El Secretario General de la honorable Cámara de Representantes, Jorge Humberto Mantilla Serrano.
REPÚBLICA DE COLOMBIA – GOBIERNO NACIONAL
Comuníquese y cúmplase.
Ejecútese, previa revisión de la Corte Constitucional, conforme al artículo 241-10 de la Constitución Política.
Dada en Bogotá, D. C., a 24 de julio de 2018.
La Ministra de Educación Nacional de la República de Colombia, delegataria de funciones presidenciales, mediante Decreto número 1255 de 2018, Yaneth Giha Tovar.
La Viceministra de Relaciones Exteriores del Ministerio de Relaciones Exteriores, encargada de las funciones del Despacho de la Ministra de Relaciones Exteriores, Patti Londoño Jaramillo.
El Ministro de Justicia y del Derecho, Enrique Gil Botero.
El Ministro de Defensa Nacional, Luis Carlos Villegas Echeverri.
El Viceministro de Conectividad y Digitalización del Ministerio de Tecnologías de la Información y las Comunicaciones, encargado del Empleo del Despacho del Ministro de Tecnologías de la Información y las Comunicaciones, Juan Sebastián Rozo Rengifo.
02Oct/18
Resolución 670 de 14 de diciembre de 2017
Resolución 670 de 14 de diciembre de 2017, de la Procuraduría General de la Nación, por medio de la cual se adopta el manual de políticas y procedimientos para la protección de datos personales.
EL PROCURADOR GENERAL DE LA NACIÓN
En uso de las atribuciones constitucionales y legales; en especial las contenidas en el numeral 7 del artículo 7 del Decreto Ley 262 de 2000 y,
CONSIDERANDO
Que la Constitución Política dispone en el artículo 15 que toda persona tiene derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.
Que a su vez el artículo 20 de la Carta Magna garantiza a toda persona el derecho fundamental de informar y recibir información veraz e imparcial.
Que en desarrollo de los preceptos constitucionales antes citados, el Congreso de la República expidió la Ley 1266 de 2008, por medio de la cual se dictaron disposiciones generales frente al habeas data y reguló el manejo de la información contenida en bases de datos personales.
Que así mismo el Congreso de la República expidió la Ley Estatutaria 1581 de 2012, a través de la cual dictó disposiciones generales para la protección de datos personales y dispuso como deberes de los sujetos obligados, entre otros, el contenido en el artículo 17, literal k) que expresamente señala: “Adoptar un manual interno de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente ley y en especial, para la atención de consultas y reclamos”
Que con el fin de regular el derecho de acceso a la información pública y reglamentar las excepciones a la publicidad de la información, el Congreso de la República expidió la Ley 1712 de 2014 “Por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional y se dictan otras disposiciones”.
Con el fin de dar cumplimiento a la normativa antes señalada, la Procuraduría General de la Nación adopta el manual de Políticas y Procedimientos para la Protección de Datos Personales, documento que establece la forma como se recopilan, manejan y conservan los datos personales de los sujetos que la entidad en desarrollo de sus funciones constitucionales y legales requiere de su uso; y señala el procedimiento por el cual el interesado puede acudir ante la administración para solicitar el acceso, inclusión, exclusión, corrección, adición, actualización y certificación de sus datos, así como la limitación en las posibilidades de divulgación, publicación o cesión de los mismos, de conformidad con los principios que regulan el proceso de administración de datos personales que allí mismo se señalan.
Que el numeral 7 del artículo 7 del Decreto Ley 262 de 2000, facultan al Procurador General de la Nación para expedir los actos administrativos, órdenes, directivas y circulares que sean necesarios para el funcionamiento de la Entidad y para desarrollar las funciones atribuidas por la ley.
En mérito de lo expuesto,
RESUELVE
Artículo Primero
Adoptar el Manual de Políticas y Procedimientos para la Protección de Datos Personales, el cual hace parte integral del presente acto.
Artículo Segundo
La presente resolución rige a partir de su publicación
Dada en Bogotá, D. C. a los 14 de diciembre de 2017
Publíquese y Cúmplase.
Fernando Carrillo Flórez, Procurador General de la Nación.
01Oct/18
Ley de 30 de septiembre de 2009, de firma electrónica para el Estado de Baja California
Ley de 30 de septiembre de 2009, de firma electrónica para el Estado de Baja California. (Publicada en el Periódico Oficial nº 49, de fecha 6 de noviembre de 2009, Tomo CXVI, Sección I). (Reformada por Decreto nº 414 , publicado en el Periódico Oficial nº 9, Secc I, de 15 de febrero de 2013).
CAPÍTULO PRIMERO.- DISPOSICIONES GENERALES
ARTÍCULO 1.- La presente Ley es de orden público, y tiene por objeto regular el uso de la Firma Electrónica en trámites, servicios y documentos de la Administración Pública Estatal, así como establecer las bases mediante las cuales, los Ayuntamientos en el ámbito de sus respectivas competencias, emitirán las disposiciones reglamentarias correspondientes.
(Reformado por Decreto nº 414, publicado en el Periódico Oficial nº 9, de fecha 15 de febrero de 2013, Sección I, Tomo CXX)
ARTÍCULO 2.- Para los efectos de esta Ley, se entenderán por:
I.- Acuse de Recibo: El generado por Medios Electrónicos o Sistemas de Información para el Emisor, a efecto de constatar la fecha y hora en que un Mensaje de Datos es recibido por el Destinatario;
II.- Administración Pública Estatal: El Gobernador del Estado, así como las Dependencias del Poder Ejecutivo y Entidades Paraestatales;
III.- Agentes Certificadores: Las Dependencias del Estado y Entidades Paraestatales, que determine la Autoridad Certificadora;
IV.- Autoridad Certificadora: La Secretaría de Planeación y Finanzas a través de la Subsecretaría de Innovación y Modernización Tecnológica Gubernamental,
V.- Certificado de Firma Electrónica: El documento digital firmado electrónicamente por la Autoridad Certificadora o los Agentes Certificadores, mediante el cual se confirma el vínculo existente entre el Firmante y la Firma Electrónica Certificada;
VI.- Datos de Creación de la Firma Electrónica: Los datos únicos que con cualquier tecnología el Firmante genera de manera secreta y utiliza para crear su Firma Electrónica, a fin de lograr el vínculo entre la misma y el Firmante;
VII.- Datos de Verificación de la Firma Electrónica: Los datos únicos que con cualquier tecnología se utilizan para verificar que la Firma Electrónica corresponda a sus Datos de Creación de la Firma Electrónica;
VIII.- Destinatario: A quien se dirige el Mensaje de Datos;
IX.- Emisor: Persona que origina un Mensaje de Datos;
X.- Firma Electrónica: La certificación de datos electrónicos tales como número, claves, contraseñas o cualquier otro que asociados a un Mensaje de Datos, son utilizados como medio de identificación para reconocer a su autor, legitimando su consentimiento y obligándose en términos de las manifestaciones que en dicho Mensaje de Datos se contienen;
XI.- Firmante: Quien utiliza una Firma Electrónica en nombre propio, o el de la persona a que represente de conformidad con la legislación aplicable;
XII.- Ley: Ley de Firma Electrónica para el Estado de Baja California;
XIII.- Medios Electrónicos: Equipos de cómputo, enlaces, microondas, vías satelitales o cualquier tecnología, a través de la cual se transmitan o reciban Mensajes de Datos;
XIV.- Mensajes de Datos: La información generada, enviada, recibida o archivada por Medios Electrónicos;
XV.- Sistemas de Información: Los programas informáticos utilizados para generar, enviar, recibir, archivar o procesar de alguna forma Mensajes de Datos;
XVI.- Titular: La persona física o moral en cuyo favor se expide un Certificado de Firma Electrónica;
XVII.- Trámites: Cualquier solicitud, promoción o acto que las personas físicas o morales realicen directamente o por Medios Electrónicos ante la Administración Pública Estatal, de conformidad con las disposiciones de esta Ley, y
XVIII.- Servicio: Actividad llevada a cabo por la Administración Pública Estatal destinada a satisfacer las necesidades de la colectividad a través de sus funciones propias o mediante la atención de trámites que en el ámbito de su competencia le requieran.
ARTÍCULO 3.- Las disposiciones de esta Ley no son aplicables a:
I.- Las funciones de investigación y persecución de los delitos;
II.- Los procedimientos administrativos seguidos en forma de juicio, ante las autoridades de la administración pública Estatal, salvo que las leyes que regulan dichos procedimientos lo permitan;
III.- Los procedimientos de responsabilidades de los servidores públicos, y
IV.- Aquellos actos en los cuales una ley especial requiera la firma autógrafa o manuscrita sobre el documento en papel o requieran la concurrencia personal de los servidores públicos o los particulares.
ARTÍCULO 4.- La aplicación de la presente Ley se regirá por los siguientes principios:
I.- Autenticidad: Es la certeza de atribuir la autoría del contenido de un Mensaje de Datos al Firmante, siéndole atribuibles las consecuencias jurídicas que del mismo se derivan, por ser expresión de su voluntad libre de vicios;
II.- Confidencialidad: Es la característica que existe cuando la información permanece controlada y es protegida de su acceso y distribución no autorizada;
III.- Conservación: Es el resguardo del Mensaje de Datos a efecto de que su existencia sea permanente y susceptible de reproducción;
IV.- Equivalencia Funcional: Consiste en equiparar los efectos jurídicos de los documentos escritos con los Mensajes de Datos, y de la firma autógrafa con la Firma Electrónica;
V.- Integridad: Es la cualidad de que un Mensaje de Datos permanezca completo e inalterado, con independencia de los cambios que pudiera sufrir el medio electrónico que lo contiene como resultado del proceso de comunicación, archivo o presentación; y,
VI.- Neutralidad Tecnológica: Consistente en no privilegiar el uso exclusivo de cierta tecnología.
CAPÍTULO SEGUNDO.- DE LA FIRMA ELECTRÓNICA
ARTÍCULO 5.- Los funcionarios y empleados de la Administración Pública Estatal podrán utilizar la Firma Electrónica en los trámites y servicios que brinden a la ciudadanía, en las comunicaciones internas de carácter oficial, así como en los documentos que en el ejercicio de sus funciones expidan.
Las personas físicas o morales podrán hacer uso de la Firma Electrónica en la realización de trámites ante la Administración Pública Estatal, siempre y cuando se les autorice para tal efecto.
ARTÍCULO 6.- La Firma Electrónica tendrá los mismos efectos jurídicos que una firma autógrafa consignada en documentos escritos.
Cualquier tipo de información contenida en un Mensaje de Datos firmado electrónicamente, o la constancia que de ellos se haga tendrán el mismo valor jurídico y la misma eficacia probatoria que la ley otorga a los documentos escritos en soporte de papel y con firma autógrafa.
ARTÍCULO 7.- Para la obtención del Certificado de Firma Electrónica, se requiere la comparecencia del particular o de su representante, debiendo invariablemente presentar a la Autoridad Certificadora o a los Agentes Certificadores para su verificación, la documentación que acredite la identidad, y en su caso existencia y facultades de su representante.
Los Mensajes de Datos que contengan una Firma Electrónica tendrán valor probatorio pleno.
ARTÍCULO 8.- Las personas interesadas en obtener la Firma Electrónica, deberán suscribir ante la Autoridad Certificadora o los Agentes Certificadores, un documento en el que:
I.- Expresarán que es su libre voluntad contar con un Certificado de Firma Electrónica;
II.- Se obligan a proporcionar información veraz y exacta para la obtención de la Firma Electrónica;
III.- Reconocerán como propios y auténticos los Mensajes de Datos que contengan su Firma Electrónica;
IV.- Aceptarán que el uso de la Firma Electrónica por persona distinta, quedará bajo su exclusiva responsabilidad, y que de ocurrir ese supuesto se atribuirá la autoría de los Mensajes de Datos;
V.- Se obligarán a notificar para efectos de su invalidación, la pérdida o cualquier otra situación que pudiera implicar la reproducción o el uso indebido del Certificado de Firma Electrónica.
VI.- Autorizarán que las notificaciones, citaciones o requerimientos se les hagan a través de Medios Electrónicos o Sistemas de Información, mismas que se practicarán en los términos, plazos y condiciones previstas en los acuerdos a que se refiere esta Ley; y,
VII.- Las demás que determinen las leyes.
ARTÍCULO 9.- El Firmante tendrá las siguientes obligaciones:
I.- Cumplir con los términos y condiciones a que se sujeta el uso de la Firma Electrónica;
II.- Actuar con diligencia y los cuidados necesarios para evitar la utilización no autorizada de la Firma Electrónica;
III.- Cerciorarse de que las declaraciones hechas en relación con la obtención de la Firma Electrónica son exactas;
IV.- Asumir cualquier tipo de responsabilidad y cumplir con las obligaciones derivadas del mal uso que se haga de la Firma Electrónica; y,
V.- Las demás que determinen las leyes y ordenamientos.
CAPÍTULO TERCERO.- DEL USO DE LA FIRMA ELECTRÓNICA
ARTÍCULO 10.- La Administración Pública Estatal podrá establecer el uso de la Firma Electrónica, a fin de hacer más eficiente la atención de los trámites y servicios que brinde a la ciudadanía, para las comunicaciones internas de carácter oficial, así como en los documentos que en el ejercicio de sus funciones expidan los servidores públicos.
El Sistema Educativo Estatal podrá expedir los certificados escolares y demás constancias, diplomas, títulos o grados académicos mediante el sistema de firma electrónica.
Todos los documentos electrónicos y en general los que emitan los servidores públicos habilitados bajo el sistema de firma electrónica deberán especificar su fecha y hora de creación.
El uso de la Firma Electrónica para la realización de Trámites será optativo para las personas físicas o morales, salvo los casos que establezcan las disposiciones aplicables.
ARTÍCULO 11.- Atendiendo a la naturaleza de los trámites y servicios, la Autoridad Certificadora en coordinación con los titulares de las Dependencias del Estado y Entidades Paraestatales, según corresponda, emitirán los Acuerdos mediante los cuales se establezcan las disposiciones de carácter general que se deberán observar en la obtención, implementación y uso de la Firma Electrónica en los trámites y servicios, comunicaciones internas de carácter oficial, así como en los documentos que en el ejercicio de sus funciones expidan los servidores públicos.
ARTÍCULO 12.- Los Acuerdos mediante los cuales se establezcan las disposiciones de carácter general a que se refiere el artículo anterior, deberán señalar como mínimo lo siguiente:
I.- Los trámites y servicios que podrán realizarse, así como los documentos que podrán expedirse a través del uso de la Firma Electrónica, previéndose los requisitos que deberán cumplirse para ello;
II.- Las condiciones, plazos y términos bajo los cuales la Administración Pública Estatal atenderá los trámites y servicios referidos en la fracción que antecede;
III.- Las bases técnicas para el establecimiento del uso de la Firma Electrónica; y
IV.- La facultad de la Autoridad Certificadora de verificar su cumplimiento.
ARTÍCULO 13.- Atendiendo a la naturaleza del trámite o servicio, los Mensajes de Datos podrán hacerse constar mediante archivos electrónicos con Firma Electrónica o en forma impresa de datos que contenga dicha firma y sello.
Los documentos que tienen un medio en papel, firma autógrafa o rúbrica podrán ser habilitados para tener un formato electrónico si cuenta con la firma electrónica de conformidad con la presente Ley.
Las Dependencias y Entidades de la Administración Pública Estatal para hacer más accesibles y ágiles los actos, comunicaciones, trámites, prestación de servicios y la expedición de cualquier documento, podrán en el ámbito de su competencia, suscribirlos por medio de firma electrónica.
ARTÍCULO 14.- La Autoridad Certificadora podrá implementar un Sistema de Información, con el objeto de que los interesados puedan verificar la autenticidad de los Mensajes de Datos que contengan Firma Electrónica.
ARTÍCULO 15.- Todo Mensaje de Datos se tendrá por expedido en el lugar donde el Emisor tenga su domicilio legal y por recibido en el lugar donde el Destinatario tenga el suyo.
ARTÍCULO 16.-Para hacer constar la recepción de un Mensaje de Datos se deberá generar un Acuse de Recibo, mismo que deberá contener los siguientes elementos:
I.- Nombre, denominación o razón social del Emisor;
II.- Registro Federal de Contribuyentes del Emisor, cuando así se requiera;
III.- Nombre o denominación del Destinatario;
IV.- Tipo de Trámite o asunto;
V.- Fecha y hora de la recepción;
VI.- Caracteres de identificación del acuse; y,
VII.- Los demás que se determinen en los Acuerdos a que se refiere el artículo 11 de esta Ley.
ARTÍCULO 17.- Cuando los particulares realicen Trámites en hora o día inhábil por Medios Electrónicos y Sistemas de Información con Firma Electrónica, que no sean factibles de ser procesados electrónicamente en forma inmediata por la autoridad competente, se tendrán por presentados en la primera hora hábil del día siguiente hábil, a aquel en que se genera el Acuse de Recibo.
Para los efectos de este artículo, las horas y días inhábiles serán las establecidas en las disposiciones legales aplicables al Trámite correspondiente.
ARTÍCULO 18.- La Administración Pública Estatal deberá conservar en archivos electrónicos los Mensajes de Datos que contengan Firma Electrónica, así como los documentos con formato electrónico que cuenten con dicha firma, preservándose su fecha y hora de creación, número de oficio y demás elementos necesarios para garantizar su Autenticidad e Integridad en los términos de esta Ley.
De considerarlo necesario, podrá respaldarse en forma impresa.
La Administración Pública Estatal exhibirá los archivos electrónicos que obren en su poder o bien, la impresión de éstos debidamente certificados cuando así lo requiera la autoridad competente.
ARTÍCULO 19.- Cuando los Mensajes de Datos con Firma Electrónica presenten problemas técnicos, deberá requerirse al Emisor, a efecto de que subsane la deficiencia respectiva, o en su caso, envíe de nuevo el Mensaje de Datos de que se trate, dentro del plazo que se determine en los Acuerdos a que hace referencia el artículo 11 de la presente Ley. En caso contrario el Trámite se tendrá por no presentado, quedando sin efecto el Acuse de Recibo que se hubiese generado.
Cuando los Mensajes de Datos con Firma Electrónica enviados por la Administración Pública Estatal presenten problemas técnicos, el Destinatario deberá solicitarle en un término no mayor a veinticuatro horas, que subsane la deficiencia respectiva o en su caso, envíe de nueva cuenta el Mensaje de Datos de que se trate.
CAPÍTULO CUARTO.- DE LOS CERTIFICADOS DE FIRMA ELECTRÓNICA
ARTÍCULO 20.- Los efectos del Certificado de Firma Electrónica son:
I.- Autentificar que la Firma Electrónica pertenece a determinada persona; y,
II.- Establecer la vigencia de la Firma Electrónica.
ARTÍCULO 21.- Los Certificados de Firma Electrónica deberán contener:
I.- La expresión de que tienen esa naturaleza;
II.- El código único de identificación;
III.- Los datos de autorización de quien lo expide;
IV.- La Firma Electrónica de la Autoridad Certificadora o del Agente Certificador que lo expide;
V.- El nombre, denominación o razón social del Titular. Se podrá consignar en el Certificado de Firma Electrónica cualquier otra circunstancia personal del titular o de su representante, en caso de que sea significativa en función del propio certificado y siempre que aquel otorgue su consentimiento;
VI.- En los supuestos de representación, la indicación del documento que la acredite, el nombre del Firmante, y las facultades para actuar en nombre de la persona a la que represente, misma que se considerará como Titular;
VII.- Los Datos de Verificación de la Firma Electrónica;
VIII.- El período de vigencia;
IX.- En su caso, los límites de uso; y,
X.- Los demás elementos que determine la Autoridad Certificadora.
ARTÍCULO 22.- El Certificado de Firma Electrónica tendrá una vigencia de dos años, no obstante podrá extinguirse por cualquiera de las siguientes causas:
I.- Cuando así lo solicite su Titular, o el Firmante en los casos de representación;
II.- Por revocación de la Autoridad Certificadora o los Agentes Certificadores, cuando se dejen de reunir las condiciones que sirvieron de base para su otorgamiento, o bien el Titular o Firmante incumplan las obligaciones que les impone esta Ley;
III.- Resolución judicial o administrativa;
IV.- Fallecimiento del Firmante o su representando;
V.- Incapacidad legal superviniente del Titular, o del Firmante en el caso de representación;
VI.- Terminación de la representación, o extinción de la persona moral representada;
VII.- Expiración de su vigencia; y,
VIII.- Cualquiera otra que impida su debida utilización.
Antes de que concluya el período de vigencia de un Certificado de Firma Electrónica, su Titular podrá solicitar uno nuevo.
En el supuesto mencionado en el párrafo anterior, la Autoridad Certificadora o los Agentes Certificadores podrán, mediante reglas de carácter general, relevar a los Titulares del Certificado de Firma Electrónica de la comparecencia personal ante dichos entes para acreditar su identidad y, en el caso de las personas morales, la representación legal correspondiente, cuando los Titulares cumplan con los requisitos que se establezcan en las propias reglas.
Si dichos órganos no emiten las reglas de carácter general, se estará a lo dispuesto por los artículos 7 y 8 de esta Ley.
ARTÍCULO 23.- La revocación de los Certificados de Firma Electrónica se sujetará a lo siguiente:
I.- La autoridad que otorgó el Certificado de Firma Electrónica notificará a su Titular, o al Firmante en los casos de representación, el inicio del procedimiento de revocación y la causa que motiva el mismo;
II.- El Titular o Firmante en los casos de representación contará con tres días hábiles para manifestar lo que a su derecho convenga, aportando en su caso los elementos que estime pertinentes, los cuales deberán estar relacionados con el hecho que se pretende probar; y,
III.- Transcurrido dicho plazo se resolverá lo conducente.
IV.- A partir de que se notifique el inicio del procedimiento respectivo, se suspenderán temporalmente los efectos del Certificado de Firma Electrónica, en tanto se resuelve la revocación.
ARTÍCULO 24.- La extinción de un Certificado de Firma Electrónica surtirá efectos desde la fecha en que la Autoridad Certificadora o los Agentes Certificadores tengan conocimiento de la causa que la origina, debiendo hacerse constar tal circunstancia en el Registro de Certificados.
Tratándose del fallecimiento del Firmante o su representado, la extinción surtirá efectos a partir de que este ocurra.
ARTÍCULO 25.- La Autoridad Certificadora expedirá los Certificados de Firma Electrónica a los servidores públicos de la Administración Pública Estatal que en el ámbito de sus respectivas competencias estén legalmente facultados para rubricar documentos.
Cuando algún servidor público deje de prestar sus servicios a la Administración Pública, se procederá a la cancelación inmediata del Certificado de Firma Electrónica que se le hubiera expedido con tal carácter.
La Autoridad Certificadora deberá dar aviso a la Secretaría General de Gobierno de la expedición, suspensión, revocación, cancelación o extinción de los Certificados de Firma Electrónica de los servidores públicos para los efectos del registro y legalización de firmas a que se refiere el artículo 19 fracción XIII de la Ley Orgánica de la Administración Pública del Estado de Baja California.
ARTÍCULO 26.- La Autoridad Certificadora o los Agentes Certificadores, suspenderán temporalmente un Certificado de Firma Electrónica cuando lo solicite el Titular, el Firmante en los casos de representación o cuando así proceda en términos de esta Ley. La suspensión deberá inscribirse en el Registro de Certificados de Firma Electrónica.
ARTÍCULO 27.- El Titular del Poder Ejecutivo del Estado por conducto de la Autoridad Certificadora, podrá celebrar convenios con la Federación, las Entidades Federativas, el Distrito Federal y los Municipios a efecto de que la Firma Electrónica utilizada por dichas autoridades, pueda ser manejada por los particulares en términos de esta Ley, o bien para que se utilice en la Federación, las Entidades Federativas, el Distrito Federal y los Municipios.
CAPÍTULO QUINTO.- DE LOS TITULARES DE CERTIFICADOS DE FIRMA ELECTRÓNICA
ARTÍCULO 28.- Los Titulares de Certificados de Firma Electrónica, respecto de la Autoridad Certificadora y los Agentes Certificadores tendrán derecho a:
I.- Solicitar la expedición de la constancia de la existencia y un registro del Certificado;
II.- Solicitar la modificación de datos y elementos del Certificado de Firma Electrónica cuando así se convenga a sus intereses;
III.- Recibir información sobre términos y condiciones bajo los cuales se otorgará la certificación;
IV.- La confidencialidad sobre la información proporcionada para la obtención de la Firma Electrónica;
V.- Conocer los medios a través de los cuales podrá solicitar aclaraciones, presentar quejas o reportes; y,
VI.- Que se les notifique la suspensión, cancelación o extinción de su certificado.
ARTÍCULO 29.- Son obligaciones de los Titulares de Certificados de Firma Electrónica:
I.- Proporcionar datos veraces, completos y exactos;
II.- Mantener el control exclusivo de sus Datos de Creación de Firma Electrónica;
III.- Solicitar la extinción de su Certificado de Firma Electrónica en caso de pérdida, robo o cualquier circunstancia que pueda comprometer la privacidad de sus datos de creación de Firma Electrónica;
IV.- Verificar que el Firmante en el caso de representación, cumpla con las obligaciones que le establece esta Ley;
V.- Actualizar los datos contenidos en el Certificado de Firma Electrónica; y,
VI.- Las demás que determine la Autoridad Certificadora en los términos de esta Ley.
CAPÍTULO SEXTO.- DE LA AUTORIDAD CERTIFICADORA Y LOS AGENTES CERTIFICADORES
ARTÍCULO 30.- La Autoridad Certificadora, tendrá las siguientes atribuciones y obligaciones:
I.- Autorizar en los términos de la Ley a las Dependencias y Entidades, para la expedición de Certificados de Firma Electrónica;
II.- Revocar la autorización a que se refiere la fracción anterior, cuando se dejen de reunir las condiciones que sirvieron de base para su otorgamiento;
III.- Llevar un Registro de Certificados de Firma Electrónica y de Agentes Certificadores;
IV.- Vigilar el cumplimiento de las obligaciones de los Agentes Certificadores;
V.- Establecer los estándares tecnológicos y operativos de la infraestructura de los Medios Electrónicos y/o Sistemas de Información, así como de la Firma Electrónica;
VI.- Guardar la confidencialidad respecto de la información que haya recibido para el otorgamiento de un Certificado de Firma Electrónica;
VII.- Poner a disposición del Firmante los dispositivos de creación y de verificación de Firma Electrónica;
VIII.- Informar sobre las características y condiciones de uso del Certificado de Firma Electrónica;
IX.- Registrar toda la información y documentación relativa a los Certificados de Firma Electrónica; y,
X.- Las demás que deriven de esta Ley y otras disposiciones aplicables.
Artículo 31.- Las disposiciones técnicas que se establezcan en materia de Medios Electrónicos, en términos del segundo párrafo del artículo 22 de la Ley de Adquisiciones, Arrendamientos y Servicios para el Estado de Baja California, deberán ser emitidas por la Autoridad Certificadora conjuntamente con la Oficialía Mayor del Poder Ejecutivo.
ARTÍCULO 32.- Sólo las Dependencias del Estado y Entidades Paraestatales, podrán ser autorizadas como Agentes Certificadores, siempre y cuando cuenten con elementos humanos, materiales, económicos que determine la Autoridad Certificadora.
ARTÍCULO 33.- Los Agentes Certificadores tendrán las siguientes atribuciones y obligaciones:
I.- Expedir los Certificados de Firma Electrónica en los términos que establece esta Ley;
II.- Remitir a la Autoridad Certificadora la información relativa a la expedición, suspensión o extinción de los Certificados de Firma Electrónica, para su inscripción en el Registro de Certificados de Firma Electrónica;
III.- Guardar la confidencialidad respecto de la información que haya recibido para el otorgamiento del Certificado de Firma Electrónica;
IV.- Poner a disposición del Firmante los dispositivos de creación y de verificación de Firma Electrónica;
V.- Informar sobre las características y condiciones de uso del Certificado de Firma Electrónica;
VI.- Facilitar a la Autoridad Certificadora la información que le permita verificar el cumplimiento de sus obligaciones en los términos de esta Ley;
VII.- Resguardar toda la información y documentación relativa a los Certificados de Firma Electrónica que expidan;
VIII.- Cumplir con las obligaciones que deriven de esta Ley y demás disposiciones aplicables.
CAPÍTULO SÉPTIMO.- DE LOS MEDIOS DE DEFENSA
ARTÍCULO 34.- La negativa de la Autoridad Certificadora o los Agentes Certificadores para expedir un Certificado de Firma Electrónica, o la resolución que recaiga al procedimiento de revocación del Certificado de Firma Electrónica, sólo podrá ser impugnada por los particulares en los términos de la Ley del Procedimiento para los Actos de la Administración Pública del Estado de Baja California.
CAPÍTULO OCTAVO.- DEL USO DE MEDIOS ELECTRÓNICOS Y LA FIRMA ELECTRÓNICA EN EL ÁMBITO MUNICIPAL
ARTÍCULO 35.- Los Ayuntamientos que implementen el uso de la Firma Electrónica, en el ámbito de su competencia, expedirán la normatividad que deberá regir esta materia, de conformidad con las siguientes bases:
I.- Los términos y condiciones a que se sujetará el uso de la Firma Electrónica;
II.- La Autoridad competente para expedir los Certificados de Firma Electrónica;
III.- En su caso, el régimen de actuación de las dependencias y entidades que funjan como Agentes Certificadores; y,
IV.- Las demás disposiciones que consideren necesarias para lograr el cumplimiento del objeto de la Ley.
TRANSITORIOS
ARTÍCULO PRIMERO.- La presente Ley entrará en vigor al día siguiente de su publicación en el Periódico Oficial del Estado.
ARTÍCULO SEGUNDO.- Los trámites que a la fecha de la entrada en vigor del presente ordenamiento sean realizados por Medios Electrónicos, continuarán realizándose de este modo, hasta en tanto se establezcan las disposiciones de carácter general que determinen los trámites que podrán sujetarse al uso de la Firma Electrónica.
DADO en el Salón de Sesiones “Lic. Benito Juárez García” del H. Poder Legislativo del Estado de Baja California, en la Ciudad de Mexicali, B.C., a los treinta días del mes de septiembre de dos mil nueve, rúbrica la Mesa Directiva del Primero Periodo Ordinario de Sesiones del Tercer Año de Ejercicio Constitucional, el día quince de octubre de dos mil nueve.
DIP. ANTONIO RICARDO CANO JIMÉNEZ, PRESIDENTE
DIP. RUBÉN ERNESTO ARMENTA ZANABIA, SECRETARIO
DE CONFORMIDAD CON LO DISPUESTO POR LA FRACCION I DEL ARTÍCULO 49 DE LA CONSTITUCIÓN POLÍTICA DEL ESTADO, IMPRÍMASE Y PUBLÍQUESE.
MEXICALI, BAJA CALIFORNIA, A LOS VEINTISÉIS DIAS DEL MES DE OCTUBRE DEL AÑO DOS MIL NUEVE.
GOBERNADOR DEL ESTADO, JOSE GUADALUPE OSUNA MILLÁN
SECRETARIO GENERAL DE GOBIERNO, JOSE FRANCISCO BLAKE MORA
01Oct/18
Decreto nº 491 de 26 de mayo de 2010, Ley de Firma Electrónica Avanzada para el Estado de Durango
Decreto nº 491 de 26 de mayo de 2010, Ley de Firma Electrónica Avanzada para el Estado de Durango. (Publicado en el Periódico Oficial nº 44, de fecha 3 de junio de 2010) (Modificado por el Decreto 145, publicado en el Periódico Oficial nº 44 de 1 de junio de 2017 y la última actualización mediante Decreto 491, publicado en el periódico Oficial nº 57 del 19 de julio de 2018).
CAPÍTULO I.- DISPOSICIONES GENERALES
ARTÍCULO 1.- La presente Ley es de orden público e interés general, y tiene por objeto:
I.- Agilizar, eficientar y simplificar por medio de la firma electrónica avanzada los actos, convenios, comunicaciones, trámites y la prestación de servicios públicos que corresponden al Poder Ejecutivo, al Poder Legislativo, al Poder Judicial, a los Órganos Constitucionales Autónomos, a los Ayuntamientos y a las dependencias y entidades de la administración pública estatal o municipal;
(Reformado por Decreto nº 145, publicado en el Periódico Oficial nº 44 de 1 de junio de 2017).
II.- Expedir certificados digitales a personas físicas.
III.- Implementar el uso de la firma electrónica avanzada en los actos establecidos en el presente ordenamiento; y
IV.- Los servicios relacionados con la firma electrónica avanzada
(Reformado por Decreto nº 412, publicado en el Periódico Oficial nº 57 de 19 de julio de 2018)
ARTÍCULO 2.- Son sujetos de esta Ley:
I.- El Poder Ejecutivo;
II.- El Poder Legislativo;
III. El Poder Judicial;
IV.- Los Órganos Constitucionales Autónomos;
(Reformado por Decreto nº 145, publicado en el Periódico Oficial nº 44 de 1 de junio de 2017).
V.- Los Ayuntamientos;
VI.- Los servidores públicos de las dependencias señaladas en las fracciones I a la V del presente Artículo que, en la realización de los actos a que se refiere esta Ley utilicen la firma electrónica avanzada; y
VII.- Los particulares que decidan utilizar la firma electrónica avanzada, por medios electrónicos, en los términos del presente ordenamiento.
ARTÍCULO 3.- Cuando la ley exija la forma escrita para los actos, contratos y la firma de los documentos relativos, esos supuestos se tendrán por cumplidos tratándose de mensaje de datos siempre que éste sea íntegro, atribuible a las personas obligadas y accesibles para su ulterior consulta.
ARTÍCULO 4.- Quedan exceptuados de la aplicación de esta Ley los trámites, actos o procedimientos, que por disposición legal expresa exija firma autógrafa, así como aquellos actos en los cuales una disposición jurídica exija cualquier otra formalidad que no sea susceptible de cumplirse mediante la Firma Electrónica Avanzada.
ARTÍCULO 5.- Para los efectos de esta Ley, se entenderá por:
I.- Autoridad certificadora: Es la dependencia, unidad administrativa u órgano designado por cada ente público sujeto a esta Ley, que tiene a su cargo el servicio de certificación de firmas electrónicas, que vincula al firmante con el uso de su firma electrónica avanzada en las operaciones que realice, administra la parte tecnológica del procedimiento y ejerce el proceso de autenticidad;
II.- Certificado Digital: El documento emitido de manera electrónica por la Autoridad Certificadora, mediante el cual se confirma el vínculo existente entre el Firmante y sus Datos de Creación de firma a través de los Datos de verificación de firma en él contenidos;
III.- Datos de creación de Firma Electrónica Avanzada o Clave Privada: cadena de bits o datos únicos que el firmante genera de manera secreta y utiliza para crear su firma electrónica avanzada, a fin de lograr el vínculo entre dicha firma electrónica avanzada y el firmante;
IV.- Datos de verificación de Firma Electrónica Avanzada o Clave Pública: cadena de bits o datos únicos contenidos en un certificado digital que permiten la verificación de la autenticidad de la firma electrónica avanzada del firmante;
V.- Dependencias: Las que integran la Administración Pública Estatal y Municipal en términos de sus respectivas Leyes Orgánicas;
VI.- Destinatario: La persona designada por el firmante para recibir el mensaje de datos, pero que no esté actuando a título de intermediario con respecto a dicho mensaje;
VII.- Dispositivo de creación de firma electrónica avanzada: El programa o sistema informático que sirve para aplicar los datos de creación de firma electrónica avanzada;
VIII.- Dispositivo de verificación de firma electrónica avanzada: El programa o sistema informático que sirve para aplicar los datos de verificación de firma electrónica avanzada;
IX.- Entidades: Los organismos descentralizados, las empresas de participación estatal mayoritaria y los fideicomisos públicos que tengan el carácter de entidad paraestatal de la Administración Pública Estatal y Municipal, en términos de sus respectivas Leyes Orgánicas;
X.- Entes: El Poder Ejecutivo, Legislativo y Judicial, los Órganos Constitucionales Autónomos y los Ayuntamientos;
(Reformado por Decreto nº 145, publicado en el Periódico Oficial nº 44 de 1 de junio de 2017).
XI.- Firma Electrónica Avanzada: El conjunto de datos electrónicos consignados o lógicamente asociados al mensaje de datos, utilizados como medio de identificación del firmante, los cuales son generados y mantenidos bajo su estricto y exclusivo control, siendo detectable cualquier modificación ulterior al mensaje de datos o a la propia firma, produciendo los mismos efectos jurídicos que la firma autógrafa;
XII.- Firmante: La persona que actúa en nombre propio y que utiliza la firma electrónica avanzada para firmar documentos electrónicos o mensajes datos;
XIII.- Medios electrónicos: Los dispositivos tecnológicos utilizados para la transmisión, almacenamiento, gestión de datos e información, a través de cualquier tecnología electrónica o transporte de datos;
XIV. Mensaje de datos: La información generada, enviada, recibida, archivada y comunicada por medios electrónicos, ópticos, o cualquier otra tecnología;
XV.- Página Web: el sitio en Internet que contiene información, aplicaciones y, en su caso, vínculos a otras páginas;
XVI.- Medios electrónicos: Los dispositivos tecnológicos para transmisión, almacenamiento, gestión de datos e información, a través de cualquier tecnología electrónica o transporte de datos;
XVII.- Sistema de información: Todo sistema o programa en el que se realice captura, almacenamiento, custodia, seguridad, consulta, reproducción, verificación, administración y transmisión de información, datos o documentos electrónicos;
XVIII.- Sujetos Obligados: los servidores públicos y particulares que utilicen la firma electrónica avanzada, en términos de lo previsto en las fracciones VI y VII del Artículo 2 de esta Ley; y
XIX.- Titular: La persona a cuyo favor se expide un certificado de firma electrónica avanzada.
CAPÍTULO II.- DEL USO DE LOS MEDIOS ELECTRÓNICOS Y LA FIRMA ELECTRÓNICA AVANZADA
ARTÍCULO 6.- En los actos, convenios, comunicaciones, trámites y la prestación de los servicios públicos que correspondan a los entes y cualquier entidad o dependencia, podrá emplearse la firma electrónica avanzada contenida en un mensaje de datos.
La firma electrónica avanzada podrá ser utilizada indistintamente en documentos electrónicos, mensajes de datos, actos, convenios, comunicaciones, trámites y demás servicios públicos que corresponda su aplicación a los Sujetos Obligados, mismos que producirán los mismos efectos que los exhibidos con firma autógrafa y, en consecuencia, tendrán el mismo valor probatorio, que las disposiciones jurídicas aplicables les otorgan.
Los entes podrán expedir documentos por medios electrónicos que contengan la firma electrónica avanzada cuando reúnan los requisitos señalados en esta Ley.
ARTÍCULO 7.- La firma electrónica avanzada deberá regirse por los principios de; neutralidad tecnológica, autonomía de la voluntad de las partes, compatibilidad internacional y equivalencia funcional, las características de; autenticidad, confidencialidad, no repudio y el requisito de; integridad, definidas conforme a lo que a continuación se desarrolla:
I.- La neutralidad tecnológica, implica la posibilidad de utilizar cualquier tecnología para la emisión de certificados digitales y para la prestación de los servicios relacionados con la firma electrónica avanzada, sin que se favorezca a alguna en particular, es decir, por disposición de ley u orden de autoridad no podrá obligarse el uso de una tecnología en particular;
II.- La equivalencia funcional del Mensaje de Datos en relación con la información documentada en medios no electrónicos y de la Firma Electrónica en relación con la firma autógrafa;
III.- Autonomía de la voluntad de las partes consiste en considerar que toda persona sólo puede obligarse en virtud de su propio querer libremente manifestado. Sólo la voluntad de un sujeto de derecho es apta para producir obligaciones.
IV.- Compatibilidad internacional, basada en estándares internacionales se refiere de manera genérica a la compatibilidad de los programas o software utilizado para la creación de las firmas electrónicas y su registro a fin de permitir que las operaciones internacionales por vías electrónicas mantengan un mínimo de seguridad jurídica que permita su desarrollo.
V.- La autenticidad, ofrece la certeza de que un documento electrónico o un mensaje de datos que ha sido firmado electrónicamente con firma electrónica avanzada, le es atribuible su contenido y las consecuencias jurídicas que del mismo se deriven, al firmante;
VI.- La confidencialidad, es la característica que existe cuando, de así convenirlo las partes, la información permanece controlada y es protegida de su acceso y distribución no autorizada;
VII.- No repudio, consiste en que la firma electrónica avanzada contenida en documentos electrónicos garantiza la autoría e integridad del documento y que dicha firma corresponde exclusivamente al firmante; y
VIII.- La integridad, se considera cuando el contenido de un mensaje de datos ha permanecido completo e inalterado, con independencia de los cambios que hubiere podido sufrir el medio que lo contiene, como resultado del proceso de comunicación, archivo o presentación.
ARTÍCULO 7 BIS.- A efecto que los sujetos a que hace referencia el Artículo 2 de la presente Ley, puedan hacer uso de firma electrónica avanzada, en los actos señalados en el correlativo 6 de la misma, deberán contar con:
a) Un certificado digital vigente, emitido conforme a lo establecido en esta Ley y su Reglamento; y
b) Contar con datos de creación de firma o clave privada, generada y mantenida en un dispositivo bajo su exclusivo control.
(Adicionado por Decreto nº 412, publicado en el Periódico Oficial nº 57 de 29 de julio de 2018)
ARTÍCULO 8.- La utilización de los medios electrónicos en ningún caso podrá implicar la existencia de restricciones o discriminaciones de cualquier naturaleza en el acceso de los particulares a la prestación de servicios públicos o a cualquier trámite, acto o actuación de cualquier autoridad estatal o municipal.
ARTÍCULO 9.- El uso de medios electrónicos a que se refiere esta Ley será potestativo para los particulares, quienes podrán optar por el uso de medios electrónicos en los actos, señalados en el Artículo 6 de esta Ley. Siendo obligatorio para la autoridad llevar a cabo su correcta aplicación.
(Reformado por Decreto nº 412, publicado en el Periódico Oficial nº 57 de 29 de julio de 2018)
ARTÍCULO 10.- En las comunicaciones entre los entes y cualquier entidad o dependencia, se podrá hacer uso de los medios electrónicos mediante un mensaje de datos que contenga la firma electrónica avanzada del servidor público competente.
ARTÍCULO 11.- Para hacer más accesibles, ágiles y sencillos los actos, convenios, comunicaciones, trámites y la prestación de los servicios públicos que corresponden a los entes y cualquier entidad o dependencia, se podrá utilizar la firma electrónica avanzada contenida en un mensaje de datos y el uso de medios electrónicos, en los términos de los reglamentos que en el ámbito de sus respectivas competencias se expidan.
ARTÍCULO 12.- Los entes y cualquier entidad o dependencia, deberán verificar la firma electrónica avanzada, la vigencia del certificado de firma electrónica avanzada y, en su caso, la fecha electrónica en los actos, convenios, comunicaciones, trámites y la prestación de los servicios públicos que correspondan a éstos; así como en las solicitudes y promociones que en relación con los mismos realicen los particulares.
ARTÍCULO 13.- Los documentos presentados por los particulares por medios electrónicos que contengan la firma electrónica avanzada, producirán en términos de esta Ley, los mismos efectos que los documentos firmados de manera autógrafa, para tal efecto los sujetos señalados en las fracciones I a la V del Artículo 2, de la presente Ley, determinarán en cuáles actos los particulares podrán usar la firma electrónica avanzada.
Las autoridades podrán expedir documentos por medios electrónicos que contengan la firma electrónica avanzada cuando reúnan los requisitos señalados en esta Ley.
ARTÍCULO 14.- Cuando los particulares realicen comunicaciones o soliciten la prestación de servicios públicos o promuevan cualquier trámite por medios electrónicos en hora o día inhábil, se tendrán por presentados en la primera hora hábil del siguiente día hábil.
Para los casos no previstos por esta Ley, se entenderán conforme a lo señalado en la Ley de Justicia Administrativa del Estado de Durango.
CAPÍTULO III.- DE LOS MENSAJES DE DATOS
ARTÍCULO 15.- Los mensajes de datos tendrán el mismo valor jurídico y la misma eficacia probatoria que la Ley otorga a los documentos escritos en soporte de papel y con firma autógrafa, salvo los casos que prevé la presente ley.
ARTÍCULO 16.- La reproducción en formato impreso del mensaje de datos tendrá valor probatorio pleno cuando se ha conservado en su integridad la información contenida en el mismo a partir de que se generó por primera vez en su forma definitiva como tal, y no sea impugnada la autenticidad o exactitud del mensaje y de la firma electrónica.
ARTÍCULO 17.- Para que surta efectos un mensaje de datos, se requiere de un acuse de recibo electrónico, entendiéndose como tal el generado por el sistema de información del destinatario. Se considera que el mensaje de datos ha sido enviado y recibido, cuando se pruebe la existencia del acuse de recibo electrónico respectivo.
ARTÍCULO 18.- En lo referente al acuse de recibo de mensajes de datos, si al enviar o antes de enviar un mensaje de datos, el emisor solicita o acuerda con el destinatario que se acuse recibo del mensaje de datos, pero no se ha acordado entre estos una forma o método determinado para efectuarlo, se podrá acusar recibo mediante todo acto del destinatario, que baste para indicar al emisor que se ha recibido el mensaje de datos.
ARTÍCULO 19.- El contenido de los mensajes de datos que contengan firma electrónica avanzada, relativos a los actos, convenios, comunicaciones, trámites, prestación de los servicios públicos y las solicitudes y promociones que se realicen utilizando medios electrónicos, deberán conservarse en archivos electrónicos y hacerse constar íntegramente en forma impresa, integrando expediente, cuando así lo soliciten expresamente los interesados o lo determine la autoridad competente.
ARTÍCULO 20.- Todo mensaje de datos se tendrá por expedido en el lugar donde el emisor tenga su domicilio real, legal o convencional y por recibido en el lugar donde el destinatario tenga el suyo, salvo prueba o acuerdo en contrario.
ARTÍCULO 21.- Se presumirá que un mensaje de datos proviene del emisor si ha sido enviado:
I.- Por el propio emisor;
II.- Usando medios de identificación, tales como claves o contraseñas del emisor o por alguna persona facultada para actuar en nombre del emisor respecto a ese mensaje de datos, o
III.- Por un sistema de información programado por el emisor o en su nombre para que opere automáticamente.
ARTÍCULO 22.- Los mensajes de datos tendrán valor probatorio pleno, salvo lo que dispongan al respecto otras leyes en la materia que ellas regulan, cuando se acredite lo siguiente:
I.- Que contengan la firma electrónica avanzada;
II.- La fiabilidad del método en que hayan sido generados, archivados o conservados; y
III. Que se ha conservado la integridad de la información a partir del momento en que se generaron por primera vez en su forma definitiva como tales o en alguna otra forma.
ARTÍCULO 23.- Se presumirá salvo prueba en contrario, que un mensaje de datos proviene de una persona determinada, cuando contenga su firma electrónica avanzada.
ARTÍCULO 24.- El momento de recepción de un mensaje de datos se determinará de la forma siguiente:
I.- Al ingresar en el sistema de información designado por el destinatario; y
II.- De no haber un sistema de información designado, en el momento en que el destinatario se manifieste sabedor de dicha información.
ARTÍCULO 25.- Cuando las leyes requieran que una información o documento sea presentado y conservado en su forma original, se tendrá por satisfecho este requisito, respecto a un mensaje de datos, si existe garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma, y de requerirse la presentación de la información, si la misma puede mostrarse a la persona a la que se deba presentar.
CAPÍTULO IV.- DE LAS CARACTERÍSTICAS DE LA FIRMA ELECTRÓNICA AVANZADA CERTIFICADA.
ARTÍCULO 26.- Las disposiciones del presente ordenamiento serán aplicables de modo que no excluyan, restrinjan o priven a cualquier método de creación de firmas electrónicas avanzadas siempre y cuando cumplan con los requisitos que establecen las leyes de la materia.
ARTÍCULO 27.- La firma electrónica avanzada se considerará como tal, si cumple al menos con los siguientes requisitos:
I.- Que indique que se expide como tal;
II.- Cuente con un certificado de firma electrónica avanzada vigente;
III.- Que contenga el código único de identificación del certificado;
IV.- Identifique a la autoridad certificadora que emite el certificado, incluyendo la firma electrónica avanzada de ésta;
V.- Que permita determinar la fecha electrónica del mensaje de datos;
VI.- Que los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante;
VII.- Que los datos de creación de la firma estén en el momento de la firma bajo el control exclusivo del firmante, y
VIII.- Que sea posible detectar cualquier alteración de la firma electrónica avanzada realizada después del momento de la firma.
Lo dispuesto en el presente Artículo se entenderá́ sin perjuicio de la posibilidad de que cualquier persona demuestre de cualquier otra manera la fiabilidad de una firma electrónica avanzada; o presente pruebas de que la misma no es fiable.
ARTÍCULO 28.- La firma electrónica avanzada que permita vincular al firmante con el mensaje de datos y atribuir la autoría de éste, tendrá la misma validez jurídica y eficacia probatoria que las Leyes otorgan a la firma autógrafa, en los casos que prevé la presente ley.
ARTÍCULO 29.- La firma electrónica avanzada, además de tener las características mencionadas en el Artículo anterior, deberá garantizar cuando menos lo siguiente:
I.- Que los datos utilizados para su generación se puedan producir sólo una vez, de tal forma que se asegure razonablemente su confidencialidad;
II.- La seguridad suficiente y razonable de no ser alterada con la tecnología existente; y
III.- La integridad del mensaje de datos.
CAPÍTULO V.- DE LA OBTENCIÓN Y CANCELACIÓN DE CERTIFICADOS DE FIRMA ELECTRÓNICA AVANZADA
ARTÍCULO 30.- Para la obtención de un certificado de firma electrónica avanzada se deberá llevar a cabo el siguiente procedimiento:
I.- Los solicitantes tratándose de autoridades, deberán presentar ante la autoridad certificadora la solicitud para la obtención de certificado de firma electrónica avanzada, debidamente requisitada y autorizada por el titular de la dependencia, unidad administrativa u órgano en que se tramite, en el caso de los particulares estos deberán proporcionar los requisitos que establezca la autoridad certificadora;
II.- Recibida la solicitud, la autoridad certificadora deberá verificar la identidad del firmante con base en los documentos oficiales de identificación que ésta le requiera, así como el cumplimiento de los demás requisitos que se establezcan para tal efecto;
III.- Recibida la solicitud y los demás documentos, la autoridad certificadora expedirá el certificado de firma electrónica avanzada cuando se cumplan los requisitos necesarios y registrará el certificado en su base de datos de firma electrónica;
IV.- El solicitante una vez que obtenga el certificado de firma electrónica avanzada deberá resguardar la clave privada en un medio electrónico.
ARTÍCULO 31.- Los certificados de firma electrónica avanzada tendrán valor probatorio en los términos de esta Ley y surtirán efectos jurídicos cuando estén firmados electrónicamente por la autoridad certificadora.
ARTÍCULO 32.- Los efectos del certificado de firma electrónica avanzada son:
I.- Autenticar que la firma electrónica avanzada pertenece a determinada persona y;
II.- Verificar la vigencia de la misma.
ARTÍCULO 33.- Los certificados, para ser considerados válidos, deberán contener cuando menos:
I.- La indicación de que se expiden como tales;
II.- El código de identificación único del certificado;
III.. La identificación de la autoridad certificadora que expide el certificado, su firma electrónica avanzada, razón social, dirección de correo electrónico y página web;
IV.- Nombre del titular del certificado;
V.- Periodo de vigencia del certificado;
VI.- La fecha y hora de la emisión, suspensión, revocación, renovación del certificado;
VII.- En su caso, los límites de uso del certificado de firma electrónica avanzada; y
VIII.- La referencia de la tecnología empleada para la creación de la firma electrónica.
ARTÍCULO 34.- La vigencia del certificado digital será de dos años como máximo, la cual iniciará a partir del momento de su emisión y expirará el día y hora que señala el mismo.
Los certificados de firma electrónica avanzada tendrán valor probatorio pleno, salvo lo que dispongan al respecto otras leyes en la materia que ellas regulan y surtirán efectos jurídicos, cuando estén firmados electrónicamente por la autoridad certificadora.
ARTÍCULO 35.- Los certificados de firma electrónica avanzada se extinguirán por las siguientes causas:
I.- Expiración de su vigencia;
II.- Revocación por el firmante, o por mandato de autoridad competente;
III.- Pérdida, robo o inutilización por daños del soporte del certificado de firma electrónica avanzada;
IV.- Fallecimiento del firmante, incapacidad superveniente total, o extinción de la persona moral representada;
V.- Fallecimiento del firmante o su representante, incapacidad superveniente, total o parcial, de cualquiera de ellos, terminación de la representación o extinción de la persona moral representada;
VI.- Inexactitudes en los datos aportados por el firmante para la obtención del certificado de firma electrónica avanzada; y
VII.- Por haberse comprobado que el certificado de firma electrónica avanzada no cumple con los requisitos de esta Ley, situación que no afectará los derechos de terceros de buena fe.
ARTÍCULO 36.- Cuando un servidor público deje de prestar sus servicios y cuente con un certificado de firma electrónica avanzada en virtud de sus funciones, el superior jerárquico o la autoridad certificadora ordenará la cancelación inmediata del mismo.
ARTÍCULO 37.- La pérdida de eficacia de los certificados de firma electrónica avanzada, en el supuesto de expiración de vigencia, tendrá lugar desde que esta circunstancia se produzca. En los demás casos, la extinción de un certificado de firma electrónica avanzada surtirá efectos desde la fecha en que la autoridad certificadora, tenga conocimiento cierto de la causa que la origina y así lo haga constar en el registro de certificados.
ARTÍCULO 38.- La autoridad certificadora podrá suspender temporalmente la vigencia o revocar de los certificados de firma electrónica avanzada expedidos, cuando así lo solicite el firmante o sus representados o lo ordene una autoridad competente. Toda suspensión o revocación, deberá inscribirse sin demora en el registro respectivo.
ARTÍCULO 39.- Todo certificado de firma electrónica avanzada expedido fuera del Estado de Durango, producirá los mismos efectos jurídicos que un certificado de firma electrónica avanzada expedido dentro de su territorio, si presenta un grado de fiabilidad equivalente a los contemplados por esta Ley. Lo anterior sin perjuicio de la obligación de registrar el certificado que se homologa en términos de esta Ley, en el registro de certificados de firma electrónica avanzada, que al efecto lleve la autoridad certificadora.
CAPÍTULO VI.- DE LA AUTORIDAD CERTIFICADORA Y LOS SERVICIOS DE CERTIFICACIÓN
ARTÍCULO 40.- La autoridad certificadora, de conformidad con los reglamentos respectivos, establecerá los requisitos jurídicos, técnicos, materiales y financieros necesarios para la expedición y, en su caso, homologación de certificados de firma electrónica avanzada. En el caso de homologación de certificados de firma electrónica avanzada, podrá celebrar convenios que tengan como objeto observar los requisitos a que se refiere este Artículo.
ARTÍCULO 41.- La autoridad certificadora podrá prestar el servicio de consignación de fecha electrónica, respecto de los mensajes de datos.
ARTÍCULO 42.- El registro de certificados de firma electrónica avanzada estará a cargo de la autoridad certificadora, en el ámbito de su competencia. Dicho registro será público debiendo mantenerse permanentemente actualizado, y visible en la página web destinada para tal fin.
ARTÍCULO 43.- La autoridad certificadora está obligada a:
I.- Indicar la fecha y la hora en las que se expidió o se dejó sin efecto un certificado de firma electrónica avanzada;
II.- Llevar un registro de los certificados emitidos y revocados, así como proveer los servicios de consulta a los interesados;
III.- Comprobar por los medios idóneos autorizados por las leyes, la identidad y cualesquiera circunstancias personales de los solicitantes, relevantes para la emisión de los certificados de firma electrónica avanzada;
IV.- Guardar confidencialidad respecto de la información que haya recibido para la prestación del servicio de certificación;
V.- Antes de expedir un certificado de firma electrónica avanzada, informar en español a la persona que solicite sus servicios, en los casos que así se prevea, sobre el costo, características y las condiciones precisas de utilización del mismo;
VI.- Conservar registrada toda la información y documentación física o electrónica relativa a un certificado de firma electrónica avanzada, durante doce años;
VII. Adoptar las medidas necesarias para evitar la falsificación, alteración o uso indebido de certificados digitales, así como de los servicios relacionados con la firma electrónica avanzada; y
VIII. Cumplir con las demás obligaciones que deriven de ésta y otras leyes y demás disposiciones jurídicas aplicables.
ARTÍCULO 44.- La autoridad certificadora cuando expida certificados de firma electrónica avanzada, únicamente puede recabar datos personales directamente de los titulares de los mismos o con su consentimiento explícito. Los datos requeridos serán, exclusivamente, los necesarios para la expedición y el mantenimiento del certificado de firma electrónica avanzada.
ARTÍCULO 45.- La firma electrónica avanzada y los certificados de la misma expedidos de conformidad con esta Ley, sólo surtirán efectos respecto de los actos, convenios, comunicaciones, trámites y la prestación de los servicios públicos que correspondan a los entes y cualquier entidad o dependencia. Así como respecto de las promociones y solicitudes de los particulares que hayan optado por estos medios y la autoridad correspondiente los haya habilitado.
CAPÍTULO VII.- DE LAS ATRIBUCIONES DE LAS AUTORIDADES CERTIFICADORAS
ARTÍCULO 46.- Las dependencias y entidades y entes públicos, podrán establecer mediante convenio, qué autoridad certificadora tendrá a su cargo el servicio de certificación de firmas electrónicas, cuando no cuenten con aquella.
Para los efectos de la presente Ley, será autoridad certificadora en el Poder Ejecutivo la Secretaría de Contraloría.
(Reformado por Decreto nº 145, publicado en el Periódico Oficial nº 44 de 1 de junio de 2017).
ARTÍCULO 47.- La autoridad certificadora tendrá las siguientes atribuciones:
I.- Expedir certificados de firma electrónica avanzada y prestar servicios relacionados con la misma que se habiliten para tal efecto;
II.- Llevar el registro de certificados de firma electrónica avanzada;
III.- Colaborar en el desarrollo de sistemas informáticos internos y externos para la prestación de servicios en lo relacionado a la aplicación y observancia de la firma electrónica avanzada; y IV. Las demás que establezcan las disposiciones legales aplicables.
ARTÍCULO 48.- La autoridad certificadora que corresponda dentro del ámbito de su competencia, podrá autorizar a otra entidad o dependencia, a expedir certificados de firma electrónica avanzada y a prestar servicios relacionados con la certificación. La acreditación deberá publicarse en el Periódico Oficial del Gobierno del Estado, previamente al inicio de la prestación de los servicios. Adquiriendo las responsabilidades expresas detalladas en la presente Ley y las definidas en el convenio que se firme.
CAPÍTULO VIII.- DE LOS DERECHOS Y OBLIGACIONES DE LOS TITULARES DE CERTIFICADOS DE FIRMA ELECTRÓNICA AVANZADA.
ARTÍCULO 49.- Sin perjuicio de lo establecido por otras leyes, los titulares de certificados de firma electrónica avanzada tendrán, respecto de la autoridad certificadora, los siguientes derechos:
I.- Solicitar se les expida constancia de la existencia y registro del certificado;
II.- A ser informados sobre:
a) Las características generales del certificado de firma electrónica avanzada, y de las demás reglas que la autoridad certificadora se comprometa a seguir en la prestación de sus servicios; y
b) El costo de los servicios, en su caso, las características y condiciones precisas para la utilización del certificado y sus límites de uso.
III.- A que se guarde confidencialidad sobre la información proporcionada para la acreditación de la personalidad; y
IV.- A conocer el domicilio físico y la dirección electrónica de la autoridad certificadora para solicitar aclaraciones, presentar quejas o reportes.
ARTÍCULO 50.- Son obligaciones de los titulares de certificados de firma electrónica avanzada:
I.- Proporcionar datos veraces, completos y exactos;
II.- Mantener el control exclusivo de sus datos de creación de firma electrónica avanzada;
III.- Solicitar la revocación de su certificado de firma electrónica avanzada cuando se presente cualquier circunstancia que pueda comprometer la privacidad o seguridad de sus datos de creación de firma electrónica avanzada o la información en el contenida sea incorrecta o desactualizada;
IV.- El firmante será responsable de las consecuencias jurídicas que deriven por no cumplir oportunamente las obligaciones previstas en el presente Artículo;
V.- Responder por las obligaciones derivadas del uso no autorizado de su firma, cuando no hubiere obrado con la debida diligencia para impedir su utilización;
VI.- Actualizar los datos contenidos en el certificado de firma electrónica avanzada;
VII.- Las demás que establezcan las disposiciones legales aplicables;
CAPÍTULO IX.- PREVENCIONES GENERALES
ARTÍCULO 51.- Los entes podrán expedir reglamentos que establecerán cuando menos la forma, formalidades, modalidades y condiciones que deben observar los servidores públicos y particulares en la presentación de solicitudes, promociones, trámites, actos y convenios que se realicen utilizando la firma electrónica avanzada en términos de esta ley. De la misma manera, los reglamentos establecerán el diseño de los formatos que se utilicen empleando la firma electrónica avanzada.
ARTÍCULO 52.- Por virtud de la aplicación de la presente Ley, en contra de los actos o resoluciones de la administración pública estatal o municipal, procederá el recurso de inconformidad o el juicio de nulidad en la forma y términos señalados en Ley de Justicia Administrativa del Estado y demás disposiciones legales aplicables.
(Reformado por Decreto nº 145, publicado en el Periódico Oficial nº 44 de 1 de junio de 2017).
ARTÍCULO 53.- Los servidores públicos y particulares que le dieren un uso indebido, utilicen o se sirvan de un certificado de firma electrónica avanzada o de una firma electrónica avanzada como medio para cometer actos, hechos u omisiones que constituyan algún tipo de responsabilidad en términos de la Ley de Responsabilidades de los Servidores Públicos del Estado y de los Municipios, del Código Penal para el Estado de Durango o cualquier otro ordenamiento legal, les serán aplicables las sanciones y penalidades que se establezcan en las mismas.
TRANSITORIOS
PRIMERO.- El presente Decreto entrará en vigor, a partir del día siguiente de su publicación, en el Periódico Oficial del Gobierno Constitucional del Estado de Durango.
SEGUNDO.- Los Poderes Ejecutivo, Legislativo y Judicial, los órganos autónomos y los Ayuntamientos, en el ámbito de sus respectivas competencias, podrán expedir los reglamentos de esta Ley; en los casos que algún ente no cuente con la tecnología o suficiencia presupuestal para implementar la firma electrónica avanzada, podrá convenir con otro que sí tenga los medios para la creación de las firmas electrónicas avanzadas.
TERCERO.- Se derogan las disposiciones que se opongan al presente Decreto.
El Ciudadano Gobernador Constitucional del Estado, sancionará, promulgará y dispondrá se publique, circule y observe.
Dado en el Salón de Sesiones del Honorable Congreso del Estado, en Victoria de Durango, Dgo., a los (26) veintiseis días del mes de mayo del año (2010) dos mil diez.
DIP. JUAN MORENO ESPINOZA, PRESIDENTE.-
DIP. OMAR JOSÉ JIMÉNEZ HERRERA, SECRETARIO.-
DIP. JULIO ALBERTO CASTAÑEDA CASTAÑEDA, SECRETARIO.-
DECRETO 491, LXIV LEGISLATURA, PERIÓDICO OFICIAL nº 44, DE FECHA 3 DE JUNIO DE 2010.
DECRETO 145, LXVII LEGISLATURA, PERIODICO OFICIAL nº 44 DE FECHA 1 DE JUNIO DE 2017.
Artículo Primero.- Se reforman los Artículos 1, fracción I, 2, fracción IV, 5, fracción X, 46, 52 de la Ley de Firma Electrónica Avanzada para el Estado de Durango para quedar en los siguientes términos:
ARTÍCULOS TRANSITORIOS
PRIMERO.- El presente Decreto entrará en vigor al siguiente día de su publicación en el Periódico Oficial del Gobierno del Estado de Durango.
SEGUNDO.- En un término de sesenta días naturales, a partir de la publicación del presente Decreto, deberán quedar debidamente armonizadas, conforme al contenido de la reforma, todos y cada uno de los instrumentos reglamentarios y los correspondientes manuales de operación que conforman el Marco Normativo bajo el que se rige la función y organización de la Administración Pública del Estado de Durango.
TERCERO.- Se derogan todas las disposiciones que se opongan a lo contenido en el presente Decreto.
El Ciudadano Gobernador del Estado, sancionará, promulgará y dispondrá se publique, circule y observe.
Dado en el Salón de Sesiones del Honorable Congreso del Estado, en Victoria de Durango, Dgo. a los (03) tres días del mes de mayo de (2017) dos mil diecisiete.
DIP. GINA GERARDINA CAMPUZANO GONZÁLEZ, PRESIDENTE;
DIP. MARISOL PEÑA RODRÍGUEZ, SECRETARIA;
DIP. MAR GRECIA OLIVA GUERRERO, SECRETARIA.
DECRETO 412, LXVII LEGISLATURA, PERIODICO OFICIAL nº 57 DE FECHA 19 DE JULIO DE 2018.
ARTÍCULO PRIMERO.- Se reforma y adiciona la Ley de Firma Electrónica Avanzada para el Estado de Durango, para quedar como sigue:
TRANSITORIOS
PRIMERO.- El presente Decreto entrará en vigor al día siguiente de su publicación en el Periódico Oficial del Gobierno del Estado de Durango.
SEGUNDO.- La Comisión Estatal de Gobierno Digital de Durango, deberá integrarse a mas tardar 30 días después de la entrada en vigor del presente decreto.
TERCERO.- A falta de disposición expresa en esta ley o en las demás disposiciones que de ellas se deriven, se aplicaran supletoriamente la Ley de Justicia Administrativa del Estado de Durango y la Legislación Procesal Civil aplicable.
CUARTO.- Se derogan todas las disposiciones que se opongan a lo previsto en el presente decreto.
El Ciudadano Gobernador del Estado, sancionará, promulgará y dispondrá se publique, circule y observe.
Dado en el Salón de Sesiones del Honorable Congreso del Estado, en Victoria de Durango, Dgo. a los (30) treinta días del mes de Mayo de (2018) dos mil dieciocho.
DIP. JESÚS EVER MEJORADO REYES, PRESIDENTE;
DIP. OMAR MATA VALADEZ, SECRETARIO;
DIP. MARISOL PEÑA RODRÍGUEZ, SECRETARIA.
22Sep/18
Ley de 29 de septiembre de 2014, de firma electrónica avanzada y uso de medios electrónicos del Estado de Campeche
Ley de 29 de septiembre de 2014, de firma electrónica avanzada y uso de medios electrónicos del Estado de Campeche. (Última reforma, Decreto nº 100, Periódico Oficial de 22 de diciembre de 2016). (Ley publicada en el Periódico Oficial del Estado de Campeche, el jueves 2 de octubre de 2014).
D E C R E T O
La LXI Legislatura del Congreso del Estado de Campeche decreta:
NÚMERO 170
ÚNICO.- Se expide la Ley de Firma Electrónica Avanzada y Uso de Medios Electrónicos del Estado de Campeche, para quedar como sigue:
LEY DE FIRMA ELECTRÓNICA AVANZADA Y USO DE MEDIOS ELECTRÓNICOS DEL ESTADO DE CAMPECHE
TÍTULO PRIMERO.- DISPOSICIONES GENERALES
CAPÍTULO ÚNICO.- DEL OBJETO Y APLICACIÓN DE LA LEY
Artículo 1.- La presente Ley es de orden público y observancia general en el territorio del Estado de Campeche y tiene por objeto regular la creación y aplicación de la firma electrónica avanzada, el uso de medios electrónicos y mensajes de datos relacionados con la firma electrónica avanzada y la prestación al público de servicios de certificación.
Artículo 2.- La firma electrónica avanzada tiene la finalidad de simplificar, facilitar y agilizar los actos y negocios jurídicos, comunicaciones y procedimientos administrativos y judiciales entre los sujetos obligados del sector público, los particulares y las relaciones que mantengan entre sí.
El uso de la firma electrónica avanzada tiene como objeto fomentar la incorporación de nuevas tecnologías de información y establecer mecanismos de seguridad en las mismas, además de agilizar y simplificar actos, trámites, servicios, comunicaciones y procedimientos administrativos y judiciales entre los sujetos que hagan uso de la firma electrónica avanzada.
Artículo 3.- Son sujetos obligados de esta Ley, los siguientes:
I. El Poder Ejecutivo;
II. El Poder Legislativo;
III. El Poder Judicial;
IV. Los Organismos Públicos Autónomos;
V. Los Municipios; y
VI. Los particulares que soliciten la firma electrónica avanzada, en los términos de la presente Ley.
Cada uno de los sujetos aquí nombrados, de conformidad con su propia normatividad, designará a los servidores públicos que ejercerán el uso de la firma electrónica avanzada.
Artículo 4.- Para los efectos de esta Ley, se entenderá por:
I. Autoridad Certificadora: Ente responsable de crear firmas electrónicas y de emitir y revocar los certificados digitales, utilizados para autenticar la firma electrónica de los usuarios; asimismo, legitima ante los terceros la relación entre la identidad de un titular de certificado digital y su llave pública;
II. Autenticación: El mecanismo de seguridad por el que un sistema electrónico comprueba la identidad de un usuario de firma electrónica avanzada;
III. Certificado Digital: El documento emitido electrónicamente por la autoridad certificadora, mediante el cual se confirma el vínculo existente entre el firmante y la firma electrónica avanzada e identifica la fecha electrónica y vigencia de la misma;
IV. Certificación Cruzada: El acto por el cual una autoridad certificadora reconoce la validez de un certificado electrónico emitido por otra autoridad certificadora, previo convenio firmado por ambas, y homologa tal certificado como si fuera de propia emisión, bajo su responsabilidad;
V. Destinatario: La persona designada por el emisor para recibir el mensaje de datos, con excepción de las personas que actúen a título de intermediario con respecto a dicho mensaje;
VI. Documento Electrónico: El instrumento que contiene datos o información enviada, recibida o archivada por medios electrónicos, ópticos o de cualquier otra tecnología, utilizado para el intercambio de información entre los sujetos de esta Ley, el cual puede requerir o no de una firma electrónica avanzada;
VII. Emisor: A toda persona física o moral que haya actuado a nombre propio o en cuyo nombre se haya enviado o generado un mensaje de datos;
VIII. Firma Electrónica: Conjunto de datos electrónicos integrados o asociados inequívocamente a un mensaje de datos que permite asegurar la identidad del usuario;
IX. Firma Electrónica Avanzada: La firma electrónica que ha sido certificada por autoridad certificadora en los términos que señale esta Ley, consistente en el conjunto de datos electrónicos integrados o asociados inequívocamente a un mensaje de datos que permite asegurar la integridad y autenticidad de ésta y la identidad del usuario;
X. Fecha Electrónica: El conjunto de datos en forma electrónica utilizados como medio para constatar la fecha y hora en que un mensaje de datos es enviado por el firmante o recibido por el destinatario;
XI. Llave Pública: La cadena de bits cifrada perteneciente a una persona, susceptible de ser conocida públicamente, que se usa para verificar la firma electrónica avanzada de la misma, la cual está matemáticamente asociada a su llave privada;
XII. Llave Privada: La cadena de bits cifrada perteneciente a una persona y conocida únicamente por ésta, que se usa en conjunto con un mensaje de datos para la creación de la firma electrónica avanzada, relacionada con ambos elementos;
XIII. Medios Electrónicos: Los dispositivos tecnológicos usados para transmitir o almacenar datos e información, a través de computadoras, líneas telefónicas, enlaces de datos, microondas, o de cualquier otra tecnología;
XIV. Mensaje de Datos: Toda información inteligible en formato electrónico o similar que pueda ser almacenada o intercambiada por medios electrónicos, ópticos o cualquier otra tecnología;
XV. Módulos Fijos o Itinerantes: Las unidades automatizadas o no, donde se expiden documentos oficiales al público usuario, previo el pago fiscal correspondiente, que se hace también a través del mismo módulo, en cuyas unidades automatizadas se emplea la firma electrónica avanzada;
XVI. Registro: El Registro de Certificados Digitales perteneciente a cada autoridad certificadora;
XVII. Reglamento: Al Reglamento de la Ley de Firma Electrónica Avanzada y Uso de Medios Electrónicos del Estado de Campeche;
XVIII. Sistema de Información: A los sistemas utilizados para generar, enviar, recibir, archivar o procesar de alguna otra forma mensajes de datos;
XIX. Sujetos Obligados: Los señalados en el artículo 3 de la presente Ley;
XX. Sistema Automatizado de Gestión: La herramienta informática que, mediante el uso de medios y firma electrónica, permite realizar comunicaciones, gestiones y trámites intergubernamentales entre los servidores públicos;
XXI. Trámite Electrónico: Cualquier solicitud o entrega de información que los particulares realicen por medios electrónicos ante las dependencias y entidades, ya sea para cumplir una obligación, obtener un beneficio o servicio, o en general, a fin de que se emita un acuerdo o resolución; y
XXII. Titular del Certificado: A la persona física o moral a cuyo favor sea expedido el certificado de la firma electrónica avanzada.
Artículo 5.- Quedan exceptuados de la aplicación de esta Ley:
I. Los actos o procedimientos que, por disposición legal, exijan la firma autógrafa; y
II. Los actos o procedimientos que, por disposición legal, exijan una formalidad que no sea susceptible de cumplirse mediante la firma electrónica avanzada.
TÍTULO SEGUNDO.- DE LA FIRMA ELECTRÓNICA AVANZADA
CAPÍTULO I.- DEL USO Y VALIDEZ DE LA FIRMA ELECTRÓNICA AVANZADA
Artículo 6.- La firma electrónica avanzada podrá ser utilizada en documentos electrónicos y mensajes de datos.
Los documentos electrónicos y mensajes de datos que cuenten con la firma electrónica avanzada, generados, enviados, recibidos o archivados por medios electrónicos, ópticos o cualquier otra tecnología, tendrán la misma validez y eficacia jurídica que la ley otorga a los documentos escritos en soporte de papel.
Artículo 7.- Para que los sujetos obligados puedan utilizar la firma electrónica avanzada en los actos a que se refiere esta Ley deberán contar con:
I. Un certificado digital vigente, emitido u homologado en términos de la presente Ley; y
II. Una llave privada, generada bajo su exclusivo control.
Artículo 8.- El uso de los medios electrónicos, en ningún caso, podrá implicar la existencia de restricciones o discriminaciones de cualquier naturaleza en el acceso de los particulares a la prestación de servicios públicos o a cualquier trámite, acto o actuación de cualquier autoridad estatal.
CAPÍTULO II.- DE LOS PRINCIPIOS RECTORES EN MATERIA DE FIRMA ELECTRÓNICA AVANZADA
Artículo 9.- La firma electrónica avanzada deberá cumplir con los principios rectores siguientes:
I. Equivalencia Funcional: La firma electrónica avanzada que se encuentre en un documento electrónico o, en su caso, en un mensaje de datos, deberá satisfacer el requisito de firma del mismo modo que la firma autógrafa en los documentos impresos;
II. Autenticidad: La firma electrónica avanzada en un documento electrónico o en un mensaje de datos deberá dar certeza de que el mismo ha sido emitido por el firmante, de manera tal que su contenido le sea atribuible al igual que las consecuencias jurídicas que de él deriven;
III. Integridad: La firma electrónica avanzada en un documento electrónico o en un mensaje de datos deberá dar certeza de que éste ha permanecido completo e inalterado desde su firma, con independencia de los cambios que hubiere podido sufrir el medio que lo contiene como resultado del proceso de comunicación, archivo o presentación;
IV. Neutralidad Tecnológica: La tecnología utilizada para la emisión de certificados digitales y para la prestación de los servicios relacionados con la firma electrónica avanzada será aplicada de modo tal que no excluya, restrinja o favorezca alguna tecnología en particular;
V. No Repudio: La firma electrónica avanzada contenida en documentos electrónicos garantiza la autoría e integridad del documento y que dicha firma corresponde exclusivamente al firmante; y
VI. Confidencialidad: La firma electrónica avanzada en un documento electrónico o en un mensaje de datos, debe garantizar que sólo pueda ser cifrado por el firmante y el receptor.
Artículo 10.- Para la creación de la firma electrónica avanzada así como para la celebración de los actos jurídicos en que se haga uso de la misma, se deberá observar, además de lo contenido en la presente Ley, la Ley de Procedimiento Administrativo para el Estado y los Municipios de Campeche, el C (sic) Estado de Campeche y el Código de Procedimientos Civiles del Estado de Campeche.
CAPÍTULO III.- DE LOS DOCUMENTOS ELECTRÓNICOS Y MENSAJES DE DATOS
Artículo 11.- Los actos, convenios, comunicaciones, procedimientos administrativos y judiciales, trámites, prestación de los servicios públicos, solicitudes y promociones, según sea el caso, que lleven a cabo los titulares del certificado digital, los podrán realizar a través de su firma electrónica avanzada contenida en un documento electrónico o mensaje de datos, mediante el uso de medios electrónicos.
Artículo 12. Los sujetos obligados deberán contar con una dirección de correo electrónico para recibir, cuando corresponda, mensajes de datos y documentos electrónicos en la realización de los actos jurídicos previstos en esta Ley.
Artículo 13.- Para que surta efectos un mensaje de datos se requerirá de un acuse de recibo electrónico, y se entenderá como tal, el generado por el sistema de información del destinatario.
Se considerará que el mensaje de datos ha sido enviado y recibido cuando se pruebe la existencia del acuse de recibo electrónico respectivo.
Artículo 14.- Los documentos electrónicos y el contenido de los mensajes de datos que incluyan la firma electrónica avanzada, relativos a los actos, convenios, comunicaciones, procedimientos administrativos y judiciales, trámites, prestación de los servicios públicos, las solicitudes y promociones que se realicen a través de medios electrónicos, deberán conservarse en archivos electrónicos y hacerse constar íntegramente en forma impresa, y se formará un expediente cuando así lo soliciten expresamente los interesados o lo determine la autoridad competente.
Artículo 15.- Todo documento electrónico o mensaje de datos se tendrá por expedido en el lugar donde el emisor tenga su domicilio legal y por recibido en el lugar donde el destinatario tenga el suyo, salvo prueba o acuerdo en contrario.
Artículo 16.- Los documentos electrónicos presentados por los titulares del certificado digital con su firma electrónica avanzada producirán, en términos de esta Ley, los mismos efectos que los documentos firmados de manera autógrafa.
Artículo 17.- Los mensajes de datos tendrán valor probatorio pleno, salvo lo que dispongan al respecto otras leyes en la materia, cuando se acredite lo siguiente:
I. Que contengan la firma electrónica avanzada;
II. La fiabilidad del método en que hayan sido generados, archivados o conservados; y
III. Que se ha conservado la integridad de la información a partir del momento en que se generaron por primera vez y en forma definitiva como tales o en alguna otra forma.
Artículo 18.- Se presumirá, salvo prueba en contrario, que un mensaje de datos proviene de una persona determinada, cuando contenga su firma electrónica avanzada.
Artículo 19.- El momento de recepción de un Mensaje de Datos se determinará de la forma siguiente:
I. Al ingresar en el sistema de información designado por el destinatario; y
II. De no haber un sistema de información designado, en el momento en que el destinatario se manifieste sabedor de dicha información.
Artículo 20.- Cuando las personas realicen cualquiera de los actos regulados por esta Ley con su firma electrónica avanzada, en relación con los sujetos públicos, a través de un mensaje de datos en hora o día inhábil, se tendrá por realizado en la primera hora y día hábil siguiente y se tendrán por no presentados cuando no contenga la firma electrónica avanzada.
Artículo 21.- El contenido de los mensajes de datos relativos a los actos que regula la presente Ley deberá conservarse en archivos electrónicos. El archivo electrónico deberá garantizar los criterios específicos en materia de clasificación y conservación de documentos así como de la organización de archivos, de acuerdo a las disposiciones aplicables en la materia.
TÍTULO TERCERO.- DE LA AUTORIDAD CERTIFICADORA
CAPÍTULO I.- DISPOSICIONES GENERALES
Artículo 22.- La autoridad certificadora será la encargada de mantener permanentemente actualizada la información correspondiente de los servicios de certificación e indicará la vigencia o extinción de los mismos, así como cualquier otro asunto derivado.
(REFORMADO, DECRETO 100 PERIÓDICO OFICIAL DEL 22 DE DICIEMBRE DE 2016)
La autoridad certificadora del Poder Ejecutivo será la Secretaría de Administración e Innovación Gubernamental. Los demás sujetos de la Ley designarán el área correspondiente encargada de los servicios de certificación, la cual se ajustará a lo establecido en esta Ley y demás legislación aplicable. Asimismo deberán crear sus instalaciones tecnológicas para efectuar los servicios de autoridad certificadora, en el ámbito de sus competencias, o en su caso, optar por utilizar la infraestructura del Poder Ejecutivo, previa solicitud y convenio que al efecto se suscriba. En materia fiscal, el Servicio de Administración Fiscal del Estado de Campeche tendrá carácter de autoridad certificadora para los actos de su competencia.
El Reglamento determinará:
I. Las facultades y atribuciones de la autoridad certificadora en relación con los servicios registrales;
II. Las condiciones de operación del Registro;
III. Los procedimientos de consulta, actualización y mantenimiento del Registro; y
IV. Los servicios que deberá prestar el Registro.
Artículo 23.- La autoridad certificadora, de conformidad con el Reglamento, establecerá los requisitos jurídicos, técnicos, materiales y financieros necesarios para la expedición y, en su caso, homologación de certificados digitales.
Todo certificado digital, expedido por una autoridad distinta a la establecida en esta Ley, se deberá homologar ante la autoridad certificadora, a fin de que produzca los mismos efectos y alcance legales. La autoridad certificadora podrá celebrar convenios para lograr la homologación de certificados digitales.
Artículo 24.- El uso de medios electrónicos y firma electrónica avanzada en los sistemas automatizados de gestión permitirán la generación y manejo de documentos electrónicos, que deberán cumplir con las especificaciones técnicas y de seguridad previstas por las autoridades certificadoras.
Artículo 25.- Los sujetos señalados en las fracciones I a V del artículo 3 de esta Ley, deberán proveer lo necesario a la autoridad certificadora, para que los documentos electrónicos y trámites electrónicos generados se conserven de manera ordenada y sistemática, para asegurar su validez, autenticidad, confidencialidad, integridad y disponibilidad, conforme a las disposiciones legales aplicables.
Asimismo, deberán facilitar a la autoridad certificadora competente toda la información y los medios necesarios para el ejercicio de sus funciones, así como permitir a sus agentes o al personal inspector, el acceso a sus instalaciones para la consulta de cualquier documentación que resulte relevante para la inspección de que se trate, referida siempre a datos que conciernan a la autoridad certificadora.
Artículo 26.- La autoridad certificadora, cuando expida certificados digitales, únicamente podrá obtener los datos personales directamente de sus titulares con el consentimiento explícito de estos. Los datos personales requeridos serán exclusivamente los necesarios para la expedición y mantenimiento del certificado digital, de conformidad con la ley en la materia.
CAPÍTULO II.- DE LAS ATRIBUCIONES Y OBLIGACIONES DE LA AUTORIDAD CERTIFICADORA
Artículo 27.- La autoridad certificadora tendrá las atribuciones y obligaciones siguientes:
I. Emitir, administrar y registrar certificados digitales y firmas electrónicas avanzadas, así como prestar servicios relacionados con las mismas;
II. Antes de expedir un certificado digital informará a los particulares que soliciten sus servicios, sobre el costo, características y las condiciones precisas de utilización del certificado;
III. Llevar un registro de los certificados digitales que emita y de los que revoque, así como proveer los servicios de consulta a los interesados;
IV. Adoptar las medidas necesarias para evitar la falsificación, alteración o uso indebido de certificados digitales, así como de los servicios relacionados con la firma electrónica avanzada;
V. Celebrar los convenios con otras autoridades certificadoras, a efecto de establecer los estándares tecnológicos y operativos para la expedición de certificados digitales y servicios electrónicos, aplicables en el ámbito de su competencia;
VI. Colaborar en el desarrollo de sistemas informáticos internos y externos para la prestación de servicios de certificación
VII. Garantizar la autenticidad, integridad, conservación, confidencialidad y confiabilidad de la firma electrónica avanzada, así como de los servicios relacionados con la misma;
VIII. Preservar la confidencialidad, integridad y seguridad de los datos personales de los titulares de los certificados digitales, de conformidad con el Reglamento y demás leyes en la materia; y
IX. Las que se deriven de esta Ley, su Reglamento y demás disposiciones aplicables.
Artículo 28.- Los Poderes Legislativo y Judicial, los Organismos Públicos Autónomos y los Municipios, podrán celebrar convenios de colaboración con el Poder Ejecutivo, a través de la Secretaría de Administración e Innovación Gubernamental, para el ejercicio de las atribuciones a que se refiere esta Ley.
TÍTULO CUARTO.- DEL CERTIFICADO DIGITAL
CAPÍTULO I.- DE LOS CERTIFICADOS DIGITALES
Artículo 29.- Los certificados digitales deberán contener lo siguiente:
I. La expresión de que tienen esa naturaleza;
II. El código único de identificación;
III. Los datos de autorización de la autoridad certificadora;
IV. La firma electrónica avanzada de la autoridad certificadora;
V. El nombre y datos de identificación del titular del certificado digital;
VI. En el supuesto de representación, la indicación del documento que acredite las facultades del representante para actuar como titular de la firma electrónica avanzada;
VII. El período de vigencia del certificado, que no podrá ser superior a dos años;
VIII. Llave pública;
IX. Algoritmo de firma;
X. En su caso, las limitantes del uso del certificado digital;
XI. La referencia de la tecnología empleada para la creación de la firma electrónica avanzada; y
XII. Todos aquellos datos que se señalen en el Reglamento para su creación y demás disposiciones aplicables.
Artículo 30.- Cuando se produzca la expiración de la vigencia de un certificado digital, sobrevendrá la pérdida de su eficacia. En los demás casos, la extinción o cancelación de un certificado digital surtirá efectos desde la fecha en que la autoridad certificadora tenga conocimiento cierto de la causa que la origina y así lo haga constar en el Registro de Certificados de Firma Electrónica Avanzada.
Artículo 31.- Los certificados digitales expedidos fuera del Estado de Campeche tendrán la misma validez y producirán los mismos efectos jurídicos reconocidos en la presente Ley, siempre que tales certificados sean reconocidos por las autoridades certificadoras que señala la presente Ley y se garanticen, en la misma forma que lo hacen con sus propios certificados, el cumplimiento de los requisitos, el procedimiento, así como la validez y vigencia del certificado digital, de conformidad con lo establecido por la Constitución Política de los Estados Unidos Mexicanos y las leyes en la materia.
CAPÍTULO II.- DE LOS DERECHOS Y OBLIGACIONES DE LOS TITULARES DE CERTIFICADOS DIGITALES
Artículo 32.- Sin perjuicio de lo establecido por otras leyes, los titulares de certificados digitales tendrán respecto de la autoridad certificadora, los siguientes derechos:
I. Solicitar se les expida constancia de la existencia y registro del certificado digital;
II. Solicitar la variación de los datos y elementos de la firma electrónica avanzada, cuando así convenga a su interés;
III. A ser informados sobre:
a) Las características generales de los procedimientos de certificación y creación de firma electrónica avanzada y, de las demás reglas que la autoridad certificadora se comprometa a seguir en la prestación de sus servicios; y
b) El costo de los servicios, las características y condiciones precisas para la utilización del certificado digital y de la firma electrónica avanzada y sus límites de uso;
IV. A que se guarde confidencialidad sobre la información proporcionada; y
V. A conocer el domicilio físico y la dirección electrónica de la autoridad certificadora para solicitar aclaraciones y presentar quejas o reportes.
Artículo 33.- Son obligaciones de los titulares de certificados digitales las siguientes:
I. Proporcionar datos veraces, completos y exactos;
II. Mantener el control exclusivo de sus datos de creación de firma electrónica avanzada y su certificado digital, no compartirlos e impedir su divulgación;
III. Solicitar la cancelación de su certificado digital cuando se presente cualquier circunstancia que pueda comprometer la privacidad de sus datos de creación; y
IV. Actualizar los datos contenidos en el certificado de firma electrónica avanzada.
CAPÍTULO III.- DE LA SUSPENSIÓN DEL CERTIFICADO DIGITAL
Artículo 34.- Son causas de suspensión del certificado:
I. La sospecha de utilización de la llave privada, contraseña o de la propia firma electrónica avanzada, por parte de un tercero no autorizado;
II. A solicitud del titular del certificado digital, cuando requiera la modificación de alguno de los datos contenidos en el mismo;
III. Cuando la autoridad certificadora lo estime justificado y/o fundado; y
IV. Aquellas que se encuentren señaladas en el Reglamento.
La suspensión se mantendrá mientras alguna de las condiciones descritas continúe presente.
Artículo 35.- El titular o representante legal del certificado digital deberá presentar el formato de solicitud de suspensión ante la autoridad certificadora y señalar el motivo de la misma.
Artículo 36.- La autoridad certificadora analizará la solicitud de suspensión y, en caso de que se advierta el uso no autorizado de la firma electrónica avanzada, procederá inmediatamente a extinguir el certificado digital y a expedir uno nuevo.
Artículo 37.- La autoridad certificadora podrá suspender temporalmente la eficacia de los certificados digitales cuando así lo solicite el titular del certificado digital o sus representados, o en caso de que lo ordene una autoridad competente.
Toda suspensión deberá inscribirse sin demora en el registro respectivo.
CAPÍTULO IV.- DE LA REVOCACIÓN DEL CERTIFICADO DIGITAL
Artículo 38.- Se podrá revocar el certificado digital por alguna de las siguientes causas:
I. Cuando se observen inexactitudes en los datos aportados para la obtención del certificado digital;
II. Por haberse comprobado que al momento de la expedición del certificado digital no cumplió con los requisitos que marca esta Ley;
III. Por el uso indebido o ilícito del certificado digital o de la firma electrónica avanzada; y
IV. Las demás que señale el Reglamento.
Artículo 39.- La autoridad certificadora iniciará de oficio el procedimiento de revocación, el cual deberá notificar al titular del certificado digital en forma personal, a efecto de que, en un término de tres días hábiles contados a partir del día siguiente al de la notificación, manifieste lo que a su interés convenga.
Artículo 40.- La autoridad certificadora emitirá su resolución dentro de los quince días hábiles posteriores al vencimiento del término del artículo anterior. Dicha resolución deberá ser notificada personalmente al titular del certificado digital y deberá entregarse el comprobante de revocación de la misma.
Artículo 41.- La autoridad certificadora deberá realizar la anotación de revocación en el Registro, para los efectos legales a que haya lugar.
Artículo 42.- Los titulares de los certificados digitales que incurran en alguna de las causas de revocación señaladas en el artículo 38 de esta Ley, no podrán solicitar certificado digital, sino transcurrido un año contado a partir de que haya quedado firme la resolución de revocación dictada por la autoridad certificadora.
CAPÍTULO V.- DE LA EXTINCIÓN DEL CERTIFICADO DIGITAL
Artículo 43.- Los certificados digitales se extinguirán por las siguientes causas:
I. Expiración de su vigencia;
II. Cancelación realizada por el titular del certificado digital, su representante o autoridad competente;
III. Robo, pérdida o inutilización por daños del soporte del certificado digital;
IV. Resolución judicial o administrativa;
V. Fallecimiento del titular del certificado digital o su representante;
VI. Incapacidad superviniente del titular del certificado digital, total o parcial, por terminación de la representación o extinción de la persona moral representada;
VII. Omisiones en los datos aportados por la persona física o moral para la obtención del certificado digital;
VIII. Por renuncia del servidor público a su cargo;
IX. Por haberse comprobado que al momento de su expedición, el certificado digital no cumplió con los requisitos establecidos en esta Ley o su Reglamento, situación que no afectará los derechos de terceros de buena fe; y
X. Aquellas establecidas en el Reglamento.
Artículo 44.- Cuando un servidor público deje de prestar sus servicios y cuente con un certificado digital en virtud de sus funciones, el superior jerárquico ordenará la cancelación inmediata del mismo.
TÍTULO QUINTO.- DE LAS RESPONSABILIDADES Y SANCIONES
CAPÍTULO ÚNICO.- DISPOSICIONES GENERALES
Artículo 45.- Las conductas de los servidores públicos que impliquen el incumplimiento a los preceptos establecidos en la presente Ley darán lugar al procedimiento y a las sanciones que correspondan en términos de la Ley Reglamentaria del Capítulo XVII de la Constitución Política del Estado de Campeche.
Cuando las infracciones a la presente Ley impliquen la posible comisión de una conducta sancionada en los términos de la legislación civil, penal o de cualquier otra naturaleza, los sujetos obligados lo harán del conocimiento de las autoridades competentes.
TRANSITORIOS
PRIMERO.- El presente decreto entrará en vigor el día 3 de diciembre del 2014, previa su publicación en el Periódico Oficial del Estado.
Los procedimientos penales se sujetarán a las disposiciones, etapas y plazos que establezca la Declaratoria de Incorporación del Estado de Campeche al Sistema Procesal Acusatorio e inicio de vigencia del Código Nacional de Procedimientos Penales.
SEGUNDO.- Se abroga el Acuerdo del Ejecutivo del Estado por el que se Autoriza el Uso de Medios Electrónicos y de la Firma Electrónica en las Dependencias y Entidades de la Administración Pública del Estado de Campeche, publicado el 18 de Septiembre de 2008 en el Periódico Oficial del Estado de Campeche número 4121, así como todas las disposiciones legales, reglamentarias y administrativas del marco jurídico estatal, en lo que se opongan al contenido del presente decreto.
TERCERO.- El Ejecutivo Estatal expedirá el Reglamento de esta Ley, dentro de los noventa días hábiles siguientes a la fecha de entrada en vigor del presente decreto.
CUARTO.- Los sujetos de esta Ley, a los que se hace referencia en las fracciones I a V del artículo 3, en el ámbito de sus respectivas competencias, deberán realizar las acciones que correspondan a efecto de que la firma electrónica avanzada y el uso de medios electrónicos inicien su operación a más tardar en un año contado a partir de la entrada en vigor del presente decreto.
Dichos sujetos, en el ámbito de sus respectivas competencias, promoverán una difusión masiva entre los usuarios de las disposiciones de este decreto.
QUINTO.- Transcurrido el plazo señalado en el transitorio cuarto que antecede, los sujetos que no cuenten con la infraestructura tecnológica propia para efectuar los servicios de autoridad certificadora en el ámbito de su competencia, podrán optar por utilizar la infraestructura de la Secretaría de Administración e Innovación Gubernamental de la Administración Pública Estatal, previo convenio que se realice entre las partes, para cumplir con los fines establecidos en la presente Ley.
Dado en el Salón de Sesiones del Palacio Legislativo, en la ciudad de San Francisco de Campeche, Campeche, a los veintinueve días del mes de septiembre del año dos mil catorce.
C. Edgar Román Hernández Hernández, Diputado Presidente.-
C. Jesús Antonio Quiñones Loeza, Diputado Secretario.-
C. Adda Luz Ferrer González, Diputada Secretaría.-
FERNANDO EUTIMIO ORTEGA BERNES, Gobernador Constitucional del Estado Libre y Soberano de Campeche, mediante el presente Decreto, se hace saber a los habitantes del Estado de Campeche:
Que la LXI Legislatura del H. Congreso Constitucional del Estado Libre y Soberano de Campeche me ha dirigido el Decreto número 170, por lo que, en cumplimiento de lo dispuesto por los artículos 48, 49 y 71, fracción XVIII de la Constitución Política del Estado de Campeche, lo sanciono, mando se imprima, publique y circule para su debida observancia.
Este Decreto es dado en el Palacio de Gobierno el Estado, en San Francisco de Campeche, municipio y Estado de Campeche, a los veintinueve días del mes de septiembre del año dos mil catorce.
EL GOBERNADOR CONSTITUCIONAL DEL ESTADO, LIC. FERNANDO EUTIMIO ORTEGA BERNES.- EL SECRETARIO DE GOBIERNO, LIC. WILLIAM ROBERTO SARMIENTO URBINA.-
———————————————————————————————————
REFORMA P.O. 22 DE DICIEMBRE DE 2016.
TRANSITORIOS DEL DECRETO NÚMERO 100 POR EL QUE “SE REFORMA EL SEGUNDO PÁRRAFO DEL ARTÍCULO 22 DE LA LEY DE FIRMA ELECTRÓNICA AVANZADA Y USO DE MEDIOS ELECTRÓNICOS DEL ESTADO DE CAMPECHE.
PRIMERO.- Las modificaciones a las disposiciones contenidas en la Ley Orgánica de la Administración Pública del Estado de Campeche entrarán en vigor al día siguiente de la publicación de este decreto en el Periódico Oficial del Estado de Campeche. El sistema de registros y control de las erogaciones personales deberá estar en operación a más tardar el 1 de enero de 2018.
SEGUNDO.- La Ley del Servicio de Administración Fiscal del Estado de Campeche, las modificaciones contenidas en la Ley de Hacienda del Estado de Campeche, el Código Fiscal del Estado de Campeche y la Ley de Firma Electrónica Avanzada y Uso de Medios Electrónicos del Estado de Campeche entrarán en vigor el día 1 de abril de 2017.
TERCERO.- Se derogan todas las disposiciones legales, reglamentarias y administrativas, de igual o menor jerarquía, del marco jurídico estatal que se opongan al presente decreto.
CUARTO.- El Ejecutivo del Estado expedirá el Reglamento Interior del Servicio de Administración Fiscal del Estado de Campeche, con la anticipación debida con la finalidad de que entre en vigor de manera simultánea con la Ley del Servicio de Administración Fiscal del Estado de Campeche el día 1 de abril de 2017.
QUINTO.- La Secretaría establecerá los mecanismos para la readscripción de los trabajadores de base que vienen prestando sus servicios a la misma, y que deban incorporarse al Servicio de Administración Fiscal del Estado de Campeche. Los derechos de estos trabajadores serán respetados y en ningún caso serán afectados por la reorganización que implica el presente ordenamiento.
SEXTO.- Las referencias que se hacen y atribuciones que se otorgan en otras leyes, reglamentos y demás disposiciones a la Secretaria de Finanzas o a cualquiera de sus unidades administrativas, se entenderán hechas al Servicio de Administración Fiscal del Estado de Campeche, cuando se trate de atribuciones vinculadas con la materia objeto de la Ley del Servicio de Administración Fiscal del Estado de Campeche, el Reglamento Interior del Servicio de Administración Fiscal del Estado de Campeche o cualquier otra disposición jurídica que emane de ellos.
SÉPTIMO.- Los asuntos que a la fecha de entrada en vigor de la presente Ley se encuentren en trámite ante alguna de las unidades administrativas de la Subsecretaría de Ingresos, de la Procuraduría Fiscal y de la Dirección General de Auditoría Fiscal de la Secretaría y que pasen a formar parte del Servicio de Administración Fiscal del Estado de Campeche, o los recursos administrativos interpuestos en contra de actos o resoluciones de tales unidades administrativas, se seguirán tramitando ante el Servicio de Administración Fiscal del Estado de Campeche y serán resueltos por el mismo, cuando se encuentren vinculados con la materia objeto de la Ley del Servicio de Administración Fiscal del Estado de Campeche, el Reglamento Interior del Servicio de Administración Fiscal del Estado de Campeche y cualquier otra disposición jurídica que emane de ellos.
OCTAVO.- Los juicios en los que sea parte la Secretaría de Finanzas por actos de las unidades administrativas adscritas a la Subsecretaría de Ingresos, de la Procuraduría Fiscal y de la Dirección General de Auditoría Fiscal que pasen a formar parte del Servicio de Administración Fiscal del Estado de Campeche, que a la entrada en vigor de la presente Ley se encuentren en trámite ante los Tribunales del fuero federal, o cualquier otra instancia jurisdiccional, los continuará tramitando el Servicio de Administración Fiscal del Estado de Campeche a través de sus unidades administrativas competentes hasta su total conclusión, para lo cual ejercitarán las acciones, excepciones y defensas que correspondan a las autoridades señaladas en los juicios, ante dichos tribunales.
NOVENO.- Los amparos contra actos de las unidades administrativas adscritas a la Subsecretaría de Ingresos, de la Procuraduría Fiscal y de la Dirección General de Auditoría Fiscal de la Secretaría de Finanzas que pasen a formar parte del Servicio de Administración Fiscal del Estado de Campeche, cuya interposición les sea notificado con el carácter de autoridades responsables o de terceros perjudicados con anterioridad a la entrada en vigor de la Ley del Servicio de Administración Fiscal del Estado de Campeche, continuarán siendo llevados en su tramitación hasta su total conclusión por el Servicio de Administración Fiscal del Estado de Campeche.
DÉCIMO.- La Secretaría de Finanzas dispondrá lo conducente a fin de que, a partir de la entrada en vigor de la Ley del Servicio de Administración Fiscal del Estado de Campeche, los bienes muebles e inmuebles, materiales y financieros, así como los archivos y expedientes con los que actualmente cuentan las unidades administrativas adscritas a la Subsecretaría de Ingresos de la Secretaría, de la Procuraduría Fiscal y de la Dirección General de Auditoría Fiscal pasen a formar parte del Servicio de Administración Fiscal del Estado de Campeche, para el ejercicio de las atribuciones vinculadas con la materia objeto de la mencionada Ley, su Reglamento y cualquier otra disposición jurídica que emane de ellos. Para tales efectos se deberán formalizar las actas de entrega- recepción correspondientes, en términos de las disposiciones jurídicas aplicables.
UNDÉCIMO.- Los ajustes en materia de programación, presupuesto, estructuras y contabilidad que genere la creación del Servicio de Administración Fiscal del Estado de Campeche, podrán hacerse paulatinamente durante el ejercicio fiscal 2017.
DÉCIMO SEGUNDO.- El Servicio de Administración Fiscal del Estado de Campeche podrá continuar utilizando el sistema informático actual o implementar un sistema informático propio. En el caso de la firma electrónica avanzada podrá implementarla a través de medios propios o a través de convenios con terceros.
DÉCIMO TERCERO.- Las referencias que se hacen y atribuciones que se otorgan en el Código Fiscal del Estado de Campeche y en otras leyes, reglamentos, acuerdos y demás disposiciones Jurídicas del marco jurídico del Estado, a la Secretaría de Finanzas de la Administración Pública del Estado de Campeche o a cualquiera de sus unidades administrativas, se entenderán hechas al Servicio de Administración Fiscal del Estado de Campeche cuando se trate de atribuciones vinculadas con la materia objeto de la Ley que crea y regula dicho órgano o cualquier otra disposición jurídica que emane de ellos.
DÉCIMO CUARTO.- Las facultades conferidas al Estado de Campeche en el o los convenios de Colaboración Administrativa en materia Fiscal Federal y sus anexos, celebrados entre el Gobierno Federal, por conducto de la Secretaría de Hacienda y Crédito Público, y el Gobierno del Estado de Campeche, así como todos los Convenios de Colaboración Administrativa en materia Hacendaria de Ingresos celebrados entre el Estado de Campeche y sus municipios, se entenderán también conferidas todas esas facultades al Órgano Administrativo Desconcentrado denominado “Servicio de Administración Fiscal del Estado de Campeche”.
DÉCIMO QUINTO.- Los asuntos pendientes de resolver por la Secretaría de Finanzas de la Administración Pública del Estado de Campeche a la entrada en vigor de este decreto, cuyas facultades se sustenten en el Código Fiscal del Estado, los resolverá el Servicio de Administración Fiscal del Estado de Campeche, salvo disposición específica en contrario.
DÉCIMO SEXTO.- El plazo para el cómputo de la prescripción a que se refiere el párrafo quinto del artículo 39 del Código Fiscal del Estado, será aplicable para los créditos fiscales que hayan sido exigidos a partir del 1 de enero de 2008.
Tratándose de los créditos fiscales exigibles con anterioridad al 1 de enero de 2008, el Servicio de Administración Fiscal del Estado de Campeche tendrá un plazo máximo de dos años para hacer efectivo el cobro de dichos créditos contados a partir de la entrada en vigor del presente decreto, siempre que se trate de créditos que no se encuentren controvertidos en dicho periodo; de controvertirse, el plazo máximo de dos años será suspendido. La aplicación de la presente disposición no configurará responsabilidad administrativa para servidores públicos encargados de la ejecución y cobro de créditos fiscales, siempre y cuando realicen las gestiones de cobro correspondientes.
DÉCIMO SÉPTIMO.- La conversión de las tarifas, cuotas, derechos, multas y demás valores expresados en salarios mínimos generales diarios vigentes a Unidades de Medida y Actualización, se realizan en cumplimiento del artículo tercero transitorio del decreto por el que se declaran reformadas y adicionadas diversas disposiciones de la Constitución Política de los Estados Unidos Mexicanos, en materia de desindexación del salario mínimo, publicado en el Diario Oficial de la Federación el veintisiete de enero de dos mil dieciséis.
DÉCIMO OCTAVO.- Las referencias al Registro Único de Obligaciones y Financiamientos se entenderán hechas al Registro de Empréstitos y Obligaciones.
20Sep/18
Circular nº 39/2017 de 26 de octubre de 2017
Circular nº 39/2017 de 26 de octubre de 2017. Acuerdo del Pleno del Consejo de la Judicatura del Estado de México, del veinticuatro de octubre de dos mil diecisiete, por el que se autoriza la creación de la Firma Electrónica Avanzada del Poder Judicial del Estado de México. (Gaceta del Gobierno, 31 de octubre de 2017).
C I R C U L A R nº 39/2017
Toluca de Lerdo, México, a 26 de octubre de 2017.
C I U D A D A N O
Con fundamento en el artículo 42, fracción I de la Ley Orgánica del Poder Judicial del Estado de México, se comunican los siguientes:
I.- ACUERDO DEL PLENO DEL CONSEJO DE LA JUDICATURA DEL ESTADO DE MÉXICO, DEL VEINTICUATRO DE OCTUBRE DE DOS MIL DIECISIETE, POR EL QUE SE AUTORIZA LA CREACIÓN DE LA FIRMA ELECTRÓNICA AVANZADA DEL PODER JUDICIAL DEL ESTADO DE MÉXICO; AL TENOR DE LOS SIGUIENTES:
CONSIDERANDOS
I.- El Consejo de la Judicatura es el órgano constitucional encargado de la administración, vigilancia y disciplina del Poder Judicial, en términos de los artículos 106 de la Constitución Política del Estado Libre y Soberano de México; 52 y 63, fracciones XVI, XVIII y XXIII de la Ley Orgánica del Poder Judicial del Estado de México, con facultades para adoptar las medidas necesarias para un eficiente manejo administrativo, así como para expedir los acuerdos generales en materia administrativa y los necesarios para llevar a cabo sus atribuciones.
II.- De conformidad con los artículos 34, 88, inciso a) de la Constitución Política del Estado Libre y Soberano de México y 2 de la Ley Orgánica del Poder Judicial del Estado de México es uno de los Poderes Públicos del Estado de México, encargado de interpretar y aplicar las leyes en los asuntos del orden civil, familiar, penal, de justicia para adolescentes y de las demás materias del fuero común y del orden federal, en los casos en que expresamente los ordenamientos legales le confieran jurisdicción.
III. El Plan de Desarrollo Estratégico 2015-2020 establece en sus ideales I y VI, la Justicia Efectiva y de Excelencia y la Modernización Administrativa, el reto de la calidad en la impartición de justicia, eficientar procesos judiciales, innovar al Tribunal con tendencia a los sistemas electrónicos modernos e incorporar las tecnologías de la información; lo cual conlleva a buscar alternativas tecnológicas que permitan dar mayor prontitud, eficacia y calidad a las actividades que realiza la institución en beneficio de los ciudadanos.
IV.- De conformidad con lo establecido en el párrafo segundo del artículo 17 de la Constitución Política de los Estados Unidos Mexicanos, toda persona tiene derecho a que se le administre justicia por tribunales que estarán expeditos para impartirla en los plazos y términos que fijen las leyes, emitiendo sus resoluciones de manera pronta, completa e imparcial.
V.- Los artículos 1.96, 1.97, 1.119, 1.119 Bis y 1.125 del Código de Procedimientos Civiles del Estado de México establecen el uso de la Firma Electrónica Avanzada para diversos trámites judiciales, entre ellos, la presentación de demandas y promociones.
Por su parte, el Código Nacional de Procedimientos Penales en sus numerales 51 y 83 último párrafo, establecen que en el proceso penal se podrán utilizar los medios electrónicos en todas las actuaciones para facilitar su operación; así como el uso de la firma digital en las notificaciones.
El Código de Comercio, en su artículo 89, establece, entre otras cosas, que en los actos de comercio y en la formación de los mismos podrán emplearse los medios electrónicos, ópticos o cualquier otra tecnología.
En esta materia, la utilización de la firma electrónica avanzada contribuirá al apuntalamiento del Poder Judicial del Estado de México en el puesto uno, en materia de juicios mercantiles, en el estudio que realiza el Banco Mundial, a través del proyecto Doing Bussines en México.
VI.- Por su parte, el artículo 8 fracción IX de la Ley Orgánica del Poder Judicial del Estado de México, el Tribunal Superior de Justicia, los tribunales y juzgados, tienen, entre otras, la obligación de implementar a través del Consejo de la Judicatura el uso estratégico de tecnologías de la información que ayuden a que la impartición de justicia se realice de manera pronta y expedita.
En el mismo sentido, el artículo 63, fracción XXXVI de la citada ley orgánica, señala que es facultad del Consejo de la Judicatura establecer, a través de acuerdos generales, el uso estratégico de las tecnologías de la información en los procesos jurisdiccionales que se ventilan en los juzgados y salas que integran el Poder Judicial, así como en sus respectivas áreas administrativas.
VII.- En ese orden de ideas, el uso de la tecnología en la administración de justicia, en el caso particular, con la implementación de la firma electrónica avanzada en los procesos judiciales, constituye una acción eficiente para acelerar los procesos de simplificación administrativa que la ciudadanía demanda.
Es así que uno de los objetivos de la administración 2015-2020 consiste en avanzar hacia un verdadero gobierno digital que permita a los servidores judiciales, brindar mejor servicio, así como poner a disposición de los usuarios de la administración de justicia medios electrónicos accesibles, lo que se traduce en eficiencia en términos de tiempo, servicio y capacidad de respuesta, para mejorar el acceso a la transparencia.
VIII.- Por lo anterior, la creación, uso y regulación de la firma electrónica avanzada en nuestra institución, involucra un avance importante en la implementación de nuevas tecnologías en la administración de justicia, con los siguientes beneficios: producirá mayor seguridad e integridad de los documentos; el contenido del documento electrónico firmado no puede ser alterado, por lo que se garantiza la autenticación del mismo y la identidad del firmante; se garantiza la confidencialidad, el contenido del mensaje solo será conocido por quienes estén autorizados a ello; disminución del uso de papel; se evitan desplazamientos y traslados; disminución del tiempo en la ejecución de procesos; aumento de la productividad y competitividad de la institución. Lo que sin duda coadyuvará a eficientar las labores de los órganos jurisdiccionales, en beneficio de la sociedad.
IX.- En mérito de lo anterior, con fundamento en los artículos 106 de la Constitución Política del Estado Libre y Soberano de México; 52 y 63, fracciones XVI, XXIII y XXXVI de la Ley Orgánica del Poder Judicial del Estado, se emite el siguiente:
ACUERDO
PRIMERO. Se autoriza la creación de la firma electrónica avanzada del Poder Judicial del Estado de México, cuya denominación será FEJEM (Firma Electrónica Judicial del Estado de México).
SEGUNDO. Se crea el Comité Técnico para la implementación de la Firma Electrónica Judicial del Estado de México; la designación de sus integrantes queda a cargo del Consejo de la Judicatura del Estado de México.
TERCERO. El Reglamento para la Operatividad de la Firma Electrónica Judicial, será emitido por este cuerpo colegiado.
CUARTO. Se instruye al Director General de Innovación y Desarrollo Tecnológico del Poder Judicial del Estado de México, para que en el ámbito de sus atribuciones, implemente las medidas pertinentes para ajustar los sistemas informáticos y para el otorgamiento de la firma electrónica a los servidores adscritos a los órganos jurisdiccionales, administrativos y público autorizados, que se establezca en el correspondiente Reglamento.
QUINTO. Con el fin de que los usuarios de la administración de justicia y público en general conozcan la próxima implementación de la firma electrónica, se instruye a la Coordinación de Comunicación Social del Poder Judicial del Estado de México para que realice la correspondiente difusión.
SEXTO. Cualquier situación no prevista en el presente será resuelta por el Consejo de la Judicatura mexiquense.
TRANSITORIOS
PRIMERO. El presente acuerdo general entrará en vigor el uno de noviembre de dos mil diecisiete, en que iniciará el enrolamiento de la firma electrónica judicial del Estado de México.
SEGUNDO. Hágase del conocimiento el presente acuerdo de los órganos jurisdiccionales y administrativos del Poder Judicial del Estado de México, para que en el ámbito de sus atribuciones tomen las precauciones pertinentes.
TERCERO. Publíquese el presente acuerdo en la Gaceta del Gobierno del Estado de México, Boletín Judicial y en la página de internet oficial del Poder Judicial del Estado de México.
II.- REGLAMENTO DE LA FIRMA ELECTRÓNICA AVANZADA DEL PODER JUDICIAL DEL ESTADO DE MÉXICO (FEJEM)
TÍTULO PRIMERO.- DISPOSICIONES GENERALES
CAPÍTULO PRIMERO
Objeto
Artículo 1. El presente Reglamento tiene por objeto regular las bases para la emisión, uso y revocación de la Firma Electrónica Avanzada del Poder Judicial del Estado de México, cuya denominación será FEJEM (Firma Electrónica Judicial del Estado de México).
Definiciones
Artículo 2. Para efectos del presente Reglamento se entenderá por:
I.- Firma Electrónica Avanzada: Es el conjunto de datos y caracteres que permiten la identificación del firmante, que ha sido creada por medios electrónicos bajo su exclusivo control, de manera que está vinculada únicamente a él y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos, la cual produce los mismos efectos jurídicos que la firma autógrafa;
II.- Agente Certificador: El servidor público por conducto del cual actuará la Unidad de Certificación para tramitar la emisión, renovación, revocación y cancelación de Certificados Digitales de la FEJEM;
III.- Certificado Digital: El Certificado emitido por la Unidad de Certificación que asocia de manera segura y fiable la identidad del firmante con una Llave Pública, permitiendo con ello identificar quién es el autor o emisor de un documento electrónico remitido mediante la FEJEM;
IV.- Llave Pública: Los datos contenidos en un Certificado Digital de la FEJEM que permiten la verificación de la autenticidad de la Firma Electrónica Avanzada del Firmante;
V.- Consejo: El Consejo de la Judicatura del Estado de México;
VI.- CURP: Clave Única de Registro de Población;
VII.- Documento Electrónico: El generado, consultado, modificado o procesado por Medios Electrónicos;
VIII.- Llave Privada: Los datos que el firmante genera de manera secreta y bajo su estricto control al solicitar su FEJEM, vinculados de manera única y complementaria con su Llave Pública;
IX.- Poder Judicial: Poder Judicial del Estado de México.
Sujetos obligados
Artículo 3. Estarán sujetos a las disposiciones del presente Reglamento, todos los Servidores Públicos del Poder Judicial y aquellas personas que requieran tramitar y obtener la FEJEM.
Uso de la Firma
Artículo 4. La FEJEM podrá ser utilizada por los usuarios en los trámites jurisdiccionales que determine la normatividad adjetiva respectiva, así como en los que señale el Consejo, en al ámbito administrativo.
Los documentos electrónicos que cuenten con una firma electrónica producirán los mismos efectos que los presentados con firma autógrafa, teniendo el mismo valor probatorio que las disposiciones aplicables les otorgan a éstos.
Sistemas Electrónicos
Artículo 5. Los requisitos para el acceso y privilegios en los sistemas electrónicos del Poder Judicial que requieran del uso de la FEJEM se establecerán en la normativa que los rija, y se difundirán y describirán en el correspondiente manual de usuario.
Principios
Artículo 6. La FEJEM deberá garantizar los siguientes principios:
I.- Autenticidad: Dar certeza de que un documento electrónico ha sido emitido por el firmante, por lo que su contenido y consecuencias jurídicas le son atribuibles a éste;
II.- Seguridad: En un documento electrónico se garantiza que éste sólo puede ser cifrado por el firmante y el receptor;
III.- Integridad: Un documento electrónico dará certeza de que éste ha permanecido completo e inalterado desde su firma.
CAPÍTULO II.- DE LA SOLICITUD DE LA FEJEM
Solicitud de personas físicas
Artículo 7. La FEJEM únicamente podrá ser solicitada y emitida a personas físicas, con independencia de que éstas sean representantes de personas morales públicas o privadas, por lo que se realizará exclusivamente por el interesado, sin que dicho trámite pueda efectuarse mediante apoderado o representante legal.
Procedimiento de solicitud
Artículo 8. Para obtener la FEJEM el interesado deberá ingresar a la dirección web: http://fejem.pjedomex.gob.mx y seguir los pasos del manual de usuario que allí estará disponible.
CAPÍTULO III.- RENOVACIÓN DE LA FEJEM
Renovación
Artículo 9. La renovación deberá efectuarse dentro de los treinta días naturales anteriores a la conclusión de su vigencia, si en ese lapso de tiempo no se renueva la FEJEM caducará y el interesado deberá formular una nueva solicitud.
Artículo 10. Para la renovación de la FEJEM el interesado deberá ingresar a la dirección web: http://fejem.pjedomex.gob.mx y seguir los pasos del manual de usuario que allí estará disponible.
CAPÍTULO IV.- REVOCACIÓN DE LA FEJEM
Revocación por el usuario
Artículo 11. Para la revocación de la FEJEM el interesado deberá ingresar a la dirección web: http://fejem.pjedomex.gob.mx y seguir los pasos del manual de usuario que allí estará disponible.
Causas de Revocación
Artículo 12. La Unidad de Certificación podrá revocar la FEJEM por las siguientes causas:
I).- Muerte del titular;
II).- Resolución administrativa o judicial que lo ordene;
III).- Por error en la emisión de un certificado;
Lo anterior, se notificará al usuario en el correo electrónico que proporcionó al momento de obtener su certificado.
TÍTULO SEGUNDO.- DE LOS DERECHOS, OBLIGACIONES Y SANCIONES DE LOS TITULARES DE LA FEJEM
CAPÍTULO I.- DE LOS DERECHOS Y OBLIGACIONES
Derechos de los titulares de una FEJEM
Artículo 13. Los titulares de la FEJEM tendrán los siguientes derechos:
I.- A la protección de sus datos personales, de conformidad con las disposiciones aplicables;
II.- Solicitar a la Unidad de Certificación constancia de la existencia y vigencia de su FEJEM cuando a sus intereses convenga; y
III.- Recibir información sobre los procedimientos de solicitud, emisión, renovación y revocación de la FEJEM, así como de las instrucciones para su uso.
Obligaciones de los titulares de una FEJEM
Artículo 14. Los titulares de la FEJEM tendrán las siguientes obligaciones:
I.- Proporcionar datos y documentos verdaderos, completos y exactos al momento de tramitar la solicitud de la FEJEM;
II.- Resguardar la confidencialidad de su Llave Privada y de la clave de acceso a dicha llave, así como la de revocación del Certificado Digital de la FEJEM;
III.- Mantener un control físico, personal y exclusivo de su FEJEM;
IV.- Usar adecuadamente la FEJEM; y
V.- Revocar de inmediato su FEJEM cuando se ponga en riesgo la confidencialidad de la Llave Privada o de las claves referidas en la fracción II de este artículo.
CAPÍTULO II.- DE LAS SANCIONES
Sanciones
Artículo 15. Las conductas de los servidores públicos del Poder Judicial que impliquen el incumplimiento a los preceptos establecidos en el presente Reglamento dará lugar al procedimiento y a las sanciones que correspondan en términos de lo previsto en la Ley Orgánica del Poder Judicial del Estado de México, de la Ley de Responsabilidades Administrativas del Estado de México y Municipios, y demás disposiciones aplicables.
Vista a la autoridad competente
Artículo 16. Los servidores públicos de la Unidad de Certificación deberán hacer del conocimiento de las autoridades competentes las conductas de los usuarios, a quienes se les haya otorgado una FEJEM, que pudieran constituir delitos o responsabilidad administrativa.
TÍTULO TERCERO.- DE LA UNIDAD DE CERTIFICACIÓN
CAPÍTULO ÚNICO
Unidad de Certificación
Artículo 17. La Unidad de Certificación será la responsable de llevar a cabo los procedimientos para la emisión, renovación, revocación y consulta de la FEJEM, por sí o por conducto de los agentes certificadores que la auxilien.
Dependerá de la Dirección General de Innovación y Desarrollo Tecnológico, y tendrá la estructura orgánica que establezca el Consejo.
Obligaciones de la Unidad de Certificación
Artículo 18. Corresponde a la Unidad de Certificación:
I.- Administrar el sistema informático para la emisión de los certificados digitales de la FEJEM;
II.- Emitir certificados digitales de la FEJEM cuando así proceda;
III.- Cotejar la documentación que acompañe el solicitante de un certificado digital de FEJEM;
IV.- Brindar la atención a solicitudes de certificados digitales de la FEJEM;
V.- Rechazar las solicitudes de certificados que no cumplan con los requisitos solicitados;
VI.- Atender las solicitudes de revocación de certificados cuando el interesado se encuentre imposibilitado para realizar el proceso de revocación en línea;
VII.- Expedir los manuales generales de funcionamiento de los certificados digitales de la FEJEM;
VIII.- Llevar un control electrónico del número de certificados digitales de la FEJEM que se han emitido, rechazado o revocado;
IX.- Coordinar los programas de capacitación a los Usuarios Finales de los certificados digitales de la FEJEM;
X.- Plantear la implementación de mejores prácticas para el uso de la FEJEM;
X.- Apoyar a las diversas áreas administrativas del Consejo para implementar en sus procedimientos administrativos el uso de la FEJEM;
XII. Proponer al Consejo la celebración de convenios con otros entes públicos y privados que cuenten con firma electrónica avanzada;
XIII. Revocar la FEJEM; y
XIV. Las demás que establezca el Consejo.
Manuales de Usuario
Artículo 19. La Unidad de Certificación publicará en los medios de comunicación electrónica del Poder Judicial los manuales de usuario que se requieran, así como las políticas que estime necesarias.
Publicidad de la vigencia de los Certificados
Artículo 20. La Unidad de Certificación deberá hacer pública la vigencia de los certificados digitales de la FEJEM emitidos a los usuarios finales, así como todos los servicios relacionados con la misma, a través de la página web institucional del Poder Judicial.
TÍTULO CUARTO.- DEL RECONOCIMIENTO HOMOLOGADO DE CERTIFICADOS DIGITALES DE FIRMA ELECTRÓNICA AVANZADA Y DE LA CELEBRACIÓN DE CONVENIOS DE COORDINACIÓN
CAPÍTULO ÚNICO
Convenio de Coordinación
Artículo 21. El Poder Judicial podrá reconocer un certificado digital de firma electrónica que hubiere emitido otro Estado, entidad federal o ente, siempre y cuando se haya celebrado convenio de coordinación para el reconocimiento de certificados digitales homologados, en términos de lo previsto en la legislación aplicable. En la inteligencia de que para acceder al Sistema Electrónico será necesaria la verificación en línea de la vigencia de los certificados correspondientes.
Situaciones no previstas
Artículo 22. Cualquier situación no prevista en este Reglamento será resuelta por el Consejo de la Judicatura.
TRANSITORIOS
PRIMERO. El presente Reglamento entrará en vigor el uno de noviembre de dos mil diecisiete.
SEGUNDO. Publíquese el presente Reglamento en la Gaceta del Gobierno del Estado de México, Boletín Judicial y en la página de internet oficial del Poder Judicial del Estado de México.
Así por unanimidad de votos lo acordó el Pleno del Consejo de la Judicatura del Estado de México, y firman al calce el Presidente y la Secretaria General de Acuerdos, que da fe.
A T E N T A M E N T E
PRESIDENTE DEL TRIBUNAL SUPERIOR DE JUSTICIA Y DEL CONSEJO DE LA JUDICATURA DEL ESTADO DE MÉXICO, MGDO. DR. EN D. SERGIO JAVIER MEDINA PEÑALOZA
SECRETARIA GENERAL DE ACUERDOS, M. EN C. P. FABIOLA CATALINA APARICIO PERALES
20Sep/18
SENTENCIA 25/2018 DEL TRIBUNAL SUPERIOR DE JUSTICIA DE CASTILLA LA MANCHA DE 12 DE ENERO DE 2018.
MAGISTRADO/A PONENTE: Ilma. Sra. Dª Mª DEL CARMEN PIQUERAS PIQUERAS
ILMOS/AS. SRES/AS. MAGISTRADOS/AS
PEDRO LIBRAN SAINZ DE BARANDA
JESUS RENTERO JOVER
ISIDRO MARIANO SAIZ DE MARCO
Mª DEL CARMEN PIQUERAS PIQUERAS
En Albacete, a doce de enero de dos mil dieciocho.
La Sala de lo Social del Tribunal Superior de Justicia de Castilla-La Mancha, compuesta por los Iltmos. Sres. Magistrados citados al margen, y
EN NOMBRE DEL REY
ha dictado la siguiente
S E N T E N C I A
En el Recurso de Suplicación número 1.416/17, interpuesto por la representación legal de D. Rubén , contra la Sentencia dictada por el Juzgado de lo Social número Dos de Ciudad Real, de fecha 11 de abril de 2017 , en los autos número 802/16, sobre DESPIDO, siendo recurrido TEPOL SEGURIDAD, SLU, con la intervención del FOGASA.
Es Ponente la Iltma. Sra. Magistrada Dª. Mª DEL CARMEN PIQUERAS PIQUERAS.
ANTECEDENTES DE HECHO
PRIMERO .
Que la Sentencia recurrida dice en su parte dispositiva: “FALLO:
Que debo desestimar y desestimo la demanda presentada por el actor, declarando la procedencia del despido disciplinario, absolviendo a la mercantil demandada “Tepol Seguridad S.L.U.” de las pretensiones deducidas de contrario.
SEGUNDO .
Que, en dicha Sentencia se declaran probados los siguientes Hechos:
PRIMERO: El actor ha prestado servicios para la mercantil demandada, la cual se subrogó en la relación laboral mantenida con las mercantiles “Controlcaza, vigilancia y Seguridad S.L.”, primero y después, “GS3 División Seguridad S.L”, con una antigüedad reconocida por la demandada del 22-2-12, que sin embargo debe situarse en el 19- 11-2010, siendo su categoría profesional, la de vigilante de seguridad, con un salario diario de 1.392,45 euros.
SEGUNDO: El día 6-9-16 la empresa entregó carta al trabajador imponiéndole una sanción de tres días sin empleo ni sueldo, por hechos cometidos el 3 y el 4 de septiembre de 2016, consistentes en fumar en el trabajo durante su turno, en las instalaciones de la fábrica y en la caseta de seguridad. En dicha carta se le decía que el día 23-6-16 ya se le había amonestado verbalmente por los mismos hechos, poniendo en su conocimiento que se había tenido que higienizar la caseta de seguridad y los aparatos en ella instalados. El contenido de dicha carta se da por reproducido al obrar unido como documento nº 7 del ramo de la actora.
TERCERO: La empresa despidió al trabajador mediante carta fechada el 10-10-16 y con efectos de ese mismo día, en la que se le imputaba un despido disciplinario por infracción del art. 54.2b) y 55.1, 55.13, 55.15 y 55.20 del Convenio. En la carta se alude a que, pese a haber sido amonestado verbalmente, continua fumando en las instalaciones de la fábrica “Faiges” sita en Daimiel, donde se efectúa la vigilancia, todo ello en virtud de un contrato de arrendamiento de servicios de seguridad celebrado el 1-7-16 entre la mercantil Faiges y la empresa aquí demandada. Así mismo, se le imputa una disminución voluntaria y continuada en el rendimiento en su puesto de trabajo, la comisión de actos inmorales en el puesto de trabajo, tales como, visionado de material pornográfico y masturbaciones en el trabajo, y distracciones graves por juegos o conversaciones telefónicas. El contenido de la carta se da por reproducido al constar unido a los autos junto con la demanda.
CUARTO: Acreditado que el trabajador ha fumado mientras ejercía su actividad laboral en el interior de la caseta donde lo desarrolla, así como ha visionado material pornográfico y se ha masturbado durante la jornada laboral los días imputados en la carta de despido. La empleadora tuvo conocimiento de ello tras la instalación de una cámara de grabación en el interior de la caseta, incorporación realizada con la finalidad de sorprender al trabajador por sospechas anteriores y sin aviso por tanto, al trabajador. En el recinto hay carteles informativos que prohíben fumar.
QUINTO: El Convenio Colectivo aplicable es el Estatal de Empresas de Seguridad.
SEXTO: El actor no ostenta ni ha ostentado cargo de representación sindical.
SEPTIMO: Se celebró acto de conciliación con el resultado de sin avenencia.
TERCERO .
Que, en tiempo y forma, por la parte demandante, se formuló Recurso de Suplicación contra la anterior Sentencia, en base a los motivos que en el mismo constan.
Dicho Recurso ha sido impugnado de contrario.
Elevadas las actuaciones a este Tribunal, se dispuso el pase al Ponente para su examen y resolución.
FUNDAMENTOS DE DERECHO
PRIMERO.- Frente a la sentencia de instancia que declaró procedente el despido del que había sido objeto el actor, se alza este en suplicación mediante el presente recurso que articula a través de cinco motivos. Los tres primeros, al amparo procesal del apartado b) del artículo 193 LRJS , para revisar hechos probados; y el cuarto y quinto, bajo cobijo procesal en el apartado c) del citado precepto, para examinar la infracción de normas sustantivas o de la jurisprudencia; pretendiendo -en síntesis- la declaración de nulidad del despido por vulneración de derechos fundamentales, concretamente, del derecho a la protección de la intimidad personal y familiar en el uso de la informática, reconocido en el artículo 18.4 CE ; y subsidiariamente la improcedencia y en su caso la aplicación de la jurisprudencia sobre la graduación y proporcionalidad de la sanción impuesta.
Antes de dar contestación a cada uno de los motivos, conviene reseñar los hechos más relevantes, según se desprende del relato factico de la sentencia recurrida, así como de lo todo lo actuado. El actor prestaba sus servicios para la empresa demandada desde 22 de diciembre de 2012, como vigilante de seguridad, desarrollando sus funciones, consistentes fundamentalmente en controlar los monitores que proyectaban las imágenes grabadas por las cámaras de seguridad instaladas por todo el recinto empresarial, en una caseta aneja a la propia instalación empresarial pero dentro del espacio físico de esta. El trabajador es despedido mediante carta de fecha 10 de octubre de 2016 en la que se le imputaba la infracción de los artículos 54.2 b ) y 55.13 , 55.15 y 55.20 del Convenio Colectivo de Empresas de Vigilancia y Seguridad , por fumar en la instalaciones donde efectúa el servicio de vigilancia, pese a haber sido amonestado con anterioridad verbalmente; por disminución voluntaria y continuada en el rendimiento en su puesto de trabajo; la comisión de actos inmorales en el puesto de trabajo, tales como visionado de material pornográfico y masturbaciones, y distracciones graves por juegos o conversaciones telefónicas. La empresa tuvo conocimiento de tales hechos tras la instalación, sin previo aviso al trabajador, de una cámara de grabación en el interior de la caseta, con la finalidad de comprobar la sospecha de que fumaba en dicho lugar. En el recinto empresarial hay carteles informativos que prohíben fumar. También existen avisos y advertencias de la existencia de cámaras de video vigilancia en el interior del recinto empresarial, pero no en el interior de la caseta.
La sentencia de instancia considera probado que “el trabajador ha fumado mientras ejercía su actividad laboral en el interior de la caseta donde lo desarrolla, así como, ha visionado material pornográfico y se ha masturbado durante la jornada laboral los días imputados en la carta de despido”, extrayendo tal conclusión probatoria de la grabación obtenida, además de por la declaración de varios testigos respecto del hecho de fumar en el lugar de trabajo. No considera probado la disminución voluntaria y continuada en el rendimiento que también se imputaba al trabajador. Y califica los hechos probados como incumplimientos graves y culpables, así como proporcionada la sanción de despido.
SEGUNDO.- Dicho lo anterior, procede dar respuesta a los motivos del recurso, comenzando por los tres primeros, a través de los cuales la parte recurrente pretende la modificación del ordinal primero para incluir en su contenido la fecha concreta desde la que viene prestando servicios para la empresa demandada (1 de julio de 2016) que es a su vez, la fecha en la que dicha empresa sucedió en la contrata de vigilancia y seguridad a la anterior, al considerar “sintomático” que se produzca el despido cuando solo habían transcurrido tres meses desde dicha fecha, y sin embargo no hubiera tenido problema alguno con el resto de las empresas para las que prestó servicios con anterioridad. Sostiene tal modificación fáctica sobre los documentos consistentes en la carta de subrogación del trabajador, contrato de arrendamiento de servicios entre la empresa principal y la demandada, vida laboral del trabajador, y contratos de trabajo con las empresas anteriores (motivo primero).
También solicita la revisión del ordinal segundo, cuyo texto original es el siguiente: “El día 6-9-16 la empresa entregó una carta al trabajador imponiéndole una sanción de tres días sin empleo ni sueldo, por hechos cometidos el 3 y 4 de septiembre de 2016, consistentes en fumar en el trabajo durante su turno, en las instalaciones de la fábrica y en la caseta de seguridad. En dicha carta se le decía que el día 23-6-16 ya se le había amonestado verbalmente por los mismos hechos, poniendo en su conocimiento que se había tenido que higienizar la caseta de seguridad y los aparatos en ella instalados. El contenido de dicha carta se da por reproducido al obran unido como documento nº 7 del ramo de prueba de la actora”, para que sea sustituida por el texto alternativo que propone del siguiente tenor literal “El día 4 de octubre de 2016 la empresa entregó al trabajador una carta fechada el 6 de septiembre de 2016, imponiéndole una sanción de tres días sin empleo ni sueldo, por los hechos cometidos el día 3 y 4 de septiembre de 2016, consistentes en fumar en el trabajo durante su turno. En la carta se decía, sin prueba alguna que lo acredite, que el trabajador ya había sido amonestado verbalmente por los mismos hechos, poniendo en su conocimiento que había tenido que higienizar la caseta de seguridad y los aparatos en ella instalados. Consta por el contrario los partes de trabajo emitidos por el trabajador y firmados tanto por TEPOL como por el propio cliente, de conformidad con el servicio prestado” (motivo segundo).
Por último, pretende que se sustituya el contenido del hecho probado cuarto que dice: “Acreditado que el trabajador ha fumado mientras ejercía su actividad laboral en el interior de la caseta donde lo desarrolla, así como que ha visionado material pornográfico y se ha masturbado durante la jornada laboral los días imputados en la carta de despido. La empleadora tuvo conocimiento de ello tras la instalación de una cámara de grabación en el interior de la caseta, incorporación realizada con la finalidad de sorprender al trabajador por sospechas anteriores y sin aviso por tanto, al trabajador. En el recinto hay carteles informativos que prohíben fumar”, por el siguiente texto alternativo: “La empresa ha aportado grabación video gráfica en la que se aprecia al trabajador de espaldas con un cigarrillo en la boca, de una parte, y en la que aparece parte de una imagen de una persona en un acto de masturbación. La grabación se realiza en una cámara de la que no se ha realizado la advertencia previa a los trabajadores de su instalación en el interior de la caseta de trabajo. El trabajador se reconoce en la imagen de espaldas y lateral con un cigarro en la mano pero rechaza que sea él el de la otra imagen de la masturbación, en la que no se aprecia la persona concreta. Preguntado por el uniforme, se indica que todos
los trabajadores tienen el mismo uniforme de trabajo; no se aprecia la cara de la persona en la grabación que se facilita por la empresa. En la empresa hay otras cámaras exteriores en el recinto que se controlan desde el monitor de la caseta. En la fábrica hay carteles de prohibido fumar, no así en la caseta” (hecho probado tercero).
Para dar respuesta a tales pretensiones de revisión fáctica conviene recordar la doctrina constante del Tribunal Supremo (Sentencias 11 de junio de 1993 ; 15 y 26 de julio y 26 de septiembre de 1995 ; 2 y 11 de noviembre de 1998 ; 2 de febrero de 2000 ; 24 de octubre de 2002 y 12 de mayo de 2003), seguida por los Tribunales laborales, según la cual, el carácter extraordinario del recurso de suplicación impide a las partes no sólo alegar o probar hechos nuevos sino tan siquiera modificar los hechos declarados probados por el Juez a quo, lo que deriva del hecho de que hay una sola instancia y, por consiguiente, el único juez competente para valorar en su plenitud la prueba es el que celebró el juicio (Sentencia Tribunal Supremo de 18 de noviembre de 1999). El Tribunal Superior no puede hacer una valoración nueva y conjunta de la prueba, sino que tan sólo tiene atribuida la posibilidad de revisar la valoración hecha por el juez si de algún documento público -entendiendo por tales los expedidos por funcionario público con referencia a libros, archivos o legajos cuya custodia les esté encomendada por razón de su cargo-, o privado -si han sido expresamente reconocidos en juicio por la parte a quien pueda perjudicar-, o pericia, se deriva la equivocación del juzgador, sin que sea admisible su invocación genérica, ni tampoco las declaraciones de las partes o de testigos.
En todo caso, para apreciar el error del juzgador en la valoración de la prueba, también la jurisprudencia (Sentencias del Tribunal Supremo, entre otras muchas, de 2 de febrero de 2000 ; 24 de octubre de 2002 y 12 de mayo de 2003 ; 6 de julio de 2004 ; 20 de junio de 2006 ; o 9 de abril y 7 de julio de 2014 ; y las que en ellas se citan), reiterada constantemente por la doctrina de suplicación, viene declarando que para poder apreciarse el error de hecho en la valoración de la prueba y en consecuencia la pretensión revisora de los hechos declarados probados, han de concurrir los siguientes requisitos:
a) que se señale con precisión cual es el hecho afirmado, negado u omitido que se entiende equivocado, contrario a los acreditados o que conste con evidencia y no se haya incorporado al relato fáctico;
b) que se ofrezca un texto alternativo concreto para que se incluya en la narración del hecho probado, para que bien sustituya la totalidad o alguno de sus puntos o bien los complemente;
c) que se cite pormenorizadamente los documentos o pericias de los que se desprenda la equivocación del Juez, sin que sea admisible una invocación genérica de los mismos, así como tampoco la revisión de cuestiones fácticas no discutidas a lo largo del proceso;
d) que tales documentos o pericias pongan de manifiesto el error de manera clara, evidente, directa y patente, de forma contundente e incuestionable, sin necesidad de acudir a conjeturas, suposiciones o argumentaciones más o menos lógicas, naturales o razonables;
e) que la revisión pretendida sea trascendente a la parte dispositiva de la sentencia, con efectos modificadores de ésta, pues el principio de economía procesal impide incorporar hechos cuya inclusión no conduzca a nada práctico.
CUARTO .
Aplicando lo expuesto al presente supuesto no puede alcanzar éxito ninguna de las pretensiones de revisión fáctica objeto de los motivos primero, segundo y tercero, por las siguientes razones.
Se desestima el motivo primero, en el que se pretende la modificación del ordinal primero de la sentencia recurrida, porque la adición de la fecha de inicio de la prestación de servicios del actor para la empresa demandada (1 julio 2016) que es la misma en la que se produjo la sucesión en la contrata de vigilancia y seguridad que venía realizando la empresa anterior, resulta innecesaria, dado que del ordinal tercero se desprende claramente dicha fecha (“contrato de arrendamiento de servicios de seguridad celebrado el 1-7-16 entre la mercantil Faiges y la empresa aquí demandada”); y por lo que respecta a que el trabajador no ha tenido problema alguno con las empresas para las que prestó servicios con anterioridad, se rechaza tal modificación fáctica, porque se trata de una mera afirmación sin prueba.
No puede prosperar la revisión del hecho probado segundo, objeto del motivo segundo, porque, en primer lugar, el pretendido error en la entrega de la carta de despido (no el día 6 de septiembre como se declara probado, sino el 4 de octubre como afirma la recurrente) sería relevante si se discutiera la caducidad de la acción por despido, pero no cuando lo que se discute es la prescripción de una sanción impuesta por otro hechos distintos a los que ahora se enjuician, y que además no fue impugnada en su momento por la actora a fin de hacer valer la prescripción de la falta que ahora alega, por lo que carece de trascendencia para resolver la calificación del despido que es, en definitiva, el objeto del presente recurso. Y por lo que respecta a la afirmación que se pretende incluir en el ordinal segundo, referida a la falta de prueba de la existencia de una amonestación verbal anterior por los mismos hechos, así como que se hubiera tenido que higienizar la caseta de seguridad en la que prestaba servicios el demandante, se ha de hacer ver que no es cierto que no exista prueba, como se comprueba con la simple lectura del fundamento de derecho tercero de la sentencia de instancia. Y por último, es cierto que constan partes de trabajo emitidos por el trabajador y firmados tanto por la empresa TEPOL como por la empresa demandada, manifestando aquella su conformidad con el servicio prestado, pero este hecho resulta también intrascendente para el resultado del fallo, por cuanto el núcleo fundamental de la cuestión radica en la prueba de los hechos imputados al trabajador, los cuales, en su caso, no quedarían desvirtuados por la ausencia de queja en la prestación del servicio de la empresa principal.
Tampoco puede alcanzar éxito el motivo tercero, mediante el que se solicita la sustitución del ordinal cuarto por el texto alternativo que se propone, porque lo que en él se expresa es una valoración personal e interesada del contenido de la prueba video gráfica en un sentido distinto al efectuado por la Magistrada de Instancia, olvidando así la parte recurrente que es al Juzgador a quo a quien corresponde la facultad privativa sobre la valoración de todas las pruebas aportadas al proceso, de acuerdo con el artículo 97.2 de Ley Reguladora de la Jurisdicción Social , ya que lo contrario sería tanto como subrogarse la parte en lo que constituye labor jurisdiccional, sin que pueda sustituirse la misma por la valoración de la parte voluntaria y subjetiva, confundiendo éste recurso excepcional y con motivos tasados en una nueva instancia (entre muchas otras, Ss. TS 18 de noviembre de 1999 ; 25 de mayo de 2000 ; 7 de marzo de 2003 ; 3 de mayo de 2001 ; o 10 de febrero de 2002 ), máxime cuando la Juzgadora de instancia explica en el fundamento de derecho cuarto la valoración de dicha prueba conjuntamente con la de las declaraciones del actor y las de los testigos, que -recuérdese- carecen de habilidad para mostrar el error en la valoración de la prueba, dado que solo la tiene la prueba pericial y la documental (arts. 193 b) y 196.3 LRJS).
Por todas las razones expuestas se desestiman los motivos primero, segundo y tercero del recurso destinados a la revisión de los hechos probados.
QUINTO .
En el motivo cuarto se denuncia la infracción de lo dispuesto en el artículo 18.4 CE , y de la jurisprudencia que invoca a lo largo del mismo, lo que debe motivar -alega- la declaración de nulidad del despido, o bien la improcedencia conforme a los artículos 55 y 56 ET , con apoyo en la Sentencia del Tribunal Constitucional de 3 de marzo de 2016 , al no haber sido informado el trabajador sobre la instalación de una cámara dentro de la caseta control de los vigilantes de seguridad donde presta sus servicios, y siendo esta medida desproporcionada.
La cuestión así planteada requiere analizar si vulnera el derecho a la intimidad personal del trabajador la instalación de un cámara de video vigilancia en el interior de la caseta en la que este prestaba sus servicios, sin haber sido informado previamente, con la finalidad de comprobar un presunto y sospechado incumplimiento laboral del operario. Y en su caso, la calificación del despido como nulo o improcedente, según se entienda aplicable las consecuencias previstas en el artículo 55.5 ET o bien las propias de la prueba obtenida con vulneración de derechos fundamentales.
Dicho esto y por lo que se refiere a el primer punto, no cabe duda que el control empresarial de la actividad laboral (art. 20.3 ET) a través de los medios que ofrecen las nuevas tecnologías, puede colisionar con los derechos fundamentales a la intimidad y a la propia imagen, al secreto de las comunicaciones y a la protección de datos de carácter personal de los trabajadores (art. 18 CE).
La jurisprudencia constitucional al interpretar el art. 18.4 CE en conexión con el derecho a la intimidad personal ex art. 18.1 CE , ha analizado el alcance de tales derechos fundamentales en supuestos de instalaciones de sistemas de grabación de imagen con carácter puntual o permanente mediante los que, en determinados momentos, se ha controlado la actividad laboral y en los que con soporte en aquéllos se ha procedido a sancionar a los trabajadores afectados. Ha reconocido la plena efectividad de los derechos fundamentales del trabajador en el marco de la relación laboral, ya que ésta no puede implicar la privación de tales derechos para quienes prestan servicio en organizaciones productivas que no son ajenas a los principios y derechos constitucionales que informan el sistema de relaciones de trabajo (Ss. TC 88/85, cuya doctrina reitera posteriormente en otras, como Ss. TC 6/88 ; 129/89 ; 126/90 ; 99/94 ; 106/96 ), no obstante ha admitido que el ejercicio de estos derechos admite limitaciones o modulaciones en la medida en que se desenvuelven en el seno de una organización que a su vez refleja otros derechos reconocidos constitucionalmente, como son el derecho a la propiedad y la libertad de empresa (arts. 33 y 38 CE), lo que exige la necesaria adaptabilidad entre todos ellos ( Ss. TC 99/94 ; 6/95 ; 106/96 ; o 98/2000 ).
Concretamente sobre los límites de la facultad empresarial de control de la conducta de los trabajadores a través de sistemas de video vigilancia no existe una respuesta consolidada, probablemente debido a la escasa regulación legal en esta materia, lo que ha dado lugar a una jurisprudencia y doctrina constitucional ciertamente vacilante, si no discordante a última hora. En las STC 98/2000 y 186/2000 se establecieron los principales criterios aplicativos en esa materia, si bien estas resoluciones analizaron la cuestión únicamente desde la perspectiva del derecho a la intimidad (art. 18.1 CE ), dejando al margen del debate el derecho a la autodeterminación informativa que se integra en el derecho a la protección de datos personales (art. 18.4 CE ), al que sí atendió la importante STC 29/2013, de 11 de febrero , que introdujo, a su vez, importantes correcciones a la anteriores.
En efecto, se dice que constituye un importante hito en la evolución de la doctrina constitucional la STC 29/2013, de 11 de febrero , al fijar la doctrina sobre el contenido esencial del derecho a la libertad informática que reconoce el artículo 18.4 CE en su proyección a la relación laboral. En esta resolución el Tribunal Constitucional declaró que es necesaria una ” información previa y expresa, precisa, clara e inequívoca a los trabajadores de la finalidad de control de la actividad laboral a la que la captación podía ser dirigida (…) concretar las características y el alcance del tratamiento de datos que iba a realizarse, esto es, en qué casos las grabaciones podrían ser examinadas, durante cuánto tiempo y con qué propósitos, explicitando muy particularmente que podían utilizarse para la imposición de sanciones disciplinarias por incumplimientos del contrato de trabajo “. En síntesis la doctrina que estable esta Sentencia puede ser resumida del siguiente modo:
a) la habilitación legal para recabar los datos personales sin necesidad de consentimiento en el ámbito de las relaciones laborales no exime del derecho de información al trabajador;
b) el derecho de información no puede ser suplido o subsanado por la existencia de anuncios sobre la instalación de cámaras ni por la mera notificación de la creación del fichero a la Agencia Española de Protección de Datos;
c) lesiona el artículo 18.4 CE la utilización, para controlar el cumplimiento de las obligaciones laborales, de medios encubiertos que niegan al trabajador la información exigible;
d) la información debe ser previa y expresa, precisa, clara e inequívoca, expresando la finalidad de control de la actividad laboral a la que la captación podía ser dirigida; debe concretar las características y el alcance del tratamiento de datos que vaya a realizarse; debiéndose explicitar que podrán ser utilizadas para la imposición de sanciones disciplinarias por incumplimientos del contrato de trabajo.
En sentido semejante se ha pronunciado el TEDH en la recentísima Sentencia de 9 de enero de 2018 (Caso López Ribalta y otras c. España), a la que más adelante nos referiremos.
El Tribunal Supremo aplica la doctrina constitucional sentada en la STC 29/2013 en STS 13 de marzo de 2014 (RCUD 1685/13 ) -RJ 2014\3307- en un supuesto en que consideró vulnerado el derecho a la intimidad por la utilización de las cámaras de video-vigilancia instaladas como sistema disuasorio de hurtos de clientes, para sancionar a una trabajadora, existiendo falta de información sobre la utilidad de supervisión laboral asociada a las capturas de imágenes de los trabajadores, sin que esa conclusión pudiera verse contrarrestada por la existencia de dispositivos anunciando su instalación y la captación de imágenes, así como la notificación de la creación de ficheros a la Agencia Española de Protección de Datos.
Sin embargo, poco después, el Tribunal Constitucional en la sentencia 39/2016 de 3 de marzo de 2016 -de gran relevancia porque fue dictada por el Pleno, pero no por unanimidad pues tiene varios votos particulares-, establece otros criterios y condiciones en el uso, como prueba válida en el proceso social, de las cámaras de seguridad o de vigilancia de la actividad laboral, en el sentido de modificar y corregir sustancialmente y de forma restrictiva la doctrina que hasta entonces había mantenido dicho Tribunal. Así, afirma que la empresa no necesita el consentimiento expreso del trabajador para el tratamiento de las imágenes que han sido obtenidos a través de las cámaras instaladas en la empresa con el fin de seguridad o control laboral, ya que considera que se trata de una medida destinada a controlar el cumplimiento de la relación laboral y que resulta conforme con el artículo 20.3 del Estatuto de los Trabajadores , cuando establece que ” el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a la dignidad humana “. De este modo, el Tribunal Constitucional libera a las empresas de esta carga informativa explícita y precisa, al tiempo que convierte la sospecha de que un trabajador está cometiendo irregularidades, en una habilitación para instalar las cámaras en el lugar de trabajo, resolviendo así de forma contraria a la STC 29/2013 , sin explicación alguna sobre las razones del cambio de doctrina, sobre la que indudablemente va a influir la reciente Sentencia de 9 de enero de 2018 (Caso López Ribalta y otras c. España) en la que se reafirma el criterio sostenido en la anterior de 5 de septiembre de 2017 dictada por la Gran Sala TEDH (Caso Barbulescu c. Rumanía). Aquella resolución del TEDH condena a España por vulneración del artículo 8 CEDH (derecho a la vida privada), al entender -en síntesis- que la video vigilancia llevada a cabo por el empresario, que se desarrolló durante un periodo prolongado, no cumplió con las exigencias previstas en el art. 5 de la Ley Orgánica de Protección de Datos 15/1999 (LOPD), en particular, con la obligación de informar, previa, explicita y precisamente, sin ambigüedades, a los interesados sobre la exigencia y características particulares de un sistema de captación de datos personales. Considera el TEHD que los derechos del empresario podrían haberse satisfecho, al menos en cierto grado, por otros medios, concretamente informando previamente a las demandantes, incluso de forma general, de la instalación de un sistema de video vigilancia y proporcionándoles la información prevista en el artículo 5 de la LOPD .
La doctrina sentada por el Tribunal Europeo de Derechos Humanos en la antedicha resolución previsiblemente también influirá en la última jurisprudencia del Tribunal Supremo que ha aplicado la doctrina constitucional de la STC 39/2016 en las Sentencia de 31 de enero de 2017 (RCUD 3331/15) -RJ 2017\1429 – y 1 de febrero (RCUD 3262/15 ) -RJ 2017\1105-, dictadas en Pleno, en las que consideró válida la utilización de cámaras de video vigilancia, como medida de seguridad, estando indicada su existencia y siendo el trabajador conocedor de ello; y en la Sentencia de 2 de febrero de 2017 (RCUD 554/16 ) – RJ 2017\1628- en la que consideró igualmente válida la utilización de cámaras de video vigilancia, aunque el trabajador no hubiera sido informado expresamente sobre el uso y destino de las misma.
Con este panorama ciertamente incierto, en el estado actual de la cuestión en el ordenamiento español no puede dejar de afirmarse que los trabajadores han de considerarse suficientemente informados con los carteles estándares indicativos de “zona vídeo-vigilada”, y válida la instalación de cámaras de video vigilancia cuando existan sospechas previas de incumplimientos laborales. Ahora bien, no debe olvidarse que tal medida de control de la actividad laboral es siempre una medida restrictiva de derechos fundamentales, y como tal se exige superar el triple juicio de proporcionalidad, necesidad e idoneidad, de conformidad con la propia doctrina que el Tribunal Constitucional que sigue intacta aun en la STC 39/2016 : ” el empresario no queda apoderado para llevar a cabo, so pretexto de las facultades de vigilancia y control que le confiere el artículo 20.3 ET , intromisiones ilegítimas en la intimidad de sus empleados en los centros de trabajo ” (STC 186/2000, de 10 de julio ) (…) el ejercicio de las facultades organizativas y disciplinarias del empleador no pueden servir en ningún caso a la producción de resultados inconstitucionales, lesivos de los derechos fundamentales del trabajador (entre otras, SSTC 94/1984 , 108/1989 , 171/1989 , 123/1992 , 134/1994 y 173/1994 ) ni a la sanción del ejercicio legítimo de tales derechos por parte de aquel (STC 11/1981 ). Por eso, de conformidad con dicha doctrina, ” la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad “, recordando que para ello ” es necesario constatar si cumple los tres requisitos o condiciones siguientes: si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto) (SSTC 66/1995, de 8 de marzo, FJ 5 ; 55/1996, de 28 de marzo, FFJJ 6, 7, 8 y 9; 207/1996, de 16 de diciembre , FJ 4 e , FJ 8).
SEXTO .
La doctrina constitucional antedicha constituye fuente de interpretación y aplicación de las normas, a la que debe estar la Sala – conforme a las previsiones del artículo 5.1 LOPJ – para resolver el presente supuesto, cuyos perfiles fácticos quedaron expuesto más atrás.
Según la STC 39/2016 de 3 de marzo de 2016 , el hecho de que el actor no fuera informado previamente de forma alguna por la empresa de su intención de instalar una cámara de video vigilancia en la caseta en la que prestaba sus servicios, ante la sospecha de que estaba cometiendo irregularidades laborales, existiendo avisos y advertencias de la presencia de cámaras de video vigilancia en el interior del recinto empresarial, pero no en el interior de la caseta, no vulneraría, en principio, el derecho del trabajador a la protección de la intimidad personal y familiar en el uso de la informática que recoge el artículo 18.4 CE .
No obstante, también de acuerdo con consolidada doctrina constitucional y jurisprudencial, que no se ha visto alterada sino que es acogida por la propia STC 39/2016 , el comportamiento empresarial descrito no cumple el triple juicio de proporcionalidad exigible a toda medida restrictiva de derechos fundamentales como es, indudablemente, la instalación de una cámara de video vigilancia en el puesto de trabajo. Y ello, porque aunque no parece existir duda sobre el carácter justificado de la medida, en cuanto existían razonables sospechas de que el trabajador fumaba en el puesto de trabajo, y por tanto era también idónea para la finalidad pretendida por la empresa (comprobar dicha sospecha), no puede afirmarse que fuera necesaria, en tanto en cuanto existían otros medios más moderados, menos agresivos del derecho a la intimidad personal del trabajador, como era el testimonio de los propios compañeros de trabajo y del gerente de la empresa FAIGES para la que la mercantil demandada prestaba el servicio de vigilancia y seguridad, que así depusieron en el acto de juicio, o la prueba de la contratación de una empresa de desinfección para higienizar la caseta acreditada mediante el correspondiente documento de pago del servicio, de lo que se desprende que la empresa disponía de otros medios de prueba idóneos y suficientes para acreditar el pretendido incumplimiento que motivó la instalación de la cámara referida; ni fue equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto que muestra, en definitiva, una clara desproporcionalidad de la medida, en tanto en cuanto se limita el derecho fundamental del trabajador a la garantía del derecho a la intimidad personal en el uso de la informática (art. 18.4 CE en relación con art. 18.1 CE) para satisfacer el derecho de la empresa a controlar el desarrollo de la relación laboral reconocido en el artículo 20.3 ET , que en este caso, no se olvide, era comprobar un comportamiento (fumar en el puesto de trabajo) que ni siquiera el convenio colectivo prevé expresamente como incumplimiento laboral, ni por las características de la empresa ni del puesto de trabajo de vigilancia desarrollado en una caseta aneja a la empresa pero independiente de las instalaciones de aquella, puede considerarse razonablemente como una actitud peligrosa para los bienes de la mercantil a la que se prestaba el servicio de vigilancia, o para la salud de otros empleados o clientes; por todo lo cual la Sala considera vulnerado aquel derecho constitucional cuya infracción denuncia la parte recurrente en este motivo, procediendo en consecuencia, la estimación del mismo.
SÉPTIMO .
Llegados a este punto, sobreviene la cuestión de la consecuencia jurídica que habrá de imponerse a la conclusión obtenida; si la nulidad del despido aplicando el art. 55.5 ET , o las consecuencias que se deriven de la proscripción de la obtención de prueba ilícita con arreglo a los artículos 11.1 LOPJ , 287 LEC y 90.1 LRJS , que serán la procedencia o improcedencia del despido, según hayan quedado o no probado el incumplimiento contractual alegado en la carta de despido, una vez eliminados los hechos obtenidos de tal modo. Cuestión respecto de la que no existe jurisprudencia unificadora ni opinión judicial ni doctrinal unánime, habiéndose inclinado esta Sala por desechar la calificación de nulidad del despido, “pues lo que no se ha admitido es el medio de prueba contaminado (…) pero no se ha concluido que la decisión extintiva, en sí mismo considerada, pretendiera la vulneración de un derecho fundamental o libertad pública del trabajador, que llevara aparejada la calificación de nulidad del mismo (art. 55.5 ET )” (STSJ Castilla-La Mancha (Sec.1ª) 10 junio 2014 -AS 2014/1619 -; en igual sentido STSJ Castilla-La Mancha (Sec. 2ª) 28 noviembre 2014 – AS 2015/484 -); sin embargo, otras sentencias dictadas en suplicación han mantenido otros argumentos jurídicos, también admisibles, como por ejemplo Sentencia TSJ del País Vasco de 10 mayo de 2011 -AS 2012\2277-en la que, con apoyo en la STC 196/2004 , considera que la ilicitud en la obtención de prueba utilizada por la demandada para acreditar los incumplimientos imputados al actor acarrea la nulidad el despido, porque la dicción del artículo 55.5 ET acoge “no solo los supuestos en los que el cese se produce como consecuencia del ejercicio legítimo de un derecho fundamental, sino también aquellos otros en que los hechos que lo sustentan han sido conocidos por el empresario mediante métodos que conculcan los derechos fundamentales del afectado”; o en la Sentencia del mismo Tribunal de 12 septiembre 2006 , en la que además trae a colación la doctrina de los frutos del árbol envenenado sobre la base de la expresión “se hubieran obtenido directa o indirectamente mediante procedimientos que supongan violación de derechos fundamentales o libertades públicas” del artículo 90 LPL (ahora 90 LRJS ), tan similar a la del artículo 11.1 LOPJ (“No surtirán efecto las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales”).
En el caso que nos ocupa, mantenemos el criterio aplicado por la Sala en anteriores supuestos, al entender que no existen razones de peso suficientes para alterar el ámbito de aplicación del artículo 55.5 ET , en tanto en cuanto pensamos que la sanción de nulidad del despido tiene su fundamento en el móvil del empresario cuando el despido en sí mismo responde a una causa vulneradora de un derecho fundamental, de ahí la prescripción del artículo 55.5 ET , pero no cuando la finalidad que mueve al empresario es comprobar un comportamiento del trabajador para obtener la prueba de la existencia de la causa alegada para justificar el despido, en cuyo caso, procede la nulidad de dicha prueba obtenida con vulneración de derechos fundamentales o libertades públicas, sin que tal nulidad pueda extenderse a la calificación del despido que podrá ser improcedente o incluso procedente, si una vez desechados los hechos acreditados mediante la prueba ilegal o ilegítima, aun resultan probados, mediante prueba hábil e idónea hechos que constituyen un incumplimiento grave y culpable del trabajador.
Así, una vez eliminados del enjuiciamiento todos los hechos acreditados mediante la grabación de la cámara de video vigilancia (fumar, masturbarse y visionar pornografía), el único que puede considerarse probado es que el trabajador fumaba en el puesto de trabajo, porque así se desprende del testimonio de los compañeros de trabajo y del gerente de la empresa principal para la que prestaba servicio de vigilancia la empleadora del trabajador. Pero este comportamiento no constituye causa de despido porque, además de no estar previsto expresamente como tal en el Convenio Colectivo aplicable, tampoco se ajusta a ninguna de las causas legales de despido del artículo 54 ET en que pudiera resultar encuadrable, pues como desobediencia a las órdenes del empresario del apartado b) del artículo 54.2 ET se advierte que no consta la existencia de prohibición expresa, y como disminución continuada y voluntaria en el rendimiento del trabajo normal o pactado del apartado e) del mismo precepto, la propia sentencia recurrida no lo considera acreditado por las razones que expresa en el fundamento de derecho cuarto; por todo lo cual debe concluirse que no ha quedado acreditada la causa de despido alguna, procediendo la estimación del cuarto motivo del recurso y con ello del recurso mismo, al haberse dado respuesta con lo antedicho al quinto y último motivo; y en consecuencia, la declaración del despido como improcedente, en aplicación de lo dispuesto en los artículos 55.4 ET y 108 LRJS , con las consecuencias legales inherentes a dicha calificación establecidas en los artículos 56 ET y 109 LRJS , esto es, la obligación de empresario de optar en el plazo de cinco días desde la notificación de la sentencia, entre la readmisión del trabajador o el abono de una indemnización equivalente a treinta y tres días de salario por año de servicio, prorrateándose por meses los periodos de tiempo inferiores a un año, hasta un máximo de veinticuatro mensualidades, debiendo advertir que dada la antigüedad del trabajador (22-2-1012) no es de aplicación lo establecido en la Disposición Transitoria 5ª de la Ley 3/2012 , debiendo realizarse en cálculo de la indemnización con arreglo a una antigüedad de 56 meses y a razón de 1.392,45 € mensuales (no pueden ser diarios como, erróneamente -entendemos-, se hace constar en el ordinal primero), o 45,65 € diarios, lo que hace un total de 7.030,73 € de indemnización.
Vistos los preceptos legales citados y demás de general y especial aplicación
FALLAMOS
Que estimando el recurso de suplicación formulado por la representación letrada de Rubén contra la sentencia de fecha 11 de abril de 2017, dictada por el Juzgado de lo Social nº 2 de Ciudad Real , en autos 802/16 sobre despido, siendo parte recurrida la empresa TEPOL SEGURIDAD SLU, debemos revocar y revocamos la citada resolución, para dictar otra por la que, estimando la demanda, debemos declarar y declaramos improcedente el despido, condenando a la empresa TEPOL SEGURIDAD SLU a optar en el plazo de cinco días desde la notificación de la sentencia, entre la readmisión del trabajador o el abono de una indemnización de 7.030,73 €. Sin costas.
Notifíquese la presente resolución a las partes y a la Fiscalía del Tribunal Superior de Justicia de Castilla-La Mancha en Albacete, haciéndoles saber que contra la misma únicamente cabe RECURSO DE CASACION PARA LA UNIFICACION DE DOCTRINA, que se preparará por escrito dirigido a esta Sala de lo Social del Tribunal Superior de Justicia de Castilla La Mancha en Albacete, dentro de los DIEZ DIAS siguientes a su notificación, durante dicho plazo, las partes, el Ministerio Fiscal o el letrado designado a tal fin, tendrán a su disposición en la oficina judicial los autos para su examen, de acuerdo con lo dispuesto en el artículo 220 de la Ley reguladora de la jurisdicción social . La consignación del importe de la condena, cuando proceda, deberá acreditarse por la parte recurrente, que no goce del beneficio de justicia gratuita, ante esta Sala al tiempo de preparar el Recurso, presentando resguardo acreditativo de haberla efectuado en la Cuenta Corriente número ES55 00493569 9200 0500 1274 que esta Sala de lo Social del Tribunal Superior de Justicia de Castilla-La Mancha, Albacete, tiene abierta en el BANCO SANTANDER, sita en Albacete, C/ Marqués de Molíns nº 13,indicando el nombre o razón social de la persona física o jurídica obligada a hacer el ingreso, y si es posible, el NIF/CIF, así como el beneficiario (Sala de lo Social) y el concepto (cuenta expediente) 0044 0000 66 1416 17, pudiéndose sustituir dicha consignación en metálico por el aseguramiento mediante aval bancario en el que se hará constar la responsabilidad solidaria del avalista. Debiendo igualmente la parte recurrente, que no ostente la condición de trabajador, causahabiente suyo, o beneficiario del régimen público de la Seguridad Social, o se trate del Ministerio Fiscal, el Estado, las Comunidades Autónomas, las Entidades Locales, los Organismos dependientes de todas ellas y quienes tuvieren reconocido el beneficio de justicia gratuita, consignar como depósito la cantidad de SEISCIENTOS EUROS (600,00 €), conforme al artículo 229 de citada Ley, que deberá ingresar en la Cuenta Corriente anteriormente indicada, debiendo hacer entrega del resguardo acreditativo de haberlo efectuado en la Secretaría de esta Sala al tiempo de preparar el Recurso.
Así por esta nuestra Sentencia, lo pronunciamos, mandamos y firmamos.
16Sep/18
Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016
Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. (Diario Oficial de la Unión Europea L 194 de 19 de julio de 2016)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo (1),
De conformidad con el procedimiento legislativo ordinario (2),
Considerando lo siguiente:
(1) Las redes y sistemas de información desempeñan un papel crucial en la sociedad. Su fiabilidad y seguridad son esenciales para las actividades económicas y sociales, y en particular para el funcionamiento del mercado interior.
(2) La magnitud, la frecuencia y los efectos de los incidentes de seguridad se están incrementando y representan una grave amenaza para el funcionamiento de las redes y sistemas de información. Esos sistemas pueden convertirse además en objetivo de acciones nocivas deliberadas destinadas a perjudicar o interrumpir su funcionamiento. Este tipo de incidentes puede interrumpir las actividades económicas, generar considerables pérdidas financieras, menoscabar la confianza del usuario y causar grandes daños a la economía de la Unión.
(3) Las redes y sistemas de información, principalmente internet, contribuyen de forma decisiva a facilitar la circulación transfronteriza de productos, servicios y personas. Debido a ese carácter transnacional, una perturbación grave de esas redes y sistemas, ya sea o no deliberada, y con independencia del lugar en que se produzca, puede afectar a diferentes Estados miembros y a la Unión en su conjunto. Por consiguiente, la seguridad de las redes y sistemas de información es fundamental para el correcto funcionamiento del mercado interior.
(4) Partiendo de los significativos avances logrados en el marco del Foro Europeo de Estados miembros, que ha permitido promover discusiones e intercambios de información sobre buenas prácticas políticas, incluida la elaboración de principios de cooperación europea ante crisis cibernéticas, procede establecer un Grupo de cooperación compuesto por representantes de los Estados miembros, la Comisión y la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA) a fin de respaldar y facilitar la cooperación estratégica entre los Estados miembros en lo relativo a la seguridad de las redes y sistemas de información. Para que dicho grupo sea eficaz e integrador, es esencial que todos los Estados miembros posean unas capacidades mínimas y una estrategia que garanticen un elevado nivel de seguridad de las redes y sistemas de información en su territorio. Por otra parte, los operadores de servicios esenciales y los proveedores de servicios digitales deben estar sujetos a requisitos en materia de seguridad y notificación de incidentes, con el fin de fomentar una cultura de gestión de riesgos y garantizar que se informe de los incidentes más graves.
(5) Las capacidades existentes no bastan para garantizar un elevado nivel de seguridad de las redes y sistemas de información en la Unión. Los niveles de preparación de los Estados miembros son muy distintos, lo que ha dado lugar a planteamientos fragmentados en la Unión. Esta situación genera niveles desiguales de protección de los consumidores y las empresas, comprometiendo el nivel general de seguridad de las redes y sistemas de información de la Unión. A su vez, la inexistencia de requisitos comunes aplicables a los operadores de servicios esenciales y los proveedores de servicios digitales imposibilita la creación de un mecanismo global y eficaz de cooperación en la Unión. Las universidades y los centros de investigación tienen un papel determinante que desempeñar a la hora de impulsar la investigación, el desarrollo y la innovación en esos ámbitos.
(6) Para dar una respuesta efectiva a los problemas de seguridad de las redes y sistemas de información es necesario un planteamiento global en la Unión que integre requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad para los operadores de servicios esenciales y los proveedores de servicios digitales. No obstante, no está excluido que los operadores de servicios esenciales y los proveedores de servicios digitales apliquen medidas de seguridad más estrictas que las previstas en la presente Directiva.
(7) Para cubrir todos los incidentes y riesgos pertinentes, la presente Directiva debe aplicarse tanto a los operadores de servicios esenciales como a los proveedores de servicios digitales. Sin embargo, las obligaciones impuestas a los operadores de servicios esenciales y a los proveedores de servicios digitales no deben aplicarse a empresas que suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público en el sentido de la Directiva 2002/21/CE del Parlamento Europeo y del Consejo (3), que están sujetas a los requisitos específicos de seguridad e integridad establecidos en dicha Directiva, como tampoco a los prestadores de servicios de confianza definidos en el Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo (4), que están sujetos a los requisitos de seguridad establecidos en dicho Reglamento.
(8) La presente Directiva debe entenderse sin perjuicio de que los Estados miembros puedan adoptar las medidas necesarias para garantizar la protección de los intereses esenciales de su seguridad, preservar el orden público y la seguridad pública, y permitir la investigación, detección y enjuiciamiento de infracciones penales. De conformidad con el artículo 346 del Tratado de Funcionamiento de la Unión Europea (TFUE), ningún Estado miembro está obligado a facilitar información cuya divulgación considere contraria a los intereses esenciales de su seguridad. En este contexto, son relevantes la Decisión 2013/488/UE del Consejo (5) y los acuerdos sobre confidencialidad o los acuerdos informales sobre confidencialidad como el Protocolo para el intercambio de información.
(9) Determinados sectores de la economía ya están ya regulados o pueden regularse en el futuro mediante actos jurídicos sectoriales de la Unión que incluyan normas relacionadas con la seguridad de las redes y sistemas de información. Siempre que esos actos jurídicos de la Unión contengan disposiciones por las que se impongan requisitos en materia de seguridad de las redes y sistemas de información o en materia de notificación de incidentes, dichas disposiciones deben aplicarse en lugar de las disposiciones correspondientes de la presente Directiva si contienen requisitos cuyos efectos sean, como mínimo, equivalentes a los de las obligaciones que establece la presente Directiva. En tales casos, los Estados miembros deben aplicar lo dispuesto en los mencionados actos jurídicos sectoriales de la Unión, incluidos los relativos a cuestiones de competencia judicial, y no deben llevar a cabo el proceso de identificación de los operadores de servicios esenciales, tal como se definen en la presente Directiva. En este contexto, los Estados miembros deben facilitar a la Comisión información sobre la aplicación de dichas disposiciones con carácter de lex specialis. A la hora de determinar si los requisitos en materia de seguridad de las redes y sistemas de información o en materia de notificación de incidentes establecidos en los actos jurídicos sectoriales de la Unión son o no equivalentes a los que se establecen en la presente Directiva, debe tenerse únicamente en cuenta lo dispuesto en los actos jurídicos de la Unión aplicables y su aplicación en los Estados miembros.
(10) En el sector del transporte marítimo y fluvial, los requisitos de seguridad que imponen los actos jurídicos de la Unión a las compañías, buques, instalaciones portuarias, puertos y servicios de gestión del tráfico de buques se aplican a la totalidad de las operaciones, incluidas las de los sistemas de radio y telecomunicaciones, los sistemas informáticos y las redes. Una parte de los procedimientos obligatorios que han de seguirse se refiere a la notificación de todos los incidentes de seguridad, y debe, por tanto, considerarse lex specialis en la medida en que dichos requisitos sean al menos equivalentes a las disposiciones correspondientes de la presente Directiva.
(11) Al identificar a los operadores del sector del transporte marítimo y fluvial, los Estados miembros deben tener en cuenta los códigos y directrices internacionales existentes o que se puedan elaborar en el futuro, en particular, por parte de la Organización Marítima Internacional, con el fin de proporcionar a los diferentes operadores marítimos un planteamiento coherente.
(12) La regulación y la supervisión del sector bancario y de las infraestructuras de los mercados financieros han sido objeto de una elevada armonización en la Unión mediante el recurso al Derecho primario y al Derecho derivado de la Unión y a normas elaboradas junto con las autoridades europeas de supervisión. Dentro de la Unión Bancaria, el Mecanismo Único de Supervisión garantiza la aplicación y supervisión de dichos requisitos. En los Estados miembros que no forman parte de la Unión Bancaria, son los reguladores bancarios competentes de cada Estado miembro los que garantizan dicha función. En otros ámbitos de regulación del sector financiero, el Sistema Europeo de Supervisión Financiera también garantiza un alto grado de uniformidad y convergencia de las prácticas de supervisión. La Autoridad Europea de Valores y Mercados también desempeña una función directa de supervisión para determinadas entidades, concretamente las agencias de calificación crediticia y los registros de operaciones.
(13) El riesgo operativo es un componente fundamental de la regulación y la supervisión prudenciales en los sectores de la banca y las infraestructuras del mercado financiero. Dicho riesgo se extiende a todas las operaciones, incluidas la seguridad, la integridad y la resistencia de las redes y sistemas de información. Los requisitos relativos a estos sistemas, que a menudo son más estrictos que los establecidos en la presente Directiva, se recogen en una serie de actos jurídicos de la Unión que incluyen normas sobre el acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, y normas sobre los requisitos prudenciales aplicables a las entidades de crédito y las empresas de inversión, que incluyen requisitos sobre el riesgo operativo; normas sobre los mercados de instrumentos financieros, que incluyen requisitos sobre evaluación de riesgos para las empresas de inversión y los mercados regulados; normas sobre los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones, que incluyen requisitos sobre el riesgo operativo para dichas entidades y registros; y normas sobre la mejora de la liquidación de valores en la Unión y sobre los depositarios centrales de valores, que incluyen requisitos sobre el riesgo operativo. Por otra parte, los requisitos de notificación de incidentes forman parte de la práctica normal en materia de supervisión en el sector financiero y están incluidos a menudo en los manuales de supervisión. Los Estados miembros deben tener en cuenta dichas normas y requisitos a la hora de aplicar la lex specialis.
(14) Como ya observó el Banco Central Europeo en su dictamen de 25 de julio de 2014 (6), la presente Directiva no afecta al régimen de supervisión de los sistemas de pago y liquidación del Eurosistema en virtud del Derecho de la Unión. Conviene que las autoridades responsables de esa supervisión intercambien experiencias sobre cuestiones relacionadas con la seguridad de las redes y sistemas de información con las autoridades competentes en virtud de la presente Directiva. Esta consideración se aplica asimismo a los miembros del Sistema Europeo de Bancos Centrales que no sean miembros de la zona Euro y que ejerzan esa supervisión de los sistemas de pago y liquidación sobre la base de disposiciones legales y reglamentarias nacionales.
(15) Los mercados en línea permiten a consumidores y comerciantes celebrar contratos de compraventa o de prestación de servicios en línea con comerciantes, y son el destino final de celebración de tales contratos. Esos mercados no deben tener por objeto servicios en línea que constituyan únicamente un paso intermedio para acceder a servicios prestados por terceros a través de los que finalmente se pueda celebrar un contrato. Por consiguiente, no deben tener por objeto servicios en línea que comparen el precio de los productos o servicios de diferentes comerciantes para luego dirigir al usuario hacia el comerciante al que este prefiera comprar el producto. Los servicios informáticos prestados por el mercado en línea pueden incluir servicios de tramitación de transacciones, agregación de datos o elaboración de perfiles de los usuarios. Las tiendas de aplicaciones, que funcionan como tiendas en línea que posibilitan la distribución digital de aplicaciones o programas informáticos de terceros, deben ser consideradas un tipo de mercado en línea.
(16) Los motores de búsqueda en línea permiten al usuario realizar búsquedas, en principio, en todos los sitios web, a partir de una consulta sobre cualquier tema. También pueden restringirse a sitios web en una lengua determinada. La definición de «motor de búsqueda en línea» de la presente Directiva no debe incluir las funciones de búsqueda que se limiten al contenido de un sitio web en concreto, con independencia de que la función de búsqueda la proporcione un motor de búsqueda externo. Tampoco debe incluir, por consiguiente, servicios en línea que comparen el precio de los distintos productos o servicios de diferentes comerciantes para luego dirigir al usuario hacia el comerciante al que se prefiera comprar el producto.
(17) Los servicios de computación en nube abarcan toda una serie de actividades que pueden realizarse según diferentes modelos. A efectos de la presente Directiva, se entiende por «servicios de computación en nube» aquellos servicios que permiten acceder a un conjunto modulable y elástico de recursos informáticos que se pueden compartir. Esos «servicios de computación» incluyen recursos tales como las redes, servidores u otras infraestructuras, sistemas de almacenamiento, aplicaciones y servicios. El término «modulable» se refiere a los recursos de computación que el proveedor de servicios en nube puede asignar de manera flexible con independencia de la localización geográfica de los recursos para hacer frente a fluctuaciones de la demanda. El término «elástico» se usa para describir los recursos de los que se abastece y que se ponen a la venta según la demanda, de modo que se puedan aumentar o reducir con rapidez los recursos disponibles en función de la carga de trabajo. La expresión «que se pueden compartir» se usa para describir recursos informáticos que se proporcionan a múltiples usuarios que comparten un acceso común al servicio pero la tramitación se lleva a cabo por separado para cada usuario, aunque el servicio se preste desde el mismo equipo electrónico.
(18) La función de un punto de intercambio de internet (en lo sucesivo, «IXP», por sus siglas en inglés de «internet exchange point») es conectar redes entre sí. Un IXP no proporciona acceso a la red ni actúa como proveedor o transportista de servicios de tránsito. Tampoco presta otros servicios ajenos a la interconexión, aunque ello no impide que un IXP preste tales servicios. El IXP existe para conectar entre sí redes que están técnica y organizativamente diferenciadas. El término «sistema autónomo» se emplea para describir una red que es técnicamente independiente.
(19) Los Estados miembros deben ser responsables de determinar qué entidades cumplen los criterios de la definición de «operador de servicios esenciales». A efectos de garantizar un planteamiento coherente, la definición de operador de servicios esenciales debe ser aplicada de manera coherente por todos los Estados miembros. A tal fin, la presente Directiva prevé un examen de las entidades que desarrollan su actividad en sectores y subsectores específicos, el establecimiento de una lista de servicios esenciales, la consideración de una lista común de factores intersectoriales que permitan determinar si un incidente potencial tendría un efecto perturbador significativo, un proceso de consulta en el que participen los Estados miembros pertinentes en el caso de las entidades que prestan servicios en varios Estados miembros, y el apoyo del Grupo de cooperación en el proceso de identificación. Con el fin de garantizar que los cambios que puedan producirse en el mercado se tengan debidamente en cuenta, los Estados miembros deben revisar periódicamente la lista de operadores identificados y actualizarla cuando sea necesario. Por último, los Estados miembros deben presentar a la Comisión la información necesaria para valorar en qué medida este método común ha permitido que los Estados miembros apliquen la definición de modo coherente.
(20) En el proceso de identificación de los operadores de servicios esenciales, los Estados miembros deben valorar, como mínimo para cada uno de los subsectores que se indican en la presente Directiva, qué servicios han de considerarse esenciales para el mantenimiento de actividades sociales y económicas vitales y determinar si las entidades enumeradas en los sectores y subsectores que se indican en la presente Directiva y que prestan esos servicios cumplen los criterios de identificación de los operadores. Al valorar si una entidad presta un servicio que es esencial para el mantenimiento de actividades sociales o económicas cruciales, basta con examinar si la entidad presta un servicio que esté incluido en la lista de servicios esenciales. Por otra parte, debe demostrarse que la prestación del servicio esencial depende de redes y sistemas de información. Por último, al valorar si un incidente en las redes y sistemas de información relativo a la prestación del servicio tendría un efecto perturbador significativo en la prestación de este, los Estados miembros deben tener en cuenta una serie de factores intersectoriales, así como, en su caso, los factores sectoriales pertinentes.
(21) A efectos de la identificación de los operadores de servicios esenciales, el establecimiento en un Estado miembro implica el ejercicio real y efectivo de una actividad mediante una organización estable. La forma jurídica de dicha organización, ya sea a través de una sucursal o una filial con personalidad jurídica, no es el factor determinante a este respecto.
(22) Es posible que las entidades que operan en los sectores y subsectores que se indican en la presente Directiva presten tanto servicios esenciales como no esenciales. Por ejemplo, en el sector del transporte aéreo, los aeropuertos prestan servicios que un Estado miembro puede considerar esenciales, como la gestión de las pistas, pero también una serie de servicios que pueden considerarse no esenciales, como la oferta de zonas comerciales. Los operadores de servicios esenciales deben estar sujetos a los requisitos específicos de seguridad únicamente respecto de aquellos servicios que se consideren esenciales. Para la identificación de los operadores, los Estados miembros deben por lo tanto establecer una lista de los servicios que se consideren esenciales.
(23) La lista de servicios debe contener la totalidad de los servicios prestados en el territorio de un determinado Estado miembro que cumplan los requisitos establecidos en la presente Directiva. Los Estados miembros deben estar facultados para completar la lista existente incluyendo en ella nuevos servicios. La lista de servicios debe servir de referencia para que los Estados miembros puedan identificar a los operadores de servicios esenciales. Su finalidad es determinar los tipos de servicios esenciales en cada uno de los sectores que se indican en la presente Directiva, distinguiéndolos así de los servicios no esenciales de los que una entidad activa en un sector determinado pueda ser responsable. La lista de servicios establecida por cada Estado miembro sería otro elemento de utilidad para evaluar las prácticas normativas de cada Estado miembro con el fin de garantizar la coherencia global del proceso de identificación en todos los Estados miembros.
(24) Para los fines del proceso de identificación, cuando una entidad preste un servicio esencial en dos o más Estados miembros, estos deben entablar entre sí conversaciones bilaterales o multilaterales. Este proceso de consulta tiene por objeto ayudarles a valorar el carácter crítico del operador en términos de su impacto transfronterizo, permitiendo a cada Estado miembro participante exponer su punto de vista en lo que respecta a los riesgos asociados a los servicios prestados. Los Estados miembros interesados deben tener en cuenta los puntos de vista de los demás en este proceso, y deben poder solicitar la asistencia del Grupo de cooperación a este respecto.
(25) Como resultado del proceso de identificación, los Estados miembros deben adoptar medidas nacionales para determinar qué entidades están sujetas a obligaciones en materia de seguridad de las redes y sistemas de información. Este resultado podría alcanzarse mediante la elaboración de una lista en la que se enumere a todos los operadores de servicios esenciales, o bien mediante la adopción de medidas nacionales que incluyan criterios objetivos y cuantificables, como la producción del operador o el número de usuarios, que permitan determinar qué entidades han de quedar sujetas a las obligaciones en materia de seguridad de las redes y sistemas de información. Las medidas nacionales, con independencia de que ya existieran o de que se adopten en el contexto de la presente Directiva, deben incluir todas las medidas jurídicas y administrativas y las políticas que permitan identificar a los operadores de servicios esenciales a los efectos de la presente Directiva.
(26) Para dar una indicación de la importancia, en relación con el sector de que se trate, de los operadores identificados de servicios esenciales, los Estados miembros deben tener en cuenta el número y la magnitud de los operadores identificados, por ejemplo en términos de cuota de mercado o cantidad producida o transportada, sin necesidad de divulgar información que pueda revelar qué operadores han sido identificados.
(27) A fin de determinar si un incidente podría tener un efecto perturbador significativo, los Estados miembros deben tener en cuenta distintos factores, como el número de usuarios que confían en dicho servicio para fines tanto privados como profesionales. La utilización de ese servicio puede ser directa, indirecta o mediante intermediario. Al evaluar el impacto, en términos de magnitud y duración, que podría tener un incidente en las actividades económicas y sociales o en la seguridad pública, los Estados miembros deben considerar también el tiempo que probablemente tendría que transcurrir antes de que la discontinuidad empiece a tener repercusiones negativas.
(28) Además de los factores intersectoriales, deben también tenerse en cuenta factores específicamente sectoriales para determinar si un incidente tendría un efecto perturbador significativo en la prestación de un servicio esencial. En el caso de los proveedores de energía, esos factores podrían ser el volumen o la proporción de la energía nacional generada; en el caso de los proveedores de petróleo, el volumen diario; en el caso del transporte aéreo, incluidos aeropuertos y compañías aéreas, del transporte ferroviario y de los puertos marítimos, la proporción del volumen de tráfico nacional y el número de viajeros u operaciones de transporte de mercancías anuales; en el caso de la banca o las infraestructuras del mercado financiero, su importancia sistémica, valorada según los activos totales o la razón entre estos y el producto interior bruto; en el caso del sector sanitario, el número de pacientes atendidos cada año por el prestador de servicios sanitarios; en el caso de la producción, tratamiento y abastecimiento de agua, el volumen y el número y los tipos de usuarios abastecidos incluidos, por ejemplo, hospitales, organismos que presten servicios públicos o particulares, y la existencia de fuentes alternativas de suministro de agua para abastecer la misma zona geográfica.
(29) A fin de alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información, cada Estado miembro debe disponer de una estrategia nacional de seguridad de las redes y sistemas de información que fijen los objetivos estratégicos y las medidas concretas que haya que aplicar.
(30) Habida cuenta de las diferencias existentes entre las estructuras nacionales de gobernanza y con el fin de salvaguardar las disposiciones sectoriales vigentes o los organismos de supervisión y regulación de la Unión ya existentes, y para evitar duplicidades, los Estados miembros deben poder designar a más de una autoridad nacional competente responsable de ejercer las funciones vinculadas a la seguridad de las redes y sistemas de información de los operadores de servicios esenciales y los proveedores de servicios digitales en virtud de la presente Directiva.
(31) Con el fin de facilitar la cooperación y la comunicación transfronterizas y de permitir una aplicación efectiva de la presente Directiva, es necesario que cada Estado miembro designe, sin perjuicio de las disposiciones normativas sectoriales, un punto de contacto único nacional que se encargue de coordinar las cuestiones relacionadas con la seguridad de las redes y sistemas de información y de la cooperación transfronteriza a escala de la Unión. Las autoridades competentes y los puntos de contacto único deben disponer de recursos técnicos, financieros y humanos adecuados para garantizar que puedan ejercer de manera efectiva y eficiente las funciones que se les atribuyen y alcanzar de este modo los objetivos de la presente Directiva. Dado que la finalidad de la presente Directiva es mejorar el funcionamiento del mercado interior mediante la creación de un clima de confianza y seguridad, los organismos de los Estados miembros deben poder cooperar eficazmente con los agentes económicos y han de estar estructurados en consecuencia.
(32) Las autoridades competentes o los equipos de respuesta a incidentes de seguridad informática (en lo sucesivo, «CSIRT», por sus siglas en inglés de «computer security incident response teams») deben recibir las notificaciones de los incidentes. Los puntos de contacto únicos no deben recibir directamente ninguna notificación de incidente, salvo en caso de que actúen también como autoridad competente o como CSIRT. No obstante, una autoridad competente o un CSIRT ha de poder encargar al punto de contacto único que transmita notificaciones de incidentes a los puntos de contacto únicos de los demás Estados miembros afectados.
(33) Para garantizar que la información se facilite efectivamente a los Estados miembros y a la Comisión, el punto de contacto único debe presentar un informe resumido al Grupo de cooperación, y este debe estar anonimizado para proteger la confidencialidad de las notificaciones y la identidad de los operadores de servicios esenciales y los proveedores de servicios digitales, dado que, para el intercambio de información sobre buenas prácticas dentro del Grupo de cooperación, no es necesaria información sobre la identidad de las entidades notificantes. El informe resumido debe contener información sobre el número de notificaciones recibidas y sobre las características de los incidentes notificados, como los tipos de vulneraciones de la seguridad, su gravedad o su duración.
(34) Los Estados miembros deben disponer de capacidades técnicas y de organización adecuadas para poder adoptar medidas de prevención, detección, respuesta y mitigación de los incidentes y riesgos que afecten a las redes y sistemas de información. Los Estados miembros deben asegurarse por tanto de que disponen de CSIRT que funcionen adecuadamente y cumplan los requisitos esenciales para así disponer de capacidades efectivas y compatibles que permitan hacer frente a incidentes y riesgos y garantizar una cooperación eficaz a escala de la Unión. Con el fin de que todos los tipos de operadores de servicios esenciales y proveedores de servicios digitales gocen de este tipo de capacidades y posibilidades de cooperación, los Estados miembros deben asegurarse de que todos ellos queden cubiertos por un CSIRT designado. Dada la importancia de la cooperación internacional en materia de ciberseguridad, los CSIRT deben tener la posibilidad de participar en redes internacionales de cooperación además de la red de CSIRT establecida en virtud de la presente Directiva.
(35) La cooperación entre los sectores público y privado es esencial dado que la mayor parte de las redes y sistemas de información es de gestión privada. Se debe alentar a los operadores de servicios esenciales y proveedores de servicios digitales a crear sus propios mecanismos de cooperación informal para garantizar la seguridad de las redes y sistemas de información. Cuando sea indicado, el Grupo de cooperación ha de poder invitar a los interesados a las discusiones. Para fomentar eficazmente el intercambio de información y buenas prácticas, es esencial garantizar que los operadores de servicios esenciales y los proveedores de servicios digitales que participan en dichos intercambios no queden en desventaja a causa de su cooperación.
(36) La ENISA debe prestar asistencia a los Estados miembros y a la Comisión ofreciéndoles su experiencia, conocimientos y asesoramiento y facilitando el intercambio de buenas prácticas. En particular, a la hora de aplicar la presente Directiva, la Comisión debe consultar a la ENISA, y los Estados miembros deben poder hacerlo. Para desarrollar las capacidades y los conocimientos en los Estados miembros, el Grupo de cooperación debe servir también de instrumento para intercambiar información sobre buenas prácticas, discutir sobre las capacidades y el grado de preparación de los Estados miembros y, a título voluntario, prestar ayuda a los miembros del grupo para evaluar las estrategias nacionales en materia de seguridad de las redes y sistemas de información, la creación de capacidades y los ejercicios de evaluación relativos a la seguridad de las redes y sistemas de información.
(37) En su caso, los Estados miembros deben poder utilizar o adaptar las estructuras organizativas o las estrategias existentes al aplicar la presente Directiva.
(38) Las funciones del Grupo de cooperación y las de la ENISA son interdependientes y complementarias. En general, la ENISA debe ayudar al Grupo de cooperación en la ejecución de sus funciones, en consonancia con el objetivo de aquella, establecido en el Reglamento (UE) nº 526/2013 del Parlamento Europeo y del Consejo (7), a saber, ayudar a las instituciones, órganos y organismos de la Unión y a los Estados miembros a aplicar las políticas necesarias para cumplir los requisitos legales y reglamentarios relativos a la seguridad de las redes y de la información que figuran en actos jurídicos actuales y futuros de la Unión. En particular, la ENISA debe prestar asistencia en aquellos ámbitos que corresponden a sus propias funciones, enumeradas en el Reglamento (UE) nº 526/2013, a saber, analizar las estrategias de la seguridad de las redes y los sistemas de información, apoyar la organización y realización de ejercicios relativos a la seguridad de las redes y sistemas de información a escala de la Unión e intercambiar información y buenas prácticas en materia de sensibilización y formación. La ENISA también debe participar en la elaboración de las directrices aplicables a los criterios sectoriales de determinación de la gravedad de las repercusiones de un incidente.
(39) A fin de promover un elevado nivel de seguridad de las redes y sistemas de información, el Grupo de cooperación debe, en su caso, cooperar con las instituciones, órganos y organismos de la Unión para intercambiar conocimientos prácticos y buenas prácticas, y para ofrecer asesoramiento sobre aspectos de seguridad de las redes y sistemas de información que puedan incidir en la labor de dichas instituciones, órganos y organismos, sin dejar de respetar las disposiciones vigentes en materia de intercambio de información restringida. Cuando coopere con las autoridades policiales en los aspectos relacionados con la seguridad de las redes y de la información que puedan incidir en la labor de dichas autoridades, el Grupo de cooperación debe respetar los canales de información existentes y las redes establecidas.
(40) La información sobre incidentes tiene cada vez mayor utilidad para la población en general y para las empresas, en particular las pequeñas y medianas empresas. En algunos casos, este tipo de información ya se proporciona a través de sitios web de ámbito nacional, en la lengua de un país concreto, dedicados principalmente a incidentes y sucesos con una dimensión nacional. Dado que las empresas operan cada vez más con carácter transfronterizo y que los particulares utilizan servicios en línea, la información sobre incidentes debe facilitarse de modo agregado a escala de la Unión. Es conveniente que la secretaría de la red de CSIRT mantenga un sitio web, o dedique una página dentro de un sitio web existente, en el que se ponga a disposición del público información general sobre los principales incidentes en materia de seguridad que afecten a las redes y sistemas de información acaecidos en toda la Unión, prestando una atención especial a los intereses y necesidades de las empresas. Conviene asimismo que los CSIRT que participen en dicha red faciliten con carácter voluntario la información que deba publicarse en ese sitio web, sin incluir información confidencial o delicada.
(41) Cuando la información se considere confidencial de conformidad con las normas nacionales y de la Unión en materia de confidencialidad empresarial, debe mantenerse ese carácter confidencial a la hora de desarrollar las actividades y cumplir los objetivos establecidos en la presente Directiva.
(42) Los ejercicios que simulan en tiempo real situaciones asociadas a un incidente son esenciales para comprobar el grado de preparación de los Estados miembros y su capacidad de cooperación por lo que respecta a la seguridad de las redes y sistemas de información. El ciclo de ejercicios denominado CyberEurope, coordinado por la ENISA con la participación de los Estados miembros, es una herramienta útil para hacer pruebas y elaborar recomendaciones sobre el modo de ir mejorando la gestión de incidentes a escala de la Unión. Considerando que, en la actualidad, los Estados miembros no están obligados a planificar ejercicios ni a participar en ellos, la creación de la red de CSIRT en virtud de la presente Directiva ha de permitirles participar en ejercicios basados en una planificación precisa y en decisiones estratégicas. El Grupo de cooperación establecido en virtud de la presente Directiva debe discutir sobre las decisiones estratégicas relativas a los ejercicios, en particular, aunque no exclusivamente, por lo que respecta a la regularidad de los mismos y a la concepción de las hipótesis. La ENISA, de conformidad con su mandato, debe apoyar la organización y realización de ejercicios a escala de la Unión, ofreciendo sus conocimientos especializados y su asesoramiento al Grupo de coordinación y a la red de CSIRT.
(43) El alcance mundial de los problemas que afectan a la seguridad de las redes y sistemas de información hace necesaria una mayor cooperación internacional para mejorar las normas de seguridad y el intercambio de información, y promover un planteamiento global común con respecto a las cuestiones de seguridad.
(44) La responsabilidad de velar por la seguridad de las redes y sistemas de información recae en gran medida en los operadores de servicios esenciales y los proveedores de servicios digitales. Debe fomentarse una cultura de gestión de riesgos que implique una evaluación del riesgo y la aplicación de medidas de seguridad adecuadas a los riesgos que hay que afrontar, y esta se debe desarrollar a través de requisitos normativos adecuados y prácticas sectoriales voluntarias. Asimismo, es indispensable sentar unas condiciones de igualdad dignas de confianza para garantizar el funcionamiento efectivo del Grupo de cooperación y la red de CSIRT y, por ende, la cooperación efectiva de todos los Estados miembros.
(45) La presente Directiva se aplica únicamente a las administraciones públicas que hayan sido identificadas como operadores de servicios esenciales. Por consiguiente, es responsabilidad de los Estados miembros garantizar la seguridad de las redes y sistemas de información de las administraciones públicas que no estén incluidas en el ámbito de aplicación de la presente Directiva.
(46) Entre las medidas de gestión del riesgo figuran aquellas cuya finalidad es determinar todo riesgo de incidentes, prevenir, detectar y gestionar incidentes y mitigar sus repercusiones. La seguridad de las redes y sistemas de información comprende la seguridad de los datos conservados, transmitidos y procesados.
(47) Las autoridades competentes deben seguir estando facultadas para adoptar directrices nacionales acerca de las circunstancias en las que los operadores de servicios esenciales deben notificar incidentes.
(48) Numerosas empresas de la Unión recurren para prestar sus propios servicios a proveedores de servicios digitales. Dado que algunos servicios digitales pueden representar un recurso importante para sus usuarios, incluidos los operadores de servicios esenciales, y dado que esos usuarios no siempre pueden recurrir a otras opciones, la presente Directiva debe aplicarse también a los proveedores de ese tipo de servicios. La seguridad, continuidad y fiabilidad del tipo de servicios digitales a que se refiere la presente Directiva tienen una importancia capital para el buen funcionamiento de numerosas empresas. La perturbación de un servicio digital puede impedir la prestación de otros servicios que dependen de él y afectar, por lo tanto, a actividades económicas y sociales fundamentales en la Unión. Por esa razón, ese tipo de servicios digitales puede tener una importancia capital para el correcto funcionamiento de las empresas que dependen de ellos, y también para la participación de estas en el mercado interior y en el comercio transfronterizo en toda la Unión. Esos proveedores de servicios digitales que están sujetos a la presente Directiva son aquellos que prestan servicios digitales de los que muchas empresas de la Unión dependen cada vez más.
(49) Los proveedores de servicios digitales deben garantizar un nivel de seguridad acorde con el grado de riesgo que se plantea para la seguridad de los servicios digitales que presten, dada la importancia de sus servicios para las operaciones de otras empresas de la Unión. En la práctica, el grado de riesgo para los operadores de servicios esenciales, que son a menudo esenciales para el mantenimiento de actividades sociales y económicas cruciales, es superior al que corresponde a los proveedores de servicios digitales. Por consiguiente, los proveedores de servicios digitales deben estar sujetos a requisitos de seguridad menos rigurosos. Los proveedores de servicios digitales deben seguir pudiendo tomar las medidas que consideren oportunas a fin de gestionar los riesgos que se planteen para la seguridad de sus redes y servicios de información. Debido a su carácter transfronterizo, los proveedores de servicios digitales deben estar sujetos a un planteamiento más armonizado a escala de la Unión. La especificación y aplicación de las medidas correspondientes debe verse facilitada mediante actos de ejecución.
(50) Aunque los fabricantes de equipos informáticos y quienes desarrollan programas informáticos no sean operadores de servicios esenciales ni proveedores de servicios digitales, sus productos facilitan la seguridad de las redes y sistemas de información. Desempeñan por ello un importante papel al permitir que los operadores de servicios esenciales y los proveedores de servicios digitales garanticen la seguridad de sus redes e infraestructuras de información. Estos equipos y programas informáticos están ya sujetos a las normas vigentes en materia de responsabilidad por los daños causados por productos defectuosos.
(51) Las medidas técnicas y de organización impuestas a los operadores de servicios esenciales y a los proveedores de servicios digitales no deben requerir que se diseñe, desarrolle o fabrique de una manera especial un determinado producto comercial de tecnología de la información y la comunicación.
(52) Los operadores de servicios esenciales y los proveedores de servicios digitales deben garantizar la seguridad de las redes y sistemas que utilicen. Se trata fundamentalmente de redes y sistemas privados gestionados por el personal informático interno o cuya seguridad se ha encomendado a empresas externas. Los requisitos en materia de seguridad y notificación han de aplicarse a los operadores de servicios esenciales y a los proveedores de servicios digitales pertinentes, independientemente de si se encargan ellos mismos del mantenimiento de sus redes y sistemas de información o lo subcontratan.
(53) Para no imponer una carga financiera y administrativa desproporcionada a los operadores de servicios esenciales y a los proveedores de servicios digitales, los requisitos han de ser proporcionados en relación con los riesgos que presenta la red y el sistema de información en cuestión, y tener en cuenta el estado de la técnica. En el caso de los proveedores de servicios digitales, esos requisitos no deben aplicarse ni a las microempresas ni a las pequeñas empresas.
(54) Las administraciones públicas de los Estados miembros que utilizan servicios ofrecidos por proveedores de servicios digitales, en particular servicios de computación en nube, pueden considerar conveniente exigir a los proveedores de tales servicios medidas de seguridad adicionales, más estrictas que las que dichos proveedores ofrecerían normalmente en cumplimiento de los requisitos de la presente Directiva. Han de poder hacerlo mediante obligaciones contractuales.
(55) Las definiciones de mercados digitales, motores de búsqueda en línea y servicios de computación en nube formuladas en la presente Directiva han de entenderse a los efectos específicos de esta, y sin perjuicio de cualquier otro instrumento.
(56) La presente Directiva no debe ser óbice para que los Estados miembros adopten medidas nacionales que obliguen a los organismos del sector público a garantizar unas condiciones de seguridad específicas cuando contraten servicios de computación en nube. Las medidas nacionales de ese tipo que se adopten deben aplicarse al organismo del sector público de que se trate, y no al proveedor de servicios de computación en nube.
(57) Dadas las diferencias fundamentales existentes entre los operadores de servicios esenciales, en particular por su vinculación directa con infraestructuras físicas, y los proveedores de servicios digitales, en particular por su carácter transfronterizo, debe adoptarse en la presente Directiva un planteamiento diferenciado con respecto al nivel de armonización aplicable a esos dos grupos de entidades. Para los operadores de servicios esenciales, los Estados miembros deben poder identificar a los operadores correspondientes e imponerles requisitos más estrictos que los previstos en la presente Directiva. Los Estados miembros no deben identificar a los proveedores de servicios digitales, ya que la presente Directiva debe aplicarse a todos los proveedores de servicios digitales incluidos en su ámbito de aplicación. Por otra parte, la presente Directiva y los actos de ejecución que se adopten en virtud de esta deben garantizar un elevado nivel de armonización para los proveedores de servicios digitales respecto de los requisitos de seguridad y notificación. Ello debe permitir que los proveedores de servicios digitales sean tratados de manera uniforme en toda la Unión, de una manera proporcionada en relación con su naturaleza y con el grado de riesgo al que puedan tener que hacer frente.
(58) La presente Directiva no debe impedir que los Estados miembros impongan requisitos de seguridad y notificación a entidades que no sean proveedores de servicios digitales comprendidos en el ámbito de aplicación de la presente Directiva, sin perjuicio de las obligaciones de los Estados miembros en virtud del Derecho de la Unión.
(59) Las autoridades competentes deben procurar que se mantengan los canales de intercambio de información informales y de confianza. Antes de dar publicidad a los incidentes notificados a las autoridades competentes, es preciso sopesar debidamente el interés de los ciudadanos en ser informados sobre amenazas que en términos comerciales y de reputación puedan sufrir los operadores de servicios esenciales y los proveedores de servicios digitales que notifican incidentes. A la hora de cumplir sus obligaciones de notificación, las autoridades competentes y los CSIRT han de tener muy en cuenta la necesidad de mantener estrictamente confidencial la información sobre los puntos vulnerables del producto antes de dar a conocer las soluciones de seguridad adecuadas.
(60) Los proveedores de servicios digitales deben estar sujetos a un tipo de supervisión ligera, reactiva y a posteriori, justificada por la naturaleza de sus servicios y operaciones. La autoridad competente de que se trate debe, por tanto, intervenir únicamente cuando obtenga pruebas, por ejemplo del propio proveedor de servicios digitales, de otra autoridad competente, incluida una autoridad competente de otro Estado miembro, o de un usuario del servicio, de que un proveedor de servicios digitales no cumple los requisitos de la presente Directiva, en particular después de que se haya producido un incidente. Por consiguiente, la autoridad competente no debe tener la obligación general de supervisar a los proveedores de servicios digitales.
(61) Las autoridades competentes deben disponer de los medios necesarios para ejercer sus funciones, incluidas sus competencias para obtener información suficiente para evaluar el nivel de seguridad de las redes y sistemas de información.
(62) Los incidentes pueden ser consecuencia de actividades delictivas, cuya prevención, investigación y enjuiciamiento se ven facilitados por la coordinación y la cooperación entre los operadores de servicios esenciales, los proveedores de servicios digitales, las autoridades competentes y las autoridades policiales. Cuando se sospeche que un incidente guarda relación con actividades delictivas graves en virtud del Derecho de la Unión o nacional, los Estados miembros deben alentar a los operadores de servicios esenciales y a los proveedores de servicios digitales a notificar personalmente a las autoridades policiales competentes los incidentes de naturaleza presuntamente delictiva y grave. Es deseable que el Centro Europeo de Ciberdelincuencia (EC3) y la ENISA faciliten, en su caso, la coordinación entre las autoridades competentes y las autoridades policiales de los diferentes Estados miembros.
(63) En numerosas ocasiones los datos de carácter personal se ven comprometidos a raíz de incidentes. En este contexto, las autoridades competentes y las autoridades responsables de la protección de datos han de cooperar e intercambiar la información sobre todos los asuntos pertinentes ante las violaciones de datos personales derivadas de incidentes.
(64) La competencia judicial respecto de los proveedores de servicios digitales debe atribuirse al Estado miembro en el que el operador tenga en la Unión su establecimiento principal, que corresponde en principio al lugar en el que el proveedor tiene su domicilio social en la Unión. Por establecimiento se entiende el ejercicio real y efectivo de una actividad mediante una organización estable. La forma jurídica de dicha organización, ya sea a través de una sucursal o una filial con personalidad jurídica, no es el factor determinante a este respecto. Este criterio no debe depender de que las redes y sistemas de información estén o no físicamente situados en un lugar determinado; la presencia y utilización de tales sistemas no pueden asimilarse por sí mismos a la existencia del mencionado establecimiento principal y no constituyen, por tanto, criterios para determinar el establecimiento principal.
(65) Cuando un proveedor de servicios digitales que no esté establecido en la Unión ofrezca servicios en ella, debe designar a un representante. Para determinar si dicho proveedor de servicios digitales ofrece servicios en la Unión, debe averiguarse si hay constancia de que el proveedor de servicios digitales tiene la intención de ofrecer servicios a personas de uno o varios Estados miembros. La simple accesibilidad en la Unión del sitio web del proveedor de servicios digitales o de un intermediario, o de una dirección de correo electrónico y otros datos de contacto, o el empleo de una lengua de uso común en el país tercero en que esté establecido el proveedor de servicios digitales, no basta para determinar dicha intención. No obstante, factores como el empleo de una lengua o una moneda, de uso común en uno o varios Estados miembros, con la posibilidad de encargar servicios en esa otra lengua, o la mención de clientes o usuarios que estén en la Unión, puede revelar que el proveedor de servicios digitales tiene la intención de ofrecer servicios en la Unión. El representante debe actuar por cuenta del proveedor de servicios digitales, y las autoridades competentes o los CSIRT han de poder ponerse en contacto con él. El representante debe haber sido designado expresamente mediante un mandato escrito del proveedor de servicios digitales que le autorice para actuar por cuenta de este en lo que respecta a las obligaciones del proveedor en virtud de la presente Directiva, también por lo que respecta a la obligación de notificación de incidentes.
(66) La normalización de los requisitos en materia de seguridad es un proceso impulsado por el mercado. Al objeto de garantizar una aplicación convergente de las normas de seguridad, los Estados miembros han de fomentar el cumplimiento de normas específicas o la conformidad con ellas para así lograr un elevado nivel de seguridad de las redes y sistemas de información en la Unión. La ENISA debe prestar asistencia a los Estados miembros ofreciéndoles asesoramiento y directrices. A tal fin, podría ser útil elaborar normas armonizadas, de conformidad con el Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo (8).
(67) Puede ocurrir que entidades no incluidas en el ámbito de aplicación de la presente Directiva sufran incidentes que tengan efectos significativos en los servicios que prestan. Cuando tales entidades consideren de interés público notificar que se han producido esos incidentes, deben poder hacerlo a título voluntario. Tales notificaciones solo deben ser tramitadas por la autoridad competente o por el CSIRT cuando su tramitación no suponga una carga desproporcionada o injustificada para los Estados miembros afectados.
(68) A fin de garantizar condiciones uniformes de ejecución de la presente Directiva, deben conferirse a la Comisión competencias de ejecución para establecer, por una parte, las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de cooperación y, por otra, los requisitos de seguridad y notificación aplicables a los proveedores de servicios digitales. Esas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo (9). Al adoptar actos de ejecución relacionados con las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de cooperación, la Comisión debe tener plenamente en cuenta el dictamen de la ENISA.
(69) Al adoptar actos de ejecución relacionados con los requisitos de seguridad aplicables a los proveedores de servicios digitales, la Comisión debe tener plenamente en cuenta el dictamen de la ENISA y debe consultar a los interesados. Además, se alienta a la Comisión a que tenga en cuenta los siguientes ejemplos: por lo que respecta a la seguridad de los sistemas e instalaciones: la seguridad física y del entorno, la seguridad de abastecimiento, el control del acceso a las redes y sistemas de información y la integridad de las redes y sistemas de información; por lo que respecta a la gestión de incidentes: los procedimientos de gestión de incidentes, las capacidades de detección de incidentes, la información y comunicación sobre incidentes; por lo que respecta a la gestión de la continuidad de las actividades: la estrategia de continuidad de los servicios y los planes para contingencias y las capacidades de recuperación en caso de catástrofe; y, por lo que respecta a la supervisión, la auditoría y los ensayos: las políticas de supervisión y registro, la planificación de contingencias durante los ejercicios, los ensayos con las redes y sistemas de información, las evaluaciones de seguridad y el control del cumplimiento de la normativa.
(70) Al aplicar la presente Directiva, la Comisión debe mantener contactos, según corresponda, con los comités sectoriales y organismos pertinentes establecidos a escala de la Unión en los ámbitos a los que se aplica la presente Directiva.
(71) La Comisión debe revisar periódicamente lo dispuesto en la presente Directiva, en consulta con los interesados, en particular para determinar si se precisa alguna modificación a raíz de cambios en la situación social, política, de la tecnología o el mercado.
(72) El intercambio de información sobre riesgos e incidentes que ha de llevarse a cabo en el Grupo de cooperación y la red de los CSIRT, y el cumplimiento de la obligación de notificar los incidentes a las autoridades nacionales competentes o a los CSIRT, pueden hacer necesario el tratamiento de datos personales. Dicho tratamiento debe cumplir lo dispuesto en la Directiva 95/46/CE del Parlamento Europeo y del Consejo (10) y en el Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo (11). Al aplicar la presente Directiva, se debe aplicar, según corresponda, el Reglamento (CE) nº 1049/2001 del Parlamento Europeo y del Consejo (12).
(73) El Supervisor Europeo de Protección de Datos, consultado de conformidad con el artículo 28, apartado 2, del Reglamento (CE) nº 45/2001, emitió un dictamen el 14 de junio de 2013 (13).
(74) Dado que el objetivo de la presente Directiva, a saber, garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a los efectos de la acción, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, la presente Directiva no excede de lo necesario para alcanzar dicho objetivo.
(75) La presente Directiva observa los derechos fundamentales y los principios reconocidos por la Carta de los Derechos Fundamentales de la Unión Europea, en particular, el derecho al respeto de la vida privada y las comunicaciones, el derecho a la protección de los datos de carácter personal, la libertad de empresa, el derecho a la propiedad, el derecho a una tutela judicial efectiva y el derecho a ser oído. La presente Directiva debe aplicarse de conformidad con estos derechos y principios.
HAN ADOPTADO LA PRESENTE DIRECTIVA:
CAPÍTULO I.- DISPOSICIONES GENERALES
Artículo 1.- Objeto y ámbito de aplicación
- La presente Directiva establece medidas con el objeto de lograr un elevado nivel común de seguridad de las redes y sistemas de información dentro de la Unión a fin de mejorar el funcionamiento del mercado interior.
- A tal fin, la presente Directiva:
a) establece obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad de las redes y sistemas de información;
b) crea un Grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar la confianza y seguridad entre ellos;
c) crea una red de equipos de respuesta a incidentes de seguridad informática (en lo sucesivo, «red de CSIRT», por sus siglas en inglés de «computer security incident response teams») con el fin de contribuir al desarrollo de la confianza y seguridad entre los Estados miembros y promover una cooperación operativa rápida y eficaz;
d) establece requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales;
e) establece obligaciones para que los Estados miembros designen autoridades nacionales competentes, puntos de contacto únicos y CSIRT con funciones relacionadas con la seguridad de las redes y sistemas de información.
- Los requisitos de seguridad y notificación previstos en la presente Directiva no serán aplicables a las empresas que están sujetas a los requisitos de los artículos 13 bis y 13 ter de la Directiva 2002/21/CE ni a los proveedores de servicios de confianza sujetos a los requisitos del artículo 19 del Reglamento (UE) nº 910/2014.
- La presente Directiva se entenderá sin perjuicio de la Directiva 2008/114/CE del Consejo (14) y las Directivas 2011/93/UE (15) y 2013/40/UE (16) del Parlamento Europeo y del Consejo.
- Sin perjuicio de lo dispuesto en el artículo 346 del TFUE, la información que se considere confidencial de acuerdo con las normas de la Unión y nacionales, como las normas sobre confidencialidad empresarial, se intercambiará con la Comisión y otras autoridades competentes únicamente cuando tal intercambio sea necesario a efectos de la aplicación de la presente Directiva. La información que se intercambie se limitará a aquella que resulte pertinente y proporcionada para la finalidad del intercambio. Dicho intercambio de información preservará la confidencialidad de esta y protegerá los intereses de seguridad y comerciales de los operadores de servicios esenciales y de los proveedores de servicios digitales.
- La presente Directiva se entenderá sin perjuicio de las acciones emprendidas por los Estados miembros para salvaguardar sus funciones estatales esenciales, en particular para salvaguardar la seguridad nacional, incluidas las acciones que protejan la información cuya revelación los Estados miembros consideren contraria a los intereses esenciales de su seguridad, y para mantener el orden público, en particular para permitir la investigación, la detección y el enjuiciamiento de infracciones penales.
- Se aplicará lo dispuesto en un acto jurídico sectorial de la Unión, cuando este requiera que los operadores de servicios esenciales o los proveedores de servicios digitales garanticen la seguridad de sus redes y sistemas de información o notifiquen incidentes, siempre que dichos requisitos tengan al menos un efecto equivalente al de las obligaciones establecidas en la presente Directiva.
Artículo 2.- Tratamiento de datos personales
- El tratamiento de datos personales conforme a la presente Directiva se llevará a cabo de conformidad con la Directiva 95/46/CE.
- El tratamiento de datos personales por las instituciones y los órganos de la Unión conforme a la presente Directiva se llevará a cabo de conformidad con el Reglamento (CE) nº 45/2001.
Artículo 3.- Armonización mínima
Sin perjuicio de lo dispuesto en el artículo 16, apartado 10, y de sus obligaciones en virtud del Derecho de la Unión, los Estados miembros podrán adoptar o mantener disposiciones con el objeto de alcanzar un mayor nivel de seguridad de las redes y sistemas de información.
Artículo 4.- Definiciones
A los efectos de la presente Directiva, se entenderá por:
1) «redes y sistemas de información»:
a) una red de comunicaciones electrónicas en el sentido del artículo 2, letra a), de la Directiva 2002/21/CE;
b) todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí en el que uno o varios de ellos realizan, mediante un programa, el tratamiento automático de datos digitales, o
c) los datos digitales almacenados, tratados, recuperados o transmitidos mediante elementos contemplados en las letras a) y b) para su funcionamiento, utilización, protección y mantenimiento;
2) «seguridad de las redes y sistemas de información»: la capacidad de las redes y sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de información o accesibles a través de ellos;
3) «estrategia nacional de seguridad de las redes y sistemas de información»: un marco que proporciona prioridades y objetivos estratégicos de seguridad de las redes y sistemas de información a escala nacional;
4) «operador de servicios esenciales»: una entidad pública o privada de uno de los tipos que figuran en el anexo II, que reúna los criterios establecidos en el artículo 5, apartado 2;
5) «servicio digital»: un servicio en el sentido del artículo 1, apartado 1, letra b), de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo (17) que sea de uno de los tipos que figuran en el anexo III;
6) «proveedor de servicios digitales»: toda persona jurídica que preste un servicio digital;
7) «incidente»: todo hecho que tenga efectos adversos reales en la seguridad de las redes y sistemas de información;
8) «gestión de incidentes»: todos los procedimientos seguidos para detectar, analizar y limitar un incidente y responder ante este;
9) «riesgo»: toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes y sistemas de información;
10) «representante»: toda persona física o jurídica establecida en la Unión que ha sido designada expresamente para actuar por cuenta de un proveedor de servicios digitales no establecido en la Unión, al que puede dirigirse una autoridad competente nacional o un CSIRT en sustitución del proveedor de servicios digitales, en lo que respecta a las obligaciones del proveedor de servicios digitales en virtud de la presente Directiva;
11) «norma»: una norma en el sentido del artículo 2, punto 1, del Reglamento (UE) nº 1025/2012;
12) «especificación»: una especificación técnica en el sentido del artículo 2, punto 4, del Reglamento (UE) nº 1025/2012;
13) «punto de intercambio de internet (»IXP«, por sus siglas en inglés de» internet exchange point«)»: una instalación de la red que permite interconectar más de dos sistemas autónomos independientes, principalmente para facilitar el intercambio de tráfico de internet; un IXP solo permite interconectar sistemas autónomos; un IXP no requiere que el tráfico de internet que pasa entre cualquier par de sistemas autónomos participantes pase por un tercer sistema autónomo, ni modifica ni interfiere de otra forma en dicho tráfico;
14) «servidor de sistema de nombres de dominio (»DNS«, por sus siglas en inglés de» domain name system«)»: un sistema de nombres de dominio distribuido jerárquicamente en una red que recibe consultas sobre nombres de dominio;
15) «proveedor de servicios de DNS»: una entidad que presta servicios de DNS en internet;
16) «registro de nombres de dominio de primer nivel»: una entidad que administra y dirige el registro de nombres de dominio de internet en un dominio específico de primer nivel;
17) «mercado en línea»: un servicio digital que permite a los consumidores o a los comerciantes, como se definen respectivamente en el artículo 4, apartado 1, letra a) y letra b), de la Directiva 2013/11/UE del Parlamento Europeo y del Consejo (18), celebrar contratos de compraventa o de servicios en línea con comerciantes, ya sea en el sitio web del mercado en línea o en un sitio web de un comerciante que utilice servicios informáticos proporcionados por el mercado en línea;
18) «motor de búsqueda en línea»: un servicio digital que permite a los usuarios hacer búsquedas de, en principio, todos los sitios web o de sitios web en una lengua en concreto mediante una consulta sobre un tema cualquiera en forma de palabra clave, frase u otro tipo de entrada, y que en respuesta muestra enlaces en los que puede encontrarse información relacionada con el contenido solicitado;
19) «servicio de computación en nube»: un servicio digital que hace posible el acceso a un conjunto modulable y elástico de recursos informáticos que se pueden compartir.
Artículo 5.- Identificación de operadores de servicios esenciales
- A más tardar el 9 de noviembre de 2018, los Estados miembros identificarán a los operadores de servicios esenciales establecidos en su territorio para cada sector y subsector mencionados en el anexo II.
- Los criterios para la identificación de operadores de servicios esenciales a que se refiere el artículo 4, punto 4, son los siguientes:
a) una entidad presta un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales;
b) la prestación de dicho servicio depende de las redes y sistemas de información, y
c) un incidente tendría efectos perturbadores significativos en la prestación de dicho servicio.
- A efectos del apartado 1, cada Estado miembro establecerá una lista de los servicios mencionados en el apartado 2, letra a).
- A efectos del apartado 1, cuando una entidad preste un servicio tal como se contempla en el apartado 2, letra a), en dos o más Estados miembros, estos se consultarán entre ellos. Dicha consulta tendrá lugar antes de que se adopte una decisión sobre la identificación.
- Los Estados miembros revisarán con regularidad, y al menos cada dos años a partir del 9 de mayo de 2018, la lista de operadores de servicios esenciales identificados y la actualizarán cuando proceda.
- La misión del Grupo de cooperación será, de conformidad con las funciones contempladas en el artículo 11, apoyar a los Estados miembros para que adopten un planteamiento coherente en el proceso de identificación de los operadores de servicios esenciales.
- A efectos de la revisión a que se refiere el artículo 23, a más tardar el 9 de noviembre de 2018, y cada dos años a partir de entonces, los Estados miembros remitirán a la Comisión la información necesaria para que pueda evaluar la aplicación de la presente Directiva, en particular la coherencia de los planteamientos de los Estados miembros respecto a la identificación de los operadores de servicios esenciales. Dicha información deberá contener, como mínimo:
a) las medidas nacionales que permitan identificar operadores de servicios esenciales;
b) la lista de servicios contemplada en el apartado 3;
c) el número de operadores de servicios esenciales identificados para cada uno de los sectores que figuran en el anexo II y una indicación de su importancia en relación con dicho sector;
d) los umbrales, cuando existan, para determinar el nivel de suministro pertinente en función del número de usuarios que confían en ese servicio a que hace referencia el artículo 6, apartado 1, letra a), o la importancia de ese operador concreto de servicios esenciales a que hace referencia el artículo 6, apartado 1, letra f).
A fin de contribuir a que se aporte información comparable, la Comisión, teniendo en cuenta en la mayor medida posible el dictamen de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), podrá adoptar directrices técnicas adecuadas sobre parámetros para la información contemplada en el presente apartado.
Artículo 6.- Efecto perturbador significativo
- A la hora de determinar la importancia de un efecto perturbador tal como se indica en el artículo 5, apartado 2, letra c), los Estados miembros tendrán en cuenta al menos los siguientes factores intersectoriales:
a) el número de usuarios que confían en los servicios prestados por la entidad de que se trate;
b) la dependencia de otros sectores que figuran en el anexo II sobre el servicio prestado por esa entidad;
c) la repercusión que podrían tener los incidentes, en términos de grado y duración, en las actividades económicas y sociales o en la seguridad pública;
d) la cuota de mercado de la entidad;
e) la extensión geográfica con respecto a la zona que podría verse afectada por un incidente;
f) la importancia de la entidad para mantener un nivel suficiente del servicio, teniendo en cuenta la disponibilidad de alternativas para la prestación de ese servicio.
- A fin de determinar si un incidente podría tener efectos perturbadores significativos, los Estados miembros también tendrán en cuenta factores específicos del sector, cuando proceda.
CAPÍTULO II.- MARCOS NACIONALES DE SEGURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIÓN
Artículo 7.- Estrategia nacional de seguridad de las redes y sistemas de información
- Cada Estado miembro adoptará una estrategia nacional de seguridad de las redes y sistemas de información que establezca los objetivos estratégicos y las medidas políticas y normativas adecuadas con objeto de alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información y que cubra al menos los sectores que figuran en el anexo II y los servicios que figuran en el anexo III. La estrategia nacional de seguridad de las redes y sistemas de información abordará, en particular, las cuestiones siguientes:
a) los objetivos y prioridades de la estrategia nacional de seguridad de las redes y sistemas de información;
b) un marco de gobernanza para lograr los objetivos y las prioridades de la estrategia nacional de seguridad de las redes y sistemas de información, incluidas las funciones y responsabilidades de las instituciones públicas y de los demás agentes pertinentes;
c) la identificación de medidas sobre preparación, respuesta y recuperación, incluida la cooperación entre los sectores público y privado;
d) una indicación de los programas de educación, concienciación y formación relacionados con la estrategia nacional de seguridad de las redes y sistemas de información;
e) una indicación de los programas de investigación y desarrollo relacionados con la estrategia nacional de seguridad de las redes y sistemas de información;
f) un plan de evaluación de riesgos para identificar riesgos;
g) una lista de los diversos agentes que participan en la ejecución de la estrategia de seguridad de las redes y sistemas de información.
- Los Estados miembros podrán solicitar la asistencia de la ENISA a la hora de elaborar estrategias nacionales de seguridad de las redes y sistemas de información.
- Los Estados miembros comunicarán sus estrategias nacionales de seguridad de las redes y sistemas de información a la Comisión en el plazo de tres meses a partir de su adopción. Al hacerlo, los Estados miembros podrán excluir elementos de la estrategia relacionados con la seguridad nacional.
Artículo 8.- Autoridades nacionales competentes y punto de contacto único
- Cada Estado miembro designará una o más autoridades nacionales competentes en materia de seguridad de las redes y sistemas de información (en lo sucesivo, «autoridad competente») que cubra al menos los sectores que figuran en el anexo II y los servicios que figuran en el anexo III. Los Estados miembros podrán asignar esta función a una autoridad o autoridades existentes.
- Las autoridades competentes supervisarán la aplicación de la presente Directiva a escala nacional.
- Cada Estado miembro designará un punto de contacto único en materia de seguridad de las redes y sistemas de información (en lo sucesivo, «punto de contacto único»). Los Estados miembros podrán asignar esta función a una autoridad existente. Si un Estado miembro designa únicamente una autoridad competente, dicha autoridad también será el punto de contacto único.
- El punto de contacto único ejercerá una función de enlace para garantizar la cooperación transfronteriza entre las autoridades de los Estados miembros y con las autoridades competentes en otros Estados miembros y con el Grupo de cooperación a que se refiere el artículo 11 y la red de CSIRT a que se refiere el artículo 12.
- Los Estados miembros velarán por que las autoridades competentes y los puntos de contacto únicos dispongan de recursos adecuados para ejercer las funciones que les son asignadas de forma efectiva y eficiente y cumplir así los objetivos de la presente Directiva. Los Estados miembros garantizarán una cooperación efectiva, eficiente y segura de los representantes designados en el Grupo de cooperación
- Las autoridades competentes y los puntos de contacto únicos, cuando proceda y de conformidad con el Derecho nacional, consultarán a las autoridades policiales nacionales competentes y a las autoridades nacionales responsables de la protección de datos y cooperarán con ellas.
- Los Estados miembros notificarán sin dilación a la Comisión la autoridad competente y el punto de contacto único que hayan designado, sus funciones y cualquier cambio posterior que se introduzca. Los Estados miembros harán pública su designación de la autoridad competente y el punto de contacto único. La Comisión publicará la lista de puntos de contacto únicos designados.
Artículo 9.- Equipos de respuesta a incidentes de seguridad informática (CSIRT)
- Cada Estado miembro designará uno o varios CSIRT que cumplan los requisitos establecidos en el anexo I, punto 1, que cubran al menos los sectores que figuran en el anexo II y los tipos de servicios digitales que figuran en el anexo III, responsables de la gestión de incidentes y riesgos de conformidad con un procedimiento claramente definido. Podrá crearse un CSIRT en el marco de una autoridad competente.
- Los Estados miembros velarán por que los CSIRT designados dispongan de recursos adecuados para ejercer eficazmente sus funciones, tal como se establece en el anexo I, punto 2.
Los Estados miembros garantizarán una cooperación efectiva, eficiente y segura de sus CSIRT en la red de CSIRT a que hace referencia el artículo 12.
- Los Estados miembros velarán por que sus CSIRT designados tengan acceso a una infraestructura de comunicación e información apropiada, segura y resiliente a escala nacional.
- Los Estados miembros informarán a la Comisión del mandato y de los elementos principales del proceso de gestión de incidentes de sus CSIRT.
- Los Estados miembros podrán solicitar la asistencia de la ENISA a la hora de crear CSIRT nacionales.
Artículo 10.- Cooperación a escala nacional
- Cuando sean distintos, la autoridad competente, el punto de contacto único y los CSIRT del mismo Estado miembro cooperarán respecto al cumplimiento de las obligaciones establecidas en la presente Directiva.
- Los Estados miembros velarán por que las autoridades competentes o los CSIRT reciban las notificaciones sobre incidentes presentadas en el marco de la presente Directiva. Cuando un Estado miembro decida que los CSIRT no recibirán notificaciones, se dará a estos últimos, en la medida necesaria para que cumplan sus funciones, el acceso a los datos sobre incidentes notificados por los operadores de servicios esenciales con arreglo al artículo 14, apartados 3 y 5, o por los proveedores de servicios digitales con arreglo al artículo 16, apartados 3 y 6.
- Los Estados miembros velarán por que las autoridades competentes o los CSIRT informen a los puntos de contacto únicos sobre las notificaciones de incidentes presentadas en el marco de la presente Directiva.
A más tardar el 9 de agosto de 2018, y una vez al año a partir de entonces, el punto de contacto único presentará al Grupo de cooperación un informe resumido sobre las notificaciones recibidas, con mención del número de notificaciones y de la naturaleza de los incidentes notificados, así como de las acciones emprendidas de conformidad con el artículo 14, apartados 3 y 5, y el artículo 16, apartados 3 y 6.
CAPÍTULO III.- COOPERACIÓN
Artículo 11.- Grupo de cooperación
- Se establece un Grupo de cooperación a fin de apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar confianza y seguridad, y a fin de alcanzar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
El Grupo de cooperación ejercerá sus funciones con arreglo a los programas de trabajo bienales a que se refiere el apartado 3, párrafo segundo.
- El Grupo de cooperación estará formado por representantes de los Estados miembros, la Comisión y la ENISA.
Cuando proceda, el Grupo de cooperación podrá invitar a representantes de los interesados pertinentes a que participen en su labor.
La Comisión se hará cargo de la secretaría.
- El Grupo de cooperación ejercerá las siguientes funciones:
a) proporcionar orientación estratégica para las actividades de la red de CSIRT establecida en virtud del artículo 12;
b) intercambiar buenas prácticas cuando se intercambie información relativa a la notificación de incidentes tal como se contempla en el artículo 14, apartados 3 y 5, y en el artículo 16, apartados 3 y 6;
c) intercambiar buenas prácticas entre los Estados miembros y, en colaboración con la ENISA, asistir a los Estados miembros en el desarrollo de capacidades para garantizar la seguridad de las redes y sistemas de información;
d) discutir sobre las capacidades y la preparación de los Estados miembros, evaluar voluntariamente las estrategias nacionales de seguridad de las redes y sistemas de información y la eficacia de los CSIRT e identificar las buenas prácticas;
e) intercambiar información y buenas prácticas sobre concienciación y formación;
f) intercambiar información y buenas prácticas sobre investigación y desarrollo en materia seguridad de las redes y sistemas de información;
g) cuando proceda, intercambiar experiencias sobre asuntos relativos a seguridad de las redes y sistemas de información con las instituciones, órganos y organismos de la Unión competentes;
h) discutir sobre las normas y especificaciones a que hace referencia el artículo 19 con los representantes de los organismos europeos de normalización pertinentes;
i) recopilar información de buenas prácticas sobre los riesgos e incidentes que afecten a las redes y sistemas de información;
j) examinar anualmente los informes resumidos que menciona el artículo 10, apartado 3, párrafo segundo;
k) discutir sobre el trabajo emprendido con respecto a ejercicios relativos a la seguridad de las redes y sistemas de información, programas educativos y formación, incluido el trabajo realizado por la ENISA;
l) con la asistencia de la ENISA, intercambiar buenas prácticas con respecto a la identificación de operadores de servicios esenciales por parte de los Estados miembros, en particular en relación con las dependencias transfronterizas, en lo que atañe a riesgos e incidentes;
m) discutir sobre las modalidades para informar sobre notificaciones de incidentes tal como se contempla en los artículos 14 y 16;
A más tardar el 9 de febrero de 2018, y cada dos años a partir de entonces, el Grupo de cooperación establecerá un programa de trabajo sobre las acciones que deben emprenderse para realizar sus objetivos y funciones, que serán coherentes con los objetivos de la presente Directiva.
- A efectos de la revisión a que se refiere el artículo 23, a más tardar el 9 de agosto de 2018, y cada año y medio a partir de entonces, el Grupo de cooperación elaborará un informe para valorar la experiencia adquirida con la cooperación estratégica contemplada en el presente artículo.
- La Comisión adoptará actos de ejecución para establecer las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de cooperación. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 22, apartado 2.
A efectos del párrafo primero, la Comisión presentará al Comité el primer proyecto de acto de ejecución a que se refiere el artículo 22, apartado 1, a más tardar el 9 de febrero de 2017.
Artículo 12.- Red de CSIRT
- A fin de contribuir a desarrollar la confianza y la seguridad entre los Estados miembros y promover una cooperación operativa rápida y eficaz, se establece una red de CSIRT nacionales.
- La red de CSIRT estará formada por representantes de los CSIRT de los Estados miembros. La Comisión participará en la red de CSIRT en calidad de observador. La ENISA se hará cargo de la secretaría y apoyará activamente la cooperación entre los CSIRT.
- La red de CSIRT desempeñará los siguientes cometidos:
a) intercambiar información sobre servicios, operaciones y capacidades de cooperación de los CSIRT;
b) a instancias de un representante de un CSIRT de un Estado miembro que pueda verse afectado por un incidente, intercambiar y discutir sobre información sensible de carácter no comercial relacionada con ese incidente y los riesgos asociados; no obstante, todo Estado miembro podrá negarse a contribuir a dicha discusión si existe riesgo de perjuicio para la investigación del incidente;
c) intercambiar y proporcionar voluntariamente información no confidencial sobre incidentes concretos;
d) a instancias de un representante de un CSIRT de un Estado miembro, discutir y, cuando sea posible, determinar una respuesta coordinada a un incidente que se haya identificado dentro del ámbito de competencias de ese Estado miembro;
e) prestar apoyo a los Estados miembros a la hora de abordar los incidentes transfronterizos sobre la base de su asistencia mutua voluntaria;
f) discutir, explorar e identificar más formas de cooperación operativa, incluidas las relacionadas con:
i) categorías de riesgos e incidentes,
ii) alertas tempranas,
iii) asistencia mutua,
iv) principios y modalidades de coordinación, cuando los Estados miembros respondan ante incidentes y riesgos transfronterizos de seguridad de las redes y sistemas de información;
g) informar al Grupo de cooperación sobre sus actividades y sobre las formas adicionales de cooperación operativa sobre las que se haya discutido conforme a la letra f), y solicitar directrices a este respecto;
h) discutir sobre la experiencia adquirida a partir de los ejercicios relativos a la seguridad de las redes y sistemas de información, entre ellas las organizadas por la ENISA;
i) a instancias de un CSIRT determinado, analizar las capacidades y la preparación de ese mismo CSIRT;
j) publicar directrices para facilitar la convergencia de prácticas operativas con respecto a la aplicación de lo dispuesto en el presente artículo en lo que atañe a la cooperación operativa.
- A efectos de la revisión que contempla el artículo 23, a más tardar el 9 de agosto de 2018, y cada año y medio a partir de entonces, la red de CSIRT elaborará un informe en el que se examine la experiencia adquirida a través de la cooperación operativa, en particular las conclusiones y recomendaciones, practicada con arreglo al presente artículo. Dicho informe también se enviará al Grupo de cooperación.
- La red de CSIRT establecerá su reglamento interno.
Artículo 13.- Cooperación internacional
La Unión podrá celebrar, de conformidad con el artículo 218 del TFUE, acuerdos internacionales con terceros países u organizaciones internacionales que hagan posible y organicen su participación en algunas actividades del Grupo de cooperación. En tales acuerdos se tendrá en cuenta la necesidad de garantizar una protección de datos adecuada.
CAPÍTULO IV.- SEGURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIÓN DE LOS OPERADORES DE SERVICIOS ESENCIALES
Artículo 14.- Requisitos en materia de seguridad y notificación de incidentes
- Los Estados miembros velarán por que los operadores de servicios esenciales tomen las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilizan en sus operaciones. Habida cuenta de la situación, dichas medidas garantizarán un nivel de seguridad de las redes y sistemas de información adecuado en relación con el riesgo planteado.
- Los Estados miembros velarán por que los operadores de servicios esenciales tomen medidas adecuadas para prevenir y reducir al mínimo los efectos de los incidentes que afecten la seguridad de las redes y sistemas de información utilizados para la prestación de tales servicios esenciales con el objeto de garantizar su continuidad.
- Los Estados miembros velarán por que los operadores de servicios esenciales notifiquen sin dilación indebida a la autoridad competente o al CSIRT los incidentes que tengan efectos significativos en la continuidad de los servicios esenciales que prestan. Las notificaciones incluirán información que permita a la autoridad competente o al CSIRT determinar cualquier efecto transfronterizo del incidente. La notificación no sujetará al notificante a una mayor responsabilidad.
- A fin de determinar la importancia de los efectos de un incidente, se tendrán en cuenta, en particular, los siguientes parámetros:
a) el número de usuarios afectados por la perturbación del servicio esencial;
b) la duración del incidente;
c) la extensión geográfica con respecto a la zona afectada por el incidente.
- Sobre la base de la información proporcionada en la notificación por el operador de servicios esenciales, la autoridad competente o el CSIRT informará al otro u otros Estados miembros afectados acerca de si el incidente tiene efectos significativos en la continuidad de los servicios esenciales en dicho Estado miembro. Al hacerlo, la autoridad competente o el CSIRT, de conformidad con el Derecho de la Unión o con la legislación nacional acorde con el Derecho de la Unión, mantendrán la seguridad y los intereses comerciales del operador de servicios esenciales así como la confidencialidad de la información proporcionada en su notificación.
Cuando las circunstancias lo permitan, la autoridad competente o el CSIRT proporcionarán al operador de servicios esenciales notificante la información pertinente con respecto al seguimiento de la notificación de un incidente, por ejemplo la información que podría facilitar la gestión eficaz del incidente.
A instancias de la autoridad competente o del CSIRT, el punto de contacto único remitirá las notificaciones contempladas en el párrafo primero a los puntos de contacto únicos de otros Estados miembros afectados.
- Después de consultar al operador de servicios esenciales notificante, la autoridad competente o el CSIRT podrán informar al público sobre determinados incidentes, cuando la concienciación pública sea necesaria para evitar un incidente o gestionar uno que ya se haya producido.
- Las autoridades competentes que actúen juntas dentro del Grupo de cooperación podrán elaborar y adoptar directrices relativas a las circunstancias en las que se exija a los operadores de servicios esenciales que notifiquen incidentes, en particular sobre los parámetros para determinar la importancia de los efectos de un incidente a que se refiere el apartado 4.
Artículo 15.- Aplicación y observancia
- Los Estados miembros velarán por que las autoridades competentes dispongan de las competencias y los medios necesarios para evaluar el cumplimiento por los operadores de servicios esenciales de las obligaciones que les impone el artículo 14 y los efectos que tengan sobre la seguridad de las redes y sistemas de información.
- Los Estados miembros velarán por que la autoridad competente disponga de las competencias y los medios para exigir a los operadores de servicios esenciales que proporcionen:
a) la información necesaria para evaluar la seguridad de sus redes y sistemas de información, incluida la documentación sobre las políticas de seguridad;
b) pruebas de la aplicación efectiva de las políticas de seguridad, como el resultado de las auditorías de seguridad realizadas por la autoridad competente o por un auditor cualificado y, en este último caso, que pongan a disposición de la autoridad competente el resultado de dicha auditoría y, en particular, las pruebas subyacentes.
Al exigir dicha información o pruebas, las autoridades competentes indicarán la finalidad de su petición y especificarán la información exigida.
- Tras la evaluación de la información o del resultado de las auditorías de seguridad a que se refiere el apartado 2, la autoridad competente podrá impartir instrucciones vinculantes a los operadores de servicios esenciales para subsanar las deficiencias detectadas.
- La autoridad competente cooperará estrechamente con las autoridades responsables de la protección de datos a la hora de hacer frente a incidentes que den lugar a violaciones de datos personales.
CAPÍTULO V.- SEGURIDAD DE LAS REDES Y SISTEMAS DE INFORMACIÓN DE LOS PROVEEDORES DE SERVICIOS DIGITALES
Artículo 16.- Requisitos en materia de seguridad y notificación de incidentes
- Los Estados miembros velarán por que los proveedores de servicios digitales determinen y adopten medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos existentes para la seguridad de las redes y sistemas de información que se utilizan en el marco de la oferta de servicios en la Unión a que se refiere el anexo III. Habida cuenta de los avances técnicos, dichas medidas garantizarán un nivel de seguridad de las redes y los sistemas de información adecuado en relación con el riesgo planteado, y tendrán en cuenta lo siguiente:
a) la seguridad de los sistemas e instalaciones;
b) la gestión de incidentes;
c) la gestión de la continuidad de las actividades;
d) la supervisión, auditorías y pruebas;
e) el cumplimiento de las normas internacionales.
- Los Estados miembros velarán por que los proveedores de servicios digitales adopten medidas para prevenir y reducir al mínimo el impacto de los incidentes que afectan a la seguridad de sus redes y sistemas de información en los servicios a que se refiere el anexo III que se ofrecen en la Unión, a fin de garantizar la continuidad de dichos servicios.
- Los Estados miembros velarán por que los proveedores de servicios digitales notifiquen sin dilación indebida a la autoridad competente o al CSIRT cualquier incidente que tenga un impacto significativo en la prestación de uno de los servicios a que se refiere el anexo III que ellos ofrezcan en la Unión. Las notificaciones incluirán la información necesaria para que la autoridad competente o el CSIRT puedan determinar la importancia de cualquier impacto transfronterizo. La notificación no sujetará al notificante a una mayor responsabilidad.
- Para determinar si el impacto de un incidente es significativo se tendrán en cuenta, en particular, los siguientes parámetros:
a) el número de usuarios afectados por el incidente, en particular los usuarios que dependen del servicio para la prestación de sus propios servicios;
b) la duración del incidente;
c) la extensión geográfica con respecto a la zona afectada por el incidente;
d) el grado de perturbación del funcionamiento del servicio;
e) el alcance del impacto sobre las actividades económicas y sociales.
La obligación de la notificación del incidente únicamente se aplicará cuando el proveedor de servicios digitales tenga acceso a la información necesaria para valorar el impacto de un incidente en función de los parámetros que se indican en el párrafo primero.
- Cuando un operador de servicios esenciales dependa de un proveedor tercero de servicios digitales para la prestación de un servicio que es esencial para el mantenimiento de actividades sociales y económicas fundamentales, dicho operador notificará cualquier efecto significativo en la continuidad de los servicios esenciales causado por un incidente que afecte al proveedor de servicios digitales.
- Cuando proceda, y en particular si el incidente mencionado en el apartado 3 afecta a dos o varios Estados miembros, la autoridad o el CSIRT al que se haya notificado el incidente informará del mismo a los demás Estados miembros afectados. Al hacerlo, las autoridades competentes, el CSIRT y los puntos de contacto únicos preservarán, de conformidad con el Derecho de la Unión o de la legislación nacional acorde con el Derecho de la Unión, la seguridad y los intereses comerciales del proveedor de servicios digitales así como la confidencialidad de la información facilitada.
- Tras consultar al proveedor de servicios digitales afectado, la autoridad competente o el CSIRT al que se le haya notificado el incidente y, en su caso, las autoridades o el CSIRT de los demás Estados miembros afectados, podrán informar al público de determinados incidentes o exigir al proveedor de servicios digitales que lo haga, cuando el conocimiento del público sea necesario para evitar un incidente o hacer frente a un incidente en curso, o cuando la divulgación de un incidente redunde en interés público.
- La Comisión adoptará actos de ejecución en los que se especifiquen más los elementos a que se refiere el apartado 1 y los parámetros enumerados en el apartado 4 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 22, apartado 2, a más tardar el 9 de agosto de 2017.
- La Comisión podrá adoptar actos de ejecución por los que se establezcan los formatos y procedimientos aplicables a los requisitos de notificación. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 22, apartado 2.
- Sin perjuicio de lo dispuesto en el artículo 1, apartado 6, los Estados miembros no impondrán nuevos requisitos de seguridad o de notificación a los proveedores de servicios digitales.
- El presente capítulo no se aplicará a las microempresas y pequeñas empresas tal como se definen en la Recomendación 2003/361/CE de la Comisión (19).
Artículo 17.- Aplicación y observancia
- Los Estados miembros velarán por que las autoridades competentes adopten medidas, si fuera necesario, mediante actividades de supervisión a posteriori, cuando tengan pruebas de que un proveedor de servicios digitales no cumple los requisitos establecidos en el artículo 16. Dichas pruebas podrán ser presentadas por la autoridad competente de otro Estado miembro en el que se presta el servicio.
- A efectos del apartado 1, las autoridades competentes contarán con las atribuciones y medios necesarios para exigir a los proveedores de servicios digitales que:
a) proporcionen la información necesaria para evaluar la seguridad de sus redes y sistemas de información, incluida la documentación sobre las políticas de seguridad;
b) subsanen cualquier incumplimiento de los requisitos establecidos en el artículo 16.
- Si un proveedor de servicios digitales tiene su establecimiento principal o un representante en un Estado miembro, pero sus redes y sistemas de información en otro u otros Estados miembros, la autoridad competente del Estado miembro en el que se encuentre su establecimiento principal o el representante y las autoridades competentes de esos otros Estados miembros cooperarán entre sí y se asistirán mutuamente cuando sea necesario. Dicha asistencia y cooperación podrá abarcar el intercambio de información entre las autoridades competentes de que se trate y las peticiones de que se adopten las medidas de supervisión contempladas en el apartado 2.
Artículo 18.- Jurisdicción y territorialidad
- A efectos de la presente Directiva, un proveedor de servicios digitales se considerará sometido a la jurisdicción del Estado miembro en el que se encuentre su establecimiento principal. Se considerará que un proveedor de servicios digitales tiene su establecimiento principal en un Estado miembro cuando su domicilio social se encuentre en ese Estado miembro.
- Un proveedor de servicios digitales que no está establecido en la Unión, pero que ofrece servicios que figuran en el anexo III en la Unión, designará un representante en ella. El representante se establecerá en uno de aquellos Estados miembros en los que se ofrecen los servicios. Un proveedor de servicios digitales se considerará sometido a la jurisdicción del Estado miembro en el que se encuentre establecido su representante.
- La designación de un representante por el proveedor de servicios digitales se entenderá sin perjuicio de las acciones legales que pudieran emprenderse contra el propio proveedor de servicios digitales.
CAPÍTULO VI.- NORMALIZACIÓN Y NOTIFICACIÓN VOLUNTARIA
Artículo 19.- Normalización
- A fin de promover una aplicación convergente de lo dispuesto en el artículo 14, apartados 1 y 2, y en el artículo 16, apartados 1 y 2, los Estados miembros fomentarán, sin imponer ni favorecer el uso de un tipo específico de tecnología, la utilización de normas y especificaciones aceptadas a nivel europeo o internacionalmente que sean pertinentes en materia de seguridad de las redes y sistemas de información.
- La ENISA, en colaboración con los Estados miembros, elaborará directrices y orientaciones relativas a las áreas técnicas que deban examinarse en relación con el apartado 1, así como en relación con las normas ya existentes, en particular las normas nacionales de los Estados miembros que permitirían cubrir esas áreas.
Artículo 20.- Notificación voluntaria
- Sin perjuicio de lo dispuesto en el artículo 3, las entidades que no hayan sido identificadas como operadores de servicios esenciales y no sean proveedores de servicios digitales podrán notificar voluntariamente los incidentes que tengan efectos significativos en la continuidad de los servicios que prestan.
- Cuando tramiten las notificaciones, los Estados miembros actuarán de conformidad con el procedimiento establecido en el artículo 14. Los Estados miembros podrán dar prioridad a la tramitación de notificaciones obligatorias sobre las notificaciones voluntarias. Las notificaciones voluntarias se tramitarán únicamente cuando dicha tramitación no suponga una carga desproporcionada o indebida para los Estados miembros de que se trate.
La notificación voluntaria no dará lugar a la imposición a la entidad notificante de obligaciones a las que no estaría sujeta de no haberse producido dicha notificación.
CAPÍTULO VII.- DISPOSICIONES FINALES
Artículo 21.- Sanciones
Los Estados miembros establecerán el régimen de sanciones aplicables en caso de incumplimiento de las disposiciones nacionales aprobadas al amparo de la presente Directiva y adoptarán todas las medidas necesarias para garantizar su aplicación. Tales sanciones serán efectivas, proporcionadas y disuasorias. Los Estados miembros comunicarán ese régimen y esas medidas a la Comisión, a más tardar el 9 de mayo de 2018, y le notificarán sin demora toda modificación posterior de las mismas.
Artículo 22.- Procedimiento de comité
- La Comisión estará asistida por el Comité de Seguridad de las Redes y Sistemas de Información. Dicho Comité será un comité en el sentido del Reglamento (UE) n.o 182/2011.
- En los casos en que se haga referencia al presente apartado, será de aplicación el artículo 5 del Reglamento (UE) n.o 182/2011.
Artículo 23.- Revisión
- A más tardar el 9 de mayo de 2019, la Comisión presentará un informe al Parlamento Europeo y al Consejo en el que se examine la coherencia de los planteamientos adoptados por los Estados miembros respecto a la identificación de los operadores de servicios esenciales.
- La Comisión revisará periódicamente el funcionamiento de la presente Directiva e informará al Parlamento Europeo y al Consejo. A tal efecto y con vistas a incrementar la cooperación estratégica y operativa, la Comisión tendrá en cuenta los informes del Grupo de cooperación y de la red de CSIRT sobre la experiencia adquirida a nivel estratégico y operativo. En su revisión, la Comisión también examinará las listas que figuran en los anexos II y III, así como la coherencia en la identificación de los operadores de servicios esenciales y de los servicios en los sectores que figuran en el anexo II. El primer informe se presentará a más tardar el 9 de mayo de 2021.
Artículo 24.- Medidas transitorias
- Sin perjuicio del artículo 25 y con el fin de ofrecer a los Estados miembros oportunidades adicionales de cooperación durante el plazo de transposición, el Grupo de cooperación y la red de CSIRT empezarán a ejercer las funciones que se establecen en los artículos 11 apartado 3, y 12, apartado 3, respectivamente, a más tardar el 9 de febrero de 2017.
- En el período comprendido entre el 9 de febrero de 2017 y el 9 de noviembre de 2018, y a efectos de ayudar a los Estados miembros a adoptar un planteamiento coherente en el proceso de identificación de los operadores de servicios esenciales, el Grupo de cooperación examinará el proceso, el contenido y el tipo de medidas nacionales que permitan la identificación de los operadores de servicios esenciales en un sector específico, de acuerdo con los criterios que figuran en los artículos 5 y 6. A petición de un Estado miembro, el Grupo de cooperación también examinará proyectos específicos nacionales de medidas de dicho Estado miembro, que permitan la identificación de los operadores de servicios esenciales en un sector específico, de acuerdo con los criterios que figuran en los artículos 5 y 6.
- A más tardar el 9 de febrero de 2017, y a efectos del presente artículo, los Estados miembros harán lo necesario para estar convenientemente representados en el Grupo de cooperación y en la red de CSIRT.
Artículo 25.- Transposición
- Los Estados miembros adoptarán y publicarán, a más tardar el 9 de mayo de 2018, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Informarán de ello inmediatamente a la Comisión.
Aplicarán esas medidas a partir del 10 de mayo de 2018.
Cuando los Estados miembros adopten dichas disposiciones, estas incluirán una referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.
- Los Estados miembros comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva.
Artículo 26.- Entrada en vigor
La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Artículo 27.- Destinatarios
Los destinatarios de la presente Directiva son los Estados miembros.
Hecho en Estrasburgo, el 6 de julio de 2016.
Por el Parlamento Europeo. El Presidente M. SCHULZ
Por el Consejo. El Presidente I. KORČOK
(1) DO C 271 de 19.9.2013, p. 133.
(2) Posición del Parlamento Europeo de 13 de marzo de 2014 (pendiente de publicación en el Diario Oficial) y Posición del Consejo en primera lectura de 17 de mayo de 2016 (pendiente de publicación en el Diario Oficial). Posición del Parlamento Europeo de 6 de julio de 2016 (pendiente de publicación en el Diario Oficial).
(3) Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) (DO L 108 de 24.4.2002, p. 33).
(4) Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).
(5) Decisión 2013/488/UE del Consejo, de 23 de septiembre de 2013, sobre las normas de seguridad para la protección de la información clasificada de la UE (DO L 274 de 15.10.2013, p. 1).
(6) DO C 352 de 7.10.2014, p. 4.
(7) Reglamento (UE) nº 526/2013 del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, relativo a la Agencia de Seguridad de las Redes de la Información de la Unión Europea (ENISA) y por el que se deroga el Reglamento (CE) nº 460/2004 (DO L 165 de 18.6.2013, p. 41).
(8) Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión nº 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).
(9) Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
(10) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).
(11) Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).
(12) Reglamento (CE) nº 1049/2001 del Parlamento Europeo y del Consejo, de 30 de mayo de 2001, relativo al acceso del público a los documentos del Parlamento Europeo, del Consejo y de la Comisión (DO L 145 de 31.5.2001, p. 43).
(13) DO C 32 de 4.2.2014, p. 19.
(14) Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).
(15) Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo (DO L 335 de 17.12.2011, p. 1).
(16) Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo (DO L 218 de 14.8.2013, p. 8).
(17) Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).
(18) Directiva 2013/11/UE del Parlamento Europeo y del Consejo, de 21 de mayo de 2013, relativa a la resolución alternativa de litigios en materia de consumo y por la que se modifica el Reglamento (CE) nº 2006/2004 y la Directiva 2009/22/CE (Directiva sobre resolución alternativa de litigios en materia de consumo) (DO L 165 de 18.6.2013, p. 63).
(19) Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).
ANEXO I.- REQUISITOS Y FUNCIONES DE LOS EQUIPOS DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA (CSIRT)
Los requisitos y funciones de los CSIRT se definirán adecuada y claramente y se basarán en la política o la normativa nacional. Incluirán lo siguiente:
- Requisitos que deben cumplir los CSIRT
a) Los CSIRT garantizarán un elevado nivel de disponibilidad de sus servicios de comunicaciones evitando los fallos ocasionales y contarán con varios medios para que se les pueda contactar y puedan contactar a otros en todo momento. Además, los canales de comunicación estarán claramente especificados y serán bien conocidos de los grupos de usuarios y los socios colaboradores.
b) Las dependencias de los CSIRT y los sistemas de información de apoyo estarán situados en lugares seguros.
c) Continuidad de las actividades:
i) Los CSIRT estarán dotados de un sistema adecuado para gestionar y canalizar las solicitudes con el fin de facilitar los traspasos.
ii) Los CSIRT contarán con personal suficiente para garantizar su disponibilidad en todo momento.
iii) Los CSIRT dependerán de infraestructuras cuya continuidad esté asegurada. A tal fin, se dispondrá de sistemas redundantes y espacios de trabajo de reserva.
d) Los CSIRT podrán participar, cuando lo deseen, en redes de cooperación internacional.
2) Funciones de los CSIRT
a) Las funciones de los CSIRT incluirán como mínimo las siguientes:
i) supervisar incidentes a escala nacional,
ii) difundir alertas tempranas, alertas, avisos e información sobre riesgos e incidentes entre los interesados,
iii) responder a incidentes,
iv) efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación,
v) participar en la red de CSIRT.
b) Los CSIRT establecerán relaciones de cooperación con el sector privado.
c) A fin de facilitar la cooperación, los CSIRT fomentarán la adopción y utilización de prácticas comunes o normalizadas de:
i) procedimientos de gestión de incidentes y riesgos,
ii) sistemas de clasificación de incidentes, riesgos e información.
ANEXO II.- TIPOS DE ENTIDADES A EFECTOS DEL ARTÍCULO 4, PUNTO 4
………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………
(1) Directiva 2009/72/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, sobre normas comunes para el mercado interior de la electricidad y por la que se deroga la Directiva 2003/54/CE (DO L 211 de 14.8.2009, p. 55).
(2) Directiva 2009/73/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, sobre normas comunes para el mercado interior del gas natural y por la que se deroga la Directiva 2003/55/CE (DO L 211 de 14.8.2009, p. 94).
(3) Reglamento (CE) nº 300/2008 del Parlamento Europeo y del Consejo, de 11 de marzo de 2008, sobre normas comunes para la seguridad de la aviación civil y por el que se deroga el Reglamento (CE) n.o 2320/2002 (DO L 97 de 9.4.2008, p. 72).
(4) Directiva 2009/12/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativa a las tasas aeroportuarias (DO L 70 de 14.3.2009, p. 11).
(5) Reglamento (UE) nº 1315/2013 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2013, sobre las orientaciones de la Unión para el desarrollo de la Red Transeuropea de Transporte, y por el que se deroga la Decisión nº 661/2010/UE (DO L 348 de 20.12.2013, p. 1).
(6) Reglamento (CE) nº 549/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se fija el marco para la creación del cielo único europeo (Reglamento marco) (DO L 96 de 31.3.2004, p. 1).
(7) Directiva 2012/34/UE del Parlamento Europeo y del Consejo, de 21 de noviembre de 2012, por la que se establece un espacio ferroviario europeo único (DO L 343 de 14.12.2012, p. 32).
(8) Reglamento (CE) nº 725/2004 del Parlamento Europeo y del Consejo, de 31 de marzo de 2004, relativo a la mejora de la protección de los buques y las instalaciones portuarias (DO L 129 de 29.4.2004, p. 6).
(9) Directiva 2005/65/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, sobre mejora de la protección portuaria (DO L 310 de 25.11.2005, p. 28).
(10) Directiva 2002/59/CE del Parlamento Europeo y del Consejo, de 27 de junio de 2002, relativa al establecimiento de un sistema comunitario de seguimiento y de información sobre el tráfico marítimo y por la que se deroga la Directiva 93/75/CEE del Consejo (DO L 208 de 5.8.2002, p. 10).
(11) Reglamento Delegado (UE) 2015/962 de la Comisión, de 18 de diciembre de 2014, por el que se complementa la Directiva 2010/40/UE del Parlamento Europeo y del Consejo en lo que se refiere al suministro de servicios de información de tráfico en tiempo real en toda la Unión Europea (DO L 157 de 23.6.2015, p. 21).
(12) Directiva 2010/40/UE del Parlamento Europeo y del Consejo, de 7 de julio de 2010, por la que se establece el marco para la implantación de los sistemas de transporte inteligentes en el sector del transporte por carretera y para las interfaces con otros modos de transporte (DO L 207 de 6.8.2010, p. 1).
(13) Reglamento (UE) nº 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito y empresas de inversión, y por el que se modifica el Reglamento (UE) nº 648/2012 (DO L 176 de 27.6.2013 p. 1).
(14) Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).
(15) Reglamento (UE) nº 648/2012 del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 201 de 27.7.2012, p. 1).
(16) Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).
(17) Directiva 98/83/CE del Consejo, de 3 de noviembre de 1998, relativa a la calidad de las aguas destinadas al consumo humano (DO L 330 de 5.12.1998, p. 32).
ANEXO III.- TIPOS DE SERVICIOS DIGITALES A EFECTOS DEL ARTÍCULO 4, PUNTO 5
1. Mercado en línea
2. Motor de búsqueda en línea
3. Servicios de computación en nube
16Sep/18
Real Decreto-Ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información
I
La evolución de las tecnologías de la información y de la comunicación, especialmente con el desarrollo de Internet, ha hecho que las redes y sistemas de información desempeñen actualmente un papel crucial en nuestra sociedad, siendo su fiabilidad y seguridad aspectos esenciales para el desarrollo normal de las actividades económicas y sociales.
Por ello, los incidentes que, al afectar a las redes y sistemas de información, alteran dichas actividades, representan una grave amenaza, pues tanto si son fortuitos como si provienen de acciones deliberadas pueden generar pérdidas financieras, menoscabar la confianza de la población y, en definitiva, causar graves daños a la economía y a la sociedad, con la posibilidad de afectar a la propia seguridad nacional en la peor de las hipótesis.
El carácter transversal e interconectado de las tecnologías de la información y de la comunicación, que también caracteriza a sus amenazas y riesgos, limita la eficacia de las medidas que se emplean para contrarrestarlos cuando se toman de modo aislado. Este carácter transversal también hace que se corra el riesgo de perder efectividad si los requisitos en materia de seguridad de la información se definen de forma independiente para cada uno de los ámbitos sectoriales afectados.
Por tanto, es oportuno establecer mecanismos que, con una perspectiva integral, permitan mejorar la protección frente a las amenazas que afectan a las redes y sistemas de información, facilitando la coordinación de las actuaciones realizadas en esta materia tanto a nivel nacional como con los países de nuestro entorno, en particular, dentro de la Unión Europea.
II
Con este propósito se dicta este real decreto-ley, que transpone al ordenamiento jurídico español la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. El real decreto-ley se apoya igualmente en las normas, en los instrumentos de respuesta a incidentes y en los órganos de coordinación estatal existentes en esta materia, lo que, junto a las razones señaladas en el apartado I, justifica que su contenido trascienda el de la propia Directiva.
El real decreto-ley se aplicará a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad. Su ámbito de aplicación se extiende a sectores que no están expresamente incluidos en la Directiva, para darle a este real decreto-ley un enfoque global, aunque se preserva su legislación específica. Adicionalmente, en el caso de las actividades de explotación de las redes y de prestación de servicios de comunicaciones electrónicas y los recursos asociados, así como de los servicios electrónicos de confianza, expresamente excluidos de dicha Directiva, el real decreto-ley se aplicará únicamente en lo que respecta a los operadores críticos.
El real decreto-ley se aplicará, así mismo, a los proveedores de determinados servicios digitales. La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, los somete a un régimen de armonización máxima, equivalente a un reglamento, pues se considera que su regulación a escala nacional no sería efectiva por tener un carácter intrínsecamente transnacional. La función de las autoridades nacionales se limita, por tanto, a supervisar su aplicación por los proveedores establecidos en su país, y coordinarse con las autoridades correspondientes de otros países de la Unión Europea.
Siguiendo la citada Directiva, el real decreto-ley identifica los sectores en los que es necesario garantizar la protección de las redes y sistemas de información, y establece procedimientos para identificar los servicios esenciales ofrecidos en dichos sectores, así como los principales operadores que prestan dichos servicios, que son, en definitiva, los destinatarios de este real decreto-ley.
Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada. Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo que afronten y estar basadas en una evaluación previa de los mismos. Las normas de desarrollo de este real decreto-ley podrán concretar las obligaciones de seguridad exigibles a los operadores de servicios esenciales, incluyendo en su caso las inspecciones a realizar o la participación en actividades y ejercicios de gestión de crisis.
El real decreto-ley requiere así mismo que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, al tiempo que prevé la notificación de los sucesos o incidencias que puedan afectar a los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquellos, y perfila los procedimientos de notificación.
La notificación de incidentes forma parte de la cultura de gestión de riesgos que la Directiva y el real decreto-ley fomentan. Por ello, el real decreto-ley protege a la entidad notificante y al personal que informe sobre incidentes ocurridos; se reserva la información confidencial de su divulgación al público o a otras autoridades distintas de la notificada y se permite la notificación de incidentes cuando no sea obligada su comunicación.
El real decreto-ley recalca la necesidad de tener en cuenta los estándares europeos e internacionales, así como las recomendaciones que emanen del grupo de cooperación y de la red de CSIRT (Computer Security Incident Response Team) establecidos en el ámbito comunitario por la Directiva, con vistas a aplicar las mejores prácticas aprendidas en estos foros y contribuir al impulso del mercado interior y a la participación de nuestras empresas en él.
Con el fin de aumentar su eficacia y, al tiempo, reducir las cargas administrativas y económicas que estas obligaciones suponen para las entidades afectadas, este real decreto-ley trata de garantizar su coherencia con las que se derivan de la aplicación de otras normativas en materia de seguridad de la información, tanto de carácter horizontal como sectorial, y la coordinación en su aplicación con las autoridades responsables en cada caso.
Respecto a las normas horizontales, destacan los vínculos establecidos con las Leyes 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y 36/2015, de 28 de septiembre, de Seguridad Nacional, y con el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, como normativa especial en materia de seguridad de los sistemas de información del sector público.
Así, se aproxima el ámbito de aplicación de este real decreto-ley al de la Ley 8/2011, de 28 de abril, añadiendo a los sectores previstos por la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, los sectores estratégicos adicionales contemplados en esa ley; se apoya en ella para definir el concepto de «servicio esencial», y se atribuye a sus órganos colegiados la determinación de los servicios esenciales y de los operadores de servicios esenciales sujetos al presente real decreto-ley. Teniendo en cuenta la Ley 36/2015, de 28 de septiembre, se atribuye al Consejo de Seguridad Nacional la función de actuar como punto de contacto con otros países de la Unión Europea y un papel coordinador de la política de ciberseguridad a través de la Estrategia de Ciberseguridad Nacional.
III
La Estrategia de Ciberseguridad Nacional con la que España cuenta desde el año 2013, sienta las prioridades, objetivos y medidas adecuadas para alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información. Dicha Estrategia seguirá desarrollando el marco institucional de la ciberseguridad que este real decreto-ley esboza, compuesto por las autoridades públicas competentes y los CSIRT de referencia, por una parte, y la cooperación público-privada, por otra.
Las autoridades competentes ejercerán las funciones de vigilancia derivadas de este real decreto-ley y aplicarán el régimen sancionador cuando proceda. Así mismo, promoverán el desarrollo de las obligaciones que el real decreto-ley impone, en consulta con el sector y con las autoridades que ejerzan competencias por razón de la materia cuando se refieran a sectores específicos, para evitar la existencia de obligaciones duplicadas, innecesarias o excesivamente onerosas.
Los CSIRT son los equipos de respuesta a incidentes que analizan riesgos y supervisan incidentes a escala nacional, difunden alertas sobre ellos y aportan soluciones para mitigar sus efectos. El término CSIRT es el usado comúnmente en Europa en lugar del término protegido CERT (Computer Emergency Response Team), registrado en EE.UU.
El real decreto-ley delimita el ámbito funcional de actuación de los CSIRT de referencia previstos en ella. Dichos CSIRT son la puerta de entrada de las notificaciones de incidentes, lo que permitirá organizar rápidamente la respuesta a ellos, pero el destinatario de las notificaciones es la autoridad competente respectiva, que tendrá en cuenta esta información para la supervisión de los operadores. En todo caso, el operador es responsable de resolver los incidentes y reponer las redes y sistemas de información afectados a su funcionamiento ordinario.
Se prevé la utilización de una plataforma común para la notificación de incidentes, de tal manera que los operadores no deban efectuar varias notificaciones en función de la autoridad a la que deban dirigirse. Esta plataforma podrá ser empleada también para la notificación de vulneraciones de la seguridad de datos personales según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
IV
Este real decreto-ley consta de siete títulos que contienen, en primer lugar, las definiciones de los términos que se usan a lo largo del texto, la salvaguarda de funciones estatales esenciales, como la seguridad nacional y otras disposiciones generales. A continuación, en el título II se determina la forma y criterios de identificación de los servicios esenciales y de los operadores que los presten a los que se aplicará el real decreto-ley. El orden en que se procederá a su identificación por primera vez se establece en la disposición adicional primera del real decreto-ley. El título III recoge el marco estratégico e institucional de la seguridad de las redes y sistemas de información que se ha descrito anteriormente. Se dedica un precepto específico a la cooperación entre autoridades públicas, como pilar de un ejercicio adecuado de las diferentes competencias concurrentes sobre la materia.
El título IV se ocupa de las obligaciones de seguridad de los operadores, y en él se prevé la aplicación preferente de normas sectoriales que impongan obligaciones equivalentes a las previstas en este real decreto-ley, sin perjuicio de la coordinación ejercida por el Consejo de Seguridad Nacional y del deber de cooperación con las autoridades competentes en virtud de este real decreto-ley.
En el título V, el más extenso, se regula la notificación de incidentes y se presta atención a los incidentes con impacto transfronterizo y a la información y coordinación con otros Estados de la Unión Europea para su gestión. En el título VI, se disponen las potestades de inspección y control de las autoridades competentes y la cooperación con las autoridades nacionales de otros Estados miembros, y en el título VII se tipifican las infracciones y sanciones de este real decreto-ley. En este aspecto, el real decreto-ley se decanta por impulsar la subsanación de la infracción antes que su castigo, el cual, si es necesario dispensarlo, será efectivo, proporcionado y disuasorio, en línea con lo ordenado por la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.
El real decreto-ley se cierra con una parte final que incluye las disposiciones adicionales y finales necesarias para completar la regulación.
Esta disposición ha sido sometida al procedimiento de información de normas reglamentarias técnicas y de reglamentos relativos a los servicios de la sociedad de la información, previsto en la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información, así como el Real Decreto 1337/1999, de 31 de julio, por el que se regula la remisión de información en materia de normas y reglamentaciones técnicas y reglamentos relativos a los servicios de la sociedad de la información. Así mismo, se adecúa a los principios de buena regulación establecidos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, conforme a los cuales deben actuar las Administraciones Públicas en el ejercicio de la iniciativa legislativa, como son los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.
Este real decreto-ley se dicta en virtud de las competencias exclusivas atribuidas al Estado en materia de régimen general de telecomunicaciones y seguridad pública por el artículo 149.1.21.ª y 29.ª de la Constitución.
El real decreto-ley constituye un instrumento constitucionalmente lícito, siempre que el fin que justifica la legislación de urgencia, sea, tal como reiteradamente ha exigido nuestro Tribunal Constitucional (Sentencias 6/1983, de 4 de febrero, F. 5; 11/2002, de 17 de enero, F. 4, 137/2003, de 3 de julio, F. 3 y 189/2005, de 7 julio, F.3), subvenir a un situación concreta, dentro de los objetivos gubernamentales, que por razones difíciles de prever requiere una acción normativa inmediata en un plazo más breve que el requerido por la vía normal o por el procedimiento de urgencia para la tramitación parlamentaria de las Leyes.
Por otro lado, la utilización del instrumento jurídico del real decreto-ley, en el presente caso, además queda justificada por la doctrina del Tribunal Constitucional, que, en su Sentencia 1/2012, de 13 de enero, ha avalado la concurrencia del presupuesto habilitante de la extraordinaria y urgente necesidad del artículo 86.1 de la Constitución, cuando concurra el retraso en la transposición de directivas.
En efecto, el plazo de transposición de la mencionada Directiva (UE) 2016/1148, del Parlamento Europeo y del Consejo, de 6 de julio de 2016, se encuentra ya vencido a 9 de mayo de 2018. La finalización del plazo de transposición de esta Directiva ha motivado la iniciación por parte de la Comisión Europea de un procedimiento formal de infracción n.º 2018/168.
En consecuencia, se entiende que en el conjunto y en cada una de las medidas que se adoptan mediante el real decreto-ley proyectado, concurren, por su naturaleza y finalidad, las circunstancias de extraordinaria y urgente necesidad que exige el artículo 86 de la Constitución como presupuestos habilitantes para la aprobación de un real decreto-ley.
En su virtud, haciendo uso de la autorización contenida en el artículo 86 de la Constitución Española, a propuesta de la Vicepresidenta del Gobierno y Ministra de la Presidencia, Relaciones con las Cortes e Igualdad, del Ministro del Interior y de la Ministra de Economía y Empresa y previa deliberación del Consejo de Ministros, en su reunión del día 7 de septiembre de 2018,
DISPONGO:
TÍTULO I. Disposiciones generales
Artículo 1. Objeto.
1. El presente real decreto-ley tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.
2. Así mismo, establece un marco institucional para la aplicación de este real decreto-ley y la coordinación entre autoridades competentes y con los órganos de cooperación relevantes en el ámbito comunitario.
Artículo 2. Ámbito de aplicación.
1. Este real decreto-ley se aplicará a la prestación de:
a) Los servicios esenciales dependientes de las redes y sistemas de información comprendidos en los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
b) Los servicios digitales, considerados conforme se determina en el artículo 3 e), que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube.
2. Estarán sometidos a este real decreto-ley:
a) Los operadores de servicios esenciales establecidos en España. Se entenderá que un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades.
Así mismo, este real decreto-ley será de aplicación a los servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.
b) Los proveedores de servicios digitales que tengan su sede social en España y que constituya su establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
3. Este real decreto-ley no se aplicará a:
a) Los operadores de redes y servicios de comunicaciones electrónicas y los prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.
b) Los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.
Artículo 3. Definiciones.
A los efectos de este real decreto-ley, se entenderá por:
a) Redes y sistemas de información, cualquiera de los elementos siguientes:
1.º Las redes de comunicaciones electrónicas, tal y como vienen definidas en el número 31 del anexo II de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones;
2.º Todo dispositivo o grupo de dispositivos interconectados o relacionados entre sí, en el que uno o varios de ellos realicen, mediante un programa, el tratamiento automático de datos digitales;
3.º Los datos digitales almacenados, tratados, recuperados o transmitidos mediante los elementos contemplados en los números 1.º y 2.º anteriores, incluidos los necesarios para el funcionamiento, utilización, protección y mantenimiento de dichos elementos.
b) Seguridad de las redes y sistemas de información: la capacidad de las redes y sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de información o accesibles a través de ellos.
c) Servicio esencial: servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas, que dependa para su provisión de redes y sistemas de información.
d) Operador de servicios esenciales: entidad pública o privada que se identifique considerando los factores establecidos en el artículo 6 de este real decreto-ley, que preste dichos servicios en alguno de los sectores estratégicos definidos en el anexo de la Ley 8/2011, de 28 de abril.
e) Servicio digital: servicio de la sociedad de la información entendido en el sentido recogido en la letra a) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.
f) Proveedor de servicios digitales: persona jurídica que presta un servicio digital.
g) Riesgo: toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes y sistemas de información. Se puede cuantificar como la probabilidad de materialización de una amenaza que produzca un impacto en términos de operatividad, de integridad física de personas o material o de imagen.
h) Incidente: suceso inesperado o no deseado con consecuencias en detrimento de la seguridad de las redes y sistemas de información.
i) Gestión de incidentes: procedimientos seguidos para detectar, analizar y limitar un incidente y responder ante éste.
j) Representante: persona física o jurídica establecida en la Unión Europea que ha sido designada expresamente para actuar por cuenta de un proveedor de servicios digitales no establecido en la Unión Europea, a la que, en sustitución del proveedor de servicios digitales, pueda dirigirse una autoridad competente nacional o un CSIRT, en relación con las obligaciones que, en virtud de este real decreto-ley, tiene el proveedor de servicios digitales.
k) Norma técnica: una norma en el sentido del artículo 2.1 del Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea.
l) Especificación: una especificación técnica en el sentido del artículo 2.4 del Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012.
m) Punto de intercambio de Internet («IXP», por sus siglas en inglés de «Internet eXchange Point»): una instalación de red que permite interconectar más de dos sistemas autónomos independientes, principalmente para facilitar el intercambio de tráfico de Internet. Un IXP permite interconectar sistemas autónomos sin requerir que el tráfico de Internet que pasa entre cualquier par de sistemas autónomos participantes pase por un tercer sistema autónomo, y sin modificar ni interferir de otra forma en dicho tráfico.
n) Sistema de nombres de dominio («DNS», por sus siglas en inglés de «Domain Name System»): sistema distribuido jerárquicamente que responde a consultas proporcionando información asociada a nombres de dominio, en particular, la relativa a los identificadores utilizados para localizar y direccionar equipos en Internet.
o) Proveedor de servicios de DNS: entidad que presta servicios de DNS en Internet.
p) Registro de nombres de dominio de primer nivel: entidad que administra y dirige el registro de nombres de dominio de Internet en un dominio específico de primer nivel.
q) Mercado en línea: servicio digital que permite a los consumidores y a los empresarios, tal y como se definen respectivamente en los artículos 3 y 4 del texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias, aprobado mediante el Real Decreto Legislativo 1/2007, de 16 de noviembre, celebrar entre sí contratos de compraventa o de prestación de servicios en línea con empresarios, ya sea en un sitio web específico del servicio de mercado en línea, o en un sitio web de un empresario que utilice servicios informáticos proporcionados al efecto por el proveedor del servicio de mercado en línea.
r) Motor de búsqueda en línea: servicio digital que permite a los usuarios hacer búsquedas de, en principio, todos los sitios web o de sitios web en una lengua en concreto, mediante una consulta sobre un tema en forma de palabra clave, frase u otro tipo de entrada, y que, en respuesta, muestra enlaces en los que puede encontrarse información relacionada con el contenido solicitado.
s) Servicio de computación en nube: servicio digital que hace posible el acceso a un conjunto modulable y elástico de recursos de computación que se pueden compartir.
Artículo 4. Directrices y orientaciones comunitarias.
En la aplicación de este real decreto-ley y en la elaboración de los reglamentos y guías previstos en él se tendrán en cuenta los actos de ejecución de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, así como todas las recomendaciones y directrices emanadas del grupo de cooperación establecido por el artículo 11 de la citada Directiva, y la información sobre buenas prácticas recopiladas por dicho grupo y la red de CSIRT, regulado en el artículo 12 de aquélla.
Artículo 5. Salvaguarda de funciones estatales esenciales.
Lo dispuesto en este real decreto-ley se entenderá sin perjuicio de las acciones emprendidas para salvaguardar la seguridad nacional y las funciones estatales esenciales, incluyéndose las dirigidas a proteger la información clasificada o cuya revelación fuere contraria a los intereses esenciales del Estado, o las que tengan como propósito el mantenimiento del orden público, la detección, investigación y persecución de los delitos, y el enjuiciamiento de sus autores.
TÍTULO II. Servicios esenciales y servicios digitales
Artículo 6. Identificación de servicios esenciales y de operadores de servicios esenciales.
1. La identificación de los servicios esenciales y de los operadores que los presten se efectuará por los órganos y procedimientos previstos por la Ley 8/2011, de 28 de abril, y su normativa de desarrollo.
La relación de los servicios esenciales y de los operadores de dichos servicios se actualizará, para cada sector, con una frecuencia bienal, en conjunción con la revisión de los planes estratégicos sectoriales previstos en la Ley 8/2011, de 28 de abril.
Se identificará a un operador como operador de servicios esenciales si un incidente sufrido por el operador puede llegar a tener efectos perturbadores significativos en la prestación del servicio, para lo que se tendrán en cuenta, al menos, los siguientes factores:
a) En relación con la importancia del servicio prestado:
1.º La disponibilidad de alternativas para mantener un nivel suficiente de prestación del servicio esencial;
2.º La valoración del impacto de un incidente en la provisión del servicio, evaluando la extensión o zonas geográficas que podrían verse afectadas por el incidente; la dependencia de otros sectores estratégicos respecto del servicio esencial ofrecido por la entidad y la repercusión, en términos de grado y duración, del incidente en las actividades económicas y sociales o en la seguridad pública.
b) En relación con los clientes de la entidad evaluada:
1.º El número de usuarios que confían en los servicios prestados por ella;
2.º Su cuota de mercado.
Reglamentariamente podrán añadirse factores específicos del sector para determinar si un incidente podría tener efectos perturbadores significativos.
2. En el caso de tratarse de un operador crítico designado en cumplimiento de la Ley 8/2011, de 28 de abril, bastará con que se constate su dependencia de las redes y sistemas de información para la provisión del servicio esencial de que se trate.
3. En la identificación de los servicios esenciales y de los operadores de servicios esenciales se tendrán en consideración, en la mayor medida posible, las recomendaciones pertinentes que adopte el grupo de cooperación.
4. Cuando un operador de servicios esenciales ofrezca servicios en otros Estados miembros de la Unión Europea, se informará a los puntos de contacto único de dichos Estados sobre la intención de identificarlo como operador de servicios esenciales.
Artículo 7. Comunicación de actividad por los proveedores de servicios digitales.
Los proveedores de servicios digitales señalados en el artículo 2 deberán comunicar su actividad a la autoridad competente en el plazo de tres meses desde que la inicien, a los meros efectos de su conocimiento.
TÍTULO III. Marco estratégico e institucional
Artículo 8. Marco estratégico de seguridad de las redes y sistemas de información.
La Estrategia de Ciberseguridad Nacional, al amparo y alineada con la Estrategia de Seguridad Nacional, enmarca los objetivos y las medidas para alcanzar y mantener un elevado nivel de seguridad de las redes y sistemas de información.
La Estrategia de Ciberseguridad Nacional abordará, entre otras cuestiones, las establecidas en el artículo 7 de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.
A tal efecto, el Consejo de Seguridad Nacional impulsará la revisión de la Estrategia de Ciberseguridad Nacional, de conformidad con lo dispuesto en el artículo 21.1 e) de la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.
Artículo 9. Autoridades competentes.
1. Son autoridades competentes en materia de seguridad de las redes y sistemas de información las siguientes:
a) Para los operadores de servicios esenciales:
1.º En el caso de que éstos sean, además, designados como operadores críticos conforme a la Ley 8/2011, de 28 de abril, y su normativa de desarrollo, con independencia del sector estratégico en que se realice tal designación: la Secretaría de Estado de Seguridad, del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC).
2.º En el caso de que no sean operadores críticos: la autoridad sectorial correspondiente por razón de la materia, según se determine reglamentariamente.
b) Para los proveedores de servicios digitales: la Secretaría de Estado para el Avance Digital, del Ministerio de Economía y Empresa.
c) Para los operadores de servicios esenciales y proveedores de servicios digitales que no siendo operadores críticos se encuentren comprendidos en el ámbito de aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público: el Ministerio de Defensa, a través del Centro Criptológico Nacional.
2. El Consejo de Seguridad Nacional, a través de su comité especializado en materia de ciberseguridad, establecerá los mecanismos necesarios para la coordinación de las actuaciones de las autoridades competentes.
Artículo 10. Funciones de las autoridades competentes.
Las autoridades competentes ejercerán las siguientes funciones:
a) Supervisar el cumplimiento por parte de los operadores de servicios esenciales y de los proveedores de servicios digitales de las obligaciones que se determinen, conforme a lo establecido en el título VI.
b) Establecer canales de comunicación oportunos con los operadores de servicios esenciales y con los proveedores de servicios digitales que, en su caso, serán desarrollados reglamentariamente.
c) Coordinarse con los CSIRT de referencia a través de los protocolos de actuación que, en su caso, se desarrollarán reglamentariamente.
d) Recibir las notificaciones sobre incidentes que sean presentadas en el marco de este real decreto-ley, a través de los CSIRT de referencia, conforme a lo establecido en el título V.
e) Informar al punto de contacto único sobre las notificaciones de incidentes presentadas en el marco de este real decreto-ley, conforme a lo establecido en el artículo 27.
f) Informar, en su caso, al público sobre determinados incidentes, cuando la difusión de dicha información sea necesaria para evitar un incidente o gestionar uno que ya se haya producido, conforme a lo establecido en el artículo 26.
g) Cooperar, en el ámbito de aplicación de este real decreto-ley, con las autoridades competentes en materia de protección de datos de carácter personal, seguridad pública, seguridad ciudadana y seguridad nacional, así como con las autoridades sectoriales correspondientes, conforme a lo establecido en los artículos 14 y 29.
h) Establecer obligaciones específicas para garantizar la seguridad de las redes y sistemas de información y sobre notificación de incidentes, y dictar instrucciones técnicas y guías orientativas para detallar el contenido de dichas obligaciones, conforme a lo establecido en los artículos 16 y 19.
i) Ejercer la potestad sancionadora en los casos previstos en el presente real decreto-ley, conforme a lo establecido en el título VII.
j) Promover el uso de normas y especificaciones técnicas, de acuerdo con lo establecido en el artículo 17.
k) Cooperar con las autoridades competentes de otros Estados miembros de la Unión Europea en la identificación de operadores de servicios esenciales entre entidades que ofrezcan dichos servicios en varios Estados miembros.
l) Informar al punto de contacto único sobre incidentes que puedan afectar a otros Estados miembros, en los términos previstos en el artículo 25.
Artículo 11. Equipos de respuesta a incidentes de seguridad informática de referencia.
1. Son equipos de respuesta a incidentes de seguridad informática (CSIRT) de referencia en materia de seguridad de las redes y sistemas de información, los siguientes:
a) En lo concerniente a las relaciones con los operadores de servicios esenciales:
1.º El CCN-CERT, del Centro Criptológico Nacional, al que corresponde la comunidad de referencia constituida por las entidades del ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octubre.
2.º El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, al que corresponde la comunidad de referencia constituida por aquellas entidades no incluidas en el ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octubre.
El INCIBE-CERT será operado conjuntamente por el INCIBE y el CNPIC en todo lo que se refiera a la gestión de incidentes que afecten a los operadores críticos.
3.º El ESPDEF-CERT, del Ministerio de Defensa, que cooperará con el CCN-CERT y el INCIBE-CERT en aquellas situaciones que éstos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa Nacional y que reglamentariamente se determinen.
b) En lo concerniente a las relaciones con los proveedores de servicios digitales que no estuvieren comprendidos en la comunidad de referencia del CCN-CERT: el INCIBE-CERT.
El INCIBE-CERT será, así mismo, equipo de respuesta a incidentes de referencia para los ciudadanos, entidades de derecho privado y otras entidades no incluidas anteriormente en este apartado 1.
2. Los CSIRT de referencia se coordinarán entre sí y con el resto de CSIRT nacionales e internacionales en la respuesta a los incidentes y gestión de riesgos de seguridad que les correspondan. En los supuestos de especial gravedad que reglamentariamente se determinen y que requieran un nivel de coordinación superior al necesario en situaciones ordinarias, el CCN-CERT ejercerá la coordinación nacional de la respuesta técnica de los CSIRT.
Cuando las actividades que desarrollen puedan afectar de alguna manera a un operador crítico, los CSIRT de referencia se coordinarán con el Ministerio del Interior, a través de la Oficina de Coordinación Cibernética del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), de la forma que reglamentariamente se determine.
Artículo 12. Requisitos y funciones de los CSIRT de referencia.
1. Los CSIRT deberán reunir las siguientes condiciones:
a) Garantizarán un elevado nivel de disponibilidad de sus servicios de comunicaciones evitando los fallos ocasionales y contarán con varios medios para que se les pueda contactar y puedan contactar a otros en todo momento. Además, los canales de comunicación estarán claramente especificados y serán bien conocidos de los grupos de usuarios y los socios colaboradores.
b) Sus instalaciones y las de los sistemas de información de apoyo estarán situados en lugares seguros.
c) Garantizarán la continuidad de las actividades. Para ello:
1.º Estarán dotados de un sistema adecuado para gestionar y canalizar las solicitudes con el fin de facilitar los traspasos.
2.º Contarán con personal suficiente para garantizar su disponibilidad en todo momento.
3.º Tendrán acceso a infraestructuras de comunicación cuya continuidad esté asegurada. A tal fin, dispondrán de sistemas redundantes y espacios de trabajo de reserva.
d) Deberán tener la capacidad de participar, cuando lo deseen, en redes de cooperación internacional.
2. Los CSIRT desempeñarán como mínimo, las siguientes funciones:
a) Supervisar incidentes a escala nacional.
b) Difundir alertas tempranas, alertas, avisos e información sobre riesgos e incidentes entre los interesados.
c) Responder a incidentes.
d) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.
e) Participar en la red de CSIRT.
3. Los CSIRT establecerán relaciones de cooperación con el sector privado. A fin de facilitar la cooperación, los CSIRT fomentarán la adopción y utilización de prácticas comunes o normalizadas de:
a) Procedimientos de gestión de incidentes y riesgos.
b) Sistemas de clasificación de incidentes, riesgos e información.
Artículo 13. Punto de contacto único.
El Consejo de Seguridad Nacional ejercerá, a través del Departamento de Seguridad Nacional, una función de enlace para garantizar la cooperación transfronteriza de las autoridades competentes designadas conforme al artículo 9, con las autoridades competentes de otros Estados miembros de la Unión Europea, así como con el grupo de cooperación y la red de CSIRT.
Artículo 14. Cooperación con otras autoridades con competencias en seguridad de la información y con las autoridades sectoriales.
1. Las autoridades competentes, los CSIRT de referencia y el punto de contacto único consultarán, cuando proceda, con los órganos con competencias en materia de seguridad nacional, seguridad pública, seguridad ciudadana y protección de datos de carácter personal y colaborarán con ellas en el ejercicio de sus respectivas funciones.
2. Consultarán así mismo, cuando proceda, con los órganos con competencias por razón de la materia en cada uno de los sectores incluidos en el ámbito de aplicación de este real decreto-ley, y colaborarán con ellos en el ejercicio de sus funciones.
3. Cuando los incidentes notificados presenten caracteres de delito, las autoridades competentes y los CSIRT de referencia darán cuenta de ello, a través de la Oficina de Coordinación Cibernética del Ministerio del Interior, al Ministerio Fiscal a los efectos oportunos, trasladándole al tiempo cuanta información posean en relación con ello.
Artículo 15. Confidencialidad de la información sensible.
Sin perjuicio de lo dispuesto en el artículo 5, las autoridades competentes, los CSIRT de referencia y el punto de contacto único preservarán, como corresponda en Derecho, la seguridad y los intereses comerciales de los operadores de servicios esenciales y proveedores de servicios digitales, así como la confidencialidad de la información que recaben de éstos en el ejercicio de las funciones que les encomienda el presente real decreto-ley.
Cuando ello sea necesario, el intercambio de información sensible se limitará a aquella que sea pertinente y proporcionada para la finalidad de dicho intercambio.
TÍTULO IV. Obligaciones de seguridad
Artículo 16. Obligaciones de seguridad de los operadores de servicios esenciales y de los proveedores de servicios digitales.
1. Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a este real decreto-ley.
Sin perjuicio de su deber de notificar incidentes conforme al título V, deberán tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.
2. El desarrollo reglamentario de este real decreto-ley preverá las medidas necesarias para el cumplimiento de lo preceptuado en el apartado anterior por parte de los operadores de servicios esenciales.
3. Los operadores de servicios esenciales designarán y comunicarán a la autoridad competente, en el plazo que reglamentariamente se establezca, la persona, unidad u órgano colegiado responsable de la seguridad de la información, como punto de contacto y de coordinación técnica con aquella.
Sus funciones específicas serán las previstas reglamentariamente.
4. Las autoridades competentes podrán establecer mediante Orden ministerial obligaciones específicas para garantizar la seguridad de las redes y sistemas de información empleados por los operadores de servicios esenciales. Así mismo, podrán dictar instrucciones técnicas y guías orientativas para detallar el contenido de dichas órdenes.
Al elaborar las disposiciones reglamentarias, instrucciones y guías, tendrán en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperación y los requisitos en materia de seguridad de la información, a las que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, de 8 de enero.
5. Las autoridades competentes deberán coordinarse entre sí y con los diferentes órganos sectoriales con competencias por razón de la materia, en lo relativo al contenido y a la aplicación de las órdenes, instrucciones técnicas y guías orientativas que dicten en sus respectivos ámbitos de competencia, con objeto de evitar duplicidades en las obligaciones exigibles y facilitar su cumplimiento a los operadores de servicios esenciales.
6. Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta, como mínimo, los avances técnicos y los siguientes aspectos:
a) La seguridad de los sistemas e instalaciones;
b) La gestión de incidentes;
c) La gestión de la continuidad de las actividades;
d) La supervisión, auditorías y pruebas;
e) El cumplimiento de las normas internacionales.
Los proveedores de servicios digitales atenderán igualmente a los actos de ejecución por los que la Comisión europea detalle los aspectos citados.
Artículo 17. Normas técnicas.
Las autoridades competentes promoverán la utilización de regulaciones, normas o especificaciones técnicas en materia de seguridad de las redes y sistemas de información elaboradas en el marco del Reglamento (UE) 1025/2012 del Parlamento Europeo y del Consejo de 25 de octubre de 2012 sobre la normalización europea.
En ausencia de dichas normas o especificaciones, promoverán la aplicación de las normas o recomendaciones internacionales aprobadas por los organismos internacionales de normalización, y, en su caso, de las normas y especificaciones técnicas aceptadas a nivel europeo o internacional que sean pertinentes en esta materia.
Artículo 18. Sectores con normativa específica equivalente.
Cuando una normativa nacional o comunitaria establezca para un sector obligaciones de seguridad de las redes y sistemas de información o de notificación de incidentes que tengan efectos, al menos, equivalentes a los de las obligaciones previstas en este real decreto-ley, prevalecerán aquellos requisitos y los mecanismos de supervisión correspondientes.
Ello no afectará al deber de cooperación entre autoridades competentes, a la coordinación ejercida por el Consejo de Seguridad Nacional ni, en la medida en que no sea incompatible con la legislación sectorial, a la aplicación del título V sobre notificación de incidentes.
TÍTULO V. Notificación de incidentes
Artículo 19. Obligación de notificar.
1. Los operadores de servicios esenciales notificarán a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en dichos servicios.
Las notificaciones podrán referirse también, conforme se determine reglamentariamente, a los sucesos o incidencias que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquéllos.
2. Así mismo, los proveedores de servicios digitales notificarán a la autoridad competente, a través del CSIRT de referencia, los incidentes que tengan efectos perturbadores significativos en dichos servicios.
La obligación de la notificación del incidente únicamente se aplicará cuando el proveedor de servicios digitales tenga acceso a la información necesaria para valorar el impacto de un incidente.
3. Las notificaciones tanto de operadores de servicios esenciales como de proveedores de servicios digitales se referirán a los incidentes que afecten a las redes y sistemas de información empleados en la prestación de los servicios indicados, tanto si se trata de redes y servicios propios como si lo son de proveedores externos, incluso si éstos son proveedores de servicios digitales sometidos a este real decreto-ley.
4. Las autoridades competentes y los CSIRT de referencia utilizarán una plataforma común para facilitar y automatizar los procesos de notificación, comunicación e información sobre incidentes.
5. El desarrollo reglamentario de este real decreto-ley preverá las medidas necesarias para el cumplimiento de lo preceptuado en este artículo por parte de los operadores de servicios esenciales. Las autoridades competentes podrán establecer, mediante Orden ministerial, obligaciones específicas de notificación por los operadores de servicios esenciales. Así mismo, podrán dictar instrucciones técnicas y guías orientativas para detallar el contenido de dichas órdenes.
Al elaborar las disposiciones reglamentarias, instrucciones y guías, se tendrán en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperación y los requisitos en materia de notificación de incidentes a los que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, de 8 de enero.
6. La obligación de notificación de incidentes prevista en los apartados anteriores no obsta al cumplimiento de los deberes legales de denuncia de aquellos hechos que revistan caracteres de delito ante las autoridades competentes, de acuerdo con lo dispuesto en los artículos 259 y siguientes de la Ley de Enjuiciamiento Criminal y teniendo en cuenta lo previsto en el artículo 14.3 de este real decreto-ley.
Artículo 20. Protección del notificante.
1. Las notificaciones consideradas en este título no sujetarán a la entidad que las efectúe a una mayor responsabilidad.
2. Los empleados y el personal que, por cualquier tipo de relación laboral o mercantil, participen en la prestación de los servicios esenciales o digitales, que informen sobre incidentes no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuación.
Se entenderán nulas y sin efecto legal las decisiones del empleador tomadas en perjuicio o detrimento de los derechos laborales de los trabajadores que hayan actuado conforme a este apartado.
Artículo 21. Factores para determinar la importancia de los efectos de un incidente.
1. A los efectos de las notificaciones a las que se refiere el artículo 19.1, primer párrafo, la importancia de un incidente se determinará teniendo en cuenta, como mínimo, los siguientes factores:
a) El número de usuarios afectados por la perturbación del servicio esencial.
b) La duración del incidente.
c) La extensión o áreas geográficas afectadas por el incidente.
d) El grado de perturbación del funcionamiento del servicio.
e) El alcance del impacto en actividades económicas y sociales cruciales.
f) La importancia de los sistemas afectados o de la información afectada por el incidente para la prestación del servicio esencial.
g) El daño a la reputación.
2. En las notificaciones a las que se refiere el artículo 19.2, la importancia de un incidente se determinará conforme a lo que establezcan los actos de ejecución previstos en los apartados 8 y 9 del artículo 16 de la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016.
Artículo 22. Notificación inicial, notificaciones intermedias y notificación final.
1. Los operadores de servicios esenciales deberán realizar una primera notificación de los incidentes a los que se refiere el artículo 19.1 sin dilación indebida.
La notificación incluirá, entre otros datos, información que permita determinar cualquier efecto transfronterizo del incidente.
2. Los operadores de servicios esenciales efectuarán las notificaciones intermedias que sean precisas para actualizar la información incorporada a la notificación inicial e informar sobre la evolución del incidente, mientras éste no esté resuelto.
3. Los operadores de servicios esenciales enviarán una notificación final del incidente tras su resolución.
Un incidente se considerará resuelto cuando se hayan restablecido las redes y sistemas de información afectados y el servicio opere con normalidad.
Artículo 23. Flexibilidad en la observancia de los plazos para la notificación.
Los operadores de servicios esenciales y los proveedores de servicios digitales podrán omitir, en las comunicaciones que realicen sobre los incidentes que les afecten, la información de la que aún no dispongan relativa a su repercusión sobre servicios esenciales u otros servicios que dependan de ellos para su prestación, u otra información de la que no dispongan. Tan pronto como conozcan dicha información deberán remitirla a la autoridad competente.
Si, transcurrido un tiempo prudencial desde la notificación inicial del incidente, el operador de servicios esenciales o el proveedor de servicios digitales no hubiera podido reunir la información pertinente, enviará a la autoridad competente, sin demora, un informe justificativo de las actuaciones realizadas para reunir la información y de los motivos por los que no ha sido posible obtenerla.
Artículo 24. Incidentes que afecten a servicios digitales.
Los operadores de servicios esenciales y los proveedores de servicios digitales sometidos a este real decreto-ley, así como cualquier otra parte interesada, que tengan noticia de incidentes que afecten de modo significativo a servicios digitales ofrecidos en España por proveedores establecidos en otros Estados miembros de la Unión Europea, podrán notificarlo a la autoridad competente aportando la información pertinente, al objeto de facilitar la cooperación con el Estado miembro en el que estuviese establecido el citado proveedor.
Del mismo modo, si tienen noticia de que dichos proveedores han incumplido los requisitos de seguridad o de notificación de incidentes ocurridos en España que les son aplicables, podrán notificarlo a la autoridad competente aportando la información pertinente.
Artículo 25. Tramitación de incidentes con impacto transfronterizo.
1. Cuando las autoridades competentes o los CSIRT de referencia tengan noticia de incidentes que pueden afectar a otros Estados miembros de la Unión Europea, informarán a través del punto de contacto único a los Estados miembros afectados, precisando si el incidente puede tener efectos perturbadores significativos para los servicios esenciales prestados en dichos Estados.
2. Cuando a través de dicho punto de contacto se reciba información sobre incidentes notificados en otros países de la Unión Europea que puedan tener efectos perturbadores significativos para los servicios esenciales prestados en España, se remitirá la información relevante a la autoridad competente y al CSIRT de referencia, para que adopten las medidas pertinentes en el ejercicio de sus funciones respectivas.
3. Las actuaciones consideradas en los apartados anteriores se entienden sin perjuicio de los intercambios de información que las autoridades competentes o los CSIRT de referencia puedan realizar de modo directo con sus homólogos de otros Estados miembros de la Unión Europea en relación con aquellos incidentes que puedan resultar de interés mutuo.
Artículo 26. Información al público.
1. La autoridad competente podrá exigir a los operadores de servicios esenciales o a los proveedores de servicios digitales que informen al público o a terceros potencialmente interesados sobre los incidentes cuando su conocimiento sea necesario para evitar nuevos incidentes o gestionar uno que ya se haya producido, o cuando la divulgación de un incidente redunde en beneficio del interés público.
2. La autoridad competente también podrá decidir informar de modo directo al público o a terceros sobre el incidente.
En estos casos la autoridad competente consultará y se coordinará con el operador de servicios esenciales o el proveedor de servicios digitales antes de informar al público.
Artículo 27. Información anual al punto de contacto único y al grupo de cooperación.
1. Las autoridades competentes transmitirán al punto de contacto único un informe anual sobre el número y tipo de incidentes comunicados, sus efectos en los servicios prestados o en otros servicios y su carácter nacional o transfronterizo dentro de la Unión Europea.
Las autoridades competentes elaborarán el informe siguiendo las instrucciones que dicte el punto de contacto único teniendo en cuenta las indicaciones del grupo de cooperación respecto al formato y contenido de la información a transmitir.
2. El punto de contacto único remitirá al grupo de cooperación antes del 9 de agosto de cada año un informe anual resumido sobre las notificaciones recibidas, y lo remitirá ulteriormente a las autoridades competentes y a los CSIRT de referencia, para su conocimiento.
Artículo 28. Obligación de resolver los incidentes, de información y de colaboración mutua.
1. Los operadores de servicios esenciales y los proveedores de servicios digitales tienen la obligación de resolver los incidentes de seguridad que les afecten, y de solicitar ayuda especializada, incluida la del CSIRT de referencia, cuando no puedan resolver por sí mismos los incidentes.
En tales casos deberán atender a las indicaciones que reciban del CSIRT de referencia para resolver el incidente, mitigar sus efectos y reponer los sistemas afectados.
2. Los operadores de servicios esenciales y los proveedores de servicios digitales han de suministrar al CSIRT de referencia y a la autoridad competente toda la información que se les requiera para el desempeño de las funciones que les encomienda el presente real decreto-ley.
En particular, podrá requerirse información adicional a los operadores de servicios esenciales y a los proveedores de servicios digitales para analizar la naturaleza, causas y efectos de los incidentes notificados, y para elaborar estadísticas y reunir los datos necesarios para elaborar los informes anuales considerados en el artículo 27.
Cuando las circunstancias lo permitan, la autoridad competente o el CSIRT de referencia proporcionarán a los operadores de servicios esenciales o a los proveedores de servicios digitales afectados por incidentes la información derivada de su seguimiento que pueda serles relevante, en particular, para resolver el incidente.
Artículo 29. Cooperación en lo relativo a los incidentes que afecten a datos personales.
Las autoridades competentes y los CSIRT de referencia cooperarán estrechamente con la Agencia Española de Protección de Datos para hacer frente a los incidentes que den lugar a violaciones de datos personales.
Las autoridades competentes y los CSIRT de referencia comunicarán sin dilación a la Agencia Española de Protección de Datos los incidentes que puedan suponer una vulneración de datos personales y la mantendrán informada sobre la evolución de tales incidentes.
Artículo 30. Autorización para la cesión de datos personales.
Si la notificación de incidentes o su gestión, análisis o resolución requiriera comunicar datos personales, su tratamiento se restringirá a los que sean estrictamente adecuados, pertinentes y limitados a lo necesario en relación con la finalidad, de las indicadas, que se persiga en cada caso.
Su cesión para estos fines se entenderá autorizada en los siguientes casos:
a) De los operadores de servicios esenciales y los proveedores de servicios digitales a las autoridades competentes, a través de los CSIRT de referencia.
b) Entre los CSIRT de referencia y las autoridades competentes, y viceversa.
c) Entre los CSIRT de referencia, y entre éstos y los CSIRT designados en otros Estados miembros de la Unión Europea.
d) Entre los CSIRT de referencia y otros CSIRT nacionales o internacionales.
e) Entre el punto de contacto único y los puntos de contacto únicos de otros Estados miembros de la Unión Europea.
Artículo 31. Notificaciones voluntarias.
1. Los operadores de servicios esenciales y los proveedores de servicios digitales podrán notificar los incidentes para los que no se establezca una obligación de notificación.
Así mismo, las entidades que presten servicios esenciales y no hayan sido identificadas como operadores de servicios esenciales y que no sean proveedores de servicios digitales podrán notificar los incidentes que afecten a dichos servicios.
Estas notificaciones obligan a la entidad que las efectúe a resolver el incidente de acuerdo con lo establecido en el artículo 28.
2. Las notificaciones a las que se refiere el apartado anterior se regirán por lo dispuesto en este título, y se informará sobre ellas al punto de contacto único en el informe anual previsto en el artículo 27.1.
3. Las notificaciones obligatorias gozarán de prioridad sobre las voluntarias a los efectos de su gestión por los CSIRT y por las autoridades competentes.
TÍTULO VI. Supervisión
Artículo 32. Supervisión de los operadores de servicios esenciales.
1. Las autoridades competentes podrán requerir a los operadores de servicios esenciales para que les proporcionen toda la información necesaria para evaluar la seguridad de las redes y sistemas de información, incluida la documentación sobre políticas de seguridad.
Podrán requerirles información sobre la aplicación efectiva de su política de seguridad, así como auditar o exigir al operador que someta la seguridad de sus redes y sistemas de información a una auditoría por una entidad externa, solvente e independiente.
2. A la vista de la información recabada, la autoridad competente podrá requerir al operador que subsane las deficiencias detectadas e indicarle cómo debe hacerlo.
Artículo 33. Supervisión de los proveedores de servicios digitales.
1. La autoridad competente para la supervisión de los servicios digitales sólo inspeccionará el cumplimiento de las obligaciones derivadas de este real decreto-ley cuando tenga noticia de algún incumplimiento, incluyendo por petición razonada de otros órganos o denuncia.
En tal caso, la autoridad competente podrá requerir al proveedor de servicios digitales para que le proporcione toda la información necesaria para evaluar la seguridad de sus redes y sistemas de información, incluida la documentación sobre políticas de seguridad, y para que subsane las deficiencias detectadas.
2. Cuando la autoridad competente tenga noticia de incidentes que perturben de modo significativo a servicios digitales ofrecidos en otros Estados miembros por proveedores establecidos en España, adoptará las medidas de supervisión pertinentes.
A estos efectos, tendrá especialmente en cuenta la información facilitada por las autoridades competentes de otros Estados miembros.
Artículo 34. Cooperación transfronteriza.
1. La supervisión se llevará a cabo, cuando proceda, en cooperación con las autoridades competentes de los Estados miembros en los que se ubiquen las redes y sistemas de información empleados para la prestación del servicio, o en que esté establecido el operador de servicios esenciales, el proveedor de servicios digitales o su representante.
2. Las autoridades competentes colaborarán con las autoridades competentes de otros Estados miembros cuando éstas requieran su cooperación en la supervisión y adopción de medidas por operadores de servicios esenciales y proveedores de servicios digitales en relación con las redes y sistemas de información ubicados en España, así como respecto a los proveedores de servicios digitales establecidos en España o cuyo representante en la Unión Europea tenga su residencia o domicilio social en España.
TÍTULO VII. Régimen sancionador
Artículo 35. Responsables.
Serán responsables los operadores de servicios esenciales y los proveedores de servicios digitales comprendidos en el ámbito de aplicación de este real decreto-ley.
Artículo 36. Infracciones.
1. Las infracciones de los preceptos de este real decreto-ley se clasifican en muy graves, graves y leves.
2. Son infracciones muy graves:
a) La falta de adopción de medidas para subsanar las deficiencias detectadas, de acuerdo con lo dispuesto en los artículos 32.2 o 33.1, cuando éstas le hayan hecho vulnerable a un incidente con efectos perturbadores significativos en el servicio y el operador de servicios esenciales o el proveedor de servicios digitales no hubiera atendido los requerimientos dictados por la autoridad competente con anterioridad a la producción del incidente.
b) El incumplimiento reiterado de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio. Se considerará que es reiterado a partir del segundo incumplimiento.
c) No tomar las medidas necesarias para resolver los incidentes con arreglo a lo dispuesto en el artículo 28.1 cuando éstos tengan un efecto perturbador significativo en la prestación servicios esenciales o de servicios digitales en España o en otros Estados miembros.
3. Son infracciones graves:
a) El incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente referidas a las precauciones mínimas que los operadores de servicios esenciales han de adoptar para garantizar la seguridad de las redes y sistemas de información.
b) La falta de adopción de medidas para subsanar las deficiencias detectadas en respuesta a un requerimiento dictado de acuerdo con los artículos 32.2 o 33.1, cuando ese sea el tercer requerimiento desatendido que se dicta en los cinco últimos años.
c) El incumplimiento de la obligación de notificar incidentes con efectos perturbadores significativos en el servicio.
d) La demostración de una notoria falta de interés en la resolución de incidentes con efectos perturbadores significativos notificados cuando dé lugar a una mayor degradación del servicio.
e) Proporcionar información falsa o engañosa al público sobre los estándares que cumple o las certificaciones de seguridad que mantiene en vigor.
f) Poner obstáculos a la realización de auditorías por la autoridad competente.
4. Son infracciones leves:
a) El incumplimiento de las disposiciones reglamentarias o de las instrucciones técnicas de seguridad dictadas por la autoridad competente al amparo de este real decreto-ley, cuando no suponga una infracción grave.
b) La falta de adopción de medidas para corregir las deficiencias detectadas en respuesta a un requerimiento de subsanación dictado de acuerdo con los artículos 32.2 o 33.1.
c) No facilitar la información que sea requerida por las autoridades competentes sobre sus políticas de seguridad, o proporcionar información incompleta o tardía sin justificación.
d) No someterse a una auditoría de seguridad según lo ordenado por la autoridad competente.
e) No proporcionar al CSIRT de referencia o a la autoridad competente la información que soliciten en virtud del artículo 28.2.
f) La falta de notificación de los sucesos o incidencias para los que, aunque no hayan tenido un efecto adverso real sobre los servicios, exista obligación de notificación en virtud del párrafo segundo del artículo 19.2.
g) No completar la información que debe reunir la notificación de incidentes teniendo en cuenta lo dispuesto en el artículo 23, o no remitir el informe justificativo sobre la imposibilidad de reunir la información previsto en dicho artículo.
h) No seguir las indicaciones que reciba del CSIRT de referencia para resolver un incidente, de acuerdo con el artículo 28.
Artículo 37. Sanciones.
1. Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:
a) Por la comisión de infracciones muy graves, multa de 500.001 hasta 1.000.000 euros.
b) Por la comisión de infracciones graves, multa de 100.001 hasta 500.000 euros.
c) Por la comisión de infracciones leves, amonestación o multa hasta 100.000 euros.
2. Las sanciones firmes en vía administrativa por infracciones muy graves y graves podrán ser publicadas, a costa del sancionado, en el «Boletín Oficial del Estado» y en el sitio de Internet de la autoridad competente, en atención a los hechos concurrentes y de conformidad con el artículo siguiente.
Artículo 38. Graduación de la cuantía de las sanciones.
El órgano sancionador establecerá la sanción teniendo en cuenta los siguientes criterios:
a) El grado de culpabilidad o la existencia de intencionalidad.
b) La continuidad o persistencia en la conducta infractora.
c) La naturaleza y cuantía de los perjuicios causados.
d) La reincidencia, por comisión en el último año de más de una infracción de la misma naturaleza, cuando así haya sido declarado por resolución firme en vía administrativa.
e) El número de usuarios afectados.
f) El volumen de facturación del responsable.
g) La utilización por el responsable de programas de recompensa por el descubrimiento de vulnerabilidades en sus redes y sistemas de información.
h) Las acciones realizadas por el responsable para paliar los efectos o consecuencias de la infracción.
Artículo 39. Proporcionalidad de sanciones.
1. El órgano sancionador podrá establecer la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el artículo 38.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.
c) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
2. Los órganos con competencia sancionadora, atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el apartado anterior, podrán no acordar el inicio del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que, en cada caso, resulten pertinentes, siempre que concurran los siguientes presupuestos:
a) Que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en este real decreto-ley.
b) Que el órgano competente no hubiese sancionado o apercibido al infractor en los dos años previos como consecuencia de la comisión de infracciones previstas en este real decreto-ley.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado, procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.
3. No podrán ser objeto de apercibimiento las infracciones leves descritas en el artículo 36.4 c), d) y e) y la infracción grave prevista en el artículo 36.3 e).
Artículo 40. Infracciones de las Administraciones públicas.
1. Cuando las infracciones a que se refiere el artículo 36 fuesen cometidas por órganos o entidades de las Administraciones Públicas, el órgano sancionador dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al órgano o entidad infractora y a los afectados, si los hubiera.
Además de lo anterior, el órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran.
2. Se deberán comunicar al órgano sancionador las resoluciones que recaigan en relación con las medidas y actuaciones a que se refiere el apartado anterior.
Artículo 41. Competencia sancionadora.
1. La imposición de sanciones corresponderá, en el caso de infracciones muy graves, al Ministro competente en virtud de lo dispuesto en el artículo 9, y en el caso de infracciones graves y leves al órgano de la autoridad competente que se determine mediante el reglamento de desarrollo de este real decreto-ley.
2. La potestad sancionadora se ejercerá con arreglo a los principios y al procedimiento previstos en las Leyes 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
3. El ejercicio de la potestad sancionadora se sujetará al procedimiento aplicable, con carácter general, a la actuación de las Administraciones públicas. No obstante, el plazo máximo de duración del procedimiento será de un año y el plazo de alegaciones no tendrá una duración inferior a un mes.
Artículo 42. Concurrencia de infracciones.
1. No procederá la imposición de sanciones según lo previsto en este real decreto-ley cuando los hechos constitutivos de infracción lo sean también de otra tipificada en la normativa sectorial a la que esté sujeto el prestador del servicio y exista identidad del bien jurídico protegido.
2. Cuando, como consecuencia de una actuación sancionadora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.
Disposición adicional primera. Relación inicial de servicios esenciales y operadores de servicios esenciales.
La Comisión Nacional para la Protección de las Infraestructuras Críticas aprobará una primera lista de servicios esenciales dentro de los sectores incluidos en el ámbito de aplicación de este real decreto-ley e identificará a los operadores que los presten que deban sujetarse a este real decreto-ley en el siguiente orden:
a) Antes del 9 de noviembre de 2018: los servicios esenciales y los operadores correspondientes a los sectores estratégicos energía, transporte, salud, sistema financiero, agua, e infraestructuras digitales.
b) Antes del 9 de noviembre de 2019: los servicios esenciales y los operadores correspondientes al resto de los sectores estratégicos recogidos en el anexo de la Ley 8/2011, de 28 de abril.
Disposición adicional segunda. Comunicaciones electrónicas y servicios de confianza.
La aplicación de este real decreto-ley a los operadores de redes y servicios de comunicaciones electrónicas y de servicios electrónicos de confianza que sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril, no obstará a la aplicación de su normativa específica en materia de seguridad.
El Ministerio de Economía y Empresa, como órgano competente para la aplicación de dicha normativa, y el Ministerio del Interior actuarán de manera coordinada en el establecimiento de obligaciones que recaigan sobre los operadores críticos. Así mismo, mantendrán un intercambio fluido de información sobre incidentes que les afecten.
Disposición adicional tercera. Notificación de violaciones de seguridad de los datos personales a través de la plataforma común prevista en este real decreto-ley.
La plataforma común para la notificación de incidentes prevista en este real decreto-ley podrá ser empleada para la notificación de vulneraciones de la seguridad de datos personales según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en los términos que acuerden la Agencia Española de Protección de Datos y los órganos que gestionen dicha plataforma.
Disposición adicional cuarta. Proveedores de servicios digitales ya existentes.
Los proveedores de servicios digitales que ya vinieran prestando servicios deberán comunicar su actividad a la Secretaría de Estado para el Avance Digital del Ministerio de Economía y Empresa, en el plazo de tres meses desde la entrada en vigor de este real decreto-ley.
Disposición final primera. Título competencial.
Este real decreto-ley se dicta en virtud de las competencias exclusivas atribuidas al Estado en materia de régimen general de telecomunicaciones y seguridad pública, por el artículo 149.1.21.ª y 29.ª de la Constitución.
Disposición final segunda. Incorporación del Derecho de la Unión Europea.
Este real decreto-ley incorpora al ordenamiento jurídico interno la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
Disposición final tercera. Habilitación para el desarrollo reglamentario.
Se habilita al Gobierno para desarrollar reglamentariamente lo previsto en este real decreto-ley sin perjuicio de la competencia de los Ministros para fijar las obligaciones específicas mediante Orden Ministerial en los supuestos previstos en el articulado de esta norma.
Disposición final cuarta. Entrada en vigor.
El presente real decreto-ley entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».
Dado en Madrid, el 7 de septiembre de 2018.
FELIPE R.
El Presidente del Gobierno, PEDRO SÁNCHEZ PÉREZ-CASTEJÓN
13Sep/18
Electronic Code of Federal Regulations
Electronic Code of Federal Regulations.
Title 17. Commodity and Securities Exchanges.
Chapter I. Commodity Futures Trading Commission.
Part. 1. General Regulations under the Commodity Exchange Act.
Section 1.4. Electronic signatures, acknowledgements and verifications.
For purposes of complying with any provision in the Commodity Exchange Act or the rules or regulations in this Chapter I that requires a swap transaction to be acknowledged by a swap dealer or major swap participant or a document to be signed or verified by a customer of a futures commission merchant or introducing broker, a retail forex customer of a retail foreign exchange dealer or futures commission merchant, a pool participant or a client of a commodity trading advisor, or a counterparty of a swap dealer or major swap participant, an electronic signature executed by the customer, retail forex customer, participant, client, counterparty, swap dealer, or major swap participant will be sufficient, if the futures commission merchant, retail foreign exchange dealer, introducing broker, commodity pool operator, commodity trading advisor, swap dealer, or major swap participant elects generally to accept electronic signatures, acknowledgments or verifications or another Commission rule permits the use of electronic signatures for the purposes listed above; Provided, however, That the electronic signature must comply with applicable Federal laws and other Commission rules; And, Provided further, That the futures commission merchant, retail foreign exchange dealer, introducing broker, commodity pool operator, commodity trading advisor, swap dealer, or major swap participant must adopt and use reasonable safeguards regarding the use of electronic signatures, including at a minimum safeguards employed to prevent alteration of the electronic record with which the electronic signature is associated, after such record has been electronically signed.
[77 FR 66320, Nov. 2, 2012]
Title 21. Food and Drugs
Chapter I. Food and Drug Administration, Department of Health and Human Services.
Part 11. Electronic Records; Electronic Signatures
Subpart A—GENERAL PROVISIONS
11.1 Scope.
(a) The regulations in this part set forth the criteria under which the agency considers electronic records, electronic signatures, and handwritten signatures executed to electronic records to be trustworthy, reliable, and generally equivalent to paper records and handwritten signatures executed on paper.
(b) This part applies to records in electronic form that are created, modified, maintained, archived, retrieved, or transmitted, under any records requirements set forth in agency regulations. This part also applies to electronic records submitted to the agency under requirements of the Federal Food, Drug, and Cosmetic Act and the Public Health Service Act, even if such records are not specifically identified in agency regulations. However, this part does not apply to paper records that are, or have been, transmitted by electronic means.
(c) Where electronic signatures and their associated electronic records meet the requirements of this part, the agency will consider the electronic signatures to be equivalent to full handwritten signatures, initials, and other general signings as required by agency regulations, unless specifically excepted by regulation(s) effective on or after August 20, 1997.
(d) Electronic records that meet the requirements of this part may be used in lieu of paper records, in accordance with §11.2, unless paper records are specifically required.
11.2 Implementation.
(a) For records required to be maintained but not submitted to the agency, persons may use electronic records in lieu of paper records or electronic signatures in lieu of traditional signatures, in whole or in part, provided that the requirements of this part are met.
(b) For records submitted to the agency, persons may use electronic records in lieu of paper records or electronic signatures in lieu of traditional signatures, in whole or in part, provided that:
(1) The requirements of this part are met; and
(2) The document or parts of a document to be submitted have been identified in public docket No. 92S-0251 as being the type of submission the agency accepts in electronic form. This docket will identify specifically what types of documents or parts of documents are acceptable for submission in electronic form without paper records and the agency receiving unit(s) (e.g., specific center, office, division, branch) to which such submissions may be made. Documents to agency receiving unit(s) not specified in the public docket will not be considered as official if they are submitted in electronic form; paper forms of such documents will be considered as official and must accompany any electronic records. Persons are expected to consult with the intended agency receiving unit for details on how (e.g., method of transmission, media, file formats, and technical protocols) and whether to proceed with the electronic submission.
11.3 Definitions.
(a) The definitions and interpretations of terms contained in section 201 of the act apply to those terms when used in this part.
(b) The following definitions of terms also apply to this part:
(1) Act means the Federal Food, Drug, and Cosmetic Act (secs. 201-903 (21 U.S.C. 321-393)).
(2) Agency means the Food and Drug Administration.
(3) Biometrics means a method of verifying an individual’s identity based on measurement of the individual’s physical feature(s) or repeatable action(s) where those features and/or actions are both unique to that individual and measurable.
(4) Closed system means an environment in which system access is controlled by persons who are responsible for the content of electronic records that are on the system.
(5) Digital signature means an electronic signature based upon cryptographic methods of originator authentication, computed by using a set of rules and a set of parameters such that the identity of the signer and the integrity of the data can be verified.
(6) Electronic record means any combination of text, graphics, data, audio, pictorial, or other information representation in digital form that is created, modified, maintained, archived, retrieved, or distributed by a computer system.
(7) Electronic signature means a computer data compilation of any symbol or series of symbols executed, adopted, or authorized by an individual to be the legally binding equivalent of the individual’s handwritten signature.
(8) Handwritten signature means the scripted name or legal mark of an individual handwritten by that individual and executed or adopted with the present intention to authenticate a writing in a permanent form. The act of signing with a writing or marking instrument such as a pen or stylus is preserved. The scripted name or legal mark, while conventionally applied to paper, may also be applied to other devices that capture the name or mark.
(9) Open system means an environment in which system access is not controlled by persons who are responsible for the content of electronic records that are on the system.
Subpart B—ELECTRONIC RECORDS
11.10 Controls for closed systems.
Persons who use closed systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, when appropriate, the confidentiality of electronic records, and to ensure that the signer cannot readily repudiate the signed record as not genuine. Such procedures and controls shall include the following:
(a) Validation of systems to ensure accuracy, reliability, consistent intended performance, and the ability to discern invalid or altered records.
(b) The ability to generate accurate and complete copies of records in both human readable and electronic form suitable for inspection, review, and copying by the agency. Persons should contact the agency if there are any questions regarding the ability of the agency to perform such review and copying of the electronic records.
(c) Protection of records to enable their accurate and ready retrieval throughout the records retention period.
(d) Limiting system access to authorized individuals.
11.30 Controls for open systems.
Persons who use open systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, as appropriate, the confidentiality of electronic records from the point of their creation to the point of their receipt. Such procedures and controls shall include those identified in §11.10, as appropriate, and additional measures such as document encryption and use of appropriate digital signature standards to ensure, as necessary under the circumstances, record authenticity, integrity, and confidentiality.
11.50 Signature manifestations.
(a) Signed electronic records shall contain information associated with the signing that clearly indicates all of the following:
(1) The printed name of the signer;
(2) The date and time when the signature was executed; and
(3) The meaning (such as review, approval, responsibility, or authorship) associated with the signature.
(b) The items identified in paragraphs (a)(1), (a)(2), and (a)(3) of this section shall be subject to the same controls as for electronic records and shall be included as part of any human readable form of the electronic record (such as electronic display or printout).
11.70 Signature/record linking.
Electronic signatures and handwritten signatures executed to electronic records shall be linked to their respective electronic records to ensure that the signatures cannot be excised, copied, or otherwise transferred to falsify an electronic record by ordinary means.
Subpart C—ELECTRONIC SIGNATURES
11.100 General requirements.
(a) Each electronic signature shall be unique to one individual and shall not be reused by, or reassigned to, anyone else.
(b) Before an organization establishes, assigns, certifies, or otherwise sanctions an individual’s electronic signature, or any element of such electronic signature, the organization shall verify the identity of the individual.
(c) Persons using electronic signatures shall, prior to or at the time of such use, certify to the agency that the electronic signatures in their system, used on or after August 20, 1997, are intended to be the legally binding equivalent of traditional handwritten signatures.
(1) The certification shall be submitted in paper form and signed with a traditional handwritten signature, to the Office of Regional Operations (HFC-100), 5600 Fishers Lane, Rockville, MD 20857.
(2) Persons using electronic signatures shall, upon agency request, provide additional certification or testimony that a specific electronic signature is the legally binding equivalent of the signer’s handwritten signature.
11.200 Electronic signature components and controls.
(a) Electronic signatures that are not based upon biometrics shall:
(1) Employ at least two distinct identification components such as an identification code and password.
(i) When an individual executes a series of signings during a single, continuous period of controlled system access, the first signing shall be executed using all electronic signature components; subsequent signings shall be executed using at least one electronic signature component that is only executable by, and designed to be used only by, the individual.
(ii) When an individual executes one or more signings not performed during a single, continuous period of controlled system access, each signing shall be executed using all of the electronic signature components.
(2) Be used only by their genuine owners; and
(3) Be administered and executed to ensure that attempted use of an individual’s electronic signature by anyone other than its genuine owner requires collaboration of two or more individuals.
(b) Electronic signatures based upon biometrics shall be designed to ensure that they cannot be used by anyone other than their genuine owners.
11.300 Controls for identification codes/passwords.
Persons who use electronic signatures based upon use of identification codes in combination with passwords shall employ controls to ensure their security and integrity. Such controls shall include:
(a) Maintaining the uniqueness of each combined identification code and password, such that no two individuals have the same combination of identification code and password.
(b) Ensuring that identification code and password issuances are periodically checked, recalled, or revised (e.g., to cover such events as password aging).
(c) Following loss management procedures to electronically deauthorize lost, stolen, missing, or otherwise potentially compromised tokens, cards, and other devices that bear or generate identification code or password information, and to issue temporary or permanent replacements using suitable, rigorous controls.
(d) Use of transaction safeguards to prevent unauthorized use of passwords and/or identification codes, and to detect and report in an immediate and urgent manner any attempts at their unauthorized use to the system security unit, and, as appropriate, to organizational management.
(e) Initial and periodic testing of devices, such as tokens or cards, that bear or generate identification code or password information to ensure that they function properly and have not been altered in an unauthorized manner.
13Sep/18
Government Paperwork Elimination Act.
United States Code. Government Paperwork Elimination Act. Title 44. Public Printing and Documents. Chapter 35. Coordination of Federal Information Policy. Subchapter I. Federal Information Policy. Sectión 3504. (Added Pub. L. 107–347, title III, § 305(c)(1), Dec. 17, 2002, 116 Stat. 2960)
Title 44. Public Printing and Documents.
Chapter 35. Coordination of Federal Information Policy.
Subchapter I. Federal Information Policy.
Sectión 3504. Authority and functions of Director
(a)
(1) The Director shall oversee the use of information resources to improve the efficiency and effectiveness of governmental operations to serve agency missions, including burden reduction and service delivery to the public. In performing such oversight, the Director shall:
(A) develop, coordinate and oversee the implementation of Federal information resources management policies, principles, standards, and guidelines; and
(B) provide direction and oversee:
(i) the review and approval of the collection of information and the reduction of the information collection burden;
(ii) agency dissemination of and public access to information;
(iii) statistical activities;
(iv) records management activities;
(v) privacy, confidentiality, security, disclosure, and sharing of information; and
(vi) the acquisition and use of information technology, including alternative information technologies that provide for electronic submission, maintenance, or disclosure of information as a substitute for paper and for the use and acceptance of electronic signatures.
(2) The authority of the Director under this subchapter shall be exercised consistent with applicable law.
(b) With respect to general information resources management policy, the Director shall:
(1) develop and oversee the implementation of uniform information resources management policies, principles, standards, and guidelines;
(2) foster greater sharing, dissemination, and access to public information, including through:
(A) the use of the Government Information Locator Service; and
(B) the development and utilization of common standards for information collection, storage, processing and communication, including standards for security, interconnectivity and interoperability;
(3) initiate and review proposals for changes in legislation, regulations, and agency procedures to improve information resources management practices;
(4) oversee the development and implementation of best practices in information resources management, including training; and
(5) oversee agency integration of program and management functions with information resources management functions.
(c) With respect to the collection of information and the control of paperwork, the Director shall:
(1) review and approve proposed agency collections of information;
(2) coordinate the review of the collection of information associated with Federal procurement and acquisition by the Office of Information and Regulatory Affairs with the Office of Federal Procurement Policy, with particular emphasis on applying information technology to improve the efficiency and effectiveness of Federal procurement, acquisition and payment, and to reduce information collection burdens on the public;
(3) minimize the Federal information collection burden, with particular emphasis on those individuals and entities most adversely affected;
(4) maximize the practical utility of and public benefit from information collected by or for the Federal Government;
(5) establish and oversee standards and guidelines by which agencies are to estimate the burden to comply with a proposed collection of information; [1]
(6) publish in the Federal Register and make available on the Internet (in consultation with the Small Business Administration) on an annual basis a list of the compliance assistance resources available to small businesses, with the first such publication occurring not later than 1 year after the date of enactment of the Small Business Paperwork Relief Act of 2002.
(d) With respect to information dissemination, the Director shall develop and oversee the implementation of policies, principles, standards, and guidelines to:
(1) apply to Federal agency dissemination of public information, regardless of the form or format in which such information is disseminated; and
(2) promote public access to public information and fulfill the purposes of this subchapter, including through the effective use of information technology.
(e) With respect to statistical policy and coordination, the Director shall:
(1) coordinate the activities of the Federal statistical system to ensure:
(A) the efficiency and effectiveness of the system; and
(B) the integrity, objectivity, impartiality, utility, and confidentiality of information collected for statistical purposes;
(2) ensure that budget proposals of agencies are consistent with system-wide priorities for maintaining and improving the quality of Federal statistics and prepare an annual report on statistical program funding;
(3) develop and oversee the implementation of Governmentwide policies, principles, standards, and guidelines concerning:
(A) statistical collection procedures and methods;
(B) statistical data classification;
(C) statistical information presentation and dissemination;
(D) timely release of statistical data; and
(E) such statistical data sources as may be required for the administration of Federal programs;
(4) evaluate statistical program performance and agency compliance with Governmentwide policies, principles, standards and guidelines;
(5) promote the sharing of information collected for statistical purposes consistent with privacy rights and confidentiality pledges;
(6) coordinate the participation of the United States in international statistical activities, including the development of comparable statistics;
(7) appoint a chief statistician who is a trained and experienced professional statistician to carry out the functions described under this subsection;
(8) establish an Interagency Council on Statistical Policy to advise and assist the Director in carrying out the functions under this subsection that shall:
(A) be headed by the chief statistician; and
(B) consist of:
(i) the heads of the major statistical programs; and
(ii) representatives of other statistical agencies under rotating membership; and
(9) provide opportunities for training in statistical policy functions to employees of the Federal Government under which:
(A) each trainee shall be selected at the discretion of the Director based on agency requests and shall serve under the chief statistician for at least 6 months and not more than 1 year; and
(B) all costs of the training shall be paid by the agency requesting training.
(f) With respect to records management, the Director shall:
(1) provide advice and assistance to the Archivist of the United States and the Administrator of General Services to promote coordination in the administration of chapters 29, 31, and 33 of this title with the information resources management policies, principles, standards, and guidelines established under this subchapter;
(2) review compliance by agencies with:
(A) the requirements of chapters 29, 31, and 33 of this title; and
(B) regulations promulgated by the Archivist of the United States and the Administrator of General Services; and
(3) oversee the application of records management policies, principles, standards, and guidelines, including requirements for archiving information maintained in electronic format, in the planning and design of information systems.
(g) With respect to privacy and security, the Director shall:
(1) develop and oversee the implementation of policies, principles, standards, and guidelines on privacy, confidentiality, security, disclosure and sharing of information collected or maintained by or for agencies; and
(2) oversee and coordinate compliance with sections 552 and 552a of title 5, sections 20 and 21 of the National Institute of Standards and Technology Act (15 U.S.C. 278g–3 and 278g–4), section 11331 of title 40 and subchapter II of this chapter, and related information management laws.
(h) With respect to Federal information technology, the Director shall:
(1) in consultation with the Director of the National Institute of Standards and Technology and the Administrator of General Services:
(A) develop and oversee the implementation of policies, principles, standards, and guidelines for information technology functions and activities of the Federal Government, including periodic evaluations of major information systems; and
(B) oversee the development and implementation of standards under section 11331 of title 40;
(2) monitor the effectiveness of, and compliance with, directives issued under subtitle III of title 40 and directives issued under section 322 [2] of title 40;
(3) coordinate the development and review by the Office of Information and Regulatory Affairs of policy associated with Federal procurement and acquisition of information technology with the Office of Federal Procurement Policy;
(4) ensure, through the review of agency budget proposals, information resources management plans and other means:
(A) agency integration of information resources management plans, program plans and budgets for acquisition and use of information technology; and
(B) the efficiency and effectiveness of inter-agencyinformation technology initiatives to improve agency performance and the accomplishment of agency missions; and
(5) promote the use of information technology by the Federal Government to improve the productivity, efficiency, and effectiveness of Federal programs, including through dissemination of public information and the reduction of information collection burdens on the public.
(Added Pub. L. 104–13, § 2, May 22, 1995, 109 Stat. 167; amended Pub. L. 104–106, div. E, title LI, § 5131(e)(1), title LVI, § 5605(b), (c), Feb. 10, 1996, 110 Stat. 688, 700; Pub. L. 105–85, div. A, title X, § 1073(h)(5)(B), (C), Nov. 18, 1997, 111 Stat. 1907; Pub. L. 105–277, div. C, title XVII, § 1702, Oct. 21, 1998, 112 Stat. 2681–749; Pub. L. 106–398, § 1 [[div. A], title X, § 1064(b)], Oct. 30, 2000, 114 Stat. 1654, 1654A–275; Pub. L. 107–198, § 2(a), June 28, 2002, 116 Stat. 729; Pub. L. 107–217, § 3(l)(5), Aug. 21, 2002, 116 Stat. 1301; Pub. L. 107–296, title X, § 1005(c)(1), Nov. 25, 2002, 116 Stat. 2272; Pub. L. 107–347, title III, § 305(c)(1), Dec. 17, 2002, 116 Stat. 2960.)
[1] So in original. Probably should be followed by “and”.
[2] See References in Text note below.
13Sep/18
Electronic Signatures in Global and National Commerce Act.
United States Code. Electronic Signatures in Global and National Commerce Act. Title 15. Commerceand Trade. Chapter 96. Electronic Signatures in Global and National Commerce. Sections 7001-7031, Current to June 2000
Subchapter I. Electronic Records and Signatures in Commerce (§§ 7001-7006)
§ 7001 – General rule of validity
(a) In general Notwithstanding any statute, regulation, or other rule of law (other than this subchapter and subchapter II), with respect to any transaction in or affecting interstate or foreign commerce:
(1) a signature, contract, or other record relating to such transaction may not be denied legal effect, validity, or enforceability solely because it is in electronic form; and
(2) a contract relating to such transaction may not be denied legal effect, validity, or enforceability solely because an electronic signature or electronic record was used in its formation.
(b) Preservation of rights and obligationsThis subchapter does not:
(1) limit, alter, or otherwise affect any requirement imposed by a statute, regulation, or rule of law relating to the rights and obligations of persons under such statute, regulation, or rule of law other than a requirement that contracts or other records be written, signed, or in nonelectronic form; or
(2) require any person to agree to use or accept electronic records or electronic signatures, other than a governmental agency with respect to a record other than a contract to which it is a party.
(c) Consumer disclosures
(1) Consent to electronic recordsNotwithstanding subsection (a), if a statute, regulation, or other rule of law requires that information relating to a transaction or transactions in or affecting interstate or foreign commerce be provided or made available to a consumer in writing, the use of an electronic record to provide or make available (whichever is required) such information satisfies the requirement that such information be in writing if:
(A) the consumer has affirmatively consented to such use and has not withdrawn such consent;
(B) the consumer, prior to consenting, is provided with a clear and conspicuous statement:
(i) informing the consumer of (I) any right or option of the consumer to have the record provided or made available on paper or in nonelectronic form, and (II) the right of the consumer to withdraw the consent to have the record provided or made available in an electronic form and of any conditions, consequences (which may include termination of the parties’ relationship), or fees in the event of such withdrawal;
(ii) informing the consumer of whether the consent applies (I) only to the particular transaction which gave rise to the obligation to provide the record, or (II) to identified categories of records that may be provided or made available during the course of the parties’ relationship;
(iii) describing the procedures the consumer must use to withdraw consent as provided in clause (i) and to update information needed to contact the consumer electronically; and
(iv) informing the consumer (I) how, after the consent, the consumer may, upon request, obtain a paper copy of an electronic record, and (II) whether any fee will be charged for such copy;
(C) the consumer:
(i) prior to consenting, is provided with a statement of the hardware and software requirements for access to and retention of the electronic records; and
(ii) consents electronically, or confirms his or her consent electronically, in a manner that reasonably demonstrates that the consumer can access information in the electronic form that will be used to provide the information that is the subject of the consent; and
(D) after the consent of a consumer in accordance with subparagraph (A), if a change in the hardware or software requirements needed to access or retain electronic records creates a material risk that the consumer will not be able to access or retain a subsequent electronic record that was the subject of the consent, the person providing the electronic record:
(i) provides the consumer with a statement of (I) the revised hardware and software requirements for access to and retention of the electronic records, and (II) the right to withdraw consent without the imposition of any fees for such withdrawal and without the imposition of any condition or consequence that was not disclosed under subparagraph (B)(i); and
(ii) again complies with subparagraph (C).
(2) Other rights
(A) Preservation of consumer protections
Nothing in this subchapter affects the content or timing of any disclosure or other record required to be provided or made available to any consumer under any statute, regulation, or other rule of law.
(B) Verification or acknowledgment
If a law that was enacted prior to this chapter expressly requires a record to be provided or made available by a specified method that requires verification or acknowledgment of receipt, the record may be provided or made available electronically only if the method used provides verification or acknowledgment of receipt (whichever is required).
(3) Effect of failure to obtain electronic consent or confirmation of consent
The legal effectiveness, validity, or enforceability of any contract executed by a consumer shall not be denied solely because of the failure to obtain electronic consent or confirmation of consent by that consumer in accordance with paragraph (1)(C)(ii).
(4) Prospective effect
Withdrawal of consent by a consumer shall not affect the legal effectiveness, validity, or enforceability of electronic records provided or made available to that consumer in accordance with paragraph (1) prior to implementation of the consumer’s withdrawal of consent. A consumer’s withdrawal of consent shall be effective within a reasonable period of time after receipt of the withdrawal by the provider of the record. Failure to comply with paragraph (1)(D) may, at the election of the consumer, be treated as a withdrawal of consent for purposes of this paragraph.
(5) Prior consent
This subsection does not apply to any records that are provided or made available to a consumer who has consented prior to the effective date of this subchapter to receive such records in electronic form as permitted by any statute, regulation, or other rule of law.
(6) Oral communications
An oral communication or a recording of an oral communication shall not qualify as an electronic record for purposes of this subsection except as otherwise provided under applicable law.
(d) Retention of contracts and records
(1) Accuracy and accessibilityIf a statute, regulation, or other rule of law requires that a contract or other record relating to a transaction in or affecting interstate or foreign commerce be retained, that requirement is met by retaining an electronic record of the information in the contract or other record that:
(A) accurately reflects the information set forth in the contract or other record; and
(B) remains accessible to all persons who are entitled to access by statute, regulation, or rule of law, for the period required by such statute, regulation, or rule of law, in a form that is capable of being accurately reproduced for later reference, whether by transmission, printing, or otherwise.
(2) Exception
A requirement to retain a contract or other record in accordance with paragraph (1) does not apply to any information whose sole purpose is to enable the contract or other record to be sent, communicated, or received.
(3) Originals
If a statute, regulation, or other rule of law requires a contract or other record relating to a transaction in or affecting interstate or foreign commerce to be provided, available, or retained in its original form, or provides consequences if the contract or other record is not provided, available, or retained in its original form, that statute, regulation, or rule of law is satisfied by an electronic record that complies with paragraph (1).
(4) Checks
If a statute, regulation, or other rule of law requires the retention of a check, that requirement is satisfied by retention of an electronic record of the information on the front and back of the check in accordance with paragraph (1).
(e) Accuracy and ability to retain contracts and other records
Notwithstanding subsection (a), if a statute, regulation, or other rule of law requires that a contract or other record relating to a transaction in or affecting interstate or foreign commerce be in writing, the legal effect, validity, or enforceability of an electronic record of such contract or other record may be denied if such electronic record is not in a form that is capable of being retained and accurately reproduced for later reference by all parties or persons who are entitled to retain the contract or other record.
(f) Proximity
Nothing in this subchapter affects the proximity required by any statute, regulation, or other rule of law with respect to any warning, notice, disclosure, or other record required to be posted, displayed, or publicly affixed.
(g) Notarization and acknowledgment
If a statute, regulation, or other rule of law requires a signature or record relating to a transaction in or affecting interstate or foreign commerce to be notarized, acknowledged, verified, or made under oath, that requirement is satisfied if the electronic signature of the person authorized to perform those acts, together with all other information required to be included by other applicable statute, regulation, or rule of law, is attached to or logically associated with the signature or record.
(h) Electronic agents
A contract or other record relating to a transaction in or affecting interstate or foreign commerce may not be denied legal effect, validity, or enforceability solely because its formation, creation, or delivery involved the action of one or more electronic agents so long as the action of any such electronic agent is legally attributable to the person to be bound.
(i) Insurance
It is the specific intent of the Congress that this subchapter and subchapter II apply to the business of insurance.
(j) Insurance agents and brokersAn insurance agent or broker acting under the direction of a party that enters into a contract by means of an electronic record or electronic signature may not be held liable for any deficiency in the electronic procedures agreed to by the parties under that contract if:
(1) the agent or broker has not engaged in negligent, reckless, or intentional tortious conduct;
(2) the agent or broker was not involved in the development or establishment of such electronic procedures; and
(3) the agent or broker did not deviate from such procedures.
(Pub. L. 106–229, title I, § 101, June 30, 2000, 114 Stat. 464.)
§ 7002 – Exemption to preemption
(a) In general A State statute, regulation, or other rule of law may modify, limit, or supersede the provisions of section 7001 of this title with respect to State law only if such statute, regulation, or rule of law:
(1) constitutes an enactment or adoption of the Uniform ElectronicTransactions Act as approved and recommended for enactment in all the States by the National Conference of Commissioners on Uniform State Laws in 1999, except that any exception to the scope of such Act enacted by a State under section 3(b)(4) of such Act shall be preempted to the extent such exception is inconsistent with this subchapter or subchapter II, or would not be permitted under paragraph (2)(A)(ii) of this subsection; or
(2)
(A) specifies the alternative procedures or requirements for the use or acceptance (or both) of electronic records or electronic signatures to establish the legal effect, validity, or enforceability of contracts or other records, if:
(i) such alternative procedures or requirements are consistent with this subchapter and subchapter II; and
(ii) such alternative procedures or requirements do not require, or accord greater legal status or effect to, the implementation or application of a specific technology or technical specification for performing the functions of creating, storing, generating, receiving, communicating, or authenticating electronic records or electronic signatures; and
(B) if enacted or adopted after June 30, 2000, makes specific reference to this chapter.
(b)Exceptions for actions by States as market participants
Subsection (a)(2)(A)(ii) shall not apply to the statutes, regulations, or other rules of law governing procurement by any State, or any agency or instrumentality thereof.
(c)Prevention of circumvention
Subsection (a) does not permit a State to circumvent this subchapter or subchapter II through the imposition of nonelectronic delivery methods under section 8(b)(2) of the Uniform ElectronicTransactions Act.
(Pub. L. 106–229, title I, § 102, June 30, 2000, 114 Stat. 467.)
§ 7003 – Specific exceptions
(a) Excepted requirementsThe provisions of section 7001 of this title shall not apply to a contract or other record to the extent it is governed by—
(1) a statute, regulation, or other rule of law governing the creation and execution of wills, codicils, or testamentary trusts;
(2) a State statute, regulation, or other rule of law governing adoption, divorce, or other matters of family law; or
(3) the Uniform Commercial Code, as in effect in any State, other than sections 1–107 and 1–206 and Articles 2 and 2A.
(b) Additional exceptionsThe provisions of section 7001 of this title shall not apply to:
(1) court orders or notices, or official court documents (including briefs, pleadings, and other writings) required to be executed in connection with court proceedings;
(2) any notice of:
(A) the cancellation or termination of utility services (including water, heat, and power);
(B) default, acceleration, repossession, foreclosure, or eviction, or the right to cure, under a credit agreement secured by, or a rental agreement for, a primary residence of an individual;
(C) the cancellation or termination of health insurance or benefits or life insurance benefits (excluding annuities); or
(D) recall of a product, or material failure of a product, that risks endangering health or safety; or
(3) any document required to accompany any transportation or handling of hazardous materials, pesticides, or other toxic or dangerous materials.
(c) Review of exceptions
(1) Evaluation required
The Secretary of Commerce, acting through the Assistant Secretary for Communications and Information, shall review the operation of the exceptions in subsections (a) and (b) to evaluate, over a period of 3 years, whether such exceptions continue to be necessary for the protection of consumers. Within 3 years after June 30, 2000, the Assistant Secretary shall submit a report to the Congress on the results of such evaluation.
(2) Determinations
If a Federal regulatory agency, with respect to matter within its jurisdiction, determines after notice and an opportunity for public comment, and publishes a finding, that one or more such exceptions are no longer necessary for the protection of consumers and eliminating such exceptions will not increase the material risk of harm to consumers, such agency may extend the application of section 7001 of this title to the exceptions identified in such finding.
(Pub. L. 106–229, title I, § 103, June 30, 2000, 114 Stat. 468.)
§ 7004 – Applicability to Federal and State governments
(a) Filing and access requirements
Subject to subsection (c)(2), nothing in this subchapter limits or supersedes any requirement by a Federal regulatory agency, self-regulatory organization, or State regulatory agency that records be filed with such agency or organization in accordance with specified standards or formats.
(b) Preservation of existing rulemaking authority
(1) Use of authority to interpretSubject to paragraph (2) and subsection (c), a Federal regulatory agency or State regulatory agency that is responsible for rulemaking under any other statute may interpret section 7001 of this title with respect to such statute through:
(A) the issuance of regulations pursuant to a statute; or
(B) to the extent such agency is authorized by statute to issue orders or guidance, the issuance of orders or guidance of general applicability that are publicly available and published (in the Federal Register in the case of an order or guidance issued by a Federal regulatory agency).
This paragraph does not grant any Federal regulatory agency or State regulatory agency authority to issue regulations, orders, or guidance pursuant to any statute that does not authorize such issuance.
(2) Limitations on interpretation authorityNotwithstanding paragraph (1), a Federal regulatory agency shall not adopt any regulation, order, or guidance described in paragraph (1), and a State regulatory agency is preempted by section 7001 of this title from adopting any regulation, order, or guidance described in paragraph (1), unless:
(A) such regulation, order, or guidance is consistent with section 7001 of this title;
(B) such regulation, order, or guidance does not add to the requirements of such section; and
(C) such agency finds, in connection with the issuance of such regulation, order, or guidance, that:
(i) there is a substantial justification for the regulation, order, or guidance;
(ii) the methods selected to carry out that purpose:
(I) are substantially equivalent to the requirements imposed on records that are not electronic records; and
(II) will not impose unreasonable costs on the acceptance and use of electronic records; and
(iii) the methods selected to carry out that purpose do not require, or accord greater legal status or effect to, the implementation or application of a specific technology or technical specification for performing the functions of creating, storing, generating, receiving, communicating, or authenticating electronic records or electronic signatures.
(3) Performance standards
(A) Accuracy, record integrity, accessibility
Notwithstanding paragraph (2)(C)(iii), a Federal regulatory agency or State regulatory agency may interpret section 7001(d) of this title to specify performance standards to assure accuracy, record integrity, and accessibility of records that are required to be retained. Such performance standards may be specified in a manner that imposes a requirement in violation of paragraph (2)(C)(iii) if the requirement (i) serves an important governmental objective; and (ii) is substantially related to the achievement of that objective. Nothing in this paragraph shall be construed to grant any Federal regulatory agency or State regulatory agency authority to require use of a particular type of software or hardware in order to comply with section 7001(d) of this title.
(B) Paper or printed formNotwithstanding subsection (c)(1), a Federal regulatory agency or State regulatory agency may interpret section 7001(d) of this title to require retention of a record in a tangible printed or paper form if:
(i) there is a compelling governmental interest relating to law enforcement or national security for imposing such requirement; and
(ii) imposing such requirement is essential to attaining such interest.
(4) Exceptions for actions by government as market participant
Paragraph (2)(C)(iii) shall not apply to the statutes, regulations, or other rules of law governing procurement by the Federal or any State government, or any agency or instrumentality thereof.
(c) Additional limitations
(1) Reimposing paper prohibited
Nothing in subsection (b) (other than paragraph (3)(B) thereof) shall be construed to grant any Federal regulatory agency or State regulatory agency authority to impose or reimpose any requirement that a record be in a tangible printed or paper form.
(2) Continuing obligation under Government Paperwork Elimination Act
Nothing in subsection (a) or (b) relieves any Federal regulatory agency of its obligations under the Government Paperwork Elimination Act (title XVII of Public Law 105–277).
(d) Authority to exempt from consent provision
(1) In general
A Federal regulatory agency may, with respect to matter within its jurisdiction, by regulation or order issued after notice and an opportunity for public comment, exempt without condition a specified category or type of record from the requirements relating to consent in section 7001(c) of this title if such exemption is necessary to eliminate a substantial burden on electronic commerce and will not increase the material risk of harm to consumers.
(2) Prospectuses
Within 30 days after June 30, 2000, the Securities and Exchange Commission shall issue a regulation or order pursuant to paragraph (1) exempting from section 7001(c) of this title any records that are required to be provided in order to allow advertising, sales literature, or other information concerning a security issued by an investment company that is registered under the Investment Company Act of 1940 [15 U.S.C. 80a–1 et seq.], or concerning the issuer thereof, to be excluded from the definition of a prospectus under section 77b(a)(10)(A) of this title.
(e) Electronic letters of agency
The Federal Communications Commission shall not hold any contract for telecommunications service or letter of agency for a preferred carrier change, that otherwise complies with the Commission’s rules, to be legally ineffective, invalid, or unenforceable solely because an electronic record or electronic signature was used in its formation or authorization.
(Pub. L. 106–229, title I, § 104, June 30, 2000, 114 Stat. 469.)
§ 7005 – Studies
(a) Delivery
Within 12 months after June 30, 2000, the Secretary of Commerce shall conduct an inquiry regarding the effectiveness of the delivery of electronic records to consumers using electronic mail as compared with delivery of written records via the United States Postal Service and private express mail services. The Secretary shall submit a report to the Congress regarding the results of such inquiry by the conclusion of such 12-month period.
(b) Study of electronic consent
Within 12 months after June 30, 2000, the Secretary of Commerce and the Federal Trade Commission shall submit a report to the Congress evaluating any benefits provided to consumers by the procedure required by section 7001(c)(1)(C)(ii) of this title; any burdens imposed on electronic commerce by that provision; whether the benefits outweigh the burdens; whether the absence of the procedure required by section 7001(c)(1)(C)(ii) of this title would increase the incidence of fraud directed against consumers; and suggesting any revisions to the provision deemed appropriate by the Secretary and the Commission. In conducting this evaluation, the Secretary and the Commission shall solicit comment from the general public, consumer representatives, and electronic commerce businesses.
(Pub. L. 106–229, title I, § 105, June 30, 2000, 114 Stat. 471.)
§ 7006 – Definitions
For purposes of this subchapter:
(1) Consumer
The term “consumer” means an individual who obtains, through a transaction, products or services which are used primarily for personal, family, or household purposes, and also means the legal representative of such an individual.
(2) Electronic
The term “electronic” means relating to technology having electrical, digital, magnetic, wireless, optical, electromagnetic, or similar capabilities.
(3) Electronic agent
The term “electronic agent” means a computer program or an electronic or other automated means used independently to initiate an action or respond to electronic records or performances in whole or in part without review or action by an individual at the time of the action or response.
(4) Electronic record
The term “electronic record” means a contract or other record created, generated, sent, communicated, received, or stored by electronic means.
(5) Electronic signature
The term “electronic signature” means an electronic sound, symbol, or process, attached to or logically associated with a contract or other record and executed or adopted by a person with the intent to sign the record.
(6) Federal regulatory agency
The term “Federal regulatory agency” means an agency, as that term is defined in section 552(f) of title 5.
(7) Information
The term “information” means data, text, images, sounds, codes, computer programs, software, databases, or the like.
(8) Person
The term “person” means an individual, corporation, business trust, estate, trust, partnership, limited liability company, association, joint venture, governmental agency, public corporation, or any other legal or commercial entity.
(9) Record
The term “record” means information that is inscribed on a tangible medium or that is stored in an electronic or other medium and is retrievable in perceivable form.
(10) Requirement
The term “requirement” includes a prohibition.
(11) Self-regulatory organization
The term “self-regulatory organization” means an organization or entity that is not a Federal regulatory agency or a State, but that is under the supervision of a Federal regulatory agency and is authorized under Federal law to adopt and administer rules applicable to its members that are enforced by such organization or entity, by a Federal regulatory agency, or by another self-regulatory organization.
(12) State
The term “State” includes the District of Columbia and the territories and possessions of the United States.
(13) TransactionThe term “transaction” means an action or set of actions relating to the conduct of business, consumer, or commercial affairs between two or more persons, including any of the following types of conduct—
(A) the sale, lease, exchange, licensing, or other disposition of (i) personal property, including goods and intangibles, (ii) services, and (iii) any combination thereof; and
(B) the sale, lease, exchange, or other disposition of any interest in real property, or any combination thereof.
(Pub. L. 106–229, title I, § 106, June 30, 2000, 114 Stat. 472.)
Subchapter II. Transferable Records (§ 7021)
§ 7021.- Transferable records
Subchapter III. Promotion of International Electronic Commerce (§ 7031)
§ 7031.- Principles governing the use of electronic signatures in international transactions
12Sep/18
REGLAMENTO PARA EL USO DEL EXPEDIENTE ELECTRÓNICO Y LA FIRMA ELECTRÓNICA CERTIFICADA DEL PODER JUDICIAL DEL ESTADO DE BAJA CALIFORNIA
REGLAMENTO PARA EL USO DEL EXPEDIENTE ELECTRÓNICO Y LA FIRMA ELECTRÓNICA CERTIFICADA DEL PODER JUDICIAL DEL ESTADO DE BAJA CALIFORNIA
Reglamento publicado en la Sección I del Periódico Oficial del Estado de Baja California, el viernes 18 de marzo de 2016.
MAGISTRADO JORGE ARMANDO VÁZQUEZ, PRESIDENTE DEL TRIBUNAL SUPERIOR DE JUSTICIA Y DEL CONSEJO DE LA JUDICATURA DEL ESTADO, MAGISTRADO CONSEJERO SALVADOR JUAN ORTIZ MORALES, MAGISTRADO CONSEJERO JORGE IGNACIO PÉREZ CASTAÑEDA, JUEZ CONSEJERO RAÚL LUIS MARTÍNEZ, CONSEJERO HÉCTOR ORLANDO DÍAZ CERVANTES, CONSEJERO GERARDO BRIZUELA GAYTÁN, MIEMBROS DEL CONSEJO DE LA JUDICATURA DEL PODER JUDICIAL DEL ESTADO, EN EJERCICIO DE LAS FACULTADES QUE NOS CONFIEREN LOS ARTÍCULOS 57 PÁRRAFOS SEGUNDO Y TERCERO, 59 PÁRRAFO SEGUNDO, 64 PRIMER PÁRRAFO, 65 PÁRRAFO SÉPTIMO y 97 PRIMER PÁRRAFO, DE LA CONSTITUCIÓN POLÍTICA DEL ESTADO LIBRE Y SOBERANO DE BAJA CALIFORNIA Y CON FUNDAMENTO EN LO DISPUESTO POR LOS ARTÍCULOS 3 FRACCIÓN III y 83 DEL CÓDIGO NACIONAL DE PROCEDIMIENTOS PENALES; 111 y 112 DEL CÓDIGO DE PROCEDIMIENTOS CIVILES PARA EL ESTADO DE BAJA CALIFORNIA; 22, 39 FRACCIÓN II, 155, 156, 158, 159 PÁRRAFO SEGUNDO, 161, 163, 164, 165, 166, 167 Y 168 FRACCIONES I, II, IV, XV, XVIII, XXVI, XXXIII, XXXV, y XLIII, DE LA LEY ORGÁNICA DEL PODER JUDICIAL DEL ESTADO DE BAJA CALIFORNIA, Y
C O N S I D E R A N D O
De ahí que resulte necesaria y obligatoria la expedición del presente reglamento, toda vez que mediante Sesión Ordinaria de fecha veintinueve de octubre del año dos mil quince, este Consejo de la Judicatura del Estado, aprobó dentro del punto 8.01, el ACUERDO GENERAL NÚMERO 02-2015, DEL PLENO DEL CONSEJO DE LA JUDICATURA DEL PODER JUDICIAL DEL ESTADO DE BAJA CALIFORNIA, POR EL QUE SE CREA LA UNIDAD ADMINISTRATIVA DE CERTIFICACIÓN, SE AUTORIZA LA IMPLEMENTACIÓN DEL EXPEDIENTE ELECTRÓNICO, SE RECONOCE LA VALIDEZ DE LAS NOTIFICACIONES ELECTRÓNICAS Y EL USO DE LA FIRMA ELECTRÓNICA EN LOS EXPEDIENTES, INCIDENTES, CUADERNILLOS Y DEMÁS ASUNTOS DEL CONOCIMIENTO DEL LOS TRIBUNALES, ÓRGANOS JURISDICCIONALES Y ÓRGANOS ADMINISTRATIVOS DEL PODER JUDICIAL DEL ESTADO DE BAJA CALIFORNIA y por ende, en ejecución del mismo, se hace necesaria la expedición del presente, en los siguientes términos:
ARTÍCULO ÚNICO.- Se expide el reglamento, para quedar como sigue:
REGLAMENTO PARA EL USO DEL EXPEDIENTE ELECTRÓNICO Y LA FIRMA ELECTRÓNICA CERTIFICADA DEL PODER JUDICIAL DEL ESTADO DE BAJA CALIFORNIA.
TÍTULO PRIMERO.- DISPOSICIONES GENERALES
CAPÍTULO ÚNICO
Artículo 1. El presente reglamento es de interés general y de orden público y tiene por objeto regular:
I. La operación de los sistemas que sustentan la Firma Electrónica Certificada y el Expediente Electrónico;
II. El uso de la Firma Electrónica Certificada y la creación del Expediente Electrónico, en los asuntos, expedientes, recursos, incidentes, cuadernillos y actos de la competencia del Poder Judicial del Estado de Baja California, por conducto del Tribunal Superior de Justicia en Pleno o en Salas, de los Juzgados de Primera Instancia, Juzgados de Paz, Tribunales, Jueces de Paz, de Primera Instancia, Mixtos, de Menores, de Garantía o Especializados, Jurados y en su caso por este Consejo de la Judicatura o sus órganos y unidades administrativas; previstos en las leyes y códigos de la materia aplicables al asunto de que se trate; II (SIC). La expedición de certificados digitales a personas físicas;
III. La emisión, uso adecuado y revocación de la Firma Electrónica Certificada, por parte de la Unidad Administrativa, los tribunales, juzgados y órganos jurisdiccionales y administrativos del Poder Judicial del Estado de Baja California; así como de personas físicas o morales públicas o privadas, nacionales o extranjeras, previo cumplimiento de los requisitos que se establecen en el presente Reglamento.
IV. Los servicios relacionados con la Firma Electrónica Certificada y el Expediente Electrónico;
V. Las facultades de las autoridades certificadoras;
VI. La homologación de la Firma Electrónica Certificada, con las firmas electrónicas reguladas por otros ordenamientos legales, en los términos establecidos en el presente Reglamento y de conformidad con las disposiciones de la Ley de Firma Electrónica para el Estado de Baja California, la Ley de Firma Electrónica Avanzada y el Reglamento de la Ley de Firma Electrónica Avanzada; y.
VII. Las facultades del Consejo de la Judicatura del Estado, para incorporar como válidos para los órganos y tribunales del Poder Judicial del Estado, los documentos, notificaciones y actos de otros poderes, entes, órganos o tribunales de esta o de otras entidades federativas; expedidos mediante firma electrónica en términos de sus diversas disposiciones aplicables.
Artículo 2. Se establece la Firma Electrónica Certificada del Poder Judicial del Estado de Baja California (FIREC), como el instrumento a través del cual se ingresa al Sistema Electrónico para presentar demandas, promociones, recursos, medios de impugnación, incidentes y enviar escritos y/o documentos, recibir comunicaciones, notificaciones y/o documentos oficiales, así como consultar acuerdos, resoluciones y sentencias interlocutorias o principales; relacionadas con los asuntos competencia del Tribunal, de las Salas y de los órganos jurisdiccionales y administrativos del Poder Judicial del Estado de Baja California; la cual producirá los mismos efectos que la firma autógrafa, tomando en cuenta lo previsto en el presente Reglamento y en las demás disposiciones generales aplicables a los asuntos de la competencia del Tribunal Superior de Justicia, los Juzgados de Primera Instancia, los Juzgados de Paz, Jueces de Paz, de Primera Instancia, Mixtos, de Menores, de Garantía o Especializados, Jurados y en su caso del Consejo de la Judicatura del Estado.
Artículo 3. Para los efectos de este reglamento, se entenderá por:
I. Actos: las comunicaciones, trámites, servicios, actos jurídicos y administrativos, así como actuaciones dentro de los procedimientos judiciales y administrativos en los cuales los particulares y los servidores públicos del Poder Judicial del Estado de Baja California, utilicen la Firma Electrónica Certificada;
II. Actuaciones Electrónicas: las determinaciones, acuerdos, resoluciones, notificaciones, citatorios, emplazamientos, requerimientos, solicitudes de informes o documentos y, en su caso, las resoluciones administrativas y judiciales, incidentales, definitivas, principales o de alzada, que se emitan en los Asuntos de la competencia del Poder Judicial del Estado de Baja California, regulados por este reglamento y que sean comunicados por medios electrónicos;
III. Acuse de Recibo Electrónico: el mensaje de datos que se emite o genera a través de medios de comunicación electrónica para acreditar de manera fehaciente la fecha y hora de recepción de documentos electrónicos relacionados con las actuaciones electrónicas establecidas por este Reglamento;
IV. Autoridad Certificadora: La Unidad Administrativa de Certificación del Consejo de la Judicatura del Poder Judicial del Estado de Baja California, creada para el Control de Certificación de Firmas y las Unidades de Control y Certificación, que conforme a las disposiciones jurídicas, tengan reconocida esta calidad y cuenten con la infraestructura tecnológica para la emisión, administración y registro de certificados digitales, así como para proporcionar servicios relacionados con los mismos;
V. Asunto: El expediente de los juicios, incidentes, cuadernillos, recursos, medios de impugnación, procedimientos administrativos inquisitivos o seguidos en forma de juicios y demás procedimientos o procesos de la competencia del Tribunal Superior de Justicia en Pleno o en Salas; de los Juzgados de Primera Instancia, Juzgados de Paz, Jueces de Paz, de Primera Instancia, Mixtos, de Menores, de Garantía o Especializados, Jurados y en su caso del Consejo de la Judicatura y sus Comisiones u órganos y unidades administrativas;
VI. Boletín Electrónico: Medio de comunicación oficial electrónico, a través del cual los órganos del Poder Judicial del Estado, dan a conocer las actuaciones o resoluciones en los asuntos que se tramitan ante los mismos;
VII. Certificado Digital: el mensaje de datos o registro que confirme el vínculo entre un firmante y la clave privada;
VIII. Certificado Intermedio: Certificado digital generado a partir del Certificado Raíz del Poder Judicial del Estado de Baja California, con el cual las Unidades de Control y Certificación emitirán los certificados de los usuarios finales;
IX. Certificado Raíz: El certificado digital único emitido por la Unidad Administrativa del Consejo de la Judicatura del Poder Judicial del Estado de Baja California, para el Control de Certificación de Firmas, que sirve de base a la infraestructura de firma electrónica de los órganos del Poder Judicial del Estado y da origen a los certificados intermedios, los que a su vez servirán para dar origen a los certificados digitales que emitan las Unidades de Certificación correspondientes;
X. Usuario del Sistema: Conjunto único de caracteres alfanuméricos asignados por el Sistema de Trámites Electrónicos, como medio de identificación de los servidores públicos o de las personas facultadas en el asunto de origen para utilizar el Sistema, y asignarles los privilegios para la recepción de notificaciones, consulta del expediente respectivo o envío vía electrónica de promociones relativas a las actuaciones procesales con el uso de la FIREC en un procedimiento o proceso en el que promuevan, ante los Órganos del Poder Judicial del Estado;
XI. Clave Privada: los datos que el firmante genera de manera secreta y utiliza para crear su Firma Electrónica Certificada, a fin de lograr el vínculo entre dicha Firma Electrónica Certificada y el firmante;
XII. Clave Pública: los datos contenidos en un certificado digital que permiten la verificación de la autenticidad de la Firma Electrónica Certificada del firmante;
XIII. Consejo: El Consejo de la Judicatura del Poder Judicial del Estado de Baja California;
XIV. Contraseña: Conjunto único de caracteres alfanuméricos, asignados de manera confidencial al Usuario del Sistema, la cual permite validar la identificación de la persona a la que se le asignó una Clave de Acceso;
XV. Datos y elementos de identificación: aquéllos que se encuentran considerados como tales en la Ley General de Población y en las disposiciones que deriven de la misma;
XVI. Documento Electrónico: aquél que es generado, consultado, modificado o procesado por medios electrónicos;
XVII. Dirección de Correo Electrónico: la dirección en Internet señalada por los servidores públicos y particulares para enviar y recibir mensajes de datos y documentos electrónicos relacionados con los actos a que se refiere el presente Reglamento y a través de los medios de comunicación electrónica;
XVIII. Expediente Electrónico: Conjunto de información contenida en archivos electrónicos o documentos digitales que conforman un Asunto, independientemente de que sea texto, imagen, audio o video, identificado por un número específico.
XIX. FIREC: La Firma Electrónica Certificada del Poder Judicial del Estado de Baja California;
XX. Firma Electrónica Certificada: el conjunto de datos y caracteres que permite la identificación del firmante, que ha sido creada por medios electrónicos bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos, la cual produce los mismos efectos jurídicos que la firma autógrafa;
XXI. Firmante: toda persona física que utiliza su Firma Electrónica Certificada para suscribir documentos electrónicos y, en su caso, mensajes de datos;
XXII. Medios de Comunicación Electrónica: los dispositivos tecnológicos que permiten efectuar la transmisión y recepción de mensajes de datos y documentos electrónicos;
XXIII. Medios Electrónicos: los dispositivos tecnológicos para el procesamiento, impresión, despliegue, conservación y, en su caso, modificación de información;
XXIV. Mensaje de Datos: la información generada, enviada, recibida, archivada o comunicada a través de medios de comunicación electrónica, que puede contener documentos electrónicos;
XXV. Órganos del Poder Judicial: El Tribunal Superior de Justicia del Estado de Baja California, las Salas Unitarias o Colegiadas del Tribunal Superior de Justicia del Estado de Baja California; los Tribunales de Juicio Oral y los Jueces de Garantía; los Juzgados de Primera Instancia, Juzgados Mixtos, Juzgados de Paz y Jurados; el Consejo de la Judicatura del Poder Judicial del Estado de Baja California, sus Comisiones y los demás órganos o unidades administrativas autorizadas posteriormente por el Consejo, que emitan actos al amparo del presente Reglamento;
XXVI. Página Web: el sitio en Internet que contiene información, aplicaciones y, en su caso, vínculos a otras páginas;
XXVII. Prestador de Servicios de Certificación: La Unidad Administrativa de Certificación del Consejo de la Judicatura del Estado, por sí o por conducto de sus Unidades de Control y Certificación; las instituciones públicas que conforme a las leyes que les son aplicables, así como los notarios y corredores públicos y las personas morales de carácter privado que de acuerdo a lo establecido en el Código de Comercio sean reconocidas con tal carácter para prestar servicios relacionados con la Firma Electrónica y, en su caso, expedir certificados digitales;
XXVIII. Servicios relacionados con la Firma Electrónica Certificada: los servicios de firmado de documentos electrónicos, de verificación de la vigencia de certificados digitales, de verificación y validación de la unicidad de la clave pública, así como de consulta de certificados digitales revocados, entre otros, que en términos de las disposiciones jurídicas aplicables pueden ser proporcionados por la autoridad certificadora;
XXIX. Tribunal Electrónico o Sistema: el sitio electrónico desarrollado por la Administración Judicial del Poder Judicial del Estado y la Oficialía Mayor del Consejo de la Judicatura del Estado, ligado a la página Web del Nuevo Sistema de Justicia Penal y al sitio electrónico del Poder Judicial del Estado de Baja California, para el envío y recepción de documentos, notificaciones y comunicaciones, así como para la consulta de información relacionada con los actos a que se refiere este Reglamento;
XXX. Sujetos Obligados: los servidores públicos y particulares que utilicen la Firma Electrónica Certificada del Poder Judicial del Estado de Baja California o el Expediente Electrónico, en términos de lo previsto en el artículo 3 de este Reglamento;
XXXI. Tablero Electrónico: el medio electrónico incorporado al Tribunal Electrónico o Sistema, a través del cual se ponen a disposición de los particulares que utilicen la Firma Electrónica Certificada en términos de esta (sic) reglamento, las actuaciones electrónicas que emitan los órganos del Poder Judicial del Estado de Baja California y que genera un acuse de recibo electrónico;
XXXII. Unidad Administrativa: La Unidad Administrativa de Certificación del Consejo de la Judicatura del Poder Judicial del Estado de Baja California; y XXXIII. Unidades de Control y Certificación: Las unidades administrativas del Tribunal, de las Salas o de los órganos jurisdiccionales y administrativos del Poder Judicial del Estado de Baja California a quienes el Consejo o la Unidad Administrativa de Certificación, autorice para el uso de certificados intermedios con los que pueda realizar la expedición de la FIREC, en los términos previstos en el presente Reglamento.
Artículo 4. Están sujetos a las disposiciones de la presente Ley:
I. Los órganos a que se refiere la fracción XXV, del artículo 2 de este Reglamento;
II. Los servidores públicos adscritos a los órganos del Poder Judicial del Estado a que se refiere la fracción anterior, que en la realización de los actos a que se refiere este Reglamento utilicen la Firma Electrónica Certificada, y
III. Los particulares, en los casos en que utilicen la Firma Electrónica Certificada en términos de esta (sic) Reglamento.
Artículo 5. La Unidad Administrativa de Certificación, por sí o por conducto de sus Unidades de Control y Certificación de Firmas y en su caso, por las demás áreas que mediante acuerdo determine el Consejo; realizará las funciones de autoridad registradora y certificadora encargada de recibir las solicitudes para la emisión de certificados digitales a los funcionarios del Poder Judicial del Estado y de emitir los certificados digitales correspondientes; con la colaboración de las áreas técnicas a que se refiere el artículo 8 del presente Reglamento y una vez validada la información necesaria.
Asimismo, será la encargada de recibir las solicitudes de usuarios externos, para la emisión de certificados digitales.
Las autoridades señaladas en el presente artículo, en su calidad de autoridades registradoras, recibirán las solicitudes de usuarios externos, revisará que cumplan con los requisitos que al efecto se establezcan y una vez validada la información proporcionada por el usuario externo, emitirán el certificado digital correspondiente.
Artículo 6. Las disposiciones de este Reglamento no serán aplicables a los actos en que no sea factible el uso de la Firma Electrónica Certificada por disposición expresa de la Ley o Código de la materia, de este Reglamento, o de aquéllos en donde no exista acuerdo de incorporación del Consejo o donde exista acuerdo expreso estableciendo su prohibición.
Tampoco serán aplicables para la presentación de quejas administrativas en términos de la Ley Orgánica del Poder Judicial del Estado o de la Ley de Responsabilidades de los Servidores Públicos del Estado de Baja California.
En los actos de comercio e inscripciones en el Registro Público de la Propiedad y del Comercio, el uso de la Firma Electrónica se regirá de conformidad con lo previsto en el Código de Comercio y demás ordenamientos aplicables en la materia, sin perjuicio de la aplicación de lo dispuesto en este Reglamento, en lo conducente.
Artículo 7. El Consejo, en el ámbito de su competencia, estará facultado para interpretar las disposiciones de este Reglamento y para efectos administrativos.
Para tal efecto, a propuesta de la Unidad Administrativa, dictará las disposiciones generales para el adecuado cumplimiento de este Reglamento, mismas que deberán publicarse en Boletín Judicial y en el Periódico Oficial del Estado.
Artículo 8. El Subjefe de la Unidad de Sistemas y Tecnología Informática del Tribunal de Garantía y Juicio Oral Penal y el Jefe de Informática del Poder Judicial del Estado de Baja California, como áreas especializadas en tecnologías de la información y comunicaciones, serán las encargadas de implantar y administrar la infraestructura tecnológica necesaria para la operación de la Firma Electrónica Certificada, así como para brindar la asesoría en materia tecnológica que requiera la Unidad Administrativa o el Consejo, para operar el Sistema del Expediente Electrónico, de Trámites Electrónicos, de Registro y Certificación.
También deberán de capacitar a los usuarios internos del Poder Judicial del Estado, sobre el funcionamiento de la Firma Electrónica Certificada y poner a disposición del público en general en los portales electrónicos, los manuales respectivos para los usuarios externos.
Artículo 9. A falta de disposición expresa en este Reglamento o en las demás disposiciones que del mismo deriven, se aplicarán supletoriamente la Ley de Firma Electrónica para el Estado de Baja California, la Ley de Firma Electrónica Avanzada, el Reglamento de la Ley de Firma Electrónica Avanzada, el Código Nacional de Procedimientos Penales, el Código de Comercio, el Código Federal de Procedimientos Civiles y el Código de Procedimientos Civiles para el Estado de Baja California, en lo conducente y atendiendo a la materia de que se trate.
Artículo 10. La interpretación del presente Reglamento, se realizará conforme a los criterios gramatical, sistemático y funcional, atendiendo a lo dispuesto en el último párrafo del artículo 14 de la Constitución Política de los Estados Unidos Mexicanos.
TÍTULO SEGUNDO.- DE LA FIRMA ELECTRÓNICA CERTIFICADA
CAPÍTULO I.- DEL USO Y VALIDEZ DE LA FIRMA ELECTRÓNICA CERTIFICADA
Artículo 11. La Firma Electrónica Certificada podrá ser utilizada en documentos electrónicos y, en su caso, en mensajes de datos. Los servidores públicos de los órganos jurisdiccionales y administrativos del Poder Judicial del Estado, podrán utilizar la Firma Electrónica Certificada en los trámites y servicios que brinden a la ciudadanía, en las comunicaciones internas de carácter oficial, así como en los documentos que en el ejercicio de sus funciones expidan.
Las personas físicas o morales por conducto de sus representantes legales, podrán hacer uso de la Firma Electrónica Certificada en la realización de trámites ante las autoridades del Poder Judicial del Estado de Baja California, siempre y cuando se les autorice mediante acuerdo expreso en el asunto de que se trate, para tal efecto. Los documentos que consten en papel y con firma autógrafa o rúbrica, podrán ser habilitados para tener un formato electrónico si cuenta con la firma electrónica de conformidad con el presente reglamento.
Los documentos electrónicos y los mensajes de datos que cuenten con Firma Electrónica Certificada producirán los mismos efectos que los presentados con firma autógrafa y, en consecuencia, tendrán el mismo valor probatorio que las disposiciones aplicables les otorgan a éstos, en su carácter de documentos públicos o privados, según su origen.
Cualquier tipo de información contenida en un Mensaje de Datos firmado electrónicamente, o la constancia que de ellos se haga tendrán el mismo valor jurídico y la misma eficacia probatoria que la ley otorga a los documentos escritos en soporte de papel y con firma autógrafa.
Artículo 12. Para efectos del artículo 10 de este Reglamento, la Firma Electrónica Certificada estará sujeta a los principios rectores siguientes:
I. Equivalencia Funcional: Consiste en que la Firma Electrónica Certificada en un documento electrónico o en su caso, en un mensaje de datos, satisface el requisito de firma del mismo modo que la firma autógrafa en los documentos impresos;
II. Autenticidad: Consiste en que la Firma Electrónica Certificada en un documento electrónico o, en su caso, en un mensaje de datos, permite dar certeza de que el mismo ha sido emitido por el firmante de manera tal que su contenido le es atribuible al igual que las consecuencias jurídicas que de él deriven;
III. Integridad: Consiste en que la Firma Electrónica Certificada en un documento electrónico o, en su caso, en un mensaje de datos, permite dar certeza de que éste ha permanecido completo e inalterado desde su firma, con independencia de los cambios que hubiere podido sufrir el medio que lo contiene como resultado del proceso de comunicación, archivo o presentación;
IV. Neutralidad Tecnológica: Consiste en que la tecnología utilizada para la emisión de certificados digitales y para la prestación de los servicios relacionados con la Firma Electrónica Certificada será aplicada de modo tal que no excluya, restrinja o favorezca alguna tecnología en particular;
V. No Repudio: Consiste en que la Firma Electrónica Certificada contenida en documentos electrónicos garantiza la autoría e integridad del documento y que dicha firma corresponde exclusivamente al firmante, y
VI. Confidencialidad: Consiste en que la Firma Electrónica Certificada en un documento electrónico o, en su caso, en un mensaje de datos, garantiza que sólo pueda ser cifrado por el firmante y el receptor.
Artículo 13. Para que los sujetos obligados puedan utilizar la Firma Electrónica Certificada en los actos a que se refiere este Reglamento, deberán contar con:
I. Un certificado digital vigente, emitido u homologado en términos del presente Reglamento, y
II. Una clave privada que deberá mantener bajo su exclusivo control y que será generada con los datos proporcionados por este previa validación de la Autoridad Certificadora.
Artículo 14. El actor, recurrente o promovente, podrá presentar su demanda, recurso o promoción mediante la vía tradicional y por escrito ante el Órgano del Poder Judicial del Estado competente, o en línea a través del Sistema de Trámites Electrónicos en Línea.
Para este último caso, se deberá manifestar expresamente su opción de someterse al uso de la FIREC y el Expediente Electrónico, al momento de la presentación.
Una vez que el sujeto obligado haya elegido su opción, deberá revocar su decisión para que a partir de esa fecha no se le notifique mas por medio electrónico.
Para el caso de que el sujeto obligado no manifieste su opción al momento de la presentación de su trámite respectivo, se entenderá que eligió tramitar el Asunto en la vía tradicional.
Artículo 15. En el Tribunal Electrónico o Sistema se integrará el Expediente Electrónico, mismo que incluirá el escrito inicial, todas las promociones, pruebas y otros anexos que presenten las partes, oficios, actuaciones, acuerdos y resoluciones tanto interlocutorias como definitivas, así como las demás diligencias que deriven de la substanciación del Asunto en línea, garantizando su seguridad, inalterabilidad, autenticidad, integridad y durabilidad, conforme a los lineamientos que expida el Consejo.
Para el caso en que proceda la acumulación y los Asuntos respectivos se estén sustanciando por la vía tradicional y en línea, el Órgano del Poder Judicial del Estado competente, requerirá a las partes vía notificación personal o electrónica según corresponda, para que en el plazo de tres días manifiesten si optan por substanciar el Asunto en línea, en caso de que no ejerza su opción se tramitara el Asunto en la vía tradicional.
Artículo 16. La Firma Electrónica Certificada, Clave de Acceso y Contraseña se proporcionarán, a través del Sistema de Trámites Electrónicos, previa obtención del registro y autorización correspondientes.
El uso de la Firma Electrónica Certificada, Clave de Acceso y Contraseña, implica el consentimiento expreso de que el Sistema registre la fecha y hora en la que se abran los Archivos Electrónicos, que contengan las notificaciones y constancias que integran el Expediente Electrónico, para los efectos legales establecidos en las disposiciones legales aplicables. Para hacer uso del Sistema, se deberán observarse los lineamientos que, para tal efecto, expida la Unidad Administrativa.
CAPÍTULO II.- DE LOS DOCUMENTOS ELECTRÓNICOS Y DE LOS MENSAJES DE DATOS
Artículo 17. Los órganos del Poder Judicial del Estado, las dependencias y entidades de gobierno, en las comunicaciones y en su caso, en los actos jurídicos que realicen entre las mismas dentro de los expedientes, incidentes, cuadernillos, medios de impugnación y demás asuntos de la competencia del Poder Judicial del Estado, harán uso de mensajes de datos y aceptarán la presentación de documentos electrónicos, los cuales deberán contar, cuando así se requiera, con la Firma Electrónica Certificada del servidor público facultado para ello.
Cualquier actuación en los asuntos en Línea se efectuará a través del Sistema, en términos del presente Reglamento. Dichas actuaciones serán validadas con las firmas electrónicas y firmas digitales de los Magistrados, Jueces de Paz, de Primera Instancia, Mixtos, de Menores, de Garantía o Especializados; Secretarios Generales, Secretarios de Estudio y Cuenta, Secretarios Proyectistas, Secretarios de Acuerdos, Secretarios Actuarios y demás servidores públicos de los Órganos del Poder Judicial del Estado, que actúen en ejercicio de sus atribuciones o que den fe, según corresponda.
Artículo 18. Las autoridades señaladas en el artículo anterior, en la realización de los actos del conocimiento de los órganos del Poder Judicial del Estado, deberán aceptar el uso de mensajes de datos y la presentación de documentos electrónicos, siempre que los particulares por sí o por conducto de sus representantes legales, mandatarios o procuradores, manifiesten expresamente su conformidad para que dichos actos se efectúen, desde su inicio hasta su conclusión, a través de medios de comunicación electrónica.
Artículo 19. Los documentos que las partes ofrezcan como prueba, deberán exhibirlos de forma legible a través del Sistema de Trámites Electrónicos en línea.
Tratándose de documentos digitales, se deberá manifestar la naturaleza de los mismos, especificando si la reproducción digital corresponde a una copia simple, una copia certificada o al original y tratándose de esta última, si tiene o no firma autógrafa. Los particulares deberán hacer esta manifestación bajo protesta de decir verdad.
La omisión de la manifestación presume en perjuicio sólo del promovente, que el documento digitalizado corresponde a una copia simple.
Las pruebas documentales que ofrezcan y exhiban las partes tendrán el mismo valor probatorio que su constancia física, siempre y cuando se observen las disposiciones del presente Reglamento y de los acuerdos que emita el Consejo para asegurar la autenticidad de la información, así como de su transmisión, recepción, validación y notificación; salvo que se ponga en tela de duda la autenticidad de un documento presentado vía digital, caso en el cual, el interesado podrá solicitar que se exhiba el original para su cotejo.
Artículo 20. Para el caso de pruebas diversas a las documentales, los instrumentos en los que se haga constar la existencia de dichas pruebas se integrarán al Expediente Electrónico.
El Secretario de Acuerdos o servidor público competente, a quien corresponda el conocimiento y tramite del asunto, deberá digitalizar las constancias relativas y procederá a la certificación de su cotejo con los originales físicos, así como a garantizar el resguardo de los originales y de los bienes materiales que en su caso hubieren sido objeto de prueba.
Este tipo de pruebas, deberán ofrecerse en términos de las disposiciones aplicables y ser presentadas al Órgano del Poder Judicial del Estado que esté conociendo del asunto, en la fecha en la que se señale en el acuerdo recaído al ofrecimiento, haciéndose constar su exhibición para efectos de su incorporación al Expediente Electrónico y ordenando en ese acto las medidas de seguridad para garantizar el resguardo de los originales y de los bienes materiales o implementos que en su caso hubieren sido objeto de la prueba.
Artículo 21. Los sujetos obligados deberán contar con una dirección de correo electrónico para recibir, cuando corresponda, mensajes de datos y documentos electrónicos en la realización de los actos previstos en esta Ley.
Artículo 22. Las personas interesadas en obtener la Firma Electrónica Certificada, deberán suscribir ante la Unidad Administrativa o Unidades Certificadoras, un documento en el que:
I. Expresarán que es su libre voluntad contar con un Certificado de Firma Electrónica Certificada;
II. Se obligan a proporcionar información veraz y exacta para la obtención de la Firma Electrónica;
III. Reconocerán como propios y auténticos los Mensajes de Datos que contengan su Firma Electrónica;
IV. Aceptarán que el uso de la Firma Electrónica por persona distinta, quedará bajo su exclusiva responsabilidad, y que de ocurrir ese supuesto se les atribuirá la autoría de los Mensajes de Datos;
V. Se obligarán a notificar de manera inmediata a la Unidad Administrativa, para efectos de su invalidación, la pérdida o cualquier otra situación que pudiera implicar la reproducción o el uso indebido del Certificado de Firma Electrónica; sin que ello invalide las notificaciones anteriores que se les hubiesen practicado o las actuaciones que los particulares hubiesen signado con su firma Electrónica Certificada, sino las subsecuentes actuaciones realizadas con posterioridad a tal comunicado formal.
VI. Autorizarán que las notificaciones, citaciones o requerimientos se les hagan a través de Medios Electrónicos o Sistemas de Información, mismas que se practicarán en los términos, plazos y condiciones previstas en las disposiciones legales aplicables a la materia de que se trate el asunto, expediente, incidente, cuadernillo o medio de impugnación correspondiente; y
VII. Las demás que determinen las leyes.
Artículo 23. La manifestación a que se refiere el artículo anterior deberá señalar adicionalmente:
I. Que aceptan consultar el tablero electrónico, al menos, los días viernes de cada semana o bien, el día hábil siguiente si alguno de éstos fuere inhábil; y en caso de no hacerlo, se tendrá por hecha la notificación y surtirá sus efectos, en el día hábil siguiente a aquél en que hubiere sido efectuada vía electrónica;
II. Que aceptan darse por notificados de las actuaciones electrónicas que emitan los Órganos del Poder Judicial del Estado, en el mismo día en que consulten el tablero electrónico, y
III. Que en el supuesto de que por causas imputables al Poder Judicial del Estado, se encuentren imposibilitados para consultar el tablero electrónico o abrir los documentos electrónicos que contengan la información depositada en el mismo, en los días señalados en la fracción I de este artículo, lo harán del conocimiento del órgano del Poder Judicial del Estado de que se trate, a más tardar el día hábil siguiente a aquél en que ocurra dicho impedimento, por medios de comunicación electrónica o cualquier otro previsto en la Ley o Código de la materia de que se trate, para que sean notificados por alguna otra forma de las establecidas en las normas que rijan el acto materia de notificación.
Artículo 24. La Unidad Administrativa de Certificación, con el auxilio de las áreas técnicas a que se refiere el artículo 8 de este Reglamento, crearán y administrarán un sistema de trámites electrónicos que establezca el control de accesos, los respaldos y la recuperación de información, con mecanismos confiables de seguridad, disponibilidad, integridad, autenticidad, confidencialidad y custodia.
El Consejo, a propuesta de la Unidad Administrativa de Certificación, emitirá los lineamientos conducentes a efecto de dar cumplimiento a lo dispuesto en este artículo.
Artículo 25. La información contenida en los mensajes de datos y en los documentos electrónicos será pública, salvo que la misma esté clasificada como reservada o confidencial en términos de la Ley General de Transparencia y Acceso a la Información Pública, la Ley de Transparencia y Acceso a la Información Pública para el Estado de Baja California y por ende, en su caso podrá ser entregada en términos en los Lineamientos para la Elaboración de Versiones Públicas de Documentos y Resoluciones que Tiene Bajo su Resguardo el Poder Judicial del Estado de Baja California vigentes al momento de su solicitud.
Los mensajes de datos y los documentos electrónicos que contengan datos personales e información confidencial, estarán sujetos a las disposiciones aplicables para el manejo, seguridad y protección de los mismos.
Artículo 26. Los sujetos obligados deberán conservar en medios electrónicos, los mensajes de datos y los documentos electrónicos con Firma Electrónica Certificada derivados de los actos a que se refiere este Reglamento, durante los plazos de conservación previstos en los ordenamientos legales o reglamentarios aplicables, según la naturaleza del asunto o la información de que se trate.
A falta de término previsto, la conservación de los mensajes de datos y de los documentos electrónicos con Firma Electrónica Certificada, se estará al término de diez años para su resguardo y conservación; salvo que se trate de información o documentación que hubiere sido catalogada como de valor histórico.
Artículo 27. Cuando se requiera que un documento impreso y con firma autógrafa, sea presentado o conservado en su forma original, tal requisito quedará satisfecho si la copia se genera en un documento electrónico, y se cumple con lo siguiente:
I. Que la migración a una forma digital haya sido realizada o supervisada por un servidor público que cuente con facultades de certificación de documentos en términos de las disposiciones aplicables o, en su caso, por el particular interesado, quien deberá manifestar, bajo protesta de decir verdad, que el documento electrónico es copia íntegra e inalterada del documento impreso;
II. Cuando exista duda sobre la autenticidad del documento electrónico remitido, la dependencia o entidad podrá solicitar que el documento impreso le sea presentado directamente o bien, que este último se le envíe por correo certificado con acuse de recibo. En el supuesto de que se opte por el envío del documento impreso a través de correo certificado, será necesario que adicionalmente se envíe dentro de los tres días hábiles siguientes, mediante un mensaje de datos, la guía que compruebe que el referido documento fue depositado en una oficina de correos;
III. Que la información contenida en el documento electrónico se mantenga íntegra e inalterada a partir del momento en que se generó por primera vez en su forma definitiva y sea accesible para su ulterior consulta;
IV. Que el documento electrónico permita conservar el formato del documento impreso y reproducirlo con exactitud, y
V. Que se observe lo previsto en las disposiciones generales en materia de conservación de mensajes de datos y de los documentos electrónicos con Firma Electrónica Certificada.
Lo establecido en este artículo se aplicará sin perjuicio de que las dependencias y entidades observen, conforme a la naturaleza de la información contenida en el documento impreso de que se trate, los plazos de conservación previstos en los ordenamientos legales o reglamentarios aplicables.
TÍTULO TERCERO.- DEL CERTIFICADO DIGITAL CAPÍTULO I DE LA ESTRUCTURA Y PROCEDIMIENTOS DEL CERTIFICADO DIGITAL
Artículo 28. El certificado digital deberá contener lo siguiente:
I. Número de serie;
II. Autoridad certificadora que lo emitió;
III. Algoritmo de firma;
IV. Vigencia;
V. Nombre del titular del certificado digital;
VI. Dirección de correo electrónico del titular del certificado digital;
VII. Clave Única del Registro de Población (CURP) del titular del certificado digital;
VIII. Clave pública, y
IX. Los demás requisitos que, en su caso, se establezcan en las disposiciones generales que se emitan en términos de este reglamento.
Artículo 29. Para obtener un certificado digital el solicitante accederá a la página Web de la autoridad certificadora y llenará el formato de solicitud con los siguientes datos:
I. Tratándose del personal del Poder Judicial del Estado, accederá al Sistema de Registro y Certificación mediante el cual llevará a cabo el procedimiento de certificación electrónica y requisitará el formato de solicitud que llenará como mínimo, con los datos siguientes:
a) Nombre completo del solicitante;
b) Dirección de correo electrónico Institucional para recibir mensajes de datos y documentos electrónicos;
c) Número de empleado;
d) Área de adscripción;
e) Cargo que desempeña, y;
f) Clave Única del Registro de Población (CURP) del titular del certificado digital;
Posteriormente, el solicitante deberá hacer llegar materialmente su solicitud con firma autógrafa de acuerdo con los procedimientos que para tal efecto defina el Consejo o la Unidad Administrativa de Certificación, adjuntando copia simple de su identificación o gafete de trabajo, copia de su nombramiento y copia simple de su Clave Única del Registro de Población (CURP).
II. Tratándose de usuarios externos, deberá seguir el procedimiento de preregistro que se dará a conocer el (sic) la Página Web en que se indicará también el vínculo al Tribunal Electrónico o Sistema y acudir a las oficinas de la Unidad Administrativa de Certificación o a las demás oficinas que el Consejo de la Judicatura del Estado habilite para tal efecto y requisitar la solicitud correspondiente:
a) Nombre de la autoridad certificadora a quien va dirigida la solicitud;
b) Nombre completo del solicitante;
c) Domicilio del solicitante;
d) Dirección de correo electrónico para recibir mensajes de datos y documentos electrónicos;
e) Clave Única del Registro de Población (CURP) del solicitante, salvo que se trate de extranjeros, quienes deberán presentar el documento que acredite su legal estadía en territorio nacional o aquellos documentos expedidos por sus gobiernos, debidamente traducidos y apostillados y
f) Carta compromiso para la obtención de la Firma Electrónica Certificada;
g) Documento que acredite la facultad de representación, para el caso de personas jurídicas colectivas públicas o privadas, nacionales o extranjeras o institutos políticos;
h) Solicitud con firma autógrafa, dirigida a la Unidad Administrativa o al Consejo, acompañada de comprobante de domicilio, copia del CURP e identificación oficial vigente, y tratándose de extranjeros, quienes deberán presentar el documento que acredite su legal estadía en territorio nacional o aquellos documentos expedidos por sus gobiernos, debidamente traducidos y apostillados. Documentos todos, estos, que deberán ser presentados en original y copia, y que, previo cotejo se devolverán los originales al interesado.
Posteriormente, el interesado deberá acudir ante la autoridad certificadora que corresponda y entregar su solicitud con firma autógrafa, acompañada de los siguientes documentos:
a) El documento que compruebe el domicilio a que se refiere la fracción II;
b) El documento de identificación oficial expedido por autoridad competente, y
c) El documento probatorio de nacionalidad mexicana, y tratándose de extranjeros, quienes deberán presentar el documento que acredite su legal estadía en territorio nacional o aquellos documentos expedidos por sus gobiernos, debidamente traducidos y apostillados.
d) La cédula para el ejercicio profesional estatal o federal, en caso de abogados procuradores que promuevan a nombre de un tercero o el número de registro electrónico otorgado por el Poder Judicial del Estado, al registrar electrónicamente sus cédulas.
El Consejo establecerá en términos de las disposiciones aplicables, los procedimientos para el registro de datos y verificación de elementos de identificación, emisión, renovación y revocación de certificados digitales, los cuales darán a conocer a través de sus respectivas páginas Web.
Artículo 30. El certificado digital quedará sin efectos o será revocado por la autoridad certificadora que lo emitió, cuando se actualice alguno de los supuestos siguientes:
I. Por expiración de su vigencia;
II. Cuando se compruebe que los documentos que presentó el titular del certificado digital para acreditar su identidad son falsos;
III. Por revocación decretada por el Consejo, cuando se dejen de reunir las condiciones que sirvieron de base para su otorgamiento, o bien el Titular o Firmante incumplan las obligaciones que les impone este Reglamento;
IV. Cuando así lo solicite el titular del certificado digital o el Firmante en los casos de representación, ante la autoridad certificadora que lo emitió;
V. Por fallecimiento del titular del certificado digital. En este caso, la revocación procederá a solicitud de un tercero legalmente autorizado, quien deberá acompañar el acta de defunción del titular del certificado digital;
V (SIC). Cuando se extravíe o inutilice por daños el medio electrónico que contenga los certificados digitales;
VI. Cuando se ponga en riesgo la confidencialidad, integridad o seguridad de los datos de creación de la Firma Electrónica Certificada, caso en el cual, el interesado deberá adjuntar a su solicitud de revocación, el acta levantada ante el Agente del Ministerio Público que haga constar los hechos en los cuales se haya puesto en riesgo la confidencialidad, integridad o seguridad de su firma electrónica o certificado digital;
VII. Por resolución de autoridad judicial o administrativa que así lo determine;
VIII. Cuando exista resolución firme en la que se haya acreditado que se alteró o falseo la autenticidad, calidad o contenido de los documentos que hayan exhibido ante las autoridades certificadoras; y,
IX. Cuando exista resolución firme en la que se haya acreditado que se alteró o falseo la autenticidad, calidad o contenido de algún documento que se haya exhibido en juicio, mediante el uso de la firma electrónica.
Artículo 31. La vigencia del certificado digital será de tres años como máximo, la cual iniciará a partir del momento de su emisión y expirará el día y en la hora señalada en el mismo.
CAPÍTULO II.- DERECHOS Y OBLIGACIONES DEL TITULAR DEL CERTIFICADO DIGITAL
Artículo 32. El titular de un certificado digital tendrá los derechos siguientes:
I. A ser informado por la autoridad certificadora que lo emita sobre:
a) Las características y condiciones precisas para la utilización del certificado digital, así como los límites de su uso;
b) Las características generales de los procedimientos para la generación y emisión del certificado digital y la creación de la clave privada, y
c) La revocación del certificado digital;
II. A que los datos personales e información confidencial que proporcione a la autoridad certificadora, sean tratados de manera confidencial, en términos de las disposiciones jurídicas aplicables, y
III. A solicitar la modificación de datos y elementos del certificado digital, o la revocación de éste, cuando así convenga a sus intereses.
Artículo 33. El titular de un certificado digital o firmante, estará obligado a lo siguiente:
I. Cumplir con los términos y condiciones a que se sujeta el uso de la Firma Electrónica Certificada;
II. Hacer declaraciones veraces y completas en relación con los datos y documentos que proporcione para su identificación personal, para el adecuado ejercicio de la profesión que se requiera y para la adecuada representación que ostente;
III. Custodiar adecuadamente sus datos de creación de firma y la clave privada vinculada con ellos, a fin de mantenerlos en secreto y sin injerencia de terceros;
IV. Actuar con diligencia y los cuidados necesarios para evitar la utilización no autorizada por parte de terceros, de su Firma Electrónica Certificada;
V. Asumir cualquier tipo de responsabilidad y cumplir con las obligaciones derivadas del mal uso que se haga de su Firma Electrónica Certificada; y
VI. Solicitar a la autoridad certificadora la revocación de su certificado digital en caso de que la integridad o confidencialidad de sus datos de creación de firma o su frase de seguridad hayan sido comprometidos y presuma que su clave privada pudiera ser utilizada indebidamente, y
VII. Dar aviso a la autoridad certificadora respectiva de cualquier modificación de los datos que haya proporcionado, a fin de que ésta incorpore las modificaciones en los registros correspondientes y emita un nuevo certificado digital; siempre y cuando ello no varíe la identidad y titularidad del certificado; y,
VIII. Las demás que determinen las leyes y ordenamientos.
Artículo 34. Los titulares de una Firma Electrónica Certificada, Clave de Acceso y Contraseña serán responsables de su uso, por lo que el acceso o recepción de las notificaciones, la consulta al Expediente Electrónico y el envío de información mediante la utilización de cualquiera de dichos instrumentos, les serán atribuibles y no admitirán prueba en contrario, salvo que se demuestren fallas del Sistema.
Una vez recibida por vía electrónica cualquier promoción de las partes, el Sistema emitirá el Acuse de Recibo Electrónico correspondiente, señalando la fecha y la hora de recibido.
CAPÍTULO III.- DE LAS AUTORIDADES CERTIFICADORAS
Artículo 35. La Unidad Administrativa y las Unidades Certificadoras habilitadas por el Consejo son consideradas autoridades certificadoras para emitir certificados digitales en términos de este Reglamento.
Artículo 36. Las autoridades certificadoras tendrán las atribuciones y obligaciones siguientes:
I. Emitir, administrar y registrar certificados digitales, así como prestar servicios relacionados con la Firma Electrónica Certificada y el Expediente Electrónico;
II. Llevar un registro de los certificados digitales que emitan y de los que revoquen, así como proveer los servicios de consulta a los interesados;
III. Adoptar las medidas necesarias para evitar la falsificación, alteración o uso indebido de certificados digitales, así como de los servicios relacionados con la Firma Electrónica Certificada;
IV. Solicitar al Consejo la revocación de los certificados de Firma Electrónica Certificada, cuando se actualice alguno de los supuestos previstos en el presente Reglamento y conforme al procedimiento previsto en el mismo;
V. Garantizar la autenticidad, integridad, conservación, confidencialidad y confiabilidad de la Firma Electrónica Certificada, así como de los servicios relacionados con la misma;
VI. Preservar la confidencialidad, integridad y seguridad de los datos personales de los titulares de los certificados digitales en términos de la Ley General del (sic) Transparencia y Acceso a la Información Pública y a la Ley de Transparencia y Acceso a la Información Pública para el Estado de Baja California y al Reglamento para la Transparencia y el Acceso a la Información Pública del Poder Judicial del Estado de Baja California;
VII. Las demás que les confiera la Ley Orgánica del Poder Judicial del Estado de Baja California, el Reglamento Interior del Consejo de la Judicatura del Estado de Baja California y las demás disposiciones jurídicas aplicables.
Artículo 37. Las autoridades certificadoras que mediante acuerdo designe el Consejo, podrán dejar de tener ese carácter cuando incumplan las obligaciones previstas en el presente Reglamento o así lo determine el Consejo.
Artículo 38. La Unidad Administrativa, la Oficialía Mayor del Consejo de la Judicatura del Estado y la Administración Judicial, podrán coordinarse para acordar y definir los estándares, características y requerimientos tecnológicos a que se deberán sujetar las autoridades certificadoras del Poder Judicial del Estado, para garantizar la autenticidad, integridad, conservación, confidencialidad y confiabilidad de la Firma Electrónica Certificada.
CAPÍTULO IV.- DEL RECONOCIMIENTO DE CERTIFICADOS DIGITALES Y DE LA CELEBRACIÓN DE CONVENIOS DE COLABORACIÓN O COORDINACIÓN
Artículo 39. El Consejo o la Unidad Administrativa con autorización previa de aquél, podrán celebrar bases o convenios de colaboración con otras instituciones de gobierno, para la prestación de servicios relacionados con la Firma Electrónica Certificada.
En estos casos, el Consejo de la Judicatura del Estado publicará una declaratoria de incorporación de la firma electrónica de algún otro poder, ente, órgano o autoridad del estado o de alguna otra entidad federativa, a efecto de que se tomen como válidos para los órganos y tribunales del Poder Judicial del Estado, todos los documentos, notificaciones y actos de otros poderes, entes, órganos o tribunales de esta o de otras entidades federativas, que se hayan expedidos mediante firma electrónica en términos de sus diversas disposiciones aplicables.
Artículo 40. Los certificados digitales expedidos por otros poderes, entes, órganos o instituciones de gobierno, tendrán la misma validez y producirán los mismos efectos jurídicos reconocidos en el presente Reglamento, siempre y cuando tales certificados sean reconocidos por la (sic) el Consejo o la Unidad Administrativa mediante convenio, y garanticen en la misma forma que lo hacen los certificados propios, el cumplimiento de los requisitos, el procedimiento, así como la validez y vigencia del certificado.
TÍTULO CUARTO.- DE LAS RESPONSABILIDADES Y SANCIONES CAPÍTULO ÚNICO
Artículo 41. Las conductas de los servidores públicos que impliquen el incumplimiento a los preceptos establecidos en el presente reglamento, dará lugar al procedimiento y a las sanciones que correspondan en términos de la Ley Orgánica del Poder Judicial del Estado de Baja California y la Ley de Responsabilidades de los Servidores Públicos del Estado de Baja California.
Artículo 42. Las conductas de los particulares que impliquen el incumplimiento a los preceptos establecidos en el presente reglamento, dará lugar al inicio del procedimiento de garantía de audiencia previa para la revocación del certificado digital y de la firma electrónica del presunto infractor.
En tal caso, la Secretaría General del Consejo de la Judicatura del Estado, dictará el acuerdo de inicio, realizará las notificaciones correspondientes en el último domicilio que se hubiere señalado ante la Unidad Administrativa o las Unidades Certificadoras; desahogará el procedimiento con las formalidades esenciales en las que se permita al presunto infractor ofrecer pruebas y rendir alegatos, hasta ponerlo en estado de citación para resolución; caso en el cual, dará cuenta al Pleno del Consejo con el proyecto corresponde (sic) para su aprobación.
La resolución que emita el Consejo, se notificará a los interesados en términos del artículo 116 del Código de Procedimientos Civiles del Estado.
Artículo 43. En todos los casos, cuando las infracciones al presente reglamento impliquen la posible comisión de una conducta sancionada en los términos de la legislación civil, penal o de cualquier otra naturaleza, los órganos del Poder Judicial del Estado, lo harán del conocimiento de las autoridades competentes.
ARTÍCULOS TRANSITORIOS
PRIMERO.-
El presente reglamento entrará en vigor al día siguiente de su publicación en el Periódico Oficial del Estado.
SEGUNDO.-
Solicítese la publicación del presente, en el Boletín Judicial y en Periódico Oficial del Estado de Baja California en términos de los artículos 159 párrafo segundo y 187 de la Ley Orgánica del Poder Judicial del Estado de Baja California; 2, 3 fracción VIII y 4, de la Ley del Periódico Oficial del Estado.
TERCERO.- Los certificados digitales expedidos con anterioridad a la entrada en vigor de este Reglamento, mediante el programa piloto de implementación del ACUERDO GENERAL NÚMERO 02-2015, DEL PLENO DEL CONSEJO DE LA JUDICATURA DEL PODER JUDICIAL DEL ESTADO DE BAJA CALIFORNIA, POR EL QUE SE CREA LA UNIDAD ADMINISTRATIVA DE CERTIFICACIÓN, SE AUTORIZA LA IMPLEMENTACIÓN DEL EXPEDIENTE ELECTRÓNICO, SE RECONOCE LA VALIDEZ DE LAS NOTIFICACIONES ELECTRÓNICAS Y EL USO DE LA FIRMA ELECTRÓNICA EN LOS EXPEDIENTES, INCIDENTES, CUADERNILLOS Y DEMÁS ASUNTOS DEL CONOCIMIENTO DEL (SIC) LOS TRIBUNALES, ÓRGANOS JURISDICCIONALES Y ÓRGANOS ADMINISTRATIVOS DEL PODER JUDICIAL DEL ESTADO DE BAJA CALIFORNIA, conservarán su vigencia y alcances, al haber sido emitidos al amparo del citado acuerdo general.
CUARTO.-
Las disposiciones generales a que se refiere el segundo párrafo del artículo 6 del presente Reglamento, se emitirán en un plazo máximo de noventa días hábiles, contados a partir de la entrada en vigor de este ordenamiento.
QUINTO.-
Los órganos administrativos y jurisdiccionales del Poder Judicial del Estado, que el Consejo determine como viables para el uso de firma electrónica, deberán remitir a la Unidad Administrativa, dentro de los quince días hábiles posteriores a la entrada en vigor de este Reglamento, su programa de instrumentación para el uso de la Firma Electrónica Certificada, en el que se contemplen los distintos actos en los que sea o no factible el uso de la Firma Electrónica Certificada, con objeto de que la Unidad Administrativa emita, cuando corresponda, el dictamen que determine la gradualidad requerida para que el órgano respectivo esté en posibilidad de instrumentar el uso de la Firma Electrónica Certificada en los actos que le competen.
Aprobado por unanimidad de votos de los miembros del Consejo de la Judicatura del Estado de Baja California, en sesión de fecha nueve de marzo de dos mil dieciséis y de conformidad con lo dispuesto por los artículos los artículos (sic) 57 párrafos segundo y tercero, 59 párrafo segundo, 64 primer párrafo, 65 párrafo séptimo y 97 primer párrafo, de la Constitución Política del Estado Libre y Soberano de Baja California y con fundamento en lo dispuesto por los artículos 22, 39 fracción II, 155, 156, 158, 159, 161, 163, 164, 165, 166, 167 y 168 fracciones I, II, IV, XV, XVIII, XXIII, XXVI, XXXI, XXXIII, XXXV, y XLII, de la Ley Orgánica del Poder Judicial del Estado de Baja California; imprímase y publíquese el presente para su debida observancia y cumplimiento.
Dado en el Edificio de Tribunales del Poder Judicial del Estado, en la Ciudad de Mexicali, Baja California, a los nueve días del mes de marzo de dos mil dieciséis.
MAGISTRADO JORGE ARMANDO VÁSQUEZ PRESIDENTE DEL TRIBUNAL SUPERIOR DE JUSTICIA Y DEL CONSEJO DE LA JUDICATURA DEL ESTADO DE BAJA CALIFORNIA
LIC. JORGE IGNACIO PÉREZ CASTAÑEDA MAGISTRADO CONSEJERO
LIC. SALVADOR JUAN ORTIZ MORALES MAGISTRADO CONSEJERO
LIC. RAÚL LUIS MARTÍNEZ JUEZ CONSEJERO
LIC. GERARDO BRIZUELA GAYTÁN CONSEJERO
LIC. HÉCTOR ORLANDO DÍAZ CERVANTES CONSEJERO
LIC. ENRIQUE MAGAÑA MOSQUEDA SECRETARIO GENERAL DEL CONSEJO DE LA JUDICATURA DEL ESTADO
Reglamento sobre el uso de medios electrónicos y Firma Electrónica para el Municipio de Celaya, Guanajuato
Reglamento sobre el uso de medios electrónicos y Firma Electrónica para el Municipio de Celaya, Guanajuato.
Artículo 1.- El presente ordenamiento es de orden e interés público, así como de observancia general y obligatoria para todos los servidores públicos del gobierno municipal y se expide como el medio para implementar el uso de medios electrónicos y firma electrónica certificada en el desarrollo de trámites y servicios en el Municipio de Celaya Guanajuato.
Artículo 2.- El presente reglamento se expide con fundamento en lo dispuesto en los artículos: 115 fracción II inciso a) de la Constitución Política de los Estados Unidos Mexicanos.
Artículo 3.- En lo no previsto por el presente reglamento será supletoria la Ley Sobre el Uso de Medios Electrónicos y Firma Electrónica para el Estado de Guanajuato y sus Municipios, su Reglamento, el Código Civil del Estado de Guanajuato, Ley Orgánica Municipal para el Estado de Guanajuato, las Políticas y los Lineamientos aplicables.
Artículo 4.- El presente ordenamiento tiene por objeto:
I. Agilizar, simplificar y hacer más accesibles los actos, comunicaciones, procedimientos administrativos, trámites y la prestación de servicios públicos que corresponden a la administración pública municipal, promoviendo y fomentando el uso de medios electrónicos en las relaciones entre sus dependencias, entidades y los particulares;
II. El uso de la firma electrónica certificada, su eficacia jurídica y la prestación de trámites y servicios relacionados con la Administración Pública Municipal;
III. Proporcionar certeza y confianza en el desarrollo de trámites a través de
medios electrónicos, que incentiven su utilización; y,
IV. Estandarizar y contribuir al desarrollo de las tecnologías de la información y
las comunicaciones dentro de las dependencias y entidades de la Administración Pública Municipal.
Artículo 5.- Para los efectos de este reglamento, se entiende por:
I. Acceder remotamente: Se refiere a poder acceder desde una computadora a un recurso ubicado físicamente en otra computadora que se encuentra geográficamente en otro lugar, a través de una red local o externa.
II. Actuación Electrónica: Los actos, notificaciones, requerimientos, solicitudes de informes o documentos, comunicaciones o resoluciones administrativas que las dependencias, entidades y demás unidades administrativas de la Administración Pública Municipal efectúen entre sí o hacia los particulares, a través de medios electrónicos o mediante
firma electrónica.
III. Almacenamiento en nube: Espacio de almacenamiento
proporcionado por un proveedor externo al cual se le puede accesar a
través de internet.
IV. Autoridad Certificadora: Es la autoridad Estatal facultada de emitir la
certificación de la firma electrónica.
V. Aval técnico: Es la aprobación que emite la Dirección de Sistemas
respecto de todo lo concerniente al área.
VI. certificado de firma electrónica: El documento firmado electrónicamente por la autoridad certificadora, mediante el cual se confirma el vínculo existente entre el firmante y la firma electrónica.
VII. Cliente-servidor: Es un modelo en el que las tareas se reparten entre los proveedores de recursos o servicios, llamados servidores, y los demandantes, llamados clientes. Un cliente realiza peticiones a otro programa, el servidor, es quien le da respuesta.
VIII. Coordinación de redes: Es un área de la dirección de sistemas la cual brinda servicios de redes, telefonía soporte técnico para dar servicio a las dependencias del municipio
IX. Dependencias: Son las Direcciones que conforman la estructura orgánica de la Administración Pública Municipal Centralizada.
X. Discos duros: Medios de almacenamiento de información digital.
XI. Dirección de Sistemas: Dependencia encargada de la gestión del
hardware y software del municipio de Celaya, Guanajuato.
XII. Entidades: Organismo de la Administración Pública Paramunicipal.
XIII. Equipos de cómputo personales: Es una máquina electrónica que
recibe y procesa datos, para convertirlos en información conveniente y
útil, utilizada por personal del municipio.
XIV. Firma electrónica certificada: Es el conjunto de datos electrónicos
integrados o asociados al mensaje de datos o documento electrónico, expedida por la Autoridad Certificadora, que permite asegurar la integridad y autenticidad de ésta y la identidad del titular.
XV. Hardware: Conjunto de elementos físicos que constituyen un sistema informático.
XVI. Infraestructura tecnológica: Conjunto de hardware y software sobre el que se asientan los diferentes servicios que el municipio necesita tener en funcionamiento.
XVII. Medios electrónicos: Cualquier tipo de dispositivo que almacena y permite la distribución o el uso de información electrónica.
XVIII. Municipio: El Municipio de Celaya, Guanajuato.
XIX. Niveles de seguridad de acceso: Contraseñas, o sistemas de
seguridad requeridos para ingresar a los programas de cómputo.
XX. Políticas en Informática: Es el conjunto de reglas obligatorias, que deben observar la Dirección de Sistemas responsables del hardware y
software existente en el Municipio: Municipio de Celaya, Guanajuato.
XXI. Procesamiento de información: Se refiere a la recolección de datos que son evaluados y ordenados en un sistema de cómputo, para
obtener información específica, que posteriormente será analizada por
el área correspondiente.
XXII. Red de voz y datos: Es el soporte físico de un sistema de
comunicaciones que posee unas características determinadas.
XXIII. Redes: Una red informática son dos o más sistemas de cómputo conectados entre sí y que comparten recursos, ya sea hardware software, permite que varios usuarios puedan intercambiar información, pasar archivos, compartir periféricos como las impresoras e incluso ejecutar programas en otros ordenadores conectados a la red.
XXIV. Respaldos históricos: Es una copia que se realiza periódicamente, de los datos originales fuera de la infraestructura con el fin de disponer de un medio para recuperarlos en caso de su pérdida.
XXV. Reglamento: Reglamento Sobre el Uso de Medios Electrónicos y Firma Electrónica Certificada para el Municipio de Celaya, Guanajuato.
XXVI. Servicios informáticos: Se refiere a los servicios proporcionados por la Dirección de Sistemas, tales como internet, correo electrónico institucional, telefonía, etcétera.
XXVII. Seguridad jurídica: Es la certeza del derecho, tanto en el ámbito de su publicidad como en su aplicación, se tiene la seguridad de que se conoce, o puede conocerse, lo previsto como prohibido, ordenado o permitido por el poder público.
XXVIII. Sistemas informáticos: Es un sistema que permite almacenar y procesar información.
XXIX. Software: Conjunto de programas y rutinas que permiten a la computadora realizar determinadas tareas.
XXX. Software de red: Software utilizado para ejecutarse en una red.
XXXI. Tecnologías de la información: Se refiere al uso de equipos de telecomunicaciones y computadoras para la transmisión, el
procesamiento y el almacenamiento de datos.
XXXII. Tesorería: La Tesorería Municipal de Celaya Guanajuato.
XXXIII. Virus: Es un software que tiene por objetivo el alterar el funcionamiento normal de cualquier tipo de dispositivo informático, sin el permiso o el
conocimiento del usuario
Artículo 6.- Las disposiciones contempladas en el presente reglamento aplican a todos los usuarios de las dependencias y entidades que utilizan los recursos y servicios informáticos que sean propiedad del municipio de Celaya, ya sea en forma compartida o controlada individualmente, que estén aislados o interconectados a redes.
Artículo 7.- Las dependencias del municipio de Celaya deberán contar con un enlace, en el que recaiga la administración de los bienes y servicios, que vigilará la correcta aplicación de los ordenamientos establecidos y demás disposiciones aplicables.
CAPÍTULO SEGUNDO AUTORIDADES COMPETENTES
Artículo 8.- Son autoridades responsables de vigilar la observancia y aplicación del presente ordenamiento, en el ámbito de sus respectivas competencias:
I. El Ayuntamiento de Celaya;
II. El Presidente Municipal de Celaya;
III. La Tesorería Municipal;
IV. La Dirección de Sistemas; y,
V. Las Dependencias y Entidades de la Administración Pública Municipal.
Artículo 9.- Al Ayuntamiento le compete ser el órgano normativo en materia de aplicación y promoción del uso de medios electrónicos para todas las entidades y dependencias del gobierno de la administración pública municipal.
Artículo 10.- Es facultad del Presidente Municipal y la Dirección de Sistemas promover el uso de medios electrónicos, buscando agilizar, simplificar, hacer eficiente y dotar de mayor seguridad jurídica los procedimientos administrativos que lleven a cabo las dependencias y entidades del gobierno municipal.
Artículo 11.- La Tesorería a través de la Dirección de Sistemas, tendrá la facultad de integrar y desarrollar sistemas informáticos que proporcionen soluciones factibles, cuidando la integridad de sus procedimientos e información así como la interacción entre ellos.
Artículo 12.- La Dirección de Sistemas es la unidad administrativa encargada de la supervisión de los sistemas de informática de la administración pública municipal centralizada, así como del cumplimiento de este reglamento, por lo cual tendrá las siguientes atribuciones y facultades:
I. Vigilar el funcionamiento de la tecnología informática que se utilice en las diferentes dependencias y entidades;
II. Elaborar y dar seguimiento a la planeación de objetivos del área.
III. Mantener la infraestructura tecnológica;
IV. Controlar la calidad del servicio brindado;
V. Mantener un control del resguardo de las bases de datos del municipio;
VI. Cuidar el cumplimiento de las políticas y procedimientos establecidos en el presente reglamento;
VII. Emitirelavaltécnicoenacuerdoco
VIII. En el caso de las dependencias que cuenten en su estructura orgánica con áreas de sistematización o informática, es responsabilidad del titular de la misma el cumplimiento de la normatividad vigente.
Artículo 13.- Toda adquisición, mantenimiento y contratación de servicios informáticos deberán sujetarse a los procedimientos establecidos en la normatividad aplicable.
Artículo 14.- Para la operación del software de red se debe tener en consideración lo siguiente:
I. Toda la información institucional debe invariablemente ser operada a través de un mismo tipo de sistema manejador de base de datos para beneficiarse de los mecanismos de integridad, seguridad y recuperación de información en caso de falla del sistema de cómputo;
II. El acceso a los sistemas de información, debe contar con los privilegios o niveles de seguridad de acceso suficientes para garantizar la seguridad total de la información institucional;
III. Los niveles de seguridad de acceso deberán controlarse por un administrador único y poder ser manipulado por la coordinación de redes;
IV. Se deben delimitar las responsabilidades en cuanto a quién está autorizado a consultar y/o modificar en cada caso la información, tomando las medidas de seguridad pertinentes para cada caso en concreto;
V. El Director de cada dependencia es responsable del sistema de información que debe autorizar para su área, y de solicitar la asignación de claves de acceso al titular de la Dirección de Sistemas;
VI. Los datos de los sistemas de información, deben ser respaldados de acuerdo a la frecuencia de actualización dependiendo de la importancia de los mismos, rotando los dispositivos de respaldo y guardando respaldos históricos periódicamente;
VII. Es indispensable llevar una bitácora oficial de los respaldos realizados, asimismo, los medios de respaldo o almacenamiento deberán guardarse en un lugar de acceso restringido con condiciones ambientales suficientes para garantizar su conservación;
VIII. Encuantoalainformacióndelosequ
IX. Todos los sistemas de información que se tengan en operación, deben contar con sus respectivos manuales actualizados, uno técnico que describa la estructura interna del sistema, así como los programas, catálogos y archivos que lo conforman, y otro que describa a los usuarios del sistema los procedimientos para su utilización;
X. Los sistemas de información elaborados por la Dirección de Sistemas, deben contemplar el registro de las transacciones sobre datos relevantes, así como la clave del usuario y fecha en que se realizó; y,
XI. Se deben implantar rutinas periódicas de auditoría a la integridad de los datos y de los programas de cómputo, para garantizar su confiabilidad al menos cada 6 meses.
Artículo 15.- Todas las dependencias de la Administración Pública Municipal que requieran la elaboración o contratación de un sistema electrónico que esté relacionado con el logro de sus objetivos; deberá obtener el aval técnico y atender las recomendaciones de la Dirección de Sistemas.
CAPITULO CUARTO
DE LA INSTALACION, SEGURIDAD Y SOPORTE DEL HARDWARE Y SOFTWARE
Artículo 16.- La instalación del equipo de cómputo, quedará sujeta a lo siguiente:
I. Los equipos para uso interno y de atención directa al público se instalarán en lugares validados por la Dirección de Sistemas;
II. La Dirección de Sistemas, así como las dependencias deberán contar con un diagrama actualizado de las instalaciones de la red de voz y datos;
III. Las instalaciones de red de voz y datos estarán de preferencia fijas o en su defecto resguardadas del paso de personas o máquinas, y libres de cualquier interferencia eléctrica o magnética;
IV. Las instalaciones se apegarán estrictamente a los requerimientos de los equipos, cuidando las especificaciones del cableado y de los circuitos de protección necesarios;
V. En ningún caso se permitirán instalaciones improvisadas o sobrecargadas; y,
VI. Cuando en la instalación se alimenten elevadores, motores y maquinaria pesada, se deberá tener un circuito independiente, exclusivo para el equipo
y/o red de cómputo.
Artículo 17.- La Seguridad de información del equipo de cómputo, quedará sujeta a lo siguiente:
I. El usuario responsable del equipo de cómputo deberá mantener bajo su resguardo los medios de acceso para su instalación y en su caso manuales de operación;
II. Esobligacióndelusuarioresponsa
III. Todo usuario es responsable de mantener respaldos de su información de acuerdo a sus necesidades, en caso de las aplicaciones cliente-servidor , el responsable de los respaldos de las bases de datos es el administrador de red;
IV. Queda prohibido que los usuarios remuevan o agreguen componentes tanto de software como de hardware a los equipos de cómputo. En caso de requerir algún cambio deberá solicitarse a la Dirección de Sistemas;
V. Para dar de baja equipo de cómputo, el enlace de la dependencia deberá solicitar el visto bueno de la Dirección de Sistemas, quien a su vez evaluará y emitirá el dictamen correspondiente para dar continuidad al procedimiento de baja o reasignación;
VI. Los servicios de red institucionales debidamente autorizados, que se habiliten para su acceso desde internet, deberán ponerse en operación sólo después de que el personal de la Dirección de Sistemas aplique medidas de seguridad básicas, debiendo ser solicitadas vía oficio por el Director de la dependencia correspondiente a la Dirección de Sistemas;
VII. Cuando se requiera acceder remotamente a los equipos del municipio se deberán utilizar únicamente conexiones seguras creadas por personal de la Dirección de Sistemas;
VIII. La configuración de los equipos realizada por la Dirección de Sistemas no deberá ser modificada por los usuarios;
IX. La Dirección de Sistemas es la única facultada para configurar equipos para el acceso a la red e internet;
X. Por razones de seguridad y riesgos asociados, se prohíbe el uso de software de mensajería instantánea, chat, almacenamiento en nube diferente al institucional y similares a menos que se justifique el uso del mismo, debiendo ser autorizado vía oficio por la dependencia correspondiente;
XI. Estáprohibidoconectarseaintern
XII. El uso de internet es únicamente para actividades relacionadas con las funciones institucionales;
XIII. La Dirección de Sistemas asignará una contraseña al momento de crear una cuenta de correo electrónico misma que se entregará al usuario. Los usuarios de equipo informático, son responsables del uso que se le dé a la cuenta de correo electrónico y del acceso a internet en su caso;
XIV. Toda solicitud de procesamiento de información deberá presentarse vía oficio a la Dirección de Sistemas, siendo el usuario responsable de la validación y de mantener un respaldo de la misma; y,
XV. El usuario es responsable de seguir las políticas de seguridad y procedimientos para el uso de los servicios y recursos informáticos, evitando cualquier práctica o uso inapropiado que los pudiera poner en peligro y a la información del municipio.
CAPITULO QUINTO
DE LAS OBLIGACIONES Y PROHIBICIONES DEL USO DE LOS MEDIOS INFORMÁTICOS
Artículo 18.- Para el uso adecuado del correo electrónico institucional el usuario deberá sujetarse a lo siguiente:
I. Las cuentas de correo electrónico que se asignan a los usuarios son exclusivamente para uso oficial;
II. La contraseña del correo electrónico deberá ser cambiada por la Dirección de Sistemas periódicamente;
III. Está prohibido abrir archivos adjuntos de correo electrónico recibidos de remitentes desconocidos, ya que pueden contener virus u otros códigos dañinos;
IV. Los usuarios no deben enviar mensajes no solicitados de correo electrónico, ni cadenas de mensajes, correo basura o materiales publicitarios;
V. Está prohibido que los usuarios compartan las contraseñas de sus cuentas de correo;
VI. Toda sesión de trabajo deberá ser cerrada por el usuario que se encuentre disponiendo del equipo al concluir su jornada laboral;
VII. Se debe revisar el correo periódicamente y depurarlo; y,
VIII. La Dirección de Sistemas deberá capacitar a los usuarios acerca de los riesgos asociados al correo electrónico.
Artículo 19.- Queda prohibido a todo funcionario público que tenga acceso al uso de software y hardware que sea propiedad del municipio, lo siguiente:
I. Utilizar los recursos para llevar a cabo actividades fuera de la ley;
II. Utilizar los recursos para fines particulares;
III. Utilizar los recursos sin respetar las leyes de derechos de autor, aplicables a textos, elementos multimedios tales como gráficos, fotografías, videos, música, etcétera, datos y software;
IV. Utilizar recursos sin tener autorización o autoridad para hacerlo;
V. Permitirofacilitarqueusuariosn
municipio;
VI. Distribuir datos o información confidencial del municipio sin autorización;
VII. Alterar configuraciones de software o hardware del sistema sin autorización;
VIII. Leer la correspondencia electrónica ajena, o prestar las contraseñas
personales;
IX. Suplantar a otras personas, haciendo uso de una falsa identidad, utilizando
cuentas de acceso ajenas a los servicios;
X. Utilizarinternetparaconsultade
recreativos, deporte, juegos, chistes, etcétera;
XI. Utilizar internet para accesar a sitios que sintonizan estaciones de radio y
televisión;
XII. Utilizar los discos duros de las computadoras del municipio para almacenar
archivos de pornografía, música en cualquier formato, juegos o similares, y
fotografías personales;
XIII. Intentar evitar los mecanismos de seguridad de la red, perjudicar la
funcionalidad de la red, o saltarse las restricciones establecidas por los
administradores de la red;
XIV. Interceptar o alterar la información que se transmite; y,
XV. Utilizarlosrecursosdetalformaq
CAPITULO QUINTO
DE LA FIRMA ELECTRONICA CERTIFICADA
Artículo 20.- El uso de la firma electrónica certificada tiene como finalidad fomentar la incorporación de nuevas tecnologías de seguridad, para agilizar y simplificar actos, trámites, servicios, comunicaciones y procedimientos administrativos entre los sujetos que hagan uso de la firma.
Artículo 21.- Para el uso y aplicación de la firma electrónica certificada se deberán observar los siguientes principios:
I. Equivalencia funcional: Es la equiparación de la firma electrónica certificada con la firma autógrafa y de un mensaje de datos con los documentos escritos.
II. Autenticidad: La certeza de que un mensaje de datos ha sido emitido o proviene del firmante y por tanto le es atribuible su contenido y las
consecuencias jurídicas que del mismo deriven.
III. Confidencialidad: Toda información generada, enviada y recibida se deberá
proteger y resguardar de la distribución no autorizada.
IV. Integridad: Asegura que la información no ha sido manipulada, es decir, que
ha permanecido en un estado inalterado desde su creación.
V. Recepción: Para que surtan efectos jurídicos de un mensaje de datos, deberá contar siempre y sin excepción con un acuse de recibo electrónico del mismo,
generado por el sistema de información del destinatario.
VI. Conservación: Se deberán establecer los procedimientos y medidas
destinados a asegurar la preservación y la prevención de alteraciones en la
información de los documentos electrónicos para su posterior consulta.
VII. Neutralidad tecnológica: Ningún método de firma electrónica podrá ser objeto de rechazo, en virtud, de que se otorga a todas las tecnologías la misma oportunidad de satisfacer los requisitos establecidos en el presente
ordenamiento.
Artículo 22.- Quedan exceptuados de la aplicación de este ordenamiento:
I. Los actos o procedimientos, que por disposición legal expresa exijan la firma autógrafa; y,
II. Losactosoprocedimientos,
Artículo 23.- Para que un mensaje de datos se considere enviado y recibido, se requiere de un acuse de recibo electrónico, generado por el sistema de información del destinatario, lo anterior atendiendo al principio de recepción.
Artículo 24.- Cuando se realicen cualquiera de los actos regulados por este reglamento a través de un mensaje de datos en hora o día inhábil, se tendrá por realizado en el siguiente día hábil.
Artículo 25.- Los mensajes de datos se tendrán por emitidos en el lugar en donde el firmante tenga registrado su domicilio dentro del certificado de la firma electrónica y por recibidos en el lugar donde el destinatario tenga señalado para recibir notificaciones.
Artículo 26.- Para la obtención de la firma electrónica certificada, el solicitante realizará el trámite correspondiente ante la Autoridad Certificadora cumpliendo los requisitos y procedimientos establecidos en la normativa aplicable.
Artículo 27.- Para que la firma electrónica certificada se considere como tal, debe cumplir con los requisitos y el procedimiento señalado en la Ley aplicable.
Artículo 28.- Las obligaciones del titular del certificado de firma electrónica serán:
I. Proporcionar datos que sean completos, exactos y veraces;
II. Mantener la confidencialidad de los datos de creación de la firma electrónica
certificada;
III. Resguardar su firma electrónica certificada en un medio electrónico; y,
IV. Notificar a la Autoridad Certificadora, la pérdida de la firma electrónica certificada o cualquier otro movimiento que altere el estado o seguridad de la misma.
Artículo 29.- En caso de ser necesario, la autoridad municipal tendrá la facultad de solicitar a la Autoridad Certificadora la revocación, suspensión o cancelación del certificado de firma electrónica.
Artículo 30.- La revocación de un certificado de firma electrónica procederá por las siguientes causas:
I. Incumplimiento de las obligaciones previstas en la Ley o en la normativa aplicable;
II. Modificación o alteración de la firma electrónica certificada expedida de conformidad con la Ley y en la normativa aplicable;
III. Uso indebido o ilícito de la firma electrónica certificada;
IV. Cuando se observen inexactitudes en los datos aportados por el firmante
para la obtención de la firma electrónica certificada; y,
V. Por haberse comprobado que al momento de la expedición de la firma
electrónica certificada no se cumplió con los requisitos que marca la normativa aplicable.
Artículo 31.- La cancelación de un certificado de firma electrónica, procederá por las siguientes causas:
I. Cuando el servidor público deje de prestar sus servicios;
II. Por pérdida, robo o inutilización de la firma electrónica certificada;
III. Por fallecimiento del firmante; y,
IV. Por solicitud del titular de la firma electrónica certificada.
Artículo 32.- La suspensión de un certificado de firma electrónica, procederá por las siguientes causas:
I. Como medida precautoria frente a un riesgo de confidencialidad de la clave privada;
II. Por solicitud del titular de la firma electrónica certificada o por mandato de la autoridad competente; y
III. Por incapacidad superveniente total o parcial del titular, declarada por la autoridad competente.
Artículo 33.- La suspensión se mantendrá mientras alguna de las condiciones descritas en el artículo anterior continúen presentes.
Artículo 34.- El titular del certificado de la firma electrónica, deberá presentar el formato de solicitud de suspensión ante la Autoridad Certificadora, señalando el motivo de la misma.
Artículo 35.- La Autoridad Certificadora analizará la solicitud de suspensión y en caso de que se advierta el uso no autorizado de la firma, procederá inmediatamente a extinguir el certificado y a expedir uno nuevo.
CAPITULO SEPTIMO DE LAS SANCIONES
Artículo 36.- Los servidores que incurran en desacato/conducta o uso indebido a lo establecido en el presente reglamento serán sancionados conforme a lo establecido en la Ley de Responsabilidades Administrativas de los Servidores Públicos del Estado de Guanajuato y sus Municipios, y la normativa aplicable.
ARTICULOS TRANSITORIOS
PRIMERO.- El presente Reglamento entrará en vigor a partir del día siguiente de su publicación en el Periódico Oficial del Estado.
12Sep/18
LEY SOBRE EL USO DE MEDIOS ELECTRÓNICOS Y FIRMAS ELECTRÓNICAS PARA EL ESTADO DE COLIMA.
DECRETO nº 556
SE APRUEBA LA LEY SOBRE EL USO DE MEDIOS ELECTRÓNICOS Y FIRMAS ELECTRÓNICAS PARA EL ESTADO DE COLIMA.
LIC. JESÚS SILVERIO CAVAZOS CEBALLOS, Gobernador Constitucional del Estado Libre y Soberano de Colima, a sus habitantes sabed:
Que el H. Congreso del Estado me ha dirigido para su publicación el siguiente
D E C R E T O
EL HONORABLE CONGRESO CONSTITUCIONAL DEL ESTADO LIBRE Y SOBERANO DE COLIMA, EN EJERCICIO DE LAS FACULTADES QUE LE CONFIERE LOS ARTÍCULOS 33 FRACCION II, Y 39 DE LA CONSTITUCIÓN POLÍTICA LOCAL, EN NOMBRE DEL PUEBLO, Y
C O N S I D E R A N D O
PRIMERO.-
Que mediante oficio número 824/07 de fecha 11 de septiembre de 2008, los Diputados Secretarios del H. Congreso del Estado, turnaron a las Comisiones de Estudios Legislativos y Puntos Constitucionales y de Ciencia, Tecnología e Innovación Gubernamental, la Iniciativa de Ley con Proyecto de Decreto presentada por el Licenciado Jesús Silverio Cavazos Ceballos, Gobernador Constitucional del Estado Libre y Soberano de Colima, relativa a la Ley sobre el Uso de Medios Electrónicos y Firmas Electrónicas para el Estado de Colima, la cual dentro de su exposición de motivos señala que:
- Dentro del propio Plan de Desarrollo 2004-2009, se fijaron estrategias y líneas de acción para el cumplimiento del objetivo antes descrito, el fortalecimiento de la innovación gubernamental mediante el desarrollo telemático; así como las de consolidar el gobierno electrónico de Colima y los servicios electrónicos de gobierno; avanzar hacia una sociedad de la información ampliando la cobertura social en el acceso a las tecnologías de información en el Estado.
- Por otra parte en el Programa Sectorial de la Administración Pública 2004-2009, dentro del subprograma de innovación gubernamental se establece como meta de la administración pública estatal, la implementación de la firma electrónica en los trámites y procedimientos internos de las dependencias que auxilian al Titular del Ejecutivo, eficientando el ejercicio de la función pública.
- Ante la experiencia alcanzada en la instrumentación del gobierno electrónico y la actualización de la infraestructura tecnológica de información y de las telecomunicaciones, en las dependencias de Gobierno del Estado, facilitando con ello la comunicación interinstitucional, mediante el intercambio y acceso a la información vía internet; se hace necesario e inminente, la regulación de las modalidades de intercambio de información por medios electrónicos, y su plena validez mediante la utilización de la firma electrónica certificada, a partir de las cuales han de desarrollarse las nuevas modalidades de transmisión y recepción de información, a fin de garantizar un marco jurídico mínimo indispensable que permita a los diversos agentes involucrados, desarrollarse y contribuir con el avance de las nuevas tecnologías.
- El presente ordenamiento tiene como objeto constituir una codificación legal que regule el uso de documentos electrónicos, medios electrónicos y la utilización en ellos de firma electrónica certificada por los órganos de estado y de los gobernados con los que se relaciona, con el objeto de garantizar su validez y el cumplimiento de las obligaciones y compromisos asumidos mediante dichos mecanismos y constituirse en un aporte necesario e indispensable que permita constituirse que permita constituir la base jurídica para el desarrollo de éstas tecnologías, estableciéndose como elementos principales la identificación de las partes y la integridad del documento electrónico y el mensaje de datos.
SEGUNDO.-
Que mediante oficio número 2345/08 de fecha 8 de abril de 2008, los Diputados Secretarios del H. Congreso del Estado, turnaron a la Comisión de Estudios Legislativos y Puntos Constitucionales, la Iniciativa de Ley con Proyecto de Decreto presentada por el Diputado Humberto Cabrera Dueñas y demás Integrantes del Grupo Parlamentario del Partido Acción Nacional, relativa a Ley de Firma Electrónica para el Estado de Colima, la que en su punto expositivo establece que:
- La sociedad moderna, ha experimentado en gran escala los desarrollos tecnológicos por los cuales atraviesan los sistemas electrónicos y de información, que cada vez ofrecen mayores aportaciones a la humanidad, facilitando las tareas diarias que desempeñan las personas con motivo de su trabajo, escuela o diversión.
- Uno de los desarrollos tecnológicos que ha impactado a nivel mundial es la implementación de los medios electrónicos y el uso de la firma electrónica.
- La firma electrónica se basa en el reconocimiento de las funciones que cumple una firma manuscrita en papel, por lo general, la firma manuscrita identifica a una persona, proporciona certidumbre en cuanto a su participación personal en el acto de la firma, y lo vincula al contenido del documento. Para que la firma electrónica pueda tener validez jurídica, ésta debe llenar ciertos requisitos que den seguridad y confianza tanto al usuario como a la parte con quien se lleva a cabo el negocio o trámite.
- El Estado de Colima, ha tenido a la fecha grandes avances a lo que refiere en Gobierno electrónico, y ha sido ejemplo de otros Gobiernos Estatales para implementar las medidas tecnológicas que se han venido utilizando en los últimos años, no obstante lo anterior, aún falta seguir legislando para la implementación de la firma electrónica en nuestro Estado.
- El uso de la firma electrónica genera rapidez en la información enviada o recibida, ahorro de espacio mediante los documentos electrónicos que actualmente ocupa el papel, economía en el uso de copias, toner, hojas, tinta, carpetas, costo de envío, gasolina, recurso humano, entre otros muchos beneficios.
- La iniciativa de Ley de Firma Electrónica para el Estado de Colima, que se presenta, prevé que la firma electrónica reconocida se equipare a la firma manuscrita, debido a que ésta se basa en un certificado electrónico reconocido y haya sido creada por un dispositivo seguro de creación.
TERCERO.-
Que esta Comisión una vez llevado a cabo el análisis y estudio de la propuesta, considera que la aprobación de la ley de Firma Electrónica viene a actualizar el desarrollo de las modalidades de transmisión y recepción de información, lo cual quiere decir que con el uso de la tecnología por internet se están creando nuevas formar para eficientar el trabajo diario, lo que ha hecho que evolucione a pasos gigantescos el quehacer diario de los individuos en la tecnología, por lo que la actualización de los procedimientos y métodos para satisfacer el reclamo de la sociedad para la obtención de un mejor servicio gubernamental no es más que un paso a lo que en la actualidad se esta viviendo, provocando el fenómeno de modernización del Estado en materia de tecnología, con la implementación de la firma electrónica en los trámites y procedimientos internos de las dependencias que auxilian al Titular del Ejecutivo, eficientando el ejercicio de la función pública.
Por eso, con el fin de garantizar un marco jurídico mínimo indispensable que permita a los diversos agentes involucrados, desarrollarse y contribuir con el avance de las nuevas tecnologías, pues como el iniciador afirma, que ante la experiencia alcanzada en la instrumentación del gobierno electrónico y la actualización de la infraestructura tecnológica de información y de las telecomunicaciones, las dependencias de Gobierno del Estado se constituyen en facilitadores respecto de la comunicación interinstitucional, mediante el intercambio y acceso a la información vía internet; por ello se hace necesario e inminente la regulación de las modalidades de intercambio de información por medios electrónicos, y su plena validez mediante la utilización de la firma electrónica certificada, a partir de las cuales han de desarrollarse las nuevas modalidades de transmisión y recepción de información.
Efectivamente coincidimos con el iniciador en el sentido de que este nuevo ordenamiento tiene como objetivo constituir una codificación legal que regule el uso de documentos electrónicos, medios electrónicos y la utilización en ellos de firma electrónica certificada por los órganos de estado y de los gobernados con los que se relaciona, con el objeto de garantizar su validez y el cumplimiento de las obligaciones y compromisos asumidos mediante dichos mecanismos y constituirse en un aporte necesario e indispensable que permita constituir la base jurídica para el desarrollo de éstas tecnologías, estableciéndose como elementos principales la identificación de las partes y la integridad del documento electrónico y el mensaje de datos.
Por último, cabe destacar la plena disposición de los iniciadores de este nuevo proyecto de Ley de Firma Electrónica para el Estado de Colima, donde se unificaron los criterios, teniendo como resultado el proyecto que se presenta ante el Pleno de esta Soberanía, con la oportunidad de que en un plazo no mayor de ciento ochenta días, se lleven a cabo las reformas a las normas secundaria donde impactará la ley que se propone.
Por lo anteriormente expuesto se expide el siguiente
D E C R E T O nº 556
ARTÍCULO ÚNICO.-
Se aprueba la Ley sobre el Uso de Medios Electrónicos y Firmas Electrónicas para el Estado de Colima, para quedar en los siguientes términos:
LEY SOBRE EL USO DE MEDIOS ELECTRÓNICOS Y FIRMA ELECTRÓNICA PARA EL ESTADO DE COLIMA
TÍTULO PRIMERO.- DISPOSICIONES GENERALES
CAPÍTULO UNICO
ARTÍCULO 1°
La presente Ley es de orden público e interés general y tiene por objeto regular en el Estado de Colima el uso de documentos electrónicos y sus efectos legales, los medios electrónicos, la utilización de la firma electrónica certificada en los documentos escritos o electrónicos expedidos por órganos del Gobierno del Estado; así como la utilización en ellos de firma electrónica certificada, su eficacia jurídica y la prestación de servicios de certificación, por los órganos de estado, las entidades dependientes o vinculadas al mismo, las relaciones que mantengan aquéllas y éstos entre sí o con los particulares.
Las actividades reguladas por esta ley se someterán a los principios de libertad de prestación de servicios, libre competencia, neutralidad tecnológica, compatibilidad internacional y equivalencia del soporte electrónico al soporte de papel.
Toda interpretación de los preceptos de esta ley deberá guardar armonía con los principios señalados.
ARTÍCULO 2°
Son sujetos de esta Ley:
I.- El Poder Ejecutivo, Legislativo y Judicial del Estado de Colima;
II.- Los Organismos Autónomos, dependencias y entidades de la Administración Pública Estatal;
III.- Los Ayuntamientos del Estado de Colima; y
IV.- Los particulares que decidan utilizar la firma electrónica certificada, por medios electrónicos, ante los órganos del Estado de Colima, en los términos de la presente Ley.
ARTÍCULO 3º
Para los efectos de esta ley se entenderá por:
I.- Autoridad certificadora.
Organismo público facultado para otorgar un certificado de firma electrónica certificada, o en su caso, autorizar la prestación de servicios de certificación, así como la prestación de otros servicios relacionados con la firma electrónica certificada.
II.- Certificación de un prestador de servicios de Certificación:
Es el procedimiento por el que la Autoridad Certificadora, emite una declaración facultando a una dependencia del sector público, para la prestación de servicios de certificación de firma electrónica certificada, que implica un reconocimiento del cumplimiento de requisitos específicos en la prestación de los servicios que se ofrecen al público.
III.- Certificado electrónico
Es un documento firmado electrónicamente por un prestador de servicios de certificación mediante el cual se vincula los datos de verificación de firma a un firmante y permite confirmar la identidad del mismo.
IV.- Datos de creación de firma electrónica certificada:
Son los datos únicos, como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica certificada.
V.- Datos de verificación de firma electrónica certificada:
Son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica certificada.
VI.- Dispositivo de creación de firma electrónica certificada:
Es un programa o sistema informático que sirve para aplicar los datos de creación de firma electrónica certificada.
VII.- Dispositivo de verificación de firma electrónica certificada
Es un programa o sistema informático que sirve para aplicar los datos de verificación de firma electrónica certificada.
VIII.- Documento electrónico
El redactado en soporte electrónico que incorpore datos que esténfirmados electrónicamente.
IX.- Documento escrito
Documentos en papel expedidos por los órganos de estado, sus organismos autónomos, los Ayuntamientos, y las dependencias o entidades de la administración pública estatal o municipal.
X.- Fecha electrónica
El conjunto de datos en forma electrónica utilizados como medio para constatar el momento en que se ha efectuado una actuación sobre otros datos electrónicos a los que están asociados.
XI.- Firma electrónica certificada
Aquélla que ha sido certificada por la autoridad certificadora o el prestador de servicios de certificación facultado para ello, en los términos que señale esta Ley, consistente en el conjunto de datos electrónicos integrados o asociados inequívocamente a un mensaje de datos que permite asegurar la integridad y autenticidad de ésta y la identidad del firmante.
XII.- Firmante
Es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.
XIII.- Mensaje de Datos:
La información generada, enviada, recibida o archivada por medios electrónicos, ópticos o cualquier otra tecnología.
XIV.- Prestador de Servicios de Certificación
El organismo público que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica.
XV.- Secretaría de Administración
La Secretaría de Administración del Poder Ejecutivo Estatal.
ARTÍCULO 4°
La firma electrónica certificada utilizada en documentos electrónicos o documentos escritos tendrá respecto de los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel; y no altera las normas relativas a la celebración, formalización, validez y eficacia de los contratos y cualesquiera otros actos jurídicos, ni las relativas a los documentos en que unos y otros consten.
Cuando la ley requiera o las partes acuerden la existencia de una firma electrónica certificada en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento si se utiliza una firma electrónica que resulte apropiada para los fines para los cuales se generó o comunicó ese Mensaje de Datos.
ARTÍCULO 5°
Cuando la ley exija la forma escrita para los actos, convenios o contratos, este supuesto se tendrá por cumplido tratándose de documentos electrónicos y mensajes de datos, siempre que la información en él contenida se mantenga íntegra y sea accesible para su ulterior consulta, sin importar el formato en el que se encuentre o represente.
Cuando adicionalmente la ley exija la firma autógrafa de las partes, dicho requisito se tendrá por cumplido tratándose de mensaje de datos y documentos electrónicos, siempre que en éste se utilice la firma electrónica certificada y sea atribuible a dichas partes.
ARTÍCULO 6°
El documento electrónico será soporte de:
I.- Documentos públicos, por estar firmados electrónicamente por funcionarios que tengan legalmente atribuida la facultad de dar fe pública, judicial, notarial o administrativa, siempre que actúen en el ámbito de sus competencias con los requisitos exigidos por la ley en cada caso;
II.- Documentos expedidos y firmados electrónicamente por funcionarios o empleados públicos en el ejercicio de sus funciones públicas, conforme a su legislación específica; y
III.- Documentos privados.
Los documentos electrónicos, tendrán el valor que corresponda a su respectiva naturaleza, de conformidad con la legislación que les resulte aplicable
ARTÍCULO 7°
Los actos y contratos otorgados o celebrados por personas naturales o jurídicas, públicas o privadas, suscritos por medio de firma electrónica, serán válidos de la misma manera y producirán los mismos efectos que los celebrados por escrito y en soporte de papel. Dichos actos y contratos se reputarán como escritos, en los casos en que la ley exija que los mismos consten por escrito, y en todos aquellos casos en que la ley prevea consecuencias jurídicas cuando constan por escrito cuando los mismos sean suscritos mediante firma electrónica certificada.
Lo dispuesto en el inciso anterior no será aplicable a los actos y contratos otorgados o celebrados en los casos siguientes:
a) Aquellos en que la ley exige una solemnidad que no sea susceptible de cumplirse mediante documento electrónico; y
b) Aquellos en que la ley requiera la concurrencia personal de alguna de las partes.
ARTÍCULO 8°
Si se impugnare la autenticidad de la firma electrónica certificada, con la que se hayan firmado los datos incorporados al documento electrónico, se procederá a comprobar por los prestadores de servicio de certificación que expide los certificados electrónicos, cumplen todos los requisitos establecidos en la ley en cuanto a la garantía de los servicios que presta en la comprobación de la eficacia de la firma electrónica certificada, y en especial, las obligaciones de garantizar la confidencialidad del proceso así como la autenticidad, conservación e integridad de la información generada y la identidad de los firmantes. Si se impugna la autenticidad de la firma electrónica certificada, con la que se hayan firmado los datos incorporados al documento electrónico, se estará a lo establecido en el Artículo 341 del Código de Procedimientos Civiles vigente para el Estado.
TÍTULO SEGUNDO.- USO DE FIRMAS ELECTRÓNICAS Y MEDIOS ELECTRÓNICOS POR LOS ORGANOS DEL ESTADO
CAPÍTULO UNICO
ARTÍCULO 9°
Las dependencias o entidades de los Poderes Ejecutivo, Legislativo y Judicial, organismos autónomos y ayuntamientos, podrán para hacer más accesibles, ágiles y sencillos los actos, convenios, comunicaciones, procedimientos administrativos, trámites, prestación de los servicios, contratos y expedición de cualquier documento, dentro de su ámbito de competencia, suscribirlos por medio de firma electrónica certificada.
Se exceptúan aquellas actuaciones para las cuales la Constitución Política de los Estados Unidos Mexicanos, la Constitución Política para el Estado de Colima o la ley, exijan una solemnidad que no sea susceptible de cumplirse mediante documento electrónico, o requiera la concurrencia personal de la autoridad o funcionario que deba intervenir en ellas.
ARTÍCULO 10
Las dependencias o entidades señaladas en el Artículo anterior, con el objeto de salvaguardar las garantías de cada procedimiento, podrán establecer condiciones adicionales a la utilización de la firma electrónica certificada en los procedimientos que ante ellos se desahoguen.
Dichas condiciones podrán incluir, entre otras, la imposición de fechas electrónicas sobre los documentos electrónicos integrados en un expediente administrativo y la conservación de la información generada en los procedimientos tratándose de medios y documentos electrónicos por los periodos de tiempo que para tal efecto establezcan los reglamentos respectivos.
Los órganos del Estado deberán evitar, al hacer uso de firmas electrónicas certificadas, restringir injustificadamente el acceso a las prestaciones que brinden y a la publicidad y transparencia que rijan sus actuaciones y, en general, que se cause discriminaciones arbitrarias.
ARTÍCULO 11
La certificación de las firmas electrónicas de los órganos de Estado, las entidades dependientes o vinculadas al mismo, y los particulares se realizará mediante la autoridad certificadora competente de acuerdo a lo establecido en el capítulo tercero de la ley y los reglamentos internos respectivos.
Dicha certificación deberá contener, además de las menciones que corresponda, la fecha y hora de la emisión del documento.
ARTÍCULO 12
Los órganos del Estado podrán contratar los servicios de certificación de firmas electrónicas con entidades certificadoras acreditadas, si ello resultare más conveniente, técnica o económicamente, en las condiciones que señale el respectivo reglamento.
ARTÍCULO 13
Los reglamentos aplicables a los correspondientes órganos del Estado regularán la forma cómo se garantizará la publicidad, seguridad, integridad y eficacia en el uso de las firmas electrónicas, y las demás necesarias para la aplicación de las normas de este Título.
Los órganos de Estado, deberán verificar la firma electrónica certificada, la vigencia del certificado de firma electrónica y, en su caso, la fecha electrónica, en los actos, convenios, comunicaciones, procedimientos administrativos, trámites y la prestación de los servicios públicos que correspondan a éstos; así como en las solicitudes y promociones que en relación con los mismos realicen los particulares.
ARTÍCULO 14
El uso de medios electrónicos a que se refiere esta Ley será optativo para los particulares.
Quienes opten por el uso de medios electrónicos en los actos, convenios, comunicaciones, procedimientos administrativos, trámites y la prestación de los servicios públicos que corresponden al Poder Ejecutivo, al Poder Legislativo, al Poder Judicial, a los Organismos Autónomos, a los Ayuntamientos y cualquier entidad o dependencia de la administración pública estatal o municipal, quedarán sujetos a las disposiciones de este ordenamiento.
ARTÍCULO 15
Para que surta efectos un mensaje de datos, se requiere de un acuse de recibo electrónico, entendiéndose como tal el generado por el sistema de información del destinatario.
Se considera que el mensaje de datos ha sido enviado y recibido, cuando se pruebe la existencia del acuse de recibo electrónico respectivo.
ARTÍCULO 16
El contenido de los mensajes de datos que contengan firma electrónica certificada, relativos a los actos, convenios, comunicaciones, procedimientos administrativos, trámites, prestación de los servicios públicos y las solicitudes y promociones que se realicen utilizando medios electrónicos, deberán conservarse en archivos electrónicos y hacerse constar íntegramente en forma impresa, integrando expediente, cuando así lo soliciten expresamente los interesados o lo determine la autoridad competente.
ARTÍCULO 17
Todo mensaje de datos se tendrá por expedido en el lugar donde el emisor tenga su domicilio legal y por recibido en el lugar donde el destinatario tenga el suyo, salvo prueba o acuerdo en contrario.
ARTÍCULO 18
Los documentos presentados por los particulares por medios electrónicos que contengan la firma electrónica certificada, producirán en términos de esta Ley, los mismos efectos que los documentos firmados de manera autógrafa.
Las autoridades podrán expedir documentos por medios electrónicos que contengan la firma electrónica certificada cuando reúnan los requisitos señalados en esta Ley.
ARTÍCULO 19
Se presumirá salvo prueba en contrario, que un mensaje de datos proviene de una persona determinada, cuando contenga su firma electrónica certificada.
ARTÍCULO 20
El momento de recepción de un mensaje de datos se determinará de la forma siguiente:
I.- Al ingresar en el sistema de información designado por el destinatario; y
II.- De no haber un sistema de información designado, en el momento en que el destinatario se manifieste sabedor de dicha información.
ARTÍCULO 21
Cuando los particulares realicen comunicaciones o soliciten la prestación de servicios públicos o promuevan cualquier trámite por medios electrónicos en hora o día inhábil, se tendrán por presentados en la primera hora hábil del siguiente día hábil.
Los documentos a que se refiere el párrafo anterior se tendrán por no presentados, cuando no contengan la firma electrónica certificada.
ARTÍCULO 22
Cuando las leyes requieran que una información o documento sea presentado y conservado en su forma original, se tendrá por satisfecho este requisito, respecto a un mensaje de datos, si existe garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma, y de requerirse la presentación de la información, si la misma puede mostrarse a la persona a la que se deba presentar. Lo anterior sin perjuicio de lo dispuesto por el Artículo 9 párrafo segundo de esta Ley.
TITULO TERCERO.- DE LAS AUTORIDADES CERTIFICADORAS
CAPITULO UNICO
ARTÍCULO 23
Para los efectos de la presente Ley, serán autoridades certificadoras en su respectivo ámbito de competencia:
I.- El Poder Ejecutivo por conducto de la Secretaría de Administración;
II.- El Poder Legislativo;
III.- El Poder Judicial;
IV.- Los Organismos Autónomos; y
V.- Los Ayuntamientos.
ARTÍCULO 24
Las autoridades certificadoras tendrán las siguientes atribuciones:
I.- Otorgar a las personas físicas o morales, organismos públicos o privados certificados de firma electrónica y prestar servicios relacionados con la certificación;
II.- Facultar a los organismos públicos, para que expidan certificados de firma electrónica y a prestar servicios relacionados con la certificación;
III.- Llevar el registro de certificados de firma electrónica, así como los organismos públicos, autorizados para expedir certificados de firma electrónica;
IV.- Celebrar los convenios de colaboración entre sí, para la prestación de servicios de certificación, así como establecer los estándares tecnológicos y operativos de la infraestructura de la firma electrónica certificada y servicios electrónicos, aplicables en el ámbito de su competencia;
V.- Colaborar en el desarrollo de sistemas informáticos internos y externos para la prestación de servicios; y
VI.- Las demás que les otorgue esta Ley y su reglamento.
ARTÍCULO 25
Son prestadores de servicios de certificación los organismos públicos establecidos por la autoridad certificadora, para que otorguen certificados de firma electrónica, sin perjuicio de los demás servicios que puedan realizar.
La autorización para prestar servicios de certificación podrá ser solicitada por organismos públicos y será otorgada, por las autoridades certificadoras establecidas en el Artículo 23 de la presente ley.
La autorización deberá publicarse en el Periódico Oficial del Gobierno del Estado, previamente al inicio de la prestación de los servicios.
ARTÍCULO 26
El prestador de servicios de certificación, deberá informar al solicitante antes de la expedición del certificado de firma electrónica la siguiente información mínima, que deberá transmitirse de forma gratuita, por escrito o por vía electrónica:
I.- Las obligaciones del firmante, la forma en que han de custodiarse los datos de creación de firma electrónica certificada, el procedimiento que haya de seguirse para comunicar la pérdida o posible utilización indebida de dichos datos y determinados dispositivos de creación y de verificación de firma electrónica que sean compatibles con los datos de firma y con el certificado expedido;
II.- Los mecanismos para garantizar la fiabilidad de la firma electrónica de un documento a lo largo del tiempo;
III.- El método utilizado por el prestador de servicios de certificación para comprobar la identidad del firmante u otros datos que figuren en el certificado; y
IV.- Las condiciones precisas de utilización del certificado, sus posibles límites de uso y la forma en que el prestador garantiza su responsabilidad patrimonial.
El prestador de servicios de certificación deberá mantener un directorio actualizado de certificados en el que se indicarán los certificados expedidos y si están vigentes o si su vigencia ha sido suspendida o extinguida. La integridad del directorio se protegerá mediante la utilización de los mecanismos de seguridad adecuados.
Asimismo, deberá garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro.
ARTÍCULO 27
Requisitos para la autorización de prestación de servicios de certificación con la expedición de certificados reconocidos.
Los prestadores de servicios de certificación que expidan certificados de firma electrónica deberán cumplir las siguientes obligaciones:
I.- Demostrar la fiabilidad necesaria para prestar servicios de certificación;
II.- Garantizar que pueda determinarse con precisión la fecha y la hora en las que se expidió un certificado o se extinguió o suspendió su vigencia;
III.- Emplear personal con la cualificación, conocimientos y experiencia necesarios para la prestación de los servicios de certificación ofrecidos y los procedimientos de seguridad y de gestión adecuados en el ámbito de la firma electrónica;
IV.- Utilizar sistemas y productos fiables que estén protegidos contra toda alteración y que garanticen la seguridad técnica y, en su caso, criptográfica de los procesos de certificación a los que sirven de soporte;
V.- Tomar medidas contra la falsificación de certificados y, en el caso de que el prestador de servicios de certificación genere datos de creación de firma, garantizar su confidencialidad durante el proceso de generación y su entrega por un procedimiento seguro al firmante;
VI.- Conservar registrada por cualquier medio seguro toda la información y documentación relativa a un certificado de firma electrónica y las declaraciones de prácticas de certificación vigentes en cada momento, al menos durante 5 años contados desde el momento de su expedición, de manera que puedan verificarse las firmas efectuadas con el mismo; y
VII.- Utilizar sistemas fiables para almacenar certificados reconocidos que permitan comprobar su autenticidad e impedir que personas no autorizadas alteren los datos, restrinjan su accesibilidad en los supuestos o a las personas que el firmante haya indicado y permitan detectar cualquier cambio que afecte a estas condiciones de seguridad.
Los prestadores de servicios de certificación que expidan certificados de firma electrónica deberán constituir un seguro de responsabilidad civil para afrontar el riesgo de la responsabilidad por los daños y perjuicios que pueda ocasionar el uso de los certificados que expidan.
ARTÍCULO 28
El prestador de servicios de certificación que vaya a cesar en su actividad deberá comunicarlo a los firmantes que utilicen los certificados electrónicos que haya expedido así como a los solicitantes de certificados expedidos a favor de personas jurídicas; y podrá transferir, con su consentimiento expreso, la gestión de los que sigan siendo válidos en la fecha en que el cese se produzca a otro prestador de servicios de certificación que los asuma o, en caso contrario, extinguir su vigencia. La citada comunicación se llevará a cabo con una antelación mínima de dos meses al cese efectivo de la actividad e informará, en su caso, sobre las características.
ARTÍCULO 29
Los prestadores de servicios de certificación serán responsables de los daños y perjuicios que en el ejercicio de su actividad ocasionen por la certificación u homologación de certificados de firmas electrónicas. En todo caso, corresponderá al prestador de servicios demostrar que actuó con la debida diligencia.
Sin perjuicio de lo dispuesto en el inciso anterior, los prestadores no serán responsables de los daños que tengan su origen en el uso indebido o fraudulento de un certificado de firma electrónica.
ARTÍCULO 30
El certificado de firma electrónica provisto por una entidad certificadora podrá establecer límites en cuanto a sus posibles usos, siempre y cuando los límites sean reconocibles por tercero. El proveedor de servicios de certificación quedará eximido de responsabilidad por los daños y perjuicios causados por el uso que exceda de los límites indicados en el certificado.
ARTÍCULO 31
El prestador de servicios de certificación no será responsable de los Daños y perjuicios ocasionados al firmante o terceros de buena fe, si el firmante incurre en alguno de los siguientes supuestos:
I.- No haber proporcionado al prestador de servicios de certificación información veraz, completa y exacta sobre los datos que deban constar en el certificado electrónico o que sean necesarios para su expedición o para la extinción o suspensión de su vigencia, cuando su inexactitud no haya podido ser detectada por el prestador de servicios de certificación;
II.- La falta de comunicación sin demora al prestador de servicios de certificación de cualquier modificación de las circunstancias reflejadas en el certificado electrónico;
III.- Negligencia en la conservación de sus datos de creación de firma, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación;
IV.- No solicitar la suspensión o revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma;
V.- Utilizar los datos de creación de firma cuando haya expirado el período de validez del certificado electrónico o el prestador de servicios de certificación le notifique la extinción o suspensión de su vigencia; y
VI.- Superar los límites que figuren en el certificado electrónico en cuanto a sus posibles usos y al importe individualizado de las transacciones que puedan realizarse con él o no utilizarlo conforme a las condiciones establecidas y comunicadas al firmante por el prestador de servicios de certificación.
En el caso de los certificados electrónicos que recojan un poder de representación del firmante, tanto éste como la persona o entidad representada, cuando ésta tenga conocimiento de la existencia del certificado, están obligados a solicitar la revocación o suspensión de la vigencia del certificado en los términos previstos en esta ley.
ARTÍCULO 32
El prestador de servicios de certificación tampoco será responsable por los daños y perjuicios ocasionados al firmante o a terceros de buena fe si el destinatario de los documentos firmados electrónicamente actúa de forma negligente. Se entenderá, en particular, que el destinatario actúa de forma negligente en los siguientes casos:
a) Cuando no compruebe y tenga en cuenta las restricciones que figuren en el certificado electrónico en cuanto a sus posibles usos y al importe individualizado de las transacciones que puedan realizarse con él; y
b) Cuando no tenga en cuenta la suspensión o pérdida de vigencia del certificado electrónico publicada en el servicio de consulta sobre la vigencia de los certificados o cuando no verifique la firma electrónica.
El prestador de servicios de certificación no será responsable de los daños y perjuicios ocasionados al firmante o terceros de buena fe por la inexactitud de los datos que consten en el certificado electrónico, si éstos le han sido acreditados mediante documento público. En caso de que dichos datos deban figurar inscritos en un registro público, el prestador de servicios de certificación deberá comprobarlos en el citado registro en el momento inmediato anterior a la expedición del certificado, pudiendo emplear, en su caso, medios telemáticos.
TITULO CUARTO.- DE LA ACREDITACION DE LOS PRESTADORES DE SERVICIOS DE CERTIFICACION DE FIRMA ELECTRONICA CERTIFICADA
CAPITULO UNICO
ARTÍCULO 3
La acreditación es el procedimiento en virtud del cual la autoridad certificadora autoriza a un organismo público como prestador de servicios de certificación verificando para ello que cuenta con las instalaciones, sistemas, programas informáticos y los recursos humanos necesarios para otorgar los certificados en los términos que se establecen en esta ley y los reglamentos respectivos, permitiendo su inscripción en el registro que se señala en el Artículo 27 de esta Ley.
Para ser acreditado, el prestador de servicios de certificación deberá cumplir, al menos, con las siguientes condiciones:
I.- Demostrar la fiabilidad necesaria de sus servicios, dispositivos de creación y certificación de firma electrónica;
II.- Garantizar la existencia de un servicio seguro de consulta del registro de certificados emitidos;
III.- Emplear personal calificado para la prestación de los servicios ofrecidos, en el ámbito de la firma electrónica y los procedimientos de seguridad y de gestión adecuados;
IV.- Utilizar sistemas y productos confiables que garanticen la seguridad de sus procesos de certificación;
V.- Haber contratado un seguro apropiado que respalde la responsabilidad en que pueda incurrir el prestador de servicios de certificación en los términos del Artículo 30 de la Ley; y
VI.- Contar con la capacidad tecnológica necesaria para el desarrollo de la actividad de certificación.
TITULO QUINTO.- DISPOSITIVOS DE CREACION Y VERIFICACIÓN DE FIRMA ELECTRÓNICA CERTIFICADA
CAPITULO UNICO
ARTÍCULO 34
Los dispositivos de creación de firma deben ofrecer, al menos, las siguientes garantías:
I.- Que los datos utilizados para la generación de firma puedan producirse sólo una vez y asegura razonablemente su secreto;
II.- Que exista una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma esté protegida contra la falsificación con la tecnología existente en cada momento;
III.- Que los datos de creación de firma puedan ser protegidos de forma fiable por el firmante contra su utilización por terceros; y
IV.- Que el dispositivo utilizado no altere los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma.
ARTÍCULO 35
Los dispositivos de verificación de firma electrónica garantizarán, siempre que sea técnicamente posible, que el proceso de verificación de una firma electrónica satisfaga, al menos, los siguientes requisitos:
I.- Que los datos utilizados para verificar la firma correspondan a los datos mostrados a la persona que verifica la firma;
II.- Que la firma se verifique de forma fiable y el resultado de esa verificación se presente correctamente;
III.- Que la persona que verifica la firma electrónica pueda, en caso necesario, establecer de forma fiable el contenido de los datos firmados y detectar si han sido modificados;
IV.- Que se muestren correctamente tanto la identidad del firmante o, en su caso, conste claramente la utilización de un seudónimo, como el resultado de la verificación;
V.- Que se verifiquen de forma fiable la autenticidad y la validez del certificado electrónico correspondiente; y
VI.- Que pueda detectarse cualquier cambio relativo a su seguridad.
Asimismo, los datos referentes a la verificación de la firma, tales como el momento en que ésta se produce o una constatación de la validez del certificado electrónico en ese momento, podrán ser almacenados por la persona que verifica la firma electrónica o por terceros de confianza.
TITULO SEXTO.- DE LOS CERTIFICADOS DE FIRMA ELECTRÓNICA
CAPITULO UNICO
ARTÍCULO 36
Los certificados de firma electrónica tendrán valor probatorio pleno, salvo lo que dispongan al respecto otras leyes en la materia que ellas regulan y surtirán efectos jurídicos, cuando estén firmados electrónicamente por la autoridad certificadora.
ARTÍCULO 37
Los efectos del certificado de firma electrónica son los siguientes:
I.- Autentificar que la firma electrónica pertenece a determinada persona; y
II.- Verificar la vigencia de la firma electrónica.
ARTÍCULO 38
Los certificados de firma electrónica, deberán contener, al menos, las siguientes menciones:
I.- La expresión de que tienen esa naturaleza;
II.- El código único de identificación;
III.- Los datos de autorización de la autoridad certificadora que lo expide;
IV.- La firma electrónica certificada de la autoridad certificadora que lo expide;
V.- El nombre y apellidos del firmante. Se podrá consignar en el certificado de firma electrónica cualquier otra circunstancia personal del titular, en caso de que sea significativa en función del fin propio del certificado y siempre que aquél otorgue su consentimiento;
VI.- En los supuestos de representación, la indicación del documento que acredite las facultades del firmante para actuar en nombre de la persona a la que represente;
VII.- Los datos de verificación de firma electrónica certificada que correspondan a los datos de creación de firma que se encuentren bajo el control del firmante;
VIII.- El período de validez del certificado de firma electrónica;
IX.- En su caso, los límites de uso del certificado de firma electrónica; y
X.- La referencia de la tecnología empleada para la creación de la firma electrónica.
ARTÍCULO 39
Los certificados de firma electrónica quedarán sin efecto, en los siguientes casos:
I.- Expiración de su vigencia, que nunca será superior a dos años;
II.- Revocación por el firmante, su representante o autoridad competente;
III.- Pérdida, robo o inutilización por daños del soporte del certificado de firma electrónica;
IV.- Resolución judicial o administrativa;
V.- Fallecimiento del firmante o su representante, incapacidad superveniente, total o parcial, de cualquiera de ellos, terminación de la representación o extinción de la persona moral representada;
VI.- Inexactitudes en los datos aportados por el firmante para la obtención del certificado de firma electrónica;
VII.- Por haberse comprobado que al momento de su expedición, el certificado de firma electrónica no cumplió con los requisitos establecidos en esta Ley, situación que no afectará los derechos de terceros de buena fe; y
VIII.- Cancelación o suspensión del certificado a solicitud del interesado.
ARTÍCULO 40
Cuando un servidor público deje de prestar sus servicios y cuente con un certificado de firma electrónica en virtud de sus funciones, el superior jerárquico ordenará la cancelación inmediata del mismo.
ARTÍCULO 41
La pérdida de eficacia de los certificados de firma electrónica, en el supuesto de expiración de vigencia, tendrá lugar desde que esta circunstancia se produzca. En los demás casos, la extinción de un certificado de firma electrónica surtirá efectos desde la fecha en que la autoridad certificadora competente, tenga conocimiento cierto de la causa que la origina y así lo haga constar en el registro de certificados.
ARTÍCULO 42
Las autoridades certificadoras podrán suspender temporalmente la eficacia de los certificados de firma electrónica expedidos, cuando así lo solicite el firmante o sus representados o lo ordene una autoridad competente.
Toda suspensión deberá inscribirse sin demora en el registro respectivo.
ARTÍCULO 43
Todo certificado de firma electrónica expedido fuera del Estado de Colima, producirá los mismos efectos jurídicos que un certificado de firma electrónica expedido dentro de su territorio, si presenta un grado de fiabilidad equivalente a los contemplados por esta Ley. Lo anterior sin perjuicio de la obligación de registrar el certificado que se homologa en términos de esta Ley, en el registro de certificados de firma electrónica, que al efecto lleve la autoridad certificadora correspondiente.
TITULO SEPTIMO.- DE LOS DERECHOS Y OBLIGACIONES DE LOS TITULARES DE CERTIFICADOS DE FIRMA ELECTRÓNICA
CAPITULO UNICO
ARTÍCULO 44
Sin perjuicio de lo establecido por otras leyes, los titulares de certificados de firma electrónica tendrán, respecto de las autoridades certificadoras, los siguientes derechos:
I.- Solicitar se les expida constancia de la existencia y registro del certificado;
II.- Solicitar la variación de los datos y elementos de la firma cuando así convenga a su interés;
III.- A ser informados sobre:
a) Las características generales de los procedimientos de certificación y creación de firma electrónica, y de las demás reglas que la autoridad certificadora se comprometa a seguir en la prestación de sus servicios; y
b) El costo de los servicios, las características y condiciones precisas para la utilización del certificado y sus límites de uso;
IV.- A que se guarde confidencialidad sobre la información proporcionada;
V.- A conocer el domicilio físico y la dirección electrónica de la autoridad certificadora para solicitar aclaraciones, presentar quejas o reportes; y
VI.- A cancelar o suspender su registro cuando así lo consideren conveniente.
ARTÍCULO 45
Son obligaciones de los titulares de certificados de firma electrónica:
I.- Proporcionar datos veraces, completos y exactos;
II.- Mantener el control exclusivo de sus datos de creación de firma electrónica, no compartirlos e impedir su divulgación;
III.- Solicitar la revocación de su certificado de firma electrónica cuando se presente cualquier circunstancia que pueda comprometer la privacidad de sus datos de creación de firma electrónica; y
IV.- Actualizar los datos contenidos en el certificado de firma electrónica.
TITULO OCTAVO.- PROTECCIÓN DE LOS DATOS PERSONALES
CAPITULO UNICO
ARTÍCULO 46
El tratamiento de los datos personales que precisen los prestadores de servicios de certificación para el desarrollo de su actividad y los órganos administrativos para el ejercicio de las funciones atribuidas por esta ley se sujetará a lo dispuesto en la Ley de Protección de Datos Personales del Estado de Colima.
Para la expedición de certificados electrónicos al público, los prestadores de servicios de certificación únicamente podrán recabar datos personales directamente de los firmantes o previo consentimiento expreso de éstos.
Los datos requeridos serán exclusivamente los necesarios para la expedición y el mantenimiento del certificado electrónico y la prestación de otros servicios en relación con la firma electrónica, no pudiendo tratarse con fines distintos sin el consentimiento expreso del firmante.
Los prestadores de servicios de certificación que consignen un seudónimo en el certificado electrónico a solicitud del firmante deberán constatar su verdadera identidad y conservar la documentación que la acredite.
Dichos prestadores de servicios de certificación estarán obligados a revelar la identidad de los firmantes cuando se encuentren en los supuestos previstos en el Artículo 6 de la Ley de Protección de Datos Personales del Estado de Colima.
TRANSITORIOS
PRIMERO
La presente Ley entrará en vigor a partir del día siguiente de su publicación en el Periódico Oficial “El Estado de Colima”.
SEGUNDO
La Legislatura local, actualizará las leyes relacionadas con la presente reforma en un plazo de 180 días a partir del día siguiente al de su entrada en vigor.
El Gobernador del Estado dispondrá se publique, circule y observe.
Dado en el Recinto Oficial del Poder Legislativo, a los veintisiete días del mes de mayo del año dos mil nueve.
MIRIAM YADIRA LARA ARTEAGA, DIPUTADA PRESIDENTA.
MARTÍN ALCARAZ PARRA, DIPUTADO SECRETARIO.
FERNANDO RAMÍREZ GONZÁLEZ, DIPUTADO SECRETARIO.
Por lo tanto mando se imprima, publique, circule y observe.
Dado en Palacio de Gobierno, al día 28 del mes de mayo del año dos mil nueve.
EL GOBERNADOR CONSTITUCIONAL DEL ESTADO, LIC. JESÚS SILVERIO CAVAZOS CEBALLOS.
LA SECRETARIA GENERAL DE GOBIERNO, LICDA. YOLANDA VERDUZCO GUZMÁN.
EL SECRETARIO DE ADMINISTRACIÓN, C.P. LUIS MARIO LEÓN LÓPEZ.
29Ago/18
Desafios da Liberdade de Expressão na Internet em Períodos Eleitorais
No próximo dia 31 de agosto, será realizado na sede do Tribunal Regional Eleitoral de Pernambuco o Seminário “Desafios da Liberdade de Expressão na Internet em Períodos Eleitorais”.
O evento contará com a presença de vários desembargadores e com a entrega do material Cartilha INTERNET, DEMOCRACIA E ELEIÇÕES – Guia prático para gestores públicos e usuários, produzida pelo Comitê Gestor da Internet do Brasil – CGI.br.
Confira a programação:
Seminário “Desafios da Liberdade de Expressão na Internet em Períodos Eleitorais”
Dia 31.08.18 (sexta-feira)
| HORÁRIO | TEMA | PALESTRANTE |
| 8:00 | Entrega do material Cartilha INTERNET, DEMOCRACIA E ELEIÇÕES – Guia prático para gestores públicos e usuários, produzida pelo Comitê Gestor da Internet do Brasil – CGI.br |
|
| 8:30 | Abertura:
| Mesa de Abertura: Des. Luiz Carlos de Barros Figueiredo, Presidente do Tribunal Regional Eleitoral de PE Des. Manoel Erhardt, Presidente do TRF-5ª. Região Des. Adalberto de Oliveira Melo, Presidente do TJPE Des. Márcio Vidal, Presidente do TRE-MT e do COPTREL – Colégio dos Presidentes dos Tribunais Regionais do Brasil Dr. Ronnie Preuss Duarte, Presidente da OAB/PE Dr. Francisco Machado Teixeira, Procurador Regional Eleitoral Delmiro Dantas Campos Neto, Diretor da Escola Eleitoral Prof. Hartmut Glaser, Secretário Executivo do Comitê Gestor da Internet no Brasil – CGI.br Des. Demócrito Reinaldo Filho, Pres. do IMN-Instituto dos Magistrados do Nordeste
|
| 8:45 (30 min. p/ palestra e 15 p/ perg.) | Palestra: Conceitos técnicos sobre o funcionamento da Internet: modelo de camadas, TCP/IP, sistema de nomes de domínio e a Web. | Presidente: Des. Agenor Ferreira Lima Filho Palestrante: Antonio Moreiras, Engenheiro Senior do NIC.br
|
| 9:30 (30 min. p/ palestra e 15 p/ perg.) | Palestra: Desafios da liberdade de expressão em períodos eleitorais e as redes sociais: filtros bolha, algoritmos, bots e impulsionamento de conteúdos na esfera de debates da Internet
| Presidente: Des. Itamar Pereira da Silva Júnior Palestrante: Sérgio Amadeu, Prof da Univ. Federal do ABC e Conselheiro do CGI.br |
| 10:15 | Coffee Break | |
| 10:35 (35 min. p/ cada palestra e 15 p/ perg.) | Mesa redonda: Internet, Democracia e Eleições
| Presidente: Gabriel de Oliveira Cavalcanti Filho, Desembargador Eleitoral Integrantes: Luiz Fernando Martins Castro, advogado em SP e Conselheiro do CGI.br Diego Canabarro, Doutor em Ciências Políticas Flávia Lefèvre Guimarães, Conselheira do CGI.br |
| 12:30 | Almoço | |
| 14:30 (30 min. p/ palestra e 10 p/ perg.) | Palestra: Propaganda eleitoral na Internet: aspectos legais e jurisprudenciais
| Presidente: Érika de Barros Lima Ferraz, Desembargadora Eleitoral Palestrante: Orson Lemos, Assessor da Corregedoria do TRE-PE |
| 15:10 (30 min. p/ palestra e 10 p/ perg.) | Palestra: Segurança do voto eletrônico
| Presidente: Des. Eleitoral Vladimir Souza Carvalho Palestrante: George Maciel, Secretário de Tecnologia da Informação e Comunicação do TRE |
| 15:50 | Coffee Break | |
| 16:10 (20 min. p/ cada palestra e 15 p/ perg.)
| Mesa redonda: Controle judicial das Fake News.
| Presidente: Clicério Bezerra e Silva, Des. Eleitoral Integrantes: Júlio Alcino de Oliveira Neto, Desembargador Eleitoral Alexandre Freire Pimentel, Juiz de Direito e Corregedor Regional Eleitoral Karina Albuquerque Aragão de Amorim, Desembargadora Eleitoral Substituto Paulo Roberto de Oliveira Lima, Desembargador Eleitoral Substituto Wellington Cabral Saraiva, Procurador Regional Eleitoral Substituto
|
| 18:00 | Encerramento do 1º. dia | |
17Ago/18
Projeto de Lei da Câmara n° 53, de 2018
Projeto de Lei da Câmara n° 53, de 2018 Dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014.
O CONGRESSO NACIONAL decreta:
CAPÍTULO I.- DISPOSIÇÕES PRELIMINARES
Artigo 1º.- Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Artigo 2º.- A disciplina da proteção de dados pessoais tem como fundamentos:
I.- o respeito à privacidade;
II.- a autodeterminação informativa;
III.- a liberdade de expressão, de informação, de comunicação e de opinião;
IV.- a inviolabilidade da intimidade, da honra e da imagem;
V.- o desenvolvimento econômico e tecnológico e a inovação;
VI.- a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII.- os direitos humanos e o livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais.
Artigo 3º.- Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I.- a operação de tratamento seja realizada no território nacional, salvo o tratamento previsto no inciso IV do caput do Artigo 4º desta Lei;
II.- a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III.- os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Parágrafo único.- Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
Artigo 4º Esta Lei não se aplica ao tratamento de dados pessoais:
I.- realizado por pessoa natural para fins exclusivamente pessoais;
II.- realizado para fins exclusivamente:
a) jornalísticos e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III.- realizado para fins exclusivos de segurança pública, de defesa nacional, de segurança do Estado ou de atividades de investigação e repressão de infrações penais; ou
IV.- provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
§ 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.
§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico ao órgão competente e que deverão observar a limitação imposta no § 4º deste artigo.
§ 3º Órgão competente emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado.
Artigo 5º.- Para os fins desta Lei, considera-se:
I.- dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
II.- dados sensíveis: dados pessoais sobre a origem racial ou étnica, as convicções religiosas, as opiniões políticas, a filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural;
III.- dados anonimizados: dados pessoais relativos a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV.- banco de dados: conjunto estruturado de dados pessoais, localizado em um ou em vários locais, em suporte eletrônico ou físico;
V.- titular: a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI.- responsável: a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII.- operador: a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do responsável;
VIII.- encarregado: pessoa natural, indicada pelo responsável, que atua como canal de comunicação entre o responsável e os titulares e o órgão competente;
IX.- agentes do tratamento: o responsável e o operador;
X.- tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI.- anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII.- consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII.- bloqueio: guarda do dado pessoal ou do banco de dados com a suspensão temporária de qualquer operação de tratamento;
XIV.- eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV.- transferência internacional de dados: transferência de dados pessoais para um país estrangeiro ou organização internacional da qual o país seja membro;
XVI.- uso compartilhado de dados: a comunicação, a difusão, a transferência internacional, a interconexão de dados pessoais ou o tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos, no cumprimento de suas competências legais, ou entre estes e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII.- relatório de impacto à proteção de dados pessoais: documentação do responsável que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII.- órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XIX.- órgão competente: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.
Artigo 6º.- As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I.- finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II.- adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III.- necessidade: limitação do tratamento ao mínimo necessário para a realização das suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV.- livre acesso: garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade dos seus dados pessoais;
V.- qualidade dos dados: garantia aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI.- transparência: garantia aos titulares de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII.- segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII.- prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX.- não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
X.- responsabilização e prestação de contas: demonstração pelo agente da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, inclusive da eficácia das medidas.
CAPÍTULO II.- DOS REQUISITOS PARA O TRATAMENTO DE DADOS PESSOAIS
SEÇÃO I.- DOS REQUISITOS PARA O TRATAMENTO
Artigo 7º.- O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I.- mediante o fornecimento de consentimento pelo titular;
II.- para o cumprimento de obrigação legal ou regulatória pelo responsável;
III.- pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV.- para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V.- quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual é parte o titular, a pedido do titular dos dados;
VI.- para o exercício regular de direitos em processo judicial, administrativo ou arbitral, nos termos da Lei nº 9.307, de 23 de setembro de 1996;
VII.- para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII.- para a tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
IX.- quando necessário para atender aos interesses legítimos do responsável ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X.- para a proteção do crédito de acordo com o Artigo 43 da Lei no 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor).
§ 1º Nos casos de aplicação do disposto nos incisos II e III do caput deste artigo e excetuadas as hipóteses previstas no Artigo 4º desta Lei, o titular será informado das hipóteses em que será admitido o tratamento de seus dados.
§ 2º A forma de disponibilização das informações previstas no § 1º e no inciso I do caput do Artigo 23 desta Lei poderá ser especificada pelo órgão competente.
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram a sua disponibilização.
§ 4º Fica dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
§ 5º O responsável que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros responsáveis deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes do tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
Artigo 8º.- O consentimento previsto no inciso I do Artigo 7º desta Lei, deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, este deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao responsável o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei. §
3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º O consentimento deverá referir-se a finalidades determinadas e serão nulas as autorizações genéricas para o tratamento de dados pessoais.
§ 5º O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob o amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do Artigo 18 desta Lei. § 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do Artigo 9º desta Lei, o responsável deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Artigo 9º.- O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva, acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I.- finalidade específica do tratamento;
II.- forma e duração do tratamento, observados os segredos comercial e industrial;
III.- identificação do responsável;
IV.- informações de contato do responsável;
V.- informações acerca do uso compartilhado de dados pelo responsável e a finalidade;
VI.- responsabilidades dos agentes que realizarão o tratamento; e
VII.- direitos do titular, com menção explícita aos direitos contidos no Artigo 18 desta Lei.
§ 1º Na hipótese em que o consentimento é requerido, este será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
§ 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatível com o consentimento original, o responsável deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
§ 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no Artigo 18 desta Lei.
Artigo 10.- O legítimo interesse do responsável somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem:
I.- o apoio e a promoção de atividades do responsável; e
II.- em relação ao titular, a proteção do exercício regular de seus direitos ou a prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do responsável, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O responsável deverá adotar medidas para garantir a transparência do tratamento de dados baseado no seu legítimo interesse.
§ 3º O órgão competente poderá solicitar ao responsável relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento o seu interesse legítimo, observados os segredos comercial e industrial.
Seção II.- Dos Dados Sensíveis
Artigo 11.- É vedado o tratamento de dados pessoais sensíveis, exceto:
I.- com fornecimento de consentimento específico e em destaque, pelo titular, para finalidades específicas;
II.- sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal pelo responsável;
b) tratamento e uso compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato, processo judicial, administrativo ou arbitral, nos termos da Lei nº 9.307, de 23 de setembro de 1996;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, com procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no Artigo 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.
§ 2º Nos casos de aplicação do disposto nas alíneas a e b do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do Artigo 23 desta Lei.
§ 3º A comunicação ou o uso compartilhado de dados sensíveis entre responsáveis com o objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte do órgão competente, ouvidos os órgãos setoriais do poder público, no âmbito de suas competências.
§ 4º É vedada a comunicação ou o uso compartilhado entre responsáveis de dados sensíveis referentes à saúde com o objetivo de obter vantagem econômica, exceto nos casos de portabilidade de dados quando consentido pelo titular.
Artigo 12.- Os dados anonimizados serão considerados dados pessoais, para os fins desta Lei, quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessário para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para a formação do perfil comportamental de uma determinada pessoa natural, se identificada.
§ 3º O órgão competente poderá dispor sobre padrões e técnicas utilizadas em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.
Artigo 13.- Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudomização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
§ 1º A divulgação dos resultados ou de qualquer excerto do estudo ou pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais.
§ 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em qualquer circunstância, a transferência dos dados a terceiros.
§ 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte do órgão competente e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.
§ 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo responsável em ambiente controlado e seguro.
Seção III.- Das Crianças e dos Adolescentes
Artigo 14.- O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado no seu melhor interesse, nos termos deste artigo e da legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal.
§ 2º Os responsáveis pelo tratamento de dados de que trata o § 1º deste artigo deverão manter pública informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o Artigo 18 desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiros sem o consentimento de que trata o § 1º deste artigo.
§ 4º Os responsáveis por tratamento de dados não devem condicionar a participação dos titulares de que trata o § 1º deste artigo a jogos, aplicações de internet ou outras atividades para o fornecimento de informações pessoais além das estritamente necessárias à atividade.
§ 5º O responsável deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas no § 3º deste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou responsável legal e adequada ao entendimento da criança.
Seção IV.- Do Término do Tratamento
Artigo 15.- O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I.- verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II.- fim do período de tratamento;
III.- comunicação do titular, inclusive no exercício do seu direito de revogação do consentimento conforme disposto no § 5º do Artigo 8º desta Lei, resguardado o interesse público; ou
IV.- determinação do órgão competente, quando houver violação da legislação em vigor.
Artigo 16.- Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I.- cumprimento de obrigação legal do responsável;
II.- estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III.- transferência a terceiros, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV.- uso exclusivo do responsável, vedado o seu acesso por terceiros, e desde que anonimizados os dados.
CAPÍTULO III.- DOS DIREITOS DO TITULAR
Artigo 17.- Toda pessoa natural tem assegurada a titularidade de seus dados pessoais, garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
Artigo 18.- O titular dos dados pessoais tem direito a obter do responsável, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I.- confirmação da existência de tratamento;
II.- acesso aos dados;
III.- correção de dados incompletos, inexatos ou desatualizados;
IV.- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V.- portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão responsável;
VI.- eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no Artigo 16 desta Lei;
VII.- informação das entidades públicas e privadas com as quais o responsável realizou uso compartilhado de dados;
VIII.- informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa;
IX.- revogação do consentimento nos termos do § 5º do Artigo 8º desta Lei.
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o responsável perante o órgão competente e os organismos de defesa do consumidor.
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou representantes legalmente constituídos, a um dos agentes de tratamento.
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o responsável enviará ao titular resposta em que poderá:
I.- comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II.- indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 5º O requerimento de que trata o § 3º deste artigo será atendido sem custos para o titular nos prazos e termos previstos na regulamentação.
§ 6º O responsável deverá informar de maneira imediata aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento.
§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo responsável.
Artigo 19.- A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I.- em formato simplificado, imediatamente; ou
II.- por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.
§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:
I.- por meio eletrônico, seguro e idôneo para esse fim; ou
II.- sob forma impressa.
§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral dos seus dados pessoais, observado os segredos comercial e industrial, nos termos da regulamentação do órgão competente, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
§ 4º O órgão competente poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput deste artigo para os setores específicos.
Artigo 20.- O titular dos dados tem direito a solicitar revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo, de crédito ou os aspectos de sua personalidade.
§ 1º O responsável deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, o órgão competente poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizados de dados pessoais.
Artigo 21.- Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.
Artigo 22.- A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na Lei nº 9.507, de 12 de novembro de 1997, nos arts. 81 e 82 da Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor), na Lei nº 7.347, de 24 de julho de 1985, e nos demais instrumentos de tutela individual e coletiva.
CAPITULO IV.- DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO
Seção I.- Das Regras de Tratamento de Dados pelo Poder Público
Artigo 23.- O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do Artigo 1º da Lei nº 12.527, de 18 de novembro de 2011, deverá ser realizado para o atendimento de sua finalidade pública, na persecução de um interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
I.- sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
II.- sejam protegidos e preservados dados pessoais de requerentes de acesso à informação, no âmbito da Lei nº 12.527, de 18 de novembro de 2011, vedado seu compartilhamento no âmbito do poder público e com pessoas jurídicas de direito privado; e
III.- seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do Artigo 39 desta Lei.
§ 1º O órgão competente poderá dispor sobre as formas de publicidade das operações de tratamento.
§ 2º O disposto nesta Lei não dispensa as pessoas jurídicas mencionadas no caput deste artigo de instituir as autoridades de que trata a Lei nº 12.527, de 18 de novembro de 2011.
§ 3º Os prazos e procedimentos para exercício dos direitos do titular perante o poder público observarão o disposto em legislação específica, em especial as disposições constantes da Lei nº 9.507, de 12 de novembro de 1997, da Lei nº 9.784, de 29 de janeiro de 1999, e da Lei nº 12.527, de 18 de novembro de 2011.
§ 4º Os serviços notariais de registro exercidos em caráter privado, por delegação do poder público, terão o mesmo tratamento dispensado às pessoas jurídicas de que trata o caput deste artigo, nos termos desta Lei.
§ 5º Os serviços notariais de registro devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista as finalidades de que trata o caput deste artigo.
Artigo 24.- As empresas públicas e as sociedades de economia mista que atuem em regime de concorrência, sujeitas ao disposto no Artigo 173 da Constituição Federal, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos termos desta Lei.
Parágrafo único. As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do poder público, nos termos deste Capítulo.
Artigo 25.- Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública, à disseminação e ao acesso das informações pelo público em geral.
Artigo 26.- O uso compartilhado de dados pessoais pelo poder público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no Artigo 6º desta Lei.
§ 1º É vedado ao poder público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I.- em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011;
II.- quando houver previsão legal e a transferência for respaldada em contratos, convênios ou instrumentos congêneres;
III.- nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.
§ 2º Os contratos e convênios de que trata o § 1º deste artigo deverão ser comunicados ao órgão competente.
Artigo 27.- A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado ao órgão competente e dependerá de consentimento do titular, exceto:
I.- nas hipóteses de dispensa do consentimento previstas nesta Lei;
II.- nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do Artigo 23 desta Lei; ou
III.- nas exceções constantes do § 1º do Artigo 26 desta Lei.
Artigo 28.- A comunicação ou o uso compartilhado de dados pessoais entre órgãos e entidades de direito público será objeto de publicidade, nos termos do inciso I do caput do Artigo 23 desta Lei.
Artigo 29.- O órgão competente poderá solicitar, a qualquer momento, às entidades do poder público a realização de operações de tratamento de dados pessoais, informe específico sobre o âmbito, natureza dos dados e demais detalhes do tratamento realizado, e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei.
Artigo 30.- O órgão competente poderá estabelecer normas complementares para as atividades de comunicação ou o uso compartilhado de dados pessoais.
Seção II.- Da Responsabilidade
Artigo 31.- Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, o órgão competente poderá enviar informe com medidas cabíveis para fazer cessar a violação.
Artigo 32.- O órgão competente poderá solicitar a agentes do poder público a publicação de relatórios de impacto à proteção de dados pessoais e poderá sugerir a adoção de padrões e boas práticas aos tratamentos de dados pessoais pelo poder público.
CAPÍTULO V.- DA TRANSFERÊNCIA INTERNACIONAL DE DADOS
Artigo 33.- A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I.- para países ou organizações internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
II.- quando o responsável oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta lei, na forma de:
a) cláusulas contratuais específicas para uma determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
III.- quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV.- quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V.- quando o órgão competente autorizar a transferência;
VI.- quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII.- quando a transferência for necessária para execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do Artigo 23 desta Lei;
VIII.- quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
IX.- quando necessário para atender as hipóteses previstas nos incisos II, V e VI do Artigo 7º desta Lei.
Parágrafo único.- Para os fins do inciso I do Artigo 33 desta Lei, as pessoas jurídicas de direito público referidas no parágrafo único do Artigo 1º da Lei 12.527, de 18 de novembro de 2011, no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer ao órgão competente a avaliação do nível de proteção a dados pessoais conferido por país ou organização internacional.
Artigo 34.- O nível de proteção de dados do país estrangeiro ou da organização internacional mencionado no inciso I do caput do Artigo 33 desta Lei será avaliado pelo órgão competente, que levará em consideração:
I.- as normas gerais e setoriais da legislação em vigor no país de destino ou na organização internacional;
II.- a natureza dos dados;
III.- a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;
IV.- a adoção de medidas de segurança previstas em regulamento;
V.- a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
VI.- as outras circunstâncias específicas relativas à transferência.
Artigo 35.- A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do Artigo 33 desta Lei, será realizada pelo órgão competente.
§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei.
§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação do órgão competente, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.
§ 3º O órgão competente poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.
§ 4º Os atos realizados por organismo de certificação poderão ser revistos pelo órgão competente e, caso em desconformidade com esta Lei, submetidos à revisão ou anulados.
§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do Artigo 46 desta Lei.
Artigo 36.- As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do Artigo 33 desta Lei deverão ser comunicadas ao órgão competente.
CAPÍTULO VI.- DOS AGENTES DO TRATAMENTO DE DADOS PESSOAIS
Seção I.- Do Responsável e do Operador
Artigo 37.- O responsável e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Artigo 38.- O órgão competente poderá determinar ao responsável que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente às suas operações de tratamento de dados, nos termos do regulamento, observados os segredos comercial e industrial.
Parágrafo único.- Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para sua coleta e para a garantia da segurança das informações, bem como a análise do responsável com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Artigo 39.- O operador deverá realizar o tratamento segundo as instruções fornecidas pelo responsável, que verificará a observância das próprias instruções e das normas sobre a matéria.
Artigo 40.- O órgão competente poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.
Seção II.- Do Encarregado pelo Tratamento de Dados Pessoais
Artigo 41.- O responsável deverá indicar um encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do responsável.
§ 2º As atividades do encarregado consistem em:
I.- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II.- receber comunicações do órgão competente e adotar providências;
III.- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV.- executar as demais atribuições determinadas pelo responsável ou estabelecidas em normas complementares.
§ 3º O órgão competente poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Seção III.- Da Responsabilidade e do Ressarcimento de Danos
Artigo 42.- O responsável ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I.- o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do responsável, hipótese em que o operador equipara-se a responsável, salvo nos casos de exclusão previstos no Artigo 43 desta Lei;
II.- os responsáveis que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no Artigo 43 desta Lei.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto no Título III da Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor).
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
Artigo 43.- Os agentes de tratamento só não serão responsabilizados quando provarem:
I.- que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II.- que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados;
III.- que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Artigo 44.- O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I.- o modo pelo qual é realizado;
II.- o resultado e os riscos que razoavelmente dele se esperam;
III.- as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado. Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o responsável ou o operador que, ao deixar de adotar as medidas de segurança previstas no Artigo 46 desta Lei, der causa ao dano.
Artigo 45.- As hipóteses de violação ao direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor), observado o inciso III do Artigo 4º da referida Lei.
CAPÍTULO VII.- DA SEGURANÇA E DAS BOAS PRÁTICAS
Seção I.- Da Segurança e do Sigilo de Dados
Artigo 46.- Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º O órgão competente poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados sensíveis, assim como os princípios previstos no caput do Artigo 6º desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Artigo 47.- Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
Artigo 48.- O responsável deverá comunicar ao órgão competente e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pelo órgão competente, e deverá mencionar, no mínimo:
I.- a descrição da natureza dos dados pessoais afetados;
II.- as informações sobre os titulares envolvidos;
III.- a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV.- os riscos relacionados ao incidente;
V.- os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI.- as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º O órgão competente verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao responsável a adoção de providências, tais como: I – ampla divulgação do fato em meios de comunicação; e II – medidas para reverter ou mitigar os efeitos do incidente. § 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los. Artigo 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança, aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
Seção II.- Das Boas Práticas e da Governança
Artigo 50.- Os responsáveis e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o responsável pelo tratamento e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados de titular.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do Artigo 6º desta Lei, o responsável observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados, a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
I.- implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do responsável em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo em que se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado à sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
II.- demonstrar a efetividade de seu programa de governança em privacidade quando apropriado, e, em especial, a pedido do órgão competente ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei. § 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pelo órgão competente.
Artigo 51.- O órgão competente estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dosseus dados pessoais.
CAPÍTULO VIII.- DA FISCALIZAÇÃO
Seção I.- Das Sanções Administrativas
Artigo 52.- Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pelo órgão competente:
I.- advertência, com indicação de prazo para adoção de medidas corretivas;
II.- multa simples ou diária, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III.- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
IV.- bloqueio de dados pessoais a que se refere a infração até a sua regularização;
V.- eliminação dos dados pessoais a que se refere a infração;
VI.- suspensão parcial ou total de funcionamento de banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo responsável;
VII.- suspensão do exercício de atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogáveis por igual período; e
VIII.- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
I.- a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II.- a boa-fé do infrator;
III.- a vantagem auferida ou pretendida pelo infrator;
IV.- a condição econômica do infrator;
V.- a reincidência;
VI.- o grau do dano;
VII.- a cooperação do infrator;
VIII.- a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do Artigo 48 desta Lei.
IX.- a adoção de política de boas práticas e governança;
X.- a pronta adoção de medidas corretivas; e
XI.- a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas em legislação específica.
§ 3º O disposto nos incisos I, III, IV, V, VI, VII e VIII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto nas Leis nºs 8.112, de 11 de dezembro de 1990, 8.429, de 2 de junho de 1992, e 12.527, de 18 de novembro de 2011.
§ 4º No cálculo do valor da multa de que trata o inciso II do caput deste artigo, o órgão competente poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pelo órgão competente, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.
Artigo 53.- O órgão competente definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.
§ 1º As metodologias a que se refere o caput deste artigo devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei.
§ 2º O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária.
Artigo 54.- O valor da sanção de multa diária aplicável às infrações a esta Lei deve observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pelo órgão competente. Parágrafo único. A intimação da sanção de multa diária deverá conter, no mínimo, a descrição da obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento.
CAPÍTULO IX.- DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E DA PRIVACIDADE
Seção I.- Da Autoridade Nacional de Proteção de Dados
Artigo 55.- Fica criado o órgão competente, Autoridade Nacional de Proteção de Dados, integrante da administração pública federal indireta, submetido a regime autárquico especial e vinculado ao Ministério da Justiça.
§ 1º A Autoridade deverá ser regida nos termos previstos na Lei nº 9.986, de 18 de julho de 2000.
§ 2º A Autoridade será composta pelo Conselho Diretor, como órgão máximo, e pelo Conselho Nacional de Proteção de Dados Pessoais e da Privacidade, além das unidades especializadas para a aplicação desta Lei.
§ 3º A natureza de autarquia especial conferida à Autoridade é caracterizada por independência administrativa, ausência de subordinação hierárquica, mandato fixo e estabilidade de seus dirigentes e autonomia financeira.
§ 4º O regulamento e a estrutura organizacional da Autoridade serão aprovados por decreto do Presidente da República.
§ 5º O Conselho Diretor será composto por 3 (três) conselheiros e decidirá por maioria.
§ 6º O mandato dos membros do Conselho Diretor será de 4 (quatro) anos.
§ 7º Os mandatos dos primeiros membros do Conselho Diretor serão de 3 (três), 4 (quatro), 5 (cinco) anos, a serem estabelecidos no decreto de nomeação.
§ 8º É vedado ao ex-conselheiro utilizar informações privilegiadas obtidas em decorrência do cargo exercido, sob pena de incorrer em improbidade administrativa.
Artigo 56.- A Autoridade Nacional de Proteção de Dados terá as seguintes atribuições:
I.- zelar pela proteção dos dados pessoais, nos termos da legislação;
II.- zelar pela observância dos segredos comercial e industrial em ponderação com a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do Artigo 2º desta Lei;
III.- elaborar diretrizes para Política Nacional de Proteção de Dados Pessoais e da Privacidade;
IV.- fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
V.- atender petições de titular contra responsável;
VI.- promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
VII.- promover estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
VIII.- estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais, que deverão levar em consideração especificidades das atividades e o porte dos responsáveis;
IX.- promover ações de cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional;
X.- dispor sobre as formas de publicidade das operações de tratamento de dados pessoais, observado o respeito aos segredos comercial e industrial;
XI.- solicitar, a qualquer momento, às entidades do poder público que realizem operações de tratamento de dados pessoais, informe específico sobre o âmbito, a natureza dos dados e os demais detalhes do tratamento realizado, podendo emitir parecer técnico complementar para garantir o cumprimento desta Lei;
XII.- elaborar relatórios de gestão anuais acerca de suas atividades;
XIII.- editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, assim como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco para a garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei;
XIV.- ouvir os agentes de tratamento e a sociedade em matérias de interesse relevante, assim como prestar contas sobre suas atividades e planejamento;
XV.- arrecadar e aplicar suas receitas e publicar no relatório de gestão a que se refere o inciso XII do caput deste artigo o detalhamento de suas receitas e despesas; e
XVI – realizar ou determinar a realização de auditorias, no âmbito da atividade de fiscalização, sobre o tratamento de dados pessoais efetuado pelos agentes de tratamento, incluindo o poder público.
§ 1º Ao impor condicionamentos administrativos ao tratamento de dados pessoais por agente de tratamento privado, sejam eles limites, encargos ou sujeições, a Autoridade deve observar a exigência de mínima intervenção, assegurados os fundamentos, os princípios e os direitos dos titulares previstos no Artigo 170 da Constituição Federal e nesta Lei.
§ 2º Os regulamentos e normas editados pela Autoridade devem necessariamente ser precedidos de consulta e audiência públicas, bem como de análises de impacto regulatório.
Artigo 57.- Constituem receitas da Autoridade Nacional de Proteção de Dados:
I.- o produto da execução da sua dívida ativa;
II.- as dotações consignadas no orçamento geral da União, os créditos especiais, os créditos adicionais, as transferências e os repasses que lhe forem conferidos;
III.- as doações, legados, subvenções e outros recursos que lhe forem destinados;
IV.- os valores apurados na venda ou aluguel de bens móveis e imóveis de sua propriedade;
V.- os valores apurados em aplicações no mercado financeiro das receitas previstas neste artigo;
VI .- o produto da cobrança de emolumentos por serviços prestados;
VII.- os recursos provenientes de acordos, convênios ou contratos celebrados com entidades, organismos ou empresas, públicos ou privados, nacionais e internacionais;
VIII.- o produto da venda de publicações, material técnico, dados e informações, inclusive para fins de licitação pública.
Seção II.- Do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
Artigo 58.- O Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por 23 (vinte e três) representantes titulares, e seus suplentes, dos seguintes órgãos:
I.- 6 (seis) representantes do Poder Executivo federal;
II.- 1 (um) representante indicado pelo Senado Federal;
III.- 1 (um) representante indicado pela Câmara dos Deputados;
IV.- 1 (um) representante indicado pelo Conselho Nacional de Justiça;
V.- 1 (um) representante indicado pelo Conselho Nacional do Ministério Público;
VI.- 1 (um) representante indicado pelo Comitê Gestor da Internet no Brasil;
VII .- 4 (quatro) representantes da sociedade civil com atuação comprovada em proteção de dados pessoais;
VIII.- 4 (quatro) representantes de instituição científica, tecnológica e de inovação; e
IX.- 4 (quatro) representantes de entidade representativa do setor empresarial afeto à área de tratamento de dados pessoais.
§ 1º Os representantes serão designados por ato do Presidente da República, permitida a delegação, e terão mandato de 2 (dois) anos, permitida 1 (uma) recondução.
§ 2º A participação no Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será considerada atividade de relevante interesse público, não remunerada.
§ 3º Os representantes referidos nos incisos I, II, III e VI do caput deste artigo e seus suplentes serão indicados pelos titulares dos respectivos órgãos e entidades.
§ 4º Os representantes referidos nos incisos VII, VIII e IX do caput deste artigo e seus suplentes serão indicados na forma do regulamento e não poderão ser membros da entidade mencionada no inciso VI do caput deste artigo.
Artigo 59.- Compete ao Conselho Nacional de Proteção de Dados Pessoais e da Privacidade:
I.- propor diretrizes estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e de atuação da Autoridade Nacional de Proteção de Dados;
II.- elaborar relatórios anuais de avaliação da execução das ações da Política Nacional de Proteção de Dados Pessoais e da Privacidade;
III.- sugerir ações a serem realizadas pela Autoridade;
IV.- realizar estudos e debates sobre a proteção de dados pessoais e da privacidade; e
V.- disseminar o conhecimento sobre proteção de dados pessoais e da privacidade à população em geral.
CAPÍTULO X.- DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Artigo 60.- Lei nº 12.965, de 23 de abril de 2014, passa a vigorar com as seguintes alterações:
“Artigo 7º ………………………….
X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei e na que trata da proteção de dados pessoais; ……………………………………….”(NR)
“Artigo 16. …………………………
II – de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular, exceto nas hipóteses previstas na Lei que trata da proteção de dados pessoais.”(NR) Artigo 61. A empresa estrangeira será notificada e intimada de todos os atos processuais previstos nesta Lei, independentemente de procuração ou de disposição contratual ou estatutária, na pessoa do agente ou representante ou pessoa responsável por sua filial, agência, sucursal, estabelecimento ou escritório instalado no Brasil.
Artigo 62.- O órgão competente e o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep), no âmbito de suas competências, editarão regulamentos específicos para o acesso a dados tratados pela União para o cumprimento do disposto no § 2º do Artigo 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educação Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004.
Artigo 63.- O órgão competente estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados.
Artigo 64.- Os direitos e princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte.
Artigo 65.- Esta Lei entra em vigor após decorridos 18 (dezoito) meses de sua publicação oficial.
CÂMARA DOS DEPUTADOS, de maio de 2018.
RODRIGO MAIA Presidente
15Ago/18
Lei 13709/18, de 14 de agosto de 2018
Lei 13709/18, de 14 de agosto de 2018 dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014. (DOU de 15.8.2018)
O PRESIDENTE DA REPÚBLICA Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:
CAPÍTULO I.- DISPOSIÇÕES PRELIMINARES
Artigo 1º.- Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Artigo 2º.- A disciplina da proteção de dados pessoais tem como fundamentos:
I.- o respeito à privacidade;
II.- a autodeterminação informativa;
III.- a liberdade de expressão, de informação, de comunicação e de opinião;
IV.- a inviolabilidade da intimidade, da honra e da imagem;
V.- o desenvolvimento econômico e tecnológico e a inovação;
VI.- a livre iniciativa, a livre concorrência e a defesa do consumidor; e
VII.- os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
Artigo 3º.- Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I.- a operação de tratamento seja realizada no território nacional;
II.- a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
III.- os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
§ 1º Consideram-se coletados no território nacional os dados pessoais cujo titular nele se encontre no momento da coleta.
§ 2º Excetua-se do disposto no inciso I deste artigo o tratamento de dados previsto no inciso IV do caput do Artigo 4º desta Lei.
Artigo 4º.- Esta Lei não se aplica ao tratamento de dados pessoais:
I.- realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
II . realizado para fins exclusivamente:
a) jornalístico e artísticos; ou
b) acadêmicos, aplicando-se a esta hipótese os arts. 7º e 11 desta Lei;
III.- realizado para fins exclusivos de:
a) segurança pública;
b) defesa nacional;
c) segurança do Estado; ou
d) atividades de investigação e repressão de infrações penais; ou
IV.- provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.
§ 1º O tratamento de dados pessoais previsto no inciso III será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.
§ 2º É vedado o tratamento dos dados a que se refere o inciso III do caput deste artigo por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo.
§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas no inciso III do caput deste artigo e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.
§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados de que trata o inciso III do caput deste artigo poderá ser tratada por pessoa de direito privado.
Artigo 5º.- Para os fins desta Lei, considera-se:
I.- dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
II.- dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III.- dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV.- banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V.- titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI.- controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII.- operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII.- encarregado: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;
IX.- agentes de tratamento: o controlador e o operador;
X.- tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI.- anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII.- consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII.- bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV.- eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV.- transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI.- uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII.- relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII.- órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XIX.- autoridade nacional: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento desta Lei.
Artigo 6º.- As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I.- finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II.- adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III.- necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV.- livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V.- qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI.- transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII.- segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII.- prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX.- não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X.- responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
CAPÍTULO II.- DO TRATAMENTO DE DADOS PESSOAIS
Seção I.- Dos Requisitos para o Tratamento de Dados Pessoais
Artigo 7º.- O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I.- mediante o fornecimento de consentimento pelo titular;
II.- para o cumprimento de obrigação legal ou regulatória pelo controlador;
III.- pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV.- para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V.- quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI.- para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
VII.- para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII.- para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
IX.- quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X.- para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
§ 1º Nos casos de aplicação do disposto nos incisos II e III do caput deste artigo e excetuadas as hipóteses previstas no Artigo 4º desta Lei, o titular será informado das hipóteses em que será admitido o tratamento de seus dados.
§ 2º A forma de disponibilização das informações previstas no § 1º e no inciso I do caput do Artigo 23 desta Lei poderá ser especificada pela autoridade nacional.
§ 3º O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
§ 4º É dispensada a exigência do consentimento previsto no caput deste artigo para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos nesta Lei.
§ 5º O controlador que obteve o consentimento referido no inciso I do caput deste artigo que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim, ressalvadas as hipóteses de dispensa do consentimento previstas nesta Lei.
§ 6º A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
Artigo 8º.- O consentimento previsto no inciso I do Artigo 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
§ 1º Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
§ 2º Cabe ao controlador o ônus da prova de que o consentimento foi obtido em conformidade com o disposto nesta Lei.
§ 3º É vedado o tratamento de dados pessoais mediante vício de consentimento.
§ 4º O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
§ 5º O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do Artigo 18 desta Lei.
§ 6º Em caso de alteração de informação referida nos incisos I, II, III ou V do Artigo 9º desta Lei, o controlador deverá informar ao titular, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Artigo 9º.- O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I.- finalidade específica do tratamento;
II.- forma e duração do tratamento, observados os segredos comercial e industrial;
III.- identificação do controlador;
IV.- informações de contato do controlador;
V.- informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI.- responsabilidades dos agentes que realizarão o tratamento; e
VII.- direitos do titular, com menção explícita aos direitos contidos no Artigo 18 desta Lei.
§ 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.
§ 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.
§ 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no Artigo 18 desta Lei.
Artigo 10.- O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I.- apoio e promoção de atividades do controlador; e
II.- proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
Seção II.- Do Tratamento de Dados Pessoais Sensíveis
Artigo 11.- O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I.- quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II.- sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no Artigo 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
§ 1º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.
§ 2º Nos casos de aplicação do disposto nas alíneas a e b do inciso II do caput deste artigo pelos órgãos e pelas entidades públicas, será dada publicidade à referida dispensa de consentimento, nos termos do inciso I do caput do Artigo 23 desta Lei.
§ 3º A comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.
§ 4º É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nos casos de portabilidade de dados quando consentido pelo titular.
Artigo 12.- Os dados anonimizados não serão considerados dados pessoais para os fins desta Lei, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.
§ 1º A determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
§ 2º Poderão ser igualmente considerados como dados pessoais, para os fins desta Lei, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
§ 3º A autoridade nacional poderá dispor sobre padrões e técnicas utilizados em processos de anonimização e realizar verificações acerca de sua segurança, ouvido o Conselho Nacional de Proteção de Dados Pessoais.
Artigo 13.- Na realização de estudos em saúde pública, os órgãos de pesquisa poderão ter acesso a bases de dados pessoais, que serão tratados exclusivamente dentro do órgão e estritamente para a finalidade de realização de estudos e pesquisas e mantidos em ambiente controlado e seguro, conforme práticas de segurança previstas em regulamento específico e que incluam, sempre que possível, a anonimização ou pseudonimização dos dados, bem como considerem os devidos padrões éticos relacionados a estudos e pesquisas.
§ 1º A divulgação dos resultados ou de qualquer excerto do estudo ou da pesquisa de que trata o caput deste artigo em nenhuma hipótese poderá revelar dados pessoais.
§ 2º O órgão de pesquisa será o responsável pela segurança da informação prevista no caput deste artigo, não permitida, em circunstância alguma, a transferência dos dados a terceiro.
§ 3º O acesso aos dados de que trata este artigo será objeto de regulamentação por parte da autoridade nacional e das autoridades da área de saúde e sanitárias, no âmbito de suas competências.
§ 4º Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Seção III.- Do Tratamento de Dados Pessoais de Crianças e de Adolescentes
Artigo 14.- O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente.
§ 1º O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
§ 2º No tratamento de dados de que trata o § 1º deste artigo, os controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o Artigo 18 desta Lei.
§ 3º Poderão ser coletados dados pessoais de crianças sem o consentimento a que se refere o § 1º deste artigo quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento de que trata o § 1º deste artigo.
§ 4º Os controladores não deverão condicionar a participação dos titulares de que trata o § 1º deste artigo em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
§ 5º O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento a que se refere o § 1º deste artigo foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
§ 6º As informações sobre o tratamento de dados referidas neste artigo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
Seção IV.- Do Término do Tratamento de Dados
Artigo 15.- O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
I.- verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II.- fim do período de tratamento;
III.- comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do Artigo 8º desta Lei, resguardado o interesse público; ou
IV.- determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
Artigo 16.- Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I.- cumprimento de obrigação legal ou regulatória pelo controlador;
II.- estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III.- transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
IV.- uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
CAPÍTULO III.- DOS DIREITOS DO TITULAR
Artigo 17.- Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.
Artigo 18.- O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I.- confirmação da existência de tratamento;
II.- acesso aos dados;
III.- correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V.- portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
VI.- eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no Artigo 16 desta Lei;
VII.- informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII.- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX.- revogação do consentimento, nos termos do § 5º do Artigo 8º desta Lei.
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
I.- comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II.- indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
§ 6º O responsável deverá informar de maneira imediata aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento.
§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
Artigo 19.- A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I.- em formato simplificado, imediatamente; ou
II.- por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.
§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:
I.- por meio eletrônico, seguro e idôneo para esse fim; ou
II.- sob forma impressa.
§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
§ 4º A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput deste artigo para os setores específicos.
Artigo 20.- O titular dos dados tem direito a solicitar revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
§ 1º O controlador deverá fornecer, sempre que solicitadas, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial.
§ 2º Em caso de não oferecimento de informações de que trata o § 1º deste artigo baseado na observância de segredo comercial e industrial, a autoridade nacional poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado de dados pessoais.
Artigo 21.- Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.
Artigo 22.- A defesa dos interesses e dos direitos dos titulares de dados poderá ser exercida em juízo, individual ou coletivamente, na forma do disposto na legislação pertinente, acerca dos instrumentos de tutela individual e coletiva.
CAPÍTULO IV.- DO TRATAMENTO DE DADOS PESSOAIS PELO PODER PÚBLICO
Seção I.- Das Regras
Artigo 23.- O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do Artigo 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
I.- sejam informadas as hipóteses em que, no exercício de suas competências, realizam o tratamento de dados pessoais, fornecendo informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, em veículos de fácil acesso, preferencialmente em seus sítios eletrônicos;
II.- (VETADO); e
III.- seja indicado um encarregado quando realizarem operações de tratamento de dados pessoais, nos termos do Artigo 39 desta Lei.
§ 1º A autoridade nacional poderá dispor sobre as formas de publicidade das operações de tratamento.
§ 2º O disposto nesta Lei não dispensa as pessoas jurídicas mencionadas no caput deste artigo de instituir as autoridades de que trata a Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao).
§ 3º Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica, em especial as disposições constantes da Lei nº 9.507, de 12 de novembro de 1997 (Lei do Habeas Data), da Lei nº 9.784, de 29 de janeiro de 1999 (Lei Geral do Processo Administrativo), e da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao).
§ 4º Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta Lei.
§ 5º Os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para a administração pública, tendo em vista as finalidades de que trata o caput deste artigo.
Artigo 24.- As empresas públicas e as sociedades de economia mista que atuam em regime de concorrência, sujeitas ao disposto no Artigo 173 da Constituição Federal, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado particulares, nos termos desta Lei.
Parágrafo único.- As empresas públicas e as sociedades de economia mista, quando estiverem operacionalizando políticas públicas e no âmbito da execução delas, terão o mesmo tratamento dispensado aos órgãos e às entidades do Poder Público, nos termos deste Capítulo.
Artigo 25.- Os dados deverão ser mantidos em formato interoperável e estruturado para o uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, à descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.
Artigo 26.- O uso compartilhado de dados pessoais pelo Poder Público deve atender a finalidades específicas de execução de políticas públicas e atribuição legal pelos órgãos e pelas entidades públicas, respeitados os princípios de proteção de dados pessoais elencados no Artigo 6º desta Lei.
§ 1º É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto:
I.- em casos de execução descentralizada de atividade pública que exija a transferência, exclusivamente para esse fim específico e determinado, observado o disposto na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao);
II.- (VETADO);
III – nos casos em que os dados forem acessíveis publicamente, observadas as disposições desta Lei.
§ 2º Os contratos e convênios de que trata o § 1º deste artigo deverão ser comunicados à autoridade nacional.
Artigo 27.- A comunicação ou o uso compartilhado de dados pessoais de pessoa jurídica de direito público a pessoa de direito privado será informado à autoridade nacional e dependerá de consentimento do titular, exceto:
I.- nas hipóteses de dispensa de consentimento previstas nesta Lei;
II.- nos casos de uso compartilhado de dados, em que será dada publicidade nos termos do inciso I do caput do Artigo 23 desta Lei; ou
III.- nas exceções constantes do § 1º do Artigo 26 desta Lei.
Artigo 28.- (VETADO).
Artigo 29.- A autoridade nacional poderá solicitar, a qualquer momento, às entidades do Poder Público, a realização de operações de tratamento de dados pessoais, informe específico sobre o âmbito e a natureza dos dados e demais detalhes do tratamento realizado e poderá emitir parecer técnico complementar para garantir o cumprimento desta Lei.
Artigo 30.- A autoridade nacional poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais.
Seção II.- Da Responsabilidade
Artigo 31.- Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação.
Artigo 32.- A autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público.
CAPÍTULO V.- DA TRANSFERÊNCIA INTERNACIONAL DE DADOS
Artigo 33.- A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I.- para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
II.- quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
III.- quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV.- quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V.- quando a autoridade nacional autorizar a transferência;
VI.- quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII.- quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do Artigo 23 desta Lei;
VIII.- quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
IX.- quando necessário para atender as hipóteses previstas nos incisos II, V e VI do Artigo 7º desta Lei.
Parágrafo único.- Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do Artigo 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao), no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.
Artigo 34.- O nível de proteção de dados do país estrangeiro ou do organismo internacional mencionado no inciso I do caput do Artigo 33 desta Lei será avaliado pela autoridade nacional, que levará em consideração:
I.- as normas gerais e setoriais da legislação em vigor no país de destino ou no organismo internacional;
II.- a natureza dos dados;
III.- a observância dos princípios gerais de proteção de dados pessoais e direitos dos titulares previstos nesta Lei;
IV.- a adoção de medidas de segurança previstas em regulamento;
V.- a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e
VI.- outras circunstâncias específicas relativas à transferência.
Artigo 35.- A definição do conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, normas corporativas globais ou selos, certificados e códigos de conduta, a que se refere o inciso II do caput do Artigo 33 desta Lei, será realizada pela autoridade nacional.
§ 1º Para a verificação do disposto no caput deste artigo, deverão ser considerados os requisitos, as condições e as garantias mínimas para a transferência que observem os direitos, as garantias e os princípios desta Lei.
§ 2º Na análise de cláusulas contratuais, de documentos ou de normas corporativas globais submetidas à aprovação da autoridade nacional, poderão ser requeridas informações suplementares ou realizadas diligências de verificação quanto às operações de tratamento, quando necessário.
§ 3º A autoridade nacional poderá designar organismos de certificação para a realização do previsto no caput deste artigo, que permanecerão sob sua fiscalização nos termos definidos em regulamento.
§ 4º Os atos realizados por organismo de certificação poderão ser revistos pela autoridade nacional e, caso em desconformidade com esta Lei, submetidos a revisão ou anulados.
§ 5º As garantias suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no caput deste artigo serão também analisadas de acordo com as medidas técnicas e organizacionais adotadas pelo operador, de acordo com o previsto nos §§ 1º e 2º do Artigo 46 desta Lei.
Artigo 36.- As alterações nas garantias apresentadas como suficientes de observância dos princípios gerais de proteção e dos direitos do titular referidas no inciso II do Artigo 33 desta Lei deverão ser comunicadas à autoridade nacional.
CAPÍTULO VI.- DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Seção I.- Do Controlador e do Operador
Artigo 37.- O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
Artigo 38.- A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único.- Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Artigo 39. O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
Artigo 40.- A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, livre acesso aos dados e segurança, assim como sobre o tempo de guarda dos registros, tendo em vista especialmente a necessidade e a transparência.
Seção II.- Do Encarregado pelo Tratamento de Dados Pessoais
Artigo 41.- O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I.- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II.- receber comunicações da autoridade nacional e adotar providências;
III.- orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV.- executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
§ 3º A autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
Seção III.- Da Responsabilidade e do Ressarcimento de Danos
Artigo 42.- O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
§ 1º A fim de assegurar a efetiva indenização ao titular dos dados:
I.- o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no Artigo 43 desta Lei;
II.- os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente, salvo nos casos de exclusão previstos no Artigo 43 desta Lei.
§ 2º O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
§ 3º As ações de reparação por danos coletivos que tenham por objeto a responsabilização nos termos do caput deste artigo podem ser exercidas coletivamente em juízo, observado o disposto na legislação pertinente.
§ 4º Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
Artigo 43.- Os agentes de tratamento só não serão responsabilizados quando provarem:
I.- que não realizaram o tratamento de dados pessoais que lhes é atribuído;
II.- que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III.- que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
Artigo 44.- O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I.- o modo pelo qual é realizado;
II.- o resultado e os riscos que razoavelmente dele se esperam;
III.- as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Parágrafo único.- Responde pelos danos decorrentes da violação da segurança dos dados o controlador ou o operador que, ao deixar de adotar as medidas de segurança previstas no Artigo 46 desta Lei, der causa ao dano.
Artigo 45.- As hipóteses de violação do direito do titular no âmbito das relações de consumo permanecem sujeitas às regras de responsabilidade previstas na legislação pertinente.
CAPÍTULO VII.- DA SEGURANÇA E DAS BOAS PRÁTICAS
Seção I.- Da Segurança e do Sigilo de Dados
Artigo 46.- Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do Artigo 6º desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Artigo 47.- Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
Artigo 48.- O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
I.- a descrição da natureza dos dados pessoais afetados;
II.- as informações sobre os titulares envolvidos;
III.- a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV.- os riscos relacionados ao incidente;
V.- os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI.- as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
I.- ampla divulgação do fato em meios de comunicação; e
II.- medidas para reverter ou mitigar os efeitos do incidente.
§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos de seus serviços, para terceiros não autorizados a acessá-los.
Artigo 49.- Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares.
Seção II.- Das Boas Práticas e da Governança
Artigo 50.- Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do Artigo 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
I.- implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
II.- demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.
§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
Artigo 51.- A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos titulares dos seus dados pessoais.
CAPÍTULO VIII.- DA FISCALIZAÇÃO
Seção I.- Das Sanções Administrativas
Artigo 52.- Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I.- advertência, com indicação de prazo para adoção de medidas corretivas;
II.- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III.- multa diária, observado o limite total a que se refere o inciso II;
IV.- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V.- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI.- eliminação dos dados pessoais a que se refere a infração;
VII.- suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período até a regularização da atividade de tratamento pelo controlador;
VIII.- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
IX.- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
I.- a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II.- a boa-fé do infrator;
III.- a vantagem auferida ou pretendida pelo infrator;
IV.- a condição econômica do infrator;
V.- a reincidência;
VI.- o grau do dano;
VII.- (VETADO);
VIII.- (VETADO);
IX – (VETADO);
X.- a pronta adoção de medidas corretivas; e
XI.- a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas em legislação específica.
§ 3º O disposto nos incisos I, IV, V, VI, VII, VIII e IX do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990 (Estatuto do Servidor Público Federal), na Lei nº 8.429, de 2 de junho de 1992 (Lei de Improbidade Administrativa), e na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso a Informacao).
§ 4º No cálculo do valor da multa de que trata o inciso II do caput deste artigo, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.
Artigo 53.- A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.
§ 1º As metodologias a que se refere o caput deste artigo devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei.
§ 2º O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária.
Artigo 54.- O valor da sanção de multa diária aplicável às infrações a esta Lei deve observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional.
Parágrafo único.- A intimação da sanção de multa diária deverá conter, no mínimo, a descrição da obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento.
CAPÍTULO IX.- DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD) E DO CONSELHO NACIONAL DE PROTEÇÃO DE DADOS PESSOAIS E
DA PRIVACIDADE
Seção I.- Da Autoridade Nacional de Proteção de Dados (ANPD)
Artigo 55.- (VETADO).
Artigo 56.- (VETADO).
Artigo 57.- (VETADO).
Seção II.- Do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
Artigo 58.- (VETADO).
Artigo 59.- (VETADO).
CAPÍTULO X.- DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Artigo 60.- A Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), passa a vigorar com as seguintes alterações:
“Artigo 7º …………………………………………………………
……………………………………………………………………………
X.- exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei e na que dispõe sobre a proteção de dados pessoais;
……………………………………………………………………”
“Artigo 16. ………………………………………………………..
……………………………………………………………………………
II.- de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular, exceto nas hipóteses previstas na Lei que dispõe sobre a proteção de dados pessoais.”
Artigo 61.- A empresa estrangeira será notificada e intimada de todos os atos processuais previstos nesta Lei, independentemente de procuração ou de disposição contratual ou estatutária, na pessoa do agente ou representante ou pessoa responsável por sua filial, agência, sucursal, estabelecimento ou escritório instalado no Brasil.
Artigo 62.- A autoridade nacional e o Instituto Nacional de Estudos e Pesquisas Educacionais Anísio Teixeira (Inep), no âmbito de suas competências, editarão regulamentos específicos para o acesso a dados tratados pela União para o cumprimento do disposto no § 2º do Artigo 9º da Lei nº 9.394, de 20 de dezembro de 1996 (Lei de Diretrizes e Bases da Educacao Nacional), e aos referentes ao Sistema Nacional de Avaliação da Educação Superior (Sinaes), de que trata a Lei nº 10.861, de 14 de abril de 2004.
Artigo 63.- A autoridade nacional estabelecerá normas sobre a adequação progressiva de bancos de dados constituídos até a data de entrada em vigor desta Lei, consideradas a complexidade das operações de tratamento e a natureza dos dados.
Artigo 64.- Os direitos e princípios expressos nesta Lei não excluem outros previstos no ordenamento jurídico pátrio relacionados à matéria ou nos tratados internacionais em que a República Federativa do Brasil seja parte.
Artigo 65.- Esta Lei entra em vigor após decorridos 18 (dezoito) meses de sua publicação oficial.
Brasília, 14 de agosto de 2018; 197º da Independência e 130º da República.
MICHEL TEMER
Torquato Jardim
Aloysio Nunes Ferreira Filho
Eduardo Refinetti Guardia
Esteves Pedro Colnago Junior
Gilberto Magalhães Occhi
Gilberto Kassab
Wagner de Campos Rosário
Gustavo do Vale Rocha
Ilan Goldfajn
Raul Jungmann
Eliseu Padilha
Legislación Informática de Brasil 2018
Lei 13709/18, de 14 de agosto de 2018 dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014. (DOU de 15.8.2018)
15Ago/18
Acuerdo nº 002-2018-TEL-MICITT, de 11 de enero de 2018
Acuerdo nº 002-2018-TEL-MICITT, de 11 de enero de 2018, del Ministerio de Ciencia, Tecnología y Telecomunicaciones
EL PRESIDENTE DE LA REPÚBLICA Y EL MINISTRO DE CIENCIA, TECNOLOGÍA
Y TELECOMUNICACIONES
Con fundamento en las atribuciones que les confieren los artículos 11, 129, 140 inciso 20), 146 de la Constitución Política de la República de Costa Rica; y en razón de lo dispuesto en los artículos 10, 11, 16.1, 25 inciso 1), 27 inciso 1), 28 inciso 2) subincisos a) y b), 140, 154, 264 y 346.1 de la Ley nº 6227, “Ley General de la
Administración Pública” (LGAP), emitida el 02 de mayo de 1978 y publicada en el Diario Oficial La Gaceta n° 102, Alcance n° 90, del 30 de mayo de 1978; en los artículos 3, 4, 7, 8, 9, 10, 22, 25 y 26 de la Ley n° 8642, “Ley General de Telecomunicaciones” (LGT), emitida el 04 de junio de 2008 y publicada en el Diario Oficial La Gaceta n° 125 del 30 de junio del 2008; en los artículos 39 y 40 de la Ley n° 8660, “Ley de Fortalecimiento y Modernización de la Entidades Públicas del Sector Telecomunicaciones”, emitida en fecha 08 de agosto de 2008 y publicada el Diario Oficial La Gaceta n° 156, Alcance n° 31, del 13 de agosto del 2008 y sus reformas; en la Ley n° 7593, “Ley de la Autoridad Reguladora de los Servicios Públicos” ARESEP), emitida publicada en el Diario Oficial La Gaceta n° 169 del 05 de setiembre de 1996 y sus reformas; en el artículo 6 de la Ley n° 9024, “Ley de Impuesto a las personas jurídicas” emitida el día 23 de diciembre del 2011 y publicada en el Alcance n° 111-A al Diario Oficial La Gaceta n° 249 de fecha 27 de diciembre del 2011; en lo dispuesto en el Decreto Ejecutivo n° 35257-MINAET, “Plan
Nacional de Atribución de Frecuencias” (PNAF), emitido en fecha 16 de abril del 2009 y publicado en el Diario Oficial La Gaceta n° 103, Alcance n° 19, del 29 de mayo del 2009 y sus reformas; en el Decreto Ejecutivo N° 34765-MINAET, “Reglamento a la Ley General de Telecomunicaciones” (RLGT), emitido el 22 de setiembre del 2008 y publicado en el Diario Oficial La Gaceta n° 186 del 26 de setiembre de 2008 y sus reformas; en la recomendación técnica emitida por la Superintendencia de Telecomunicaciones (SUTEL), mediante oficio n° 5386-SUTEL-DGC-2013 de fecha 23 de octubre del 2013, aprobada por Acuerdo n° 019-057-2013 de su Consejo, adoptado en la sesión ordinaria n° 057-2013, celebrada en fecha 25 de octubre del 2013; en el informe técnico n° MICITT-GAER-INF-033-2014,
de fecha 14 de febrero de 2014 de la Gerencia de Administración del Espectro Radioeléctrico; en el Informe Técnico-Jurídico n° MICITTDNPT-IT-184-2017 de fecha 13 de junio del 2017 del Departamento de Normas y Procedimientos en Telecomunicaciones (DNPT) ambas dependencias del Viceministerio de Telecomunicaciones del Ministerio de Ciencia, Tecnología y Telecomunicaciones (MICITT) y en los elementos que constan en el expediente administrativo n°
DNCR-TV-2014-01 de la Unidad de Control Nacional de Radio del Viceministerio de Telecomunicaciones.
Considerando:
I..- Que el Poder Ejecutivo mediante Acuerdo Ejecutivo n° 31-1994 del 28 de febrero de 1994, le otorgó a la empresa DONA NENA S. A., con cédula de persona jurídica n° 3-101-110968, la concesión del rango de frecuencias de 482 MHz a 488 MHz
(correspondiente al Canal 16), en Ultra Alta Frecuencia (UHF), para el servicio de radiodifusión televisiva abierta (emisiones de televisión de acceso libre), entre sus estudios ubicados en San José y su transmisor en Sabanillas de Alajuela. (Folio 32 del expediente administrativo n° DCNR-TV-2014-01).
II.- Que el Poder Ejecutivo mediante Acuerdo Ejecutivo n° 67-1994 del 26 de abril de 1994, le otorgó a la empresa DONA NENA S.A., con cédula de persona jurídica n° 3-101-110968, la concesión del rango de frecuencias de 482 MHz a 488 MHz (correspondiente al Canal 16), en Ultra Alta Frecuencia (UHF), para el servicio de radiodifusión televisiva abierta (emisiones de televisión de acceso libre), con transmisor ubicado en Cerro Cañas Dulces de Liberia, Guanacaste. (Folio 31 del expediente administrativo n° DCNR-TV-2014-01)
III.- Que mediante oficio n° 5469-SUTEL-SCS-2013 de fecha 29 de octubre de 2013, recibido en el Viceministerio de Telecomunicaciones en esa misma fecha, la Superintendencia de Telecomunicaciones remitió el dictamen técnico emitido
mediante el oficio n° 5386-SUTEL-DGC-2013 de fecha 23 de octubre del 2013, el cual fue aprobado por su Consejo mediante el Acuerdo n° 019-057-2013, adoptado en la sesión ordinaria n° 057-2013, celebrada en fecha 25 de octubre de 2013, referente a la recomendación sobre la adecuación de los títulos habilitantes de
la empresa DONA NENA S. A., con cédula de persona jurídica n° 3-101-110968, concesionaria de las frecuencias 482 MHz a 488 MHz (Canal 16) para radiodifusión televisiva abierta. En dicho informe, la SUTEL realizó el análisis respectivo, así como el estudio registral y concluyó que aparentemente la concesionaria no está utilizando el recurso asignado, así como determinó el eventual incumplimiento de las obligaciones legales y contractuales, por lo que se estaría en presencia de las causales de revocación y extinción del título habilitante, según lo contemplado por el artículo 22 de la Ley General de Telecomunicaciones. Por lo que, recomendó al Poder Ejecutivo que “en vista de la no utilización del recurso asignado (100% de no cobertura en el país durante los años 2010 y 2012) de conformidad con lo indicado mediante los oficios 1619-SUTEL-2010 y 5173-SUTEL-DGC-2012, con el fin de que
se proceda con la valoración de la extinción del título habilitante Acuerdo Ejecutivo n° 67-1994 y con la eventual recuperación del recurso escaso (canal 16 de televisión) por parte del Estado. (Folios 01 al 06 del expediente administrativo n° DCNR-TV-2014-01).
IV.- Que por medio del memorando n° MICITT-DERRTMEMO-015-2014, de fecha 14 de marzo del 2014, recibido en la Unidad de Control Nacional de Radio en esa misma fecha, la Dirección de Espectro Radioeléctrico y Redes de Telecomunicaciones remitió el informe técnico n° MICITT-GAERINF-033-2014, de fecha 14 de febrero del 2014 de la Gerencia de Administración del Espectro Radioeléctrico, acerca de la ocupación del espectro radioeléctrico concesionado a la empresa DONA NENA S. A., y la recomendación técnica de la Superintendencia de
Telecomunicaciones. Dicha Dirección indicó que “en el marco del ordenamiento del espectro radioeléctrico, y en vista de los principios rectores definidos en la Ley General de Telecomunicaciones (LGT), (…) se acoge el informe nº 5173-SUTEL-DGC-2012, en lo relativo al espectro radioeléctrico concesionado a Dona Nena S.A. (Canal 16, desde 482 MHz a 488 MHz). En la información analizada se observa: que aparentemente dicha concesionaria no cumple con la cobertura requerida, la no suscripción del respectivo contrato de concesión según lo dispuesto por el transitorio II del ya derogado Reglamento de Radiocomunicaciones, Decreto Ejecutivo nº 31608-G y sus reformas; y la no presentación de la información solicitada mediante oficio 1041-SUTEL-DGC-2012, por lo que no se pudo corroborar la ubicación de los puntos de transmisión”. (Folios 07 a 20 del expediente administrativo n° DCNR-TV-2014-01).
V.- Que mediante el Alcance nº 291 al Diario Oficial La Gaceta nº 235 de fecha 07 de diciembre del 2016, la Junta Administrativa del Registro Nacional del Ministerio de Justicia y Paz, comunica que de conformidad a lo dispuesto en el artículo 6 de la Ley nº 9024, Ley del Impuesto a las Personas Jurídicas, el Registro de Personas Jurídicas da a conocer que la sociedad DONA NENA S. A., con cédula de persona jurídica n° 3-101-110968 presenta morosidad con el pago del impuesto a las personas jurídicas por tres o más periodos consecutivos, motivo por el cual se
encuentra disuelta de pleno derecho. (Folios 22 a 26 del expediente administrativo n° DCNR-TV-2014-01).
VI.-Que mediante consulta realizada al Sistema de Certificaciones e Informes Digitales en línea del Registro Nacional en fecha 02 de junio del 2017, se constató que la empresa DONA NENA, S.A., con cédula de persona jurídica n° 3-101-110968, se encuentra disuelta conforme al artículo 6 de la Ley n° 9024, Ley del Impuesto a las Personas Jurídicas. (Folios 27 del expediente administrativo n° DCNR-TV-2014-01).
VII.- Que mediante certificación n° 40-SUTEL-2017 de las 09:00 horas del 12 de junio de 2017, suscrita por el Registro Nacional de Telecomunicaciones de la Superintendencia de Telecomunicaciones, se certificó que la empresa DONA NENA
S.A. cuenta con dos títulos habilitantes: los Acuerdos Ejecutivos n° 31-1994 de fecha 28 de febrero de 1994 y n° 67-1994 de fecha 26 de abril de 1994, citados en los considerandos primero y segundo del presente Acuerdo Ejecutivo. (Folios 28 a 32 del expediente administrativo n° DCNR-TV-2014-01)
VIII.- Que mediante certificación n° 071-2017 de las 14:00 horas del 09 de junio del 2017, suscrita por la funcionaria Alba Nidia Rodríguez Varela de la Unidad de Gestión Documental de la Dirección General de Operaciones de la Superintendencia de Telecomunicaciones, se certificó el expediente de la antigua Oficina de Control de Radio del Ministerio de Gobernación, cuyo original custodia la SUTEL, el cual se refiere al trámite de “Otorgamiento de frecuencia Canal 16”, mismo que tiene asignado el indicativo con el código TI-DN, y que se incorpora de manera integral al
expediente administrativo que lleva el Departamento de Normas y Procedimientos en Telecomunicaciones. (Folios 33 a 78 del expediente administrativo n° DCNR-TV-2014-01)
IX.- Que en fecha 13 de junio del 2017, el Departamento de Normas y Procedimientos en Telecomunicaciones emitió el informe técnico jurídico n° MICITT-DNPT-INF-184-2017 referente a la disolución de la empresa DONA NENA, S.A., mediante la aplicación del artículo 6 de la Ley n° 9024, Ley del Impuesto a las Personas Jurídicas, cuya condición configura una causal de mera constatación que permite extinguir una concesión (Acuerdos Ejecutivos n° 31-1994 del 28 de febrero de 1994 y ,° 67-1994 del 26 de abril de 1994) con fundamento en el artículo 22 inciso 2) subinciso e) de la Ley nº 8642, Ley General de Telecomunicaciones. Por lo tanto, dicho Departamento recomendó al Poder Ejecutivo acoger la recomendación para la extinción de los títulos habilitantes de marras, según el análisis realizado. (Folios 79 a 86 del expediente administrativo n° DCNR-TV-2014-01).
X.- Que con fundamento en lo dispuesto en los artículos 121 inciso 14) de la Constitución Política y 39 inciso d) de la Ley de Fortalecimiento y Modernización de las Entidades Públicas del Sector Telecomunicaciones, no existiendo razones de interés público ni de conveniencia institucional para separarse de las recomendaciones emitidas, el Poder Ejecutivo acoge integralmente, en el presente acto, su contenido y recomendaciones. Las recomendaciones técnicas que lo sustentan, referenciadas en los considerandos anteriores, consta en el expediente administrativo n° DCNR-TV-2014-01, de la Unidad de Control Nacional de Radio del Viceministerio de Telecomunicaciones (MICITT) para mayor abundamiento. Por tanto,
ACUERDAN:
Artículo 1º.- Declarar la extinción de las concesiones de uso del rango de frecuencias de 482 MHz a 488 MHz (Canal 16), otorgadas mediante Acuerdos Ejecutivos n° 31-1994 del 28 de febrero de 1994 y n° 67-1994 del 26 de abril de 1994 (para operar una estación radiodifusora de televisión entre sus estudios ubicados en San José y sus transmisores en Sabanilla de Alajuela y en el Cerro Cañas Dulces en Liberia, Guanacaste), a la extinta sociedad DONA NENA SOCIEDAD ANÓNIMA, la cual otrora ostentara la cédula de persona jurídica n° 3-101-110968, de conformidad con lo dispuesto en el artículo 22 inciso 2 subinciso e) de la Ley nº 8642, Ley General de Telecomunicaciones, y el principio de uso eficiente del espectro radioeléctrico.
Artículo 2º.- Solicitar a la Superintendencia de Telecomunicaciones que actualice las bases de datos sobre los registros de asignación del espectro radioeléctrico para que se considere como disponible el rango de frecuencias de 482 MHz a 488 MHz (Canal 16).
Artículo 3º.- Informar a la otrora empresa DONA NENA SOCIEDAD ANÓNIMA, o a cualquier interesado de la misma, sobre su derecho a recurrir el presente Acuerdo Ejecutivo, mediante el recurso de reposición el cual deberá ser presentado ante el Poder Ejecutivo en el plazo de tres (3) días hábiles a partir de la notificación del acuerdo, debiendo presentar su escrito en el Despacho del Ministro de Ciencia, Tecnología y Telecomunicaciones, sito en San José, de la esquina sureste de la Plaza de la Democracia, 150 metros al este; Avenida Segunda, Calles 17 y 19. Lo anterior de conformidad con el artículo 346 inciso 1) de la Ley General de
Administración Pública.
Artículo 4º.- Notificar el presente Acuerdo Ejecutivo a la otrora empresa DONA NENA SOCIEDAD ANÓNIMA, o a cualquier interesado de la misma, por el medio que conste dentro del expediente administrativo de la concesión que se está extinguiendo en este acto y que este mismo sea notificado a la Superintendencia
de Telecomunicaciones con el fin de ser inscrito en el Registro Nacional de Telecomunicaciones.
Artículo 5º.- Rige a partir de su notificación.
Dado en la Presidencia de la República, el día 11 de enero del año dos mil dieciocho.
LUIS GUILLERMO SOLÍS RIVERA.
Edwin Estrada Hernández, Ministro de Ciencia, Tecnología y Telecomunicaciones
14Ago/18
Decreto n° 41190-MP- MIDEPLAN-MICIT-MC, de 26 de junio de 2018
Decreto n° 41190-MP- MIDEPLAN-MICIT-MC, de 26 de junio de 2018, reforma a los Decretos Ejecutivos nº 38994-MP-PLAN-MICITT del 23 de abril del 2015, 39372-MP-MC del 7 de diciembre de 2015 y 40199-MP del 27 de abril del DEL 2017. (Diario Oficial La Gaceta, año CXL, nº 125, La Uruca, San José, Costa Rica, miércoles 11 de julio del 2018).
EL PRESIDENTE DE LA REPÚBLICA, EL MINISTRO DE LA PRESIDENCIA,
LA MINISTRA DE PLANIFICACIÓN NACIONAL Y POLÍTICA ECONÓMICA
EL MINISTRO DE CIENCIA, TECNOLOGÍA Y TELECOMUNICACIONES Y EL
MINISTRO DE COMUNICACIÓN
Con fundamento en los artículos 27, 30, 140 inciso 18) y 146 de la Constitución Política, los artículos 25.1) y 27.1) de la Ley General de la Administración Pública, Ley nº 6227 de 2 de mayo de 1978; el artículo 19 de la Ley de Planificación Nacional, Ley nº 5525 de 2 de mayo de 1974;
Considerando:
I.- Que mediante Decreto Ejecutivo n° 38994-MP-PLANMICITT del 29 de abril de 2015, denominado Fomento del Gobierno Abierto en la Administración Pública y Creación de la Comisión Nacional para un Gobierno Abierto, se crea la Comisión Nacional por un Gobierno Abierto con el objetivo de coordinar y facilitar la
implementación del Gobierno Abierto en la Administración Pública, acompañando la formulación y evaluación de los planes nacionales de acción que sobre la materia se determinen necesarios.
II.- Que por medio del Decreto Ejecutivo n° 40199-MP del 27 de abril de 2017, denominado Apertura de Datos Públicos, se crea la Comisión Nacional de Datos Abiertos cuyo objetivo es la aplicación e implementación de la Política Nacional de Apertura de Datos de Carácter Público en el país, así como promover la transparencia gubernamental, la lucha contra la corrupción, la colaboración con la ciudadanía, la innovación y el crecimiento económico en la era digital.
III.- Que la temática de Gobierno Abierto, es un paradigma de organización multidireccional, colaborativo y transparente, entre la administración, la ciudadanía y los distintos actores de la sociedad civil, el cual constituye una nueva cultura de la comunicación gubernamental, donde la utilización de nuevas tecnologías, resulta
en un elemento primario para facilitar el acceso a la información, la lucha contra la corrupción, la participación ciudadana, y la generación procesos de co-creativos.
IV.- Que al ser la comunicación, el sustento de todos los procesos multidimensionales que un modelo de Gobierno Abierto requiere, se convierte en un eje transversal necesario para alcanzar, fomentar, y promocionar la Estrategia Nacional de Gobierno Abierto, los compromisos asumidos por Costa Rica en la Alianza para el Gobierno Abierto (Open Government Partnership) y la Política Nacional de Apertura de Datos de Carácter Público.
V.- Que en aras de facilitar la generación de procesos comunicación, la transparencia, el acceso a datos públicos abiertos, el uso de nuevas tecnologías y la rendición de cuentas, entre los distintos actores de la sociedad civil y los órganos y entes estatales de la administración pública, es necesaria la participación y liderazgo
del Ministerio de Comunicación. Por lo tanto,
Decretan:
REFORMA A LOS DECRETOS EJECUTIVOS NÚMERO 38994-MP-PLAN-MICITT DEL 23 DE ABRIL DEL 2015, 39372-MP-MC DEL 7 DE DICIEMBRE DE 2015 Y 40199-MP DEL 27 DE ABRIL DEL 2017
Artículo 1º.- Modifíquense los artículos 5 inciso 1) y 10 del Decreto Ejecutivo número 38994-MP-PLAN-MICITT del 23 de Abril del 2015, denominado Fomento del Gobierno Abierto en la Administración Pública y Creación de la Comisión Nacional para un Gobierno Abierto para que en adelante se lean:
“[…] Artículo 5º—Integración de la Comisión. La CNGA estará integrada por un representante propietario y un único suplente de cada una de las siguientes entidades y organizaciones:
1. El (la) Ministro(a) de Comunicación, destinado(a) al efecto, quien presidirá la Comisión. (…)
Artículo 10.—Jerarquía: La CNGA estará adscrita al Ministerio de la Comunicación, y este facilitará los recursos humanos y materiales para la adecuada gestión de la Comisión y sus Subcomisiones. […]”
Artículo 2º.- Modifíquense el artículo 8 y el párrafo primero del numeral 9 del Decreto Ejecutivo número 40199-MP del 27 de Abril del 2017, denominado Apertura de Datos Públicos, para que en adelante se lean:
“[…] Artículo 8.- Comisión Nacional de Datos Abiertos.(…)
La Comisión será presidida por el Ministerio de Comunicación en su función de rector de Gobierno Abierto y tendrá una conformación multisectorial.
La representación tendrá un propietario y un único suplente, ambos capacitados y con conocimiento acreditado en materia de datos abiertos, de cada una de las siguientes entidades y organizaciones:
1. Ministerio de Comunicación. (…)”
Artículo 9- La Secretaría Técnica de la Política Nacional de Apertura de Datos Públicos.
La Secretaría Técnica de la Política Nacional de Apertura de Datos Públicos se crea en el Ministerio de Comunicación con las siguientes funciones […]”
Artículo 3º.- Modifíquese el artículo 2 del Decreto Ejecutivo número 39372-MP-MC del 7 de diciembre de 2015, que Declara de Interés Público la Estrategia Nacional para un Gobierno Abierto 2015-2018, para que en adelante se lea:
“Artículo 2º—El documento que contiene la Estrategia Nacional para un Gobierno Abierto 2015-2018, se encuentra disponible en la dirección electrónica gobiernoabierto.go.cr. Una versión física se custodiará en el Ministerio de Comunicación.”
Artículo 4º.- Rige a partir de su publicación en el Diario Oficial.
Dado en la Presidencia de la República.
San José a los veintiséis días del mes de junio de dos mil dieciocho.
CARLOS ALVARADO QUESADA.
El Ministro de Presidencia, Rodolfo Piza Rocafort.
La Ministra de Planificación Nacional y Política Económica, María del Pilar Garrido Gonzalo.
El Ministro de Ciencia y Tecnología y Telecomunicaciones, Luis Adrián Salazar.
El Ministro de Comunicación, Juan Carlos Mendoza García.
14Ago/18
Decreto nº DIP-004-2018-MICITT del 11 de julio de 2018
Decreto nº DIP-004-2018-MICITT del 11 de julio de 2018 del Ministerio de Ciencia, Tecnología y Telecomunicaciones. (Diario Oficial La Gaceta, año CXL, nº 145, La Uruca, San José, Costa Rica, lunes 13 de agosto del 2018).
EL PRESIDENTE DE LA REPÚBLICA Y EL MINISTRO DE CIENCIA, TECNOLOGÍA
Y TELECOMUNICACIONES
En uso de las facultades conferidas en los incisos 3) y 18) del artículo 140 y el artículo 146 de la Constitución Política de la República de Costa Rica; el inciso 1) del artículo 25 y el inciso 2.b) del artículo 28 de la Ley nº 6227, “Ley General de la Administración Pública”, publicada en el Diario Ofcial La Gaceta ,n° 102, Alcance
n° 90 del 30 de mayo de 1978; el artículo 8° de la Ley nº 7169, “Promoción Desarrollo Científco y Tecnológico y Creación del MICITT”, publicada en el Alcance n° 23 del Diario Ofcial La Gaceta n° 144 del 01 de agosto de 1990; y el artículo 1° inciso i) del Decreto Ejecutivo n° 20604-MICITT, “Reglamento Ley Promoción
Desarrollo Científco y Tecnológico n° 7169”, publicado en el Diario Ofcial La Gaceta n° 163 del 29 de agosto de 1991.
Considerando que:
1º.- La Asociación Estrategia Siglo XXI para el Desarrollo del Conocimiento y la Innovación, organiza el “Foro sobre El Hidrógeno en la Des-carbonización del Transporte en Costa Rica” (Foro de Hidrógeno CR), que se llevará a cabo en el Hotel Intercontinental en San José Costa Rica, los días 13 y 14 de agosto
del 2018.
2º.- La referida actividad resulta trascendental en la medida que abrirá un amplio espacio de discusión sobre la implementación de una de las tecnologías que contribuirá a sustituir los combustibles fósiles tradicionales por un combustible limpio, renovable y de producción doméstica que asimismo presenta oportunidades de innovación tecnológica autóctona para nuestro país y la región. El Foro de Hidrógeno CR promueve el uso de la ciencia y la tecnología como motor de competitividad y crecimiento del sector productivo nacional.
3º.- El fn primordial del “Foro de Hidrógeno CR”, es la educación en el uso del hidrógeno como un vector energético limpio y renovable. La proyección del evento es informar, disminuir el desconocimiento o incertidumbre, aclarar dudas y discutir o dialogar sobre el papel del hidrógeno en la gama de tecnologías alternativas
a los hidrocarburos en el área de transportes; así como profundizar sobre su potencial implementación a futuro en Costa Rica.
4º.- Según Dr-Ing. Paola Vega Castillo, Viceministra de Ciencia y Tecnología, “tras analizar la descripción del evento “Foro sobre El Hidrógeno en la Des-carbonización del Transporte en Costa Rica” (Foro de Hidrógeno CR), propuesto por la Asociación
Estrategia Siglo XXI, se determinó que efectivamente se trata de un evento tecnológico sin fnes de lucro, el cual resulta de gran importancia para lograr insumos para el análisis del posible uso de hidrógeno como parte de la estrategia de carbono neutralidad del país, al ser la matriz energética del sector transportes una fuente
importante de emisiones de dióxido de carbono. Por esta razón, se recomienda otorgar la Declaratoria de Interés Público para este evento”.
5°.- De conformidad con el artículo 8° de la Ley nº 7169, “Promoción Desarrollo Científco y Tecnológico y Creación del MICITT”, todas las actividades científcas y tecnológicas sin fnes de lucro, realizadas por las entidades que forman parte del Sistema Nacional de Ciencia y Tecnología, son de interés público. Por tanto,
ACUERDAN:
DECLARAR DE INTERÉS PÚBLICO EL “FORO SOBRE EL HIDRÓGENO EN LA DES-CARBONIZACIÓN DEL TRANSPORTE EN COSTA RICA (FORO DE HIDRÓGENO CR)
Artículo 1º.- Con fundamento en el artículo 8° de la Ley nº 7169, “Promoción Desarrollo Científco y Tecnológico y Creación del MICITT”, se declara de interés público el “Foro sobre El Hidrógeno en la Des-carbonización del Transporte en Costa
Rica” (Foro de Hidrógeno CR), el cual se realizará en el Hotel Intercontinental en San José Costa Rica, los días 13 y 14 de agosto del 2018.
Artículo 2º.- Se insta a las entidades públicas y privadas, para que en la medida de sus posibilidades y dentro de la normativa jurídica vigente, contribuyan con el aporte de recursos económicos, logísticos y técnicos para la exitosa realización de la actividad mencionada.
Artículo 3º.- Rige los días 13 y 14 de agosto del 2018.
Dado en la Presidencia de la República, San José, a los once días de julio del dos mil dieciocho.
CARLOS ANDRÉS ALVARADO QUESADA.
El Ministro de Ciencia, Tecnología y Telecomunicaciones, Luis Adrián Salazar Solís.
01Ago/18
Lei de Proteção de Dados Pessoais aproxima o Brasil dos Países Civilizados
LEI DE PROTEÇÃO DE DADOS PESSOAIS APROXIMA O BRASIL DOS PAÍSES CIVILIZADOS
Demócrito Reinaldo Filho
Desembargador do TJPE
Na última terça-feira (10/07), foi aprovada por unanimidade no Senado a Lei Geral de Proteção de Dados (LGPD), originada do PLC 53/18[1], da Câmara dos Deputados, que agora segue para sanção presidencial. O projeto tramitou por cerca de oito anos no legislativo, após passar por diversas comissões e sofrer diversos ajustes na versão original.
A Lei disciplina o uso, a proteção e transferência de dados pessoais, garantindo aos cidadãos maior controle sobre suas informações. A lei brasileira sofreu influência da regulação europeia sobre dados pessoais, conhecida como Regulamento Geral de Proteção de Dados (RGPD)[2], que entrou em vigor no dia 25 de maio deste ano.
Dentre outras inovações, o texto aprovado no Senado com 65 artigos distribuídos em 10 capítulos exige o consentimento explícito do titular para a coleta e uso dos seus dados por terceiros, conferindo-lhe a possibilidade de exigir a correção e exclusão dos dados. A Lei ainda prevê a criação de um órgão responsável pela sua aplicação: a Autoridade Nacional de Proteção de Dados (ANPD), que terá a forma de uma autarquia especial vinculada ao Ministério da Justiça. Ainda prevê punições para o caso de infrações ou descumprimento de seus dispositivos, que variam de uma simples advertência até multa no limite de 50 milhões de reais, podendo haver também proibição parcial ou total do exercício de atividade da empresa que comete o ato infracional, dependendo da gravidade da infração. A lei será aplicável mesmo para empresas que tenham sede no exterior, desde que a operação de tratamento de dados seja realizada envolvendo pessoas que tenham residência no Brasil.
O projeto da lei geral de proteção de dados pessoais tramitava há muito tempo e ganhou impulso não somente depois do momento de entrada em vigor de sua congênere europeia, mas sobretudo depois que eclodiu o escândalo de vazamento de dados dos usuários do Facebook, transmitidos e utilizados para fins políticos sem o consentimento deles por uma empresa parceira dessa rede social, a Cambridge Analytica[3]. A divulgação desse caso teve repercussão em todo mundo, trazendo a questão da proteção de dados pessoais para o centro dos debates políticos, inclusive forçando o CEO do Facebook, Mark Zuckerberg, a prestar esclarecimentos perante uma comissão do Congresso dos EUA[4]. No Brasil, o efeito imediato foi a agilização do projeto da lei geral de proteção de dados pessoais, que foi votada em regime de urgência pelo plenário do Senado.
A expectativa é que o Presidente Temer sancione a Lei sem vetos significativos, mas só entrará em vigor dentro de 18 meses, prazo suficiente para que as empresas e o setor público se adequem às suas exigências.
O Brasil vinha perdendo oportunidades de investimento financeiro internacional em razão do “isolamento jurídico” por não dispor de uma lei geral de proteção de dados pessoais. A União Europeia, por exemplo, veda a transferência de dados de cidadãos europeus para empresas de outros países que não têm um “nível adequado” de proteção de dados pessoais, e o Brasil até então era enquadrado na categoria das nações que não protege de maneira satisfatória a privacidade e intimidade das pessoas. Como se costuma dizer, os dados hoje são “o petróleo” da nova economia da informação e o nosso país estava em desvantagem em relação a outros países que já tinham adotado legislação semelhante.
O Brasil chega excessivamente tarde na regulamentação do assunto da proteção de dados pessoais. O chamado Regulamento Geral de Proteção de Dados (RGPD), que serviu como modelo para a legislação brasileira, foi na verdade uma reforma das regras de proteção de dados na União Europeia, que já contava com uma Diretiva sobre o assunto desde 1995 (a Diretiva 95/46/CE)[5]. Leis específicas de proteção de dados pessoais começaram a surgir a partir da década de 70, com o advento das tecnologias da informação. Em 1970, o Estado alemão de Hesse editou a primeira lei sobre essa matéria. A Suécia contava com o Datalegen, Lei 289 de 11 de maio de 1973. Desde 1977, a Alemanha tinha uma lei federal de proteção de uso ilícito de dados pessoais. A Dinamarca regulamentava a questão da proteção de dados pelas Leis 243 e 244, ambas de 08 de julho de 1978, que estenderam a proteção também para as pessoas jurídicas. A França tinha a Lei 78-77, de 06 de janeiro de 1978. Até mesmo na América do Sul muitos países já contavam com leis que protegem a intimidade e a privacidade das pessoas contra coleta e processamento indevidos de dados individuais. A Argentina tem leis de proteção de dados pessoais em vigor desde 1994. A lei chilena é de 1999 e o Peru criou sua legislação de proteção de dados em 2011. No Uruguai o direito à proteção de dados está previsto em lei editada em 2008. A Colômbia aprovou sua lei de proteção de dados em 2010.
De qualquer maneira, embora tardiamente o Brasil editou sua lei geral de proteção de dados pessoais. Essa é uma Lei que traz ao mundo do direito a importância que os dados pessoais já possuem para a economia digital, onde são considerados “o novo petróleo”, como se disse. É analisando e interpretando grandes quantidades de dados e de grande variedade que as empresas hoje funcionam. Dependem e extraem soluções do Big Data, termo que descreve o grande volume de dados – estruturados e não estruturados – que impactam a vida das empresas diariamente. As organizações coletam dados de fontes variadas, incluindo transações financeiras, redes sociais e informações de sensores ou dados transmitidos de máquina para máquina. No passado, armazená-los teria sido um problema, mas novas tecnologias facilitaram essa atividade.
A utilização dos dados, contudo, não pode ser feita de maneira indiscriminada ou sem limite por corporações empresariais ou por órgãos do governo. O processamento de informações envolve diversos problemas como o uso indevido dos dados, sobretudo quando se combina Big Data com machine learning[6] para construção de modelos analíticos e tomada de decisões. A grande questão e que gera preocupações é a do controle dos indivíduos pelas grandes empresas de tecnologia e pelos governos. Quem controla os dados, controla a vida das pessoas. Por isso o Direito se preocupa com o que as organizações fazem com eles.
A nova lei cria mecanismos para que os indivíduos tenham o controle sobre seus dados, para que possam decidir sobre suas próprias vidas.
Recife, 11 de julho de 2018.
[1] https://www25.senado.leg.br/web/atividade/materias/-/materia/133486
[2] https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN
[3] Ver notícia publicada pelo jornal El País, pulicada em 20.03.18, acessível em: https://brasil.elpais.com/brasil/2018/03/19/internacional/1521500023_469300.html
[4] Ver notícia publicada em 11.04.18, acessível em: https://www.tecmundo.com.br/redes-sociais/129169-mark-zuckerberg-depoe-congresso-eua-confira-destaques.htm
[5] Para quem se interessar em conhecer as linhas gerais da revogada Diretiva 95/46/CE, sugiro a leitura do meu artigo intitulado “A Diretiva Europeia sobre Proteção de Dados Pessoais – uma Análise de seus Aspectos Gerais”, publicado na Revista Lex Magister, acessível em: http://www.lex.com.br/doutrina_24316822_A_DIRETIVA_EUROPEIA_SOBRE_PROTECAO_DE_DADOS_PESSOAIS__UMA_ANALISE_DE_SEUS_ASPECTOS_GERAIS.aspx
[6] Aprendizado de máquina (em inglês, machine learning) é um método de análise de dados que automatiza a construção de modelos analíticos. É uma vertente da inteligência artificial que se baseia na ideia de que sistemas podem aprender com dados, identificar padrões e tomar decisões com o mínimo de intervenção humana.
10Jul/18
Lei nº 133/V/2001, de 22 de Janeiro, estabelece o regime jurídico de tratamento de dados pessoais a pessoas singulares
Lei nº 133/V/2001, de 22 de Janeiro, estabelece o regime jurídico de tratamento de dados pessoais a pessoas singulares
O Programa do Governo para o sector da justiça confere especial importância à reforma e modernização legislativas.
Com efeito, estabelece aquele Programa que o Governo promoverá a aprovação de «legislação que assegure … a tutela jurídica a um grande número de direito e a punição de inúmeras violações de lei, hoje praticamente sem garantia ou resposta…»
O domínio da protecção dos direitos, liberdades e garantias fundamentais dos cidadãos, designadamente o da protecção de dados pessoais, é, seguramente, um dos que carece de uma profunda regulamentação.
Trata-se de um domínio de capital importância e que mereceu consagração expressa no texto constitucional.
Efectivamente, a Constituição de República regula (artigo 44º), de forma relativamente pormenorizada ,a matéria de utilizaçao de meios informáticos e protecção de dados pessoais, estabelecendo (artigo 44º, nº 1), que todos «os cidadãos têm direitos de acesso aos dados informatizados que lhes digam respeito, podendo exigir a sua rectificação e actualização, bem como o direito de conhecer a finalidade a que se destinam, nos termos da lei». Estabelece, ainda, a Constituição da República ( artigo 44º, nº 3) que a «lei regula a protecção de dados pessoais constantes dos registos informáticos, as condições de acesso aos bancos de dados de constituição e de utilização por autoridades públicas e entidades privadas de tais bancos ou de suportes informáticos dos mesmos».
É, pois, neste contexto político-constitucional que se insere a aprovação da presente lei, a qual regulamenta o texto constitucional e surge com o regime quadro em mat´eria de protecção de dados pessoais.
A lei estabelece com clareza o regime dos direito dos titulares dos dados («direito de informação», «direito de acesso», «direito de opção» e «direito de não sujeição a decisão individuaais automatizadas»), regime esse de capital importância para a salvaguardar dos direitos, liberdades e garantias. Fundamentais dos cidadãos consagrados na Constituição da República.
A matéria de segurança e confidencialidade dos dados foi, também, objecto de um cuidadoso regime, salvaguardadopelo sigilo profissional, enquanto elemento de garantía do seu cumprimento rigoroso.
Estabeleceram-se importantes princípios relativos à transferências de dados pessoas, atribuindo a comissões parlamentar de fiscalização um papel de capital importância, bem como os casos de derrogação.
A fiscalização do cumprimento de toda a legislação em matéria protecção de dados pessoais foi atribuída à Assembleia Nacional, através de uma comissão parlamentar, a ser criado por lei específica, com natureza de autoridade administrativa independente e com amplos poderes de autoridade, quer de fiscalização prévia, quer à posteriori. A fiscalização pelo parlamento não dispensa, contudo, a fiscalização jurisdicional, através dos tribunais.
Para garantir o respeito pelos direitos, liberdades e garantias fundamentais dos cidadãos, o diploma estabelece um leque importante de infracções e sanções, distinguindo os casos de contra-ordenação dos de crimes.
Assim,
Tornando-se pois, necessário proceder à regulamentação do texto constitucional;
Por mandato do Povo, a Assembleia Nacional decreta, nos termos da alínea b) do artigo 147º e m) do artigo 175º da Constituição, o seguinte:
CAPÍTULO I.- Disposições gerais
Artigo 1º.- (Objecto)
A presente lei estabelece o regime jurídico geral de protecção de protecção de dados pessoais das pessoas singulares.
Artigo 2º (Âmbito de aplicação)
1. A presente lei aplica-se ao tratamento de dados pessoais por meios total ou parcialmente automatizados, bem como ao tratamento por meio não automatizados de dados pessoais contidos em ficheiros manuais ou a estes destinados.
2. A presente lei aplica-se ao tratamento de dados pessoais efectuados:
a) No âmbito das actividades de estabelecimento do responsável do tratamento situado em território nacional;
b) Fora do território nacional, em local onde a legislação cabo-verdiana seja aplicável por força do direito internacional;
c) Por responsável que, não estando estabelecido no território nacional, recorra, para tratamento de dados pessoais, a meios, automatizados ou não, situados no território nacional, salvo se esses meios só forem utilizados para trânsito.
3. A presente lei aplicá-se à video-vigilância e outras formas de captação, tratamentos e difusão de sons e imagens que permitam identificar pessoas sempre que o responsável pelo tratamento esteja domicialiado ou sediado em território nacional ou recorra a um fornecedor de acesso a redes informáticas e telemáticas aí estabelecido.
4. No caso referido na alínea c) do n.º 2, o responsável pelo tratamento deve designar, mediante comunicação à Comissão Parlamentar de Fiscalização, um representante estabelecido em território nacional, que se lhe substitua em todos os seus direitos e obrigações, sem prejuízo da sua própria responsabilidade.
5. O disposto no número anterior aplica-se no caso de o responsável pelo tratamento estar abrangido por estatuto de extraterritorialidade, de imunidade ou por qualquer outro que impeça o procedimento criminal.
6. A presente lei aplica-se ao tratamento de dados pessoais que tenham por objectivo a segurança pública, a defesa nacional e a segurança do Estado, sem prejuíso do disposto em normas especiais constantes de instrumentos de direito internacinal a que Cabo Verde se vincule e de legislação específica atinente aos respectivos sectores.
Artigo 3º.- (Exclusão do âmbito de aplicação)
A presente lei não se aplica ao tratamento de dados pessoais efectuados por pessoas singulares no exercício de actividades exclusivamente pessoais ou doméstica.
Artigo 4º.- (Princípios geral)
O tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva da intimidade da vida privada e familiar, bem como pelos direitos, liberdades e garantias fundamentais do cidadão.
Artigo 5º.- (Definições)
1. Para efeitos da presente lei, entende-se por:
a) «Dados pessoais»: qualquer informação, de qualquer natureza é independentemente do respectivo suporte, incluindo som e imagem relativa a uma pessoa singular identificada ou identificável, «títular dos dados»;
b) «Tratamento de dados pessoais» ou «Tratamento»: qualquer operação ou conjunto de operações sobre dados pessoais efectuadas, total ou parcialmente, com ou sem meios autorizados, tais como a recolha, o registo, a organização, a conversação , a adaptação ou alteração, a recuperação, a consulta, a utilização, a comunicação por transmissão, por difusão ou por qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, o apagamento ou a destruição;
c) «Ficheiro de dados pessoais» ou «Ficheiro»: qualquer conjunto estruturados de dados pessoais, acessível segundo critérios determinados, quer seja centralizados, descentralizados ou repartido de modo funcional ou geográfica;
d) «Responsável pelo tratamento»: a pessoa singular ou colectiva, a autoridade pública o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamentos dos dados pessoais;
e) «Subcontratante»: a pessoa singular ou colectiva, a autoridade pública o serviço, ou qualquer outro organismo que trate os dados pessoais por conta do responsável pelo tratamento;
f) «Terceiro»: a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, não sendo o titular dos dados, o responsável pelo tratamento, o subcontratante ou outra pessoa sob autoridade directa do responsável pelo tratamento ou do subcontratante, esteja habilitado a tratar os daos;
g) «Destintário»: a pessoa singuar ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo a quem sejam comunicados dados pessoais, independentemente de se tratar ou não de um terceiro, sem prejuízo de não serem consideradas destinatários as autoridaes a quem sejam comunicados dados no âmbito de uma disposição legal;
h) «Consentimento do titular dos dados»: qualquer manifestação de vontade, livre, específica e informada, nos termos da qual o titular que os seus dados pessoais sejam objectos de tratamento;
i) « Interconexão de dados»: forma de tratamento que consiste na possibilidade de relacionamento dos dados de um ficheiro com os dados de um ficheiro ou ficheiros mantidos por outro ou outros responsáveis, ou mantidos pelo mesmo responsável com outra finalidade.
2. Para efeito do disposto na alínea a) do número anterior, é considerada identificável a pessoa que possa ser identificada, directa ou indirectamente, designadamente por referencia a um número de identificaçaõ ou a um ou mais elementos específicos da sua identidade física, fisiologica, psíquica, económica, cultural ou social.
3. Para efeito do disposto na alínea d) do número anterior, sempre que as finalidades e os meios de tratamento sejam determinados por disposições legislativas ou regulamentares, o responsável pelo tratamento deve ser indicado na lei de organização e funcionamento ou no estatuto da entidade legal ou estatutariamente competente para tratar dos dados pessoais em causa.
CAPÍTULO II.- Tratamento de dados pessoais
SECÇÃO I.- Qualidades de dados e legitimidade do seu tratamento
Artigo 6º.- (Qualidade dos dados)
1. Os dados pessoais devem ser:
a) Tratados de forma legal, lícita e com respeito pelo princípio da boa fé;
b) Recolhidos para finalidades determinadas, explicitas e legítimas, não podendo ser posteriormente tratados de formas incompatível com essas finalidades;
c) Adequados, pertinentes e não excessivos relativamentes às finalidades para que não são recolhidos e posteriormente tratados;
d) Exactos e, se necessários, actualizados, devendo ser tomadas as medidas adequadas para assegurar que sejam apagados ou rectificados inexactos ou incompleto, tendo em conta as finalidades para que não foram recolhidos ou para que são tratados posteriormente;
e) Conservar de forma a permitir a identificação dos seus titulares apenas durante o período necessário para a prossecução das finalidades da recolha ou do tratamento posterior.
2. Tratamento posterior dos dados para fins históricos, estatísticos ou científicos bem como a sua conservação para os mesmos fins por período superior ao referido na alínea e) do número anterior, podem ser autorizados pela Comissão Parlamentar de Fiscalização em caso de interesse legítimo do responsável pelo tratamento, desde que não prevaleçam os direitos, liberdades e garantias do titular de dados .
3. Cabe ao responsável pelo tratamento assegurar a observância do disposto nos números anteriores .
Artigo 7º.- (Condições de legitimidade do tratamento de dados)
O tratamento de dados pessoais só pode ser efectuado se o seu titular tiver dado de forma inequívoca o seu consentimento ou se o tratamento for necessário para:
a) Execução de contrato em que o titular dos dados seja parte ou de diligências prévias efectuadas a seu pedido;
b) Cumprimento de obrigação legal a que o responsável pelo tratamento esteja sujeito;
c) Protecção de interesses vitais do titular dos dados, se este estiver física ou legalmente incapaz de dar o seu consentimento;
d) Execução de uma missão de interesse público ou no exercício de autoridade pública em que esteja investido o responsável pelo tratamento ou um terceiro a quem os dados sejam comunicados;
e) Prossecução de interesses legítimos do responsável pelo tratamento ou de terceiro a quem os dados sejam comunicados, desde que não prevalecem os interesses ou os direitos, liberdades e garantias do titular dos dados.
Artigo 8º.- (Tratamento de dados sensíveis)
1. É proibido o tratamento de dados pessoais relativos às convicções ou punições políticas, filosóficas ou ideológicas, à fé religiosa, à filiação partidária ou sindical, à origen racial ou étnica, à vida privada, à saúde e à vida sexual, incluindo os dados genéticos, salvo:
a) Mediante consentimento expresso do titular, com garantias de não discriminação e com as medidas de segurança adequadas;
b) Mediante autorização prevista na lei, com garantias de não discriminação e com as medidas de segurança adequadas;
c) Quando se destinem a processamento de dados estatísticos não individualmente identífiacáveis, com as medidas de segurança adequadas.
2. Na concessão de autorização prevista na alínea b) do número anterior a lei deve ater-se, designadamente, à indispensabilidade do tratamento dos dados pessoais referidos no n.º 1 para o exercício das atribuições legais ou estatutárias do seu responsável, por motivos de interesse público importante.
3. O tratamento dos dados referidos no n.º 1 é ainda permitido quando se verificar uma das seguintes condições:
a) Ser necessário para proteger interesses vitais do titular dos dados ou de uma outra pessoa e o titular dos dados estiver física ou legalmente incapaz de dar o seu consentimento;
b) Ser efectuado, com o consentimento do titular, por fundação, associação ou organismo sem fins lucrativos de caráter político, filosófico, religioso ou sindical, no âmbito das suas actividades legítimas, sob condição de o tratamento respeitar apenas aos membros dessa fundação, associação ou desse organismo ou às pessoas com quem ele mantenha contactos períodicos ligados às suas finalidades legítimas, e de os dados não serem comunicados a terceiros sem consentimento dos seus titulares;
c) Dizer respeito a dados manifestamente tornados públicos pelo seu titular, desde que se possa legitimamente deduzir das suas declarações oconsentimento para o tratamento dos mesmos;
d) Ser necessário à declaração, exercício ou defesa de um direito em proceso judicial e for efectuado exclusivamente com essa finalidade.
4. O tratamento dos dados pessoais referentes à saúde e à vida sexual, incluindo os dados genéticos, é permitido quando for necessário para efeitos de medicina preventiva, de diagnóstico médico, de prestação de cuidados ou tratamentos médicos ou de gestão de serviços de saúde, desde que o trtamento desses dados seja efectuado por um profissional de saúde obrigado ao segredo profissional ou por outra pessoa igualmente sujeita a uma obrigação de segredo equivalente, tenha sido notificada a Comissão Parlamentar de Fiscalização nos termos do artigo 23º, e sejam garantidas medidas adequadas de segurança da informação.
5. O tratamento dos dados referidos no número 1 pode ainda ser efectuado, com medidas adequadas de segurança da informação, quando se mostrar indispensável à protecção da segurança do Estado, da defessa da segurança públic e da prevebção, investigação ou repressão de infracções penais.
Artigo 9º.- (Registos de actividades ilícitas, condenações penais, medidas de segurança, infracções e contra-ordenações)
- A criação e a manutenção de registos centrais relativos a pessoas suspeitas de actividades ilícitas, condenações penais, decisões que apliquem medidas de segurança, coimas e sanções acessórias e infracções e contra-ordenações só podem ser mantidas por serviços públicos com essa competência legal, observando normas procedimentais e de protecção de dados previstas em diploma legal.
- O tratamento de dados pessoais relativos a suspeitas de actividades ilícitas, condenações penais, decisões que impliquem medidas de segurança, coimas e sanções acessórias e infracções e contra-ordenações pode ser autorizado, observadas as normas de protecção de dados e de segurança da informação, quando tal tratamento for necessário à execução de finalidades legítimas do seu responsável, desde que não prevaleçam os direitos, liberdades e garantias do titular dos dados.
- O tratamento de dados pessoais para fins de investigação policial deve limitar-se ao necessário para a prevenção de um perigo concreto ou repressão de uma infracção determinada, para o exercício de competência previstas no respectivo estatuto orgânico ou noutra disposição legal e ainda nos termos de acordo, tratamento ou convenção internacional internacional de que Cabo Verde seja parte.
Artigo 10º.- (Interconexão de dados pessoais)
- Sem prejuízo de proibição expressa na lei, a interconexão de dados pessoais que não esteja estabelecida em disposição legal está sujeita a autorização da Comissão Palamentar de Fiscalização solicitada pelo responsável ou em conjunto pelos correspondentes responsáveis dos tratamentos, nos termos do artigo 23º.
- A interconexão de dados pessoais deve ser necessária e adequada à prossecução das finalidades legais ou estatutárias e de interesses legítimos dos responsáves dos tratamentos, não implicar discriminação ou diminuição dos direitos, liberdades e garantias fundamentais dos titulares dos dados, ter em conta o tipo de dados objecto de interconexão e ser rodeada de adequadas medidas de segurança.
SECÇÃO II.- Direitos do titular dos dados
Artigo 11º.- (Direito de informação)
1. Quando recolher dados pessoais directamente do seu titular, o responsável pelo tratamento ou o seu representante deve prestar-lhe, salvo se já forem dele conhecidas, as seguintes informações:
a) Identidade do responsável pelo tratamento e, se for caso disso, do seu representante;
b) Finalidades do tratamento;
c) Os destinatários ou categorias de destinatários dos dados;
d) O carácter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não dados;
e) A existência e as condições do direito de acesso e de rectificação, desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir ao seu titular um tratamento leal dos mesmos;
f) A decisão de comunicação dos seus dados pessoais pela primeira vez a terceiros para os fins previstos na alínea b) do artigo 13º, previamente e com a indicação expressa de que tem direito de se opor a essa comunicação;
g) A decisão de os seus dados pessoais serem utilizados por conta de terceiros, previamente e com a indicação expressa de que tem o direito de se opor a essa utilização.
2. Os documentos que sirvam de base à recolha de dados pessoais devem conter as informações constantes do número anterior.
3. Se os dados não forem recolhidos junto do seu titular e salvo se dele já forem conhecidas, o responsável pelo tratamento, ou o seu representante, deve prestar-lhe as informações previstas no número 1 no momento do registo dos dados ou, se estiver prevista a comunicação a terceiros, o mais tardar aquando da primeira comunicação desses dados.
4. No caso de recolha de dados em redes abertas, o titular dos dados deve ser informado, salvo se disso já tiver conhecimento, de que os seus dados pessoais podem circular na rede sem condições de segurança, correndo o resco de serem vistos e utilizados por terceiros não autorizados.
5. A obrigação de informação é dispensada por motivos de segurança do Estado, prevenção e investigação criminal, e bem assim, quando, nomeadamente no caso do tratamento de dados com finalidades estatísticas, históricas ou de investigação científica, a informação do titular dos dados se revelar impossível ou implicar esforços desproporcionados ou ainda quando a lei determinar expressamente o registo dos dados ou a sua divulgação.
6. A obrigação de informação não se aplica ao tratamento de dados efectuado para fins exclusivamente jornalísticos ou de expressão artística ou literária, salvo quando estiverem em causa direitos, liberdades e garantias dos titulares dos dados.
Artigo 12º.- (Direito de acesso)
1. O titular dos dados tem o direito de obter do responsável pelo tratamento, libremente e sem restrições, com periodicidade razoável e sem demoras ou custos excessivos:
a) A confirmação de serem ou não tratados dados que lhe digam respeito, bem como informação sobre as finalidades desse tratamento, as categorias de dados sobre que incide e os destinatários ou as categorias de destinatários a quem são comunicados os dados;
b) A comunicação, sob forma inteligível, dos seus dados sujeitos a tratamento e de quaisquer informações disponíveis sobre a origem desses dados;
c) O conhecimento da lógica subjacente ao tratamento automatizado dos dados que lhe digam respeito, no que se refere às decisões automatizadas referidas no número 1 do artigo 14º;
d) A rectificação, o pagamento ou o bloqueio dos dados cujo tratamento não respeitar o disposto na presente lei, nomeadamente devido ao carácter incompleto ou inexacto desses dados;
e) A notificação aos terceiros a quem os dados tenham sido comunicados de qualquer rectificação, apagamento ou bloqueio efectuado nos termos da alínea d), salvo se isso for comprovadamente impossível ou implicar um esforço desproporcionado.
2. Nos casos previstos nos n.ºs 4 e 5 do artigo 8º, o direito de acesso é exercido através da Comissão Parlamentar de Fiscalização.
3. No caso previsto no n.º 6 do artigo anterior, o direito de acesso é exercido através da Comissão Parlamentar de Fiscalização, com a salvaguarda das normas constitucionais aplicáveis, designadamente as que garantem a liberdade de expressão e informação, a liberdade de imprensa e a independência e sigilo profissional dos jornalistas.
4. Nos casos previstos nos n.ºs 2 e 3 deste artigo, se a cumunicação dos dados ao seu titular puder prejudicar a segurança do Estado, a prevenção ou a investigação criminal ou ainda a liberdade de expressão e informação ou a liberdade de imprensa, a Comissão Parlamentar de Fiscalização limita-se a informar o titular dos dados das diligências efectuadas.
5. O direito de acesso à informação relativa a dados da saúde, incluindo os dados genéticos, é exercido por intermédio de médico escolhido pelo titular dos dados.
6. No caso de os dados não serem utilizados para tomar medidas ou decisões em relação a pessoas determinadas, a lei pode restringir o direito de acesso nos casos em que manifestamente não exista qualquer perigo de violação dos direitos, liberdades e garantías do titular dos dados, designadamente do direito à sua intimidade da vida privada, e os referidos dados forem exclusivamente utilizados para fins de investigação científica ou conservado sob forma de dados pessoais durante um período que não exceda o necessário à finalidade exclusiva de elaborar estatísticas.
Artigo 13º.- (Direito de oposição)
O titular dos dados tem o direito de:
a) Salvo disposição legal em contrário, e pelo menos nos casos referidos nas alíneas d) e e) do artigo 7º, se opor em qualquer altura, por razões ponderosas e legítimas relacionadas com a sua situação particular, a que os dados que lhe digam respeito sejam objecto de tratamento, devendo, em caso de oposição justificada, o tratamento efectuado pelo responsável deixar de poder incidir sobre esses dados;
b) Se opor, a seu pedido e gratuitamente, ao tratamento dos dados pessoais que lhe digam respeito previsto pelo responsável pelo tratamento para efeitos de «marketing» directo ou qualquer outra forma de prospecção;
c) Se opor, sem despesas, a que os seus dados pessoais sejam comunicados pela primeira vez a terceiros para os fins previstos na alínea anterior ou utilizados por conta de terceiros.
Artigo 14º.- (Não sujeição a decisões individuais automatizadas)
- Qualquer pessoa tem o direito de não ficar sujeita a uma decisão que produza efeitos na sua esfera jurídica ou que a afecte de modo significativo, tomada exclusivamente com base num tratamento automatizado de dados destinado a avaliar determinados aspectos da sua personalidade, designadamente a sua capacidade profissional, o seu crédito, a confiança de que é merecedora ou o seu comportamento.
- Sem prejuízo do cumprimento das restantes disposições da presente lei, uma pessoa pode consentir em ser sujeita a uma decisão tomada nos termos do número 1, desde que tal ocorra no âmbito da celebração ou da execução de um contrato, e sob condição de o seu pedido de celebração ou execução do contrato ter sido satisfeito, ou de existirem medidas adequadas que garantam a defesa dos seus interesses legítimos e de expor o seu ponto de vista, designadamente o seu direito de representação e expressão.
- Pode ainda ser permitida a tomada de uma decisão nos termos do número 1, quando autorizadas pela Comissão Parlamentar de Fiscalização e desde que sejam tomadas medidas de garantia da defesa dos interesses legímos do titular dos dados.
SECÇÃO III.- Segurança e confidencialidade do tratamento
Artigo 15º.- (Segurança do tratamento)
- O responsável pelo tratamento deve pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição, acidental ou ilícita, a perda aidental, a alteração, a difusão ou o acesso não autorizados, nomeadamente quando o tratamento implicar a sua transmissão por rede, e contra qualquer outra forma de tratamento ilícito.
- As medidas previstas no número anterior devem assegurar, atendendo aos conhecimentos técnicos disponíveis e aos custos resultantes da sua aplicação, um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger.
- O responsável pelo tratamento, em caso de tratamento por sua conta, deverá escolher um subcontratante que ofereça garantias suficientes em relação às medidas de segurança técnica e de organização do tratamento a efectuar, e deverá zelar pelo cumprimento dessas medidas.
- A realização de operações de tratamento em subcontatação deve ser regida por um contrato ou acto jurídico que vincule o subcontratante ao responsável pelo tratamento e que estipule, designadamente, que o subcontratante apenas actua mediante instruções do responsável pelo tratamento e que lhe incumbe igualmente i cumprimento das obrigações referidas nos n.ºs 1 e 2.
- Para efeitos de conservação de provas, os elementos da declaração negocial, do contrato ou do acto jurídico relativos à protecção dos dados, bem como as exigencias relativas às medidads referidas nos nºs 1 e 2 são consignados por escrito ou em suporte equivalente, de preferência, com valor probatório legalmente reconhecido.
Artigo 16º.- (Medidas especiais de segurança)
1. Os responsáveis pelo tratamento dos dados referidos nas alíneas do número 1, nos números 2 e 5 do artigo 8º e no número 1 do artigo 9º devem tomar as medidas adequadas e acrescidas de segurança da informação, designadamente para:
a) Impedir o acesso de pessoa não autorizada às instalações utilizadas para o tratamento desses dados (controlo da entrada nas instalações);
b) Impedir que suportes de dados possam ser lidos, copiados, alterados por pessoa não autorizada (controlo dos suportes de dados);
c) Impedir a introdução não autorizada, bem como a tomada de conhecimento, a alteração ou a eliminação não autorizadas de dados pessoais inseridos (controlo da inserção);
d) Impedir que sistemas de tratamento automatizados de dados possam ser utilizados por pessoas não autorizadas através de instalações de transmissão de dados (controlo da utilização);
e) Garantir que as pessoas autorizadas só possam ter acesso aos dados abragidos pela autorização (controlo de acesso);
f) Garantir a verificação das entidades a quem possam ser transmitidos os dados pessoais através das instalações de transmissão de dados (controlo da tranmissão);
g) Garantir que possa verificar-se, a posteriori, em prazo adequado à natureza do tratamento, a fixar na regulamentação aplicável a cada sector, quais os dados pessoais introduzidos, quando e por quem (controlo da introdução);
h) Impedir que, na transmissão de dados pessoais, bem como no transporte do seu suporte, os dados possam ser lidos, copiados, alterados ou eliminados de forma não autorizada (controlo do transporte).
2. Tendo em conta a natureza das entidades responsáveis pelo tratamento e o tipo das instalações em que é efectuado, a Comissão Parlamentar de Fiscalização pode dispensar a existência de certas medidas de segurança, garantido que se mostre o respeito pelos direitos, liberdades e garantias dos titulares dos dados.
3. Os sistemas devem garantir a separação lógica entre os dados referentes à saúde e à vida sexual, incluindo os genéticos, dos restantes dados pessoais.
4. A Comissão Parlamentar de Fiscalização pode determinar que a transmissão seja cifrada, nos casos em que a circulação em rede de dados pessoais referidos nos artigos 8º e 9º possa pôr em risco direitos, liberdades e garantias dos respectivos titulares.
Artigo 17º.- (Confidencialidade do tratamento)
Qualquer pessoa que, agindo sob a autoridade do responsável pelo tratamento ou do subcontratante, bem como o próprio subcontratante, tenha acesso a dados pessoais, não pode proceder ao seu tratamento sem instruções doresponsável pelo tratamento, salvo por força de obrigações legais.
Artigo 18º.- (Sigilo profissional)
- Os responsáveis do tratamento de dados pessoais, bem como as pessoas que, no exercício das suas funções, tenham conhecimento dos dados passoais tratados, ficam obrigados a sigilo profissional, mesmo após o termo das suas funções.
- Igual obrigação recai sobre os membros da Comissão Parlamentar de Fiscalização, mesmo o termo do mandato.
- O disposto nos números anteriores não exclui o dever do fornecimento das informações obrigatórias, nos termos legais, excepto quando constem de ficheiros organizados para fins estatísticos.
- O pessoal que exerça funções de assessoria à Comissão Parlamentar de Fiscalização ou aos membros está sujeito à mesma obrigação de sigilo profissional.
CAPÍTULO III.- Transferência de dados pessoais
Artigo 19º.- (Princípios)
- Sem prejuízo no disposto no artigo seguinte, a transferência de dados pessoais que sejam objecto de tratamento ou que se destinam a sê-lo, só pode realizar-se com respeito das disposições da presente lei e demais legislação aplicável em matéria de protecção de dados pessoais e, tratando-se de transferência para o estrangeiro, para o país que asegurar um nível de protecção adequado.
- A adequação do nível de protecção é apreciada em função de todas as circunstancias que rodeiem a transferência ou o conjunto de transferências de dados, em especial, a natureza dos dados, a finalidade e a duração do tratamento ou tratamentos projectados, os países de origem e de destino final, as regras de direito, gerais ou sectoriais, em vigor no país em causa, bem como as regras profissionais e as medidas de segurança que são respeitadas nesse país.
- Cabe à Comissão Parlamentar de Fiscalização decidir se um Estado estrangeiro assegure um nível de protecção adequado.
- A Comissão Parlamentar de Fiscalização comunica ao Primeiro Ministro os casos em que tenha considerado que um Estado estrangeiro não assegura um nível de protecção adequado.
Artigo 20º.- (Derrogações)
1. A transferência de dados pessoais para um país que não assegure um nível de protecção adequado na acepção do n.º 2 do artigo anterior pode ser permitida pela Comissão Parlamentar de Fiscalização se o titular dos dados tiver dado de forma inequívoca o seu consentimento à transferência ou se essa transferência:
a) For necessária para a execução de um contrato entre o titular dos dados e o responsável pelo tratamento ou de diligências prévias à formação do contrato decididas a pedido do titular dos dados;
b) For necessária para a execução ou celebração de um contrato outorgado ou a outorgar, no interesse do titular dos dados, entre o responsável pelo tratamento e um terceiro;
c) For necessária ou legalmente exigida para a protecção de um interesse público importante, ou para a declaração, o exercício ou a defesa de um direito num processo judicial;
d) For necessária para proteger os interesses vitais do titular dos dados;
e) For realizada a partir de um registo público que, nos termos de disposições legislativas ou regulamentares, se destine à informação do público e se encontre aberto à consulta do público em geral ou de qualquer pessoa que possa provar um interesse legítimo, desde que as condições estabelecidas na lei para a consulta sejam cumpridas no caso concreto.
2. Sem prejuízo do disposto no número 1, pode ser autorizada pela Comissão Parlamentar de Fiscalização uma transferência ou um conjunto de transferências de dados pessoais para um país que não assegure um nível de protecção adequado na acepção do número 2 do artigo anterior, desde que o responsável pelo tratamento apresente garantias suficientes de protecção da vida privada e dos direito e liberdades fundamentais das pessoas, assim como do seu exercício, designadamente, mediante cláusula contratuais adequadas.
3. A Comissão Parlamentar de Fiscalização comunica ao Primeiro Ministro das autorizações que conceder nos termos do número anterior.
4. A transferência de dados pessoais que constitua medida necessária à protecção da segurança do Estado, da defesa, da segurança pública e da prevenção, investigação e repressão das infracções penais é regida por disposições legais específicas ou pelas convenções, tratados e acordos internacionais em que Cabo Verde é parte.
CAPÍTULO IV.- Autoridade nacional para a fiscalização de protecção de dados pessoais
Secção I.- Disposições gerais
Artigo 21º.- (Objectivos da fiscalização)
A fiscalização da protecção de dados pessoais visa acompanhar, avaliar e controlar a actividade dos órgãos ou serviços legalmente competentes para o seu tratamento, velando pelo cumprimento da Constituição e da lei, particularmente do regime de direitos, liberdades e garantias fundamentais dos cidadãos.
Artigo 22º.- (Natureza da fiscalização)
- A fiscalização da protecção de dados pessoais é assegurada pela Assembleia Nacional, através de um Comissão Parlamentar de Fiscalização.
- A Comissão Parlamentar de Fiscalização é assegurada por lei própria.
SECÇÃO II.- Notificação
Artigo 23º.- (Obrigação de notificação)
- O responsável pelo tratamento ou, se for caso disso, o seu representante deve notificar a Comissão Parlamentar de Fiscalização antes da realização de um tratamento ou conjunto de tratamentos, total ou parcialmente automatizados, destinados à prossecução de uma ou mais finalidades interligadas.
- A Comissão Parlamentar de Fiscalização pode autorizar a simplificação ou a isenção da notificação para determinadas categorias de tratamentos que, atendendo aos dados a tratar, não sejam susceptíveis de pôr em causa os direitos e liberdades dos titulares dos dados e tenham em conta critérios de celeridade, economia e eficiência.
- A autorização deve especificar as finalidades do tratamento, os dados ou categorías de dados a tratar, a categoria ou categorias de destinatários a quem podem ser comunicados os dados e o período de conservação dos dados.
- Estão isentos de notificação os tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem a informação do público e possam ser consultados pelo público em geral ou por qualquer pessoa que provar um interesse legítimo.
- Os tratamentos não autorizados dos dados pessoais previstos no número 1 do artigo 8º estão sujeitos a notificação quando tratados ao abrigo da alínea a) do número 3 do mesmo artigo.
Artigo 24º.- (Controlo prévio)
1. Salvo se autorizados por diploma legal, carecem a autorização da Comunidade Parlamentar de fiscalização;
a) O tratamento dos dados pessoais a que se referem as alíneas a) e c) do n.º 1 do artigo 8º e o n.º 2 do artigo 9º;
b) O tratamento dos dados pessoais relativos ao crédito e à solvabilidade dos seus titulares;
c) A interconexão de dados pessoais, nos ternos previstos no artigo 10º;
d) A utilização de dados pessoais para fins não determinantes da recolha.
2. O diploma legal que autorizar os tratamentos a que se refere o número anterior carece de prévio parecer da Comissão Parlamentar de Fiscalização.
Artigo 25º.- (Conteúdo dos pedidos de parecer ou de autorização e da notificação)
Os pedidos de parecer ou de autorização, bem como as notificações, remetidos à Comissão Parlamentar de Fiscalização devem conter as seguintes informações:
a) O nome e o endereço do responsável pelo tratamento e, se for caso, do seu representante;
b) A ou as finalidades do tratamento;
c) A descrição da ou das categorias de titulares dos dados e dos dados ou das categorias de dados pessoais que lhes respeitem;
d) Os destinatários ou as categorias de destinatários a quem os dados podem ser comunicados e em que condições;
e) A entidade encarregada do processamento da informação, se não for o próprio responsável do tratamento;
f) As eventuais interconexões de tratamentos de dados pessoais;
g) O tempo de conservação dos dados pessoais;
h) A forma e as condições como os titulares dos dados podem ter conhecimento ou fazer corrigir os dados pessoais que lhes respeitem;
i) As transferências de dados previstas para países terceiros;
j) A descrição geral que permita avaliar de forma preliminar a adequação das medidas tomadas para garantir a segurança do tratamento em aplicação dos artigos 15º e 16º.
Artigo 26º.- (Indicações obrigatórias)
1. Os diplomas legais referidos na alínea b) do n.º 1 do artigo 8º e no n.º 1 do artigo 9º bem como as autorizações da Comissão Parlamentar de Fiscalização e os registos de tratamentos de dados pessoais, devem, pelo menos, indicar:
a) O responsável do ficheiro e, se for caso disso, o seu representante;
b) As categorias de dados pessoais tratados;
c) A ou as finalidades a que se destinam os dados e as categorias de entidades a quem podem ser transmitidos;
d) A forma de exercício do direito de acesso e de rectificação;
e) As eventuais interconexões de tratamentos de dados pessoais;
f) As transferências de dados previstas para outros países.
2. Qualquer alteração das indicações constantes do número 1 está sujeita aos procedimentos previstos nos artigos 23º e 24º.
Artigo 27º.- (Publicidade dos tratamentos)
- O tratamento dos dados pessoais, quando não for objecto de diploma legal e deber ser autorizado ou notificado, consta de registo na Comissão Parlamentar de Fiscalização, aberto à consulta por qualquer pessoa.
- O registo contém as informações enumeradas nas alíneas a) a d) e i) do artigo 25º.
- O responsável por tratamento de dados não sujeito a notificação está obrigado a prestar, de forma adequada, a qualquer pessoa que lho solicite, pelo menos, as informações referidas no número 1 do artigo 26º.
- O disposto no presente artigo não se aplica a tratamentos cuja única finalidade seja a manutenção de registos que, nos termos de disposições legislativas ou regulamentares, se destinem à informação do público e se encontrem abertos à consulta do publico em geral ou de qualquer pessoa que possa provar um interesse legítimo.
- A Comissão Parlamentar de Fiscalização deve indicar no seu relatório anual todos os pareceres e autorizações elaborados ou concedidas ao abrigo da presente lei, designadamente as autorizações previstas nas alíneas do número 1 do artigo 8º e no número 2 do artigo 10º.
CAPÍTULO V.- Códigos de conduta
Artigo 28º.- (Finalidades)
Os códigos de conduta destinam-se a contribuir, em função das características dos diferentes sectores, para a boa execução das disposições da presente lei.
Artigo 29º.- (Intervenção da Comissão Parlamentar de Fiscalização)
- A Comunicação Parlamentar de Fiscalização apoia a elaboração de código de conduta.
- As associações profissionais e outras organizações representativas de categorías de responsáveis pelo tratamento de dados que tenham elaborado projectos de códigos de conduta podem submetê-la à apreciação da Comissão Parlamentar de Fiscalização.
- A Comissão Parlamentar de Fiscalização pode declarar a conformidade dos projectos com as disposições legais e regulamentares vigentes em matéria de protecção de dados pessoais.
CAPÍTULO VI.- Recursos judiciais, responsabilidade civil, infracções e sanções
SECÇÃO I.- Recursos judiciais e responsabilidade civil
Artigo 30º.- (Recursos judiciais)
Sem prejuízo do direito de apresentação de queixa ou reclamação à Comissão Parlamentar de Fiscalização, qualquer pessoa pode, nos termos da lei, recorrer judicialmente da violação dos direitos garantidos pela presente.
Artigo 31º.- (Responsabilidade civil)
- Qualquer pessoa que tiver sofrido um prejuízo devido ao tratamento ilícito de dados ou a qualquer outro acto que viole disposições legislativas ou regulamentares em materia de protecção de dados pessoais tem o direito de obter do responsável e reparação pelo prejuízo sofrido.
- O responsável pelo tratamento pode ser parcial ou totalmente exonerado desta responsabilidade se provar que o facto que causou o dano lhe não é imputável.
SECÇÃO II.- Infracções e sanções
SUBSECÇÃO.- Contra-ordenações
Artigo 32º.- (Legislação subsidiária)
Às infracções previstas na presente subsecção é subsidiariamente aplicável o regime das contra-ordenações, com as adaptações constantes dos artigos seguintes.
Artigo 33º.- (Omissão ou defeituoso cumprimento de obrigações)
- As entidades que, por negligência, não cumpram a obrigação de notificação à Comissão Parlamentar de Fiscalização do tratamento de dados pessoais a que se referem os números 1 e 5 do artigo 23º, prestem falsas informações ou cumpram a obrigação de notificação com inobservância dos termos previstos no artigo 25º, ou ainda quando, depois de notificadas pela referida Comissão, mantiverem o acesso às redes abertas de transmissão de dados a responsáveis por tratamento de dados a responsáveis por tratamento de dados pessoais que não cumpram as disposições da presente lei, praticam contra-ordenação punível com as seguintes coimas:
- a) Tratando-se de pessoa singular, no mínimo de 50.000$00 e no máximo de 500.000$00;
- b) Tratando-se de pessoa colectiva ou de entidade sem personalidade jurídica, no mínimo de 300.000$00 e no máximo de 3.000.000$00.
- A coima é agravada para o dobro dos seus limites quando se trate de dados sujeitos a controlo prévio, nos termos do artigo 24º.
Artigo 34º.- (Outras infracções)
1. Praticam contra-ordenação punível com a coima mínima de 100.000$00 e máxima de 1.000.000$00, as entidades que não cumprem alguma das seguintes disposições da presente lei:
a) Designar representante nos termos previstos no número 4 do artigo 2º;
b) Observar as obrigações estabelecidas nos artigos 6º, 11º, 12º, 13º, 14º, 16º, 17º e 27º, nº 3.
2. A coima é agravada para o dobro dos seus limites quando não forem cumpridas as obrigações constantes dos artigos 7º, 8º, 9º, 10º, 19º e 20º.
Artigo 35º.- (Concurso de infracções)
- Se o mesmo facto constituir, simultaneamente, crime e contra-ordenação, o agente é punido sempre a título de crime.
- As sanções aplicadas às contra-ordenações em concurso são sempre cumuladas materialmente.
Artigo 36º.- (Punição de negligência e da tentativa)
- A negligência é sempre punida nas contra-ordenações previstas no artigo 34º.
- A tentativa é sempre punível nas contra-ordenações previstas nos artigos 33º e 34º.
Artigo 37º.- (Aplicação das coimas)
- A aplicação das coimas previstas na presente lei compete ao presidente da Comissão Parlamentar de Fiscalização, sob prévia deliberação desta.
- A deliberação da Comissão Parlamentar de Fiscalização, depois de homologada pelo presidente, constitui título executivo, no caso de não ser impugnada no prazo legal.
Artigo 38º.- (Cumprimento do dever omitido)
Sempre que a contra-ordenação resulte de omissão de um dever, a aplicação da sanção e o pagamento da coima não dispensam o infractor do seu cumprimento, se este ainda for possível.
Artigo 39º.- (Destino das receitas cobradas)
O montante das importâncias cobradas, em resultado da aplicação das coimas, reverte para o Estado, salvo disposição legal que disponha de modo diferente.
SUBSECÇÃO II.- Crimes
Artigo 40º.- (Não cumprimento de obrigações relativas a protecção de dados)
1. É punido com prisão até um ano ou multa até 120 dias quem intencionalmente:
a) Omitir a notificação ou pedido de autorização a que se referem os artigos 23º e 24º.
b) Fornecer falsas informações na notificação ou nos pedidos de autorização para o tratamento de dados pessoais ou neste proceder a modificações não consentidas pelo instrumento de legalização;
c) Desviar ou utilizar dados pessoais, de forma incompatível com a finalidade determinante da recolha ou com o instrumento de legalização;
d) Promover ou efectuar uma interconexão ilegal de dados pessoais;
e) Depois de ultrapassado o prazo que lhes tiver sido fixado pela Comissão Parlamentar de Fiscalização para cumprimento das obrigações previstas na presente lei ou em outra legislação de protecção de dados, as não cumprir;
f) Depois de notificado pela Comissão Parlamentar de Fiscalização para o não fazer, mantiver o acesso a redes abertas de transmissão de dados a responsáveis pelo tratamento de dados pessoais que não cumpram as disposições da presente lei.
2. A pena é agravada para o dobro dos seus limites quando se tratar de dados pessoais a que se referem os artigos 8º e 9º.
Artigo 41º.- (Acesso indevido)
1. Quem, sem a devida autorização, por qualquer modo, aceder a dados pessoais cujo acesso lhe está vedado é punido com prisão até um ano ou multa até 120 dias.
2. A pena é agravada para o dobro dos seus limites quando o acesso:
a) For conseguido através de violação de regras técnicas de segurança;
b) Tiver possibilitado ao agente ou a terceiros o conhecimento de dados pessoais;
c) Tiver proporcionado ao agente ou a terceiros benefício ou vantagens patrimoniais;
3. No caso previsto no número 1 o procedimento criminal depende de queixa.
Artigo 42º
(Viciação ou destruição de dados pessoais)
- Quem, sem a devida autorização, apagar, destruir, danificar, suprimir ou modificar dados pessoais, tornando-os inutilizáveis ou afectando a sua capacidade de uso, é punido com prisão até dois anos ou multa até 240 dias.
- A pena é agravada para o dobro nos seus limites se o dano produzido for particularmente grave.
- Se o agente actuar com negligência, a pena é, em ambos os casos, de prisão até um ano ou multa até 120 dias.
Artigo 43º.- (Desobediência qualificada)
1. Quem, depois de notificado para o efeito, não interromper cessar ou bloquear o tratamento de dados pessoais é punido com a pena de prisão correspondente ao crime de desobediência qualificada.
2. Na mesma pena incorre quem, depois de notificado:
a) Recusar, sem justa causa, a colaboração que concretamente lhe for exigida pela Comissão parlamentar de Fiscalização, nos termos da lei;
b) Não proceder ao pagamento, destruição total ou parcial de dados pessoais;
c) Não proceder à destruição de dados pessoais, findo o prazo de conservação previsto no artigo 6º.
Artigo 44º.- (Violação do dever de sigilo)
1. Que, obrigado a sigilo profissional, nos termos da lei, sem justa causa e sem o debido consentimento, revelar ou divulgar no todo ou em parte dados pessoais é punido com pena de prisão de seis meses até três anos ou multa de oitenta a duzentos dias, se a pena mais grave não lhe for aplicável, independentemente da medida disciplinar correspondente à gravidade da sua falta, a qual poderá ir até à cessação do vínculo que o liga ao cargo ou função.
2. A pena é agravada de metade dos seus limites se o agente:
a) For pessoal da função pública ou equiparado, nos termos da lei penal;
b) For determinado pela intenção de obter qualquer vantagem patrimonial ou outro benefício ilegítimo;
c) Puser em perigo a reputação, a honra e consideração ou a intimidade da vida privada de outrem.
3. A negligência é punível com prisão até seis meses ou multa até 120 dias.
4. Fora dos casos previstos no número 2, o procedimento criminal depende de queixa.
Artigo 45º.- (Punição da tentativa)
Nos crimes previstos nas disposições anteriores, a tentativa é sempre punível.
Artigo 46º.- (Sanções acessórias)
1. Conjuntamente com as coimas ou penas aplicadas pode, acessoriamente, ser ordenada:
a) A proibição temporária ou definitiva do tratamento, o bloqueio, o apagamento ou a destruição total ou parcial dos dados;
b) A publicidade da sentença condenatória;
c) A advertência ou censura públicas do responsável pelo tratamento;
2. A publicidade da decisão condenatória faz-se a expensas do condenado, em publicação periódica de maior expansão editada na área da comarca da prática da infracção, ou na sua falta, em publicação periódica de maior expansão da comarca mais próxima, bem como através da afixação de edital em suporte adequado, por período não inferior a 30 dias.
3. A publicação é feita por extracto de que constem os elementos da infracção e as sanções aplicadas, bem com a identificação do agente.
CAPÍTULO VII.- Disposições transitórias e finais
Artigo 47º.- (Ficheiros manuais existentes)
- Os tratamentos de dados existentes em ficheiros manuais à data da entrada em vigor da presente lei devem cumprir o disposto nos artigos 8º, 9º, 11º e 12º no prazo de cinco anos.
- Em qualquer caso, o titular dos dados pode obter, a seu pedido e, nomeadamente, aquando do exercício do direito de acesso, a rectificação, o apagamento ou o bloqueio dos dados incompletos, inexactos ou conservados de modo incompatível com os fins legítimos prosseguidos pelo responsável pelo tratamento.
- A Comissão Parlamentar de Fiscalização pode autorizar que os dados existentes em ficheiros manuais e conservados unicamente com finalidades de investigação histórica não tenham que cumprir o disposto nos artigos 8º, 9º e 10º, desde que não sejam, em nenhum caso, reutilizados para finalidade diferente.
Artigo 48º.- (Ficheiros automatizados existentes)
Os titulares de ficheiros automatizados existentes á data da entrada em vigor da presente lei devem cumprir rigorosamente o que nela se contém, designadamente adaptar tais ficheiros no prazo de um ano.
Artigo 49º.- (Entrada em vigor)
A presente lei entra em vigor trinta dias após a sua publicação.
Aprovada em 20 de Dezembro de 2000.
O Presidente da Assembleia Nacional, António do Espírito Santo Fonseca.
Promulgada em 10 de Janeiro de 2001.
Publique-se.
O Presidente da República, ANTÓNIO MANUEL MASCARENHAS GOMES MONTEIRO.
Assinada em 13 de Janeiro de 2001.
O Presidente da Assembleia Nacional, António do Espírito Santo Fonseca.
10Jul/18
Lei nº 42/VIII/2013 de 17 Setembro, regula a composição, a competência, a organização e o funcionamento da CNPD
Lei nº 42/VIII/2013 de 17 Setembro, regula a composição, a competência, a organização e o funcionamento da Comissão Nacional de Protecção de Dados (CNPD), bem como o estatuto dos seus membros. (B. O. da República de Cabo Verde, 17 setembro de 2013, I Série nº 48)
Por mandato do Povo, a Assembleia Nacional decreta, nos termos da alínea b) do artigo 175º da Constituição,
o seguinte:
CAPÍTULO I.- Disposições gerais
Artigo 1º.- Objecto
A presente lei regula a composição, a competência, a organização e o funcionamento da Comissão Nacional de Protecção de Dados (CNPD), bem como o estatuto dos seus membros.
Artigo 2º.- Natureza
A CNPD é uma entidade administrativa independente, que funciona junto da Assembleia Nacional, cujas atribuições e competências, relativas à protecção de dados pessoais, são defi nidas na presente lei.
Artigo 3º.- Regime jurídico
A CNPD rege-se pelo disposto no presente Estatuto, pelas disposições legais que lhe sejam específicamente aplicáveis e, subsidiariamente, pelo regime aplicável às autoridades reguladoras independentes do sector económico e financeiro.
Artigo 4º.- Âmbito territorial
- A CNPD exerce as suas competências em todo o território nacional.
- A CNPD pode ser solicitada a exercer os seus poderes por uma autoridade de controlo de protecção de dados de outro Estado, nos termos dos acordos e convenções internacionais de que Cabo Verde seja parte.
- A CNPD coopera com as autoridades de controlo de protecção de dados pessoais de outros Estados na difusão do direito nessa matéria, bem como na defesa e no exercício dos direitos de pessoas residentes no estrangeiro.
Artigo 5º.- Sede
A CNPD tem sede na cidade da Praia, podendo criar delegações em outros pontos do país.
Artigo 6º.- Colaboração de outras entidades
1. As entidades públicas e privadas devem prestar a sua colaboração à CNPD, facultando todas as informações por esta solicitadas, no exercício das suas competências.
2. O dever de colaboração é assegurado, designadamente, quando a CNPD tiver necessidade, para o cabal exercício das suas funções, de examinar o sistema informático e os ficheiros de dados pessoais, bem como toda a documentação relativa ao tratamento e transmissão de dados pessoais.
3. Os tribunais devem comunicar à CNPD certidão ou cópia das sentenças ou acórdãos proferidos em materia de direito de protecção de dados pessoais, nomeadamente sobre crimes ou recursos de decisões da CNPD.
Artigo 7º.- Acesso aos sistemas informáticos de suporte ao tratamento de dados
A CNPD ou os seus membros, bem como os técnicos por ela mandatados, têm direito de acesso aos sistemas informáticos que sirvam de suporte ao tratamento dos dados pessoais, bem como à documentação referida no artigo anterior, no âmbito das suas atribuições e competências.
CAPÍTULO II.- Atribuições e competências
Artigo 8º.- Atribuições
1. A CNPD é a autoridade nacional à qual incumbe controlar e fi scalizar o cumprimento das disposições legais e regulamentares em matéria de protecção de dados pessoais, em rigoroso respeito pelos direitos humanos e pelas liberdades e garantias consagradas na Constituição e na lei.
2. A CNPD dispõe de:
a) Poderes de investigação e de inquérito, podendo aceder aos dados objecto de tratamento e recolher todas as informações necessárias ao desempenho das suas funções de controlo;
b) Poderes de autoridade, designadamente o de ordenar o bloqueio, apagamento ou destruição dos dados, bem como o de proibir, temporária ou defi nitivamente, o tratamento de dados pessoais, ainda que incluídos em redes abertas de transmissão de dados a partir de servidores situados em territorio cabo-verdiano;
c) Poder de emitir pareceres prévios ao tratamento de dados pessoais, assegurando a sua publicitação.
3. Em caso de reiterado incumprimento das disposições legais em matéria de dados pessoais, a CNPD pode advertir ou censurar publicamente o responsável pelo tratamento, bem como suscitar a questão, de acordo com as respectivas competências, à Assembleia Nacional, ao Governo ou a outros órgãos ou autoridades.
Artigo 9º.- Intervenção em processos judiciais
- A CNPD tem legitimidade para intervir em procesos judiciais no caso de violação das disposições da presente lei e deve denunciar ao Ministério Público as infracções penais de que tiver conhecimento no exercício das suas funções e por causa delas, bem como praticar os actos cautelares necessários e urgentes para assegurar os meios de prova.
- A CNPD é representada em juízo pelo Ministério Público e está isenta de custas nos processos em que intervenha.
Artigo 10º.- Competências
1. Compete em especial à CNPD:
a) Autorizar ou registar, consoante os casos, os tratamentos de dados pessoais;
b) Autorizar excepcionalmente a utilização de dados pessoais para finalidades não determinantes da recolha, com respeito pelos principios definidos na lei;
c) Autorizar, nos casos previstos na lei, a interconexão de tratamentos automatizados de dados pessoais;
d) Autorizar a transferência de dados pessoais nos casos previstos na lei;
e) Fixar o tempo da conservação dos dados pessoais em função da finalidade, podendo emitir directivas para determinados sectores de actividade;
f) Fazer assegurar o direito de acesso à informação, bem como do exercício do direito de rectifi cação e actualização;
g) Autorizar a fi xação de custos ou de periodicidade para o exercício do direito de acesso, bem como fi xar os prazos máximos de cumprimento, em cada sector de actividade, das obrigações que, nos termos da lei, incumbem aos responsáveis pelo tratamento de dados pessoais;
h) Dar seguimento ao pedido efectuado por qualquer pessoa, ou por associação que a represente, para protecção dos seus direitos e liberdades no que diz respeito ao tratamento de dados pessoais e informá-la do resultado;
i) Efectuar, a pedido de qualquer pessoa, a verifi cação de licitude de um tratamento de dados, sempre que esse tratamento esteja sujeito a restrições de acesso ou de informação, e informá-la da realização da verifi cação;
j) Apreciar as reclamações, queixas ou petições dos particulares;
k) Dispensar a execução de medidas de segurança, nos termos previstos na lei, podendo emitir directivas para determinados sectores de actividade;
l) Assegurar a representação de Cabo Verde junto de instâncias internacionais no âmbito das suas competências;
m) Aplicar coimas;
n) Promover e apreciar códigos de conduta;
o) Promover a divulgação e esclarecimento dos direitos relativos à protecção de dados e dar publicidade periódica à sua actividade, nomeadamente através da publicação de um relatório anual;
p) Autorizar a contratação do pessoal, transferências, requisições e destacamentos;
q) Exercer outras competências previstas na lei.
2. No exercício das suas competências de emissão de directivas ou de apreciação de códigos de conduta, a CNPD deve promover a audição das associações de defesa dos interesses em causa.
3. No exercício das suas funções, a CNPD profere decisões com força obrigatória, passíveis de reclamação e de recurso para o tribunal competente.
4. A CNPD pode sugerir à Assembleia Nacional as providências que entender úteis à prossecução das suas atribuições e ao exercício das suas competências.
Artigo 11º.- Sanção pecuniária compulsória
1. Os destinatários de deliberação individualizada da CNPD fi cam sujeitos ao pagamento de uma quantia pecuniária a pagar por cada dia de atraso no cumprimento, contado da data da sua publicação ou notifi cação.
2. O valor diário da sanção prevista no número anterior é fi xado em:
a) Cinco mil escudos quando a infracção for cometida por pessoa singular;
b) Dez mil escudos quando cometida por pessoa colectiva.
Artigo 12º.- Competência consultiva
- A CNPD deve ser consultada sobre quaisquer disposições legais relativas ao tratamento de dados pessoais.
- A CNPD é ainda consultada para emitir parecer sobre disposições legais ou iniciativas legislativas relativas ao tratamento de dados pessoais.
CAPÍTULO II.- Organização e estatuto dos membros
Secção I.- Composição, mandato e posse
Artigo 13º.- Composição e eleição
- A CNPD é composta por três personalidades de reconhecida competência e integridade moral, eleitos pela Assembleia Nacional, por maioria de dois terços dos deputados presentes, desde que superior à maioria absoluta dos Deputados em efectividade de funções.
- A presidência da CNPD é assegurada por cada um dos seus membros rotativamente por ordem alfabética pelo período de dois anos.
Artigo 14º.- Mandato
O mandato dos membros da CNPD é de seis anos e cessa com a posse dos novos membros, não podendo ser renovado por mais de uma vez.
Artigo 15º.- Posse
Os membros da CNPD tomam posse perante o Presidente da Assembleia Nacional, no prazo de quinze dias após a publicação da resolução que aprova a respectiva eleição.
Secção II.- Estatuto dos membros
Artigo 16º.- Capacidade
Só podem ser membros da CNPD os cidadãos que se encontrem no pleno gozo dos seus direitos civis e políticos.
Artigo 17º.- Inamovibilidade
1. Os membros da CNPD são inamovíveis, não podendo as suas funções cessar antes do termo do mandato, salvo nos seguintes casos:
a) Morte ou incapacidade física permanente ou com uma duração que se preveja ultrapasar a data do termo do mandato;
b) Renúncia ao mandato;
c) Perda do mandato.
2. No caso de vacatura por um dos motivos previstos no número anterior, a vaga deve ser preenchida no prazo de sessenta dias após a sua verifi cação, através da designação de novo membro pela entidade competente.
3. O membro designado nos termos do número anterior completa o mandato do membro que substitui.
Artigo 18º.- Garantias
Os membros da CNPD benefi ciam das seguintes garantias:
a) Não podem ser prejudicados na estabilidade do seu emprego, na sua carreira profissional e no regime de segurança social de que benefi ciem;
b) O período correspondente ao exercício do mandato considera-se, para todos os efeitos legais, como prestado no lugar de origem.
Artigo 19º.- Renúncia
- Os membros da CNPD podem renunciar ao mandato através de declaração escrita apresentada à Comissão.
- A renúncia torna-se efectiva com o seu anúncio e é publicada na I Série do Boletim Oficial.
Artigo 20º.- Perda do mandato
1. Perdem o mandato os membros da CNPD que:
a) Sejam abrangidos por qualquer das incapacidades ou incompatibilidades previstas na lei;
b) Faltem, no mesmo ano civil, a três reuniões consecutivas ou a seis interpoladas, salvo motivo justificado;
c) Cometam violação do disposto na alínea c) do artigo 22º, desde que judicialmente declarada.
2. A perda do mandato é objecto, conforme o caso, de deliberação ou declaração a publicar na I Série do Boletim Oficial.
Artigo 21º.- Estatuto remuneratório
O estatuto remuneratório dos membros da CNPD é fixado por resolução da Assembleia Nacional.
Artigo 22º.- Deveres
Constituem deveres dos membros da CNPD:
a) Exercer o respectivo cargo com isenção, rigor e independência;
b) Participar activa e assiduamente nos trabalhos do órgão que integram;
c) Guardar sigilo sobre as questões ou procesos que estejam a ser objecto de apreciação, sem prejuízo das obrigações previstas na lei.
Artigo 23º.- Incompatibilidades
Os membros da CNPD são sujeitos ao regime de incompatibilidades estabelecido para os titulares de altos cargos públicos.
Artigo 24º.- Impedimentos e suspeições
- Aos impedimentos e suspeições são aplicáveis, com as devidas adaptações, as disposições que regulam o estatuto dos magistrados.
- Os impedimentos e suspeições são apreciados pela CNPD.
Artigo 25º.- Cartão de identifi cação
- Os membros da CNPD possuem cartão de identificação, cujo modelo e condições de emissão constam da Resolução da Assembleia Nacional, dele constando o cargo as regalias e os direitos inerentes à sua função.
- O cartão de identifi cação é simultaneamente de livre-trânsito e de acesso a todos os locais em que sejam tratados dados pessoais sujeitos ao controlo da CNPD.
CAPÍTULO III.- Funcionamento
Artigo 26º.- Reuniões
1. A CNPD funciona com carácter permanente.
2. A CNPD tem reuniões ordinárias e extraordinárias.
3. As reuniões extraordinárias têm lugar:
a) Por iniciativa do presidente;
b) A pedido de dois dos seus membros.
4. As reuniões da CNPD não são públicas e realizam-se nas suas instalações ou, por sua deliberação, em qualquer outro local do território nacional, sendo a periodicidade estabelecida nos termos adequados ao desempenho das suas funções.
5. O presidente, quando o entender conveniente, pode, com o acordo da Comissão, convidar a participar nas reuniões, salvo na fase decisória, qualquer pessoa cuja presença seja considerada útil.
6. Das reuniões é lavrada acta, que, depois de aprobada pela CNPD, é assinada pelo presidente e pelo secretário.
Artigo 27º.- Ordem de trabalhos
- A ordem de trabalhos para cada reunião ordinária é fi xada pelo presidente, devendo ser comunicada aos vogais com a antecedência mínima de dois dias úteis relativamente à data prevista para a sua realização.
- A ordem de trabalhos deve incluir os assuntos que para esse fi m lhe forem indicados por qualquer vogal, desde que sejam da competência do órgão e o pedido seja apresentado por escrito com uma antecedência mínima de cinco dias sobre a data da reunião.
Artigo 28º.- Deliberações
- A CNPD só pode reunir e deliberar com a presença de pelo menos dois membros.
- As deliberações da CNPD são tomadas por maioria dos membros presentes, tendo o presidente voto de qualidade.
Artigo 29º.- Publicidade das deliberações
São publicadas na II Série do Boletim Oficial:
a) As autorizações previstas na alínea g) do número 1 do artigo 10º;
b) As autorizações previstas no número 2 do artigo 23º da Lei nº 133/V/2001, de 22 de Janeiro;
c) As autorizações referidas na alínea h) do número 1 do artigo 10º da presente lei;
d) As deliberações que aprovem as directivas a que se referem as alíneas f) e l) do número 1 do artigo 10º da presente lei;
e) As deliberações que fi xem taxas nos termos do número 2 do artigo 31º da presente lei.
Artigo 30º.- Reclamações, queixas e petições
- As reclamações, queixas e petições são dirigidas por escrito à CNPD, com indicação do nome e endereço dos seus autores, podendo ser exigida a confi rmação da identidade destes.
- O direito de petição pode ser exercido por correio tradicional ou electrónico, ou através de telefax e otros meios de comunicação.
- Quando a questão suscitada não for da competencia da CNPD, deve a mesma ser encaminhada para a entidade competente, com informação ao exponente.
- As reclamações, queixas e petições manifestamente infundadas podem ser arquivadas pelo membro da Comissão a quem o respectivo processo tenha sido distribuído.
Artigo 31º.- Formalidades
- Os documentos dirigidos à CNPD e o procesado subsequente não estão sujeitos a formalidades especiais.
- A CNPD pode aprovar modelos ou formulários, em suporte papel ou electrónico, com vista a permitir melhor instrução dos pedidos de parecer ou de autorização, bem como das notificações de tratamentos de dados pessoais.
- Os pedidos de autorização e as notifi cações apresentados à CNPD, nos termos da lei, devem ser assinados pelo responsável do tratamento de dados pessoais ou pelo seu legal representante.
Artigo 32º.- Competências e substituição do presidente
1. Compete ao presidente:
a) Representar a Comissão;
b) Superintender nos serviços de apoio;
c) Autorizar a realização de despesas dentro dos limites legalmente compreendidos na competência dos ministros;
d) Fixar as regras de distribuição dos processos, ouvida a Comissão;
e) Submeter à aprovação da Comissão o plano de actividades;
f) Em geral, assegurar o cumprimento das leis e a regularidade das deliberações.
2. O presidente é substituído, nas suas faltas e impedimentos, pelo membro mais idoso ou pelo vogal que a Comissão designar.
Artigo 33º.- Vinculação da CNPD
A CNPD obriga-se pela assinatura:
a) Do presidente ou de outros dois membros, se outra forma não for deliberada pelo plenário da CNPD;
b) De quem estiver habilitado para o efeito, nos termos e âmbito do respectivo mandato.
CAPÍTULO IV.- Regime financeiro e patrimonial
Artigo 34º.- Princípio geral
A gestão financeira e patrimonial da CNPD, incluindo a prática de actos de gestão privada, está sujeita ao regime da contabilidade pública e rege-se segundo princípios de transparência e economicidade.
Artigo 35º.- Regime de receitas e despesas
1. As receitas e despesas da CNPD constam de orçamento anual.
2. Além das dotações que lhe forem atribuídas no orçamento da Assembleia Nacional, constituem receitas da CNPD:
a) O produto das taxas cobradas;
b) O produto da venda de formulários e publicações;
c) O produto dos encargos da passagem de certidões e acesso a documentos;
d) O produto das coimas, nos termos previstos na lei;
e) O saldo de gerência do ano anterior;
f) Os subsídios, subvenções, comparticipações, doações e legados, concedidos por entidades, públicas e privadas, nacionais, estrangeiras ou internacionais;
g) O produto das sanções pecuniárias compulsórias por si aplicadas pelo incumprimento de decisões individualizadas;
h) Quaisquer outras receitas que lhe sejam atribuídas por lei ou contrato.
3. Constituem despesas da CNPD as que resultem dos encargos e responsabilidades decorrentes do seu funcionamento, bem como quaisquer outras relativas à prossecução das suas atribuições.
4. O orçamento anual, as respectivas alterações bem como as respectivas contas são aprovados pela CNPD.
5. As contas da CNPD fi cam sujeitas, nos termos gerais, ao controlo do Tribunal de Contas.
Artigo 36º.- Património
O património da CNPD é constituído pela universalidade dos bens, direitos e garantias que lhe sejam atribuídos por lei, bem como pelos adquiridos após a sua criação, para prosseguimento no desempenho das suas atribuições.
Artigo 37º.- Taxas
1. A CNPD pode cobrar taxas:
a) Pelo registo das notifi cações;
b) Pelas autorizações concedidas ao abrigo do disposto na Lei nº 133/V/2001, de 22 de Janeiro, ou outras autorizações legalmente previstas.
2. O montante das taxas, que deve ser proporcional à complexidade do pedido e ao serviço prestado, é fixado pela CNPD.
3. Em caso de comprovada insufi ciência económica, o pagamento poderá ser feito em prestações, mediante deliberação da CNPD.
CAPÍTULO V.- Dos serviços de apoio e assessoria especializada
Artigo 38º.- Serviços de apoio
- A CNPD dispõe de serviços de apoio administrativo e técnico, criados pela CNPD em função do respectivo plano de actividades e na medida do seu cabimento orçamental.
- Os serviços de apoio administrativo e técnico são dirigidos por um secretário, habilitado com licenciatura e de reconhecida competência para o desempenho do cargo.
- O secretário é nomeado por despacho do presidente, obtido parecer favorável da Comissão, com observancia dos requisitos legais adequados ao desempenho das respectivas funções.
- A nomeação do secretário é feita em regime de comissão de serviço, por períodos de três anos, renováveis.
Artigo 39º.- Competências do secretário
Compete ao secretário:
a) Secretariar a Comissão;
b) Dar execução às decisões da Comissão, de acordó com as orientações do presidente;
c) Assegurar a boa organização e funcionamento dos serviços de apoio, nomeadamente no tocante à gestão fi nanceira, do pessoal e das instalações e equipamento, de acordo com as orientações do presidente;
d) Elaborar o projecto de orçamento, bem como as respectivas alterações, e assegurar a sua execução;
e) Elaborar o projecto de relatório anual.
1. Nas suas faltas e impedimentos, o secretário é substituído por um trabalhador qualificado da CNPD designado pelo presidente, obtido o parecer favorável da Comissão.
Artigo 40º.- Regime do pessoal
- O pessoal da CNPD está sujeito ao regime jurídico do contrato individual de trabalho e está abrangido pelo regime geral da segurança social.
- A CNPD dispõe de um quadro de pessoal próprio estabelecido por resolução da Assembleia Nacional, através do qual se defi ne o respectivo conteúdo funcional.
- O estatuto remuneratório do quadro de pessoal é estabelecido por regulamento interno, nos limites fixados pela Assembleia Nacional.
- A CNPD pode ser parte em instrumentos de regulamentação colectiva de trabalho.
- O recrutamento de pessoal é precedido de anúncio público, obrigatoriamente publicado em dois jornais de grande circulação nacional, mediante concurso público.
- As condições de prestação e de disciplina do trabalho são definidas em regulamento aprovado pela CNPD, com observância das disposições legais imperativas do regime do contrato individual de trabalho.
Artigo 41º.- Funções de fi scalização
1. Os trabalhadores, mandatários e representantes da CNPD, bem como as pessoas ou entidades qualifi cadas devidamente credenciadas que desempenhem funções de fiscalização, quando se encontrem no exercício das suas funções e apresentem título comprativo dessa qualidade, são equiparados a agentes de autoridade e gozam, nomeadamente, das seguintes prorrogativas:
a) Aceder às instalações, equipamentos e serviços das entidades sujeitas à supervisão da CNPD;
b) Requisitar documentos para análise e requerer informações escritas;
c) Identifi car todos os indivíduos que infrinjam a legislação, cuja observância devem respeitar, para posterior abertura de procedimento;
d) Solicitar a colaboração das autoridades competentes quando o julguem necessário ao desempenho das suas funções.
2. Aos trabalhadores da CNPD, aos respectivos mandatários, bem como às pessoas ou às entidades qualificadas devidamente credenciadas que desempenhem as funções a que se refere o número anterior são atribuídos cartões de identificação, cujo modelo e condições de emissão constam de resolução da Assembleia Nacional.
Artigo 42º.- Incompatibilidades
O pessoal da CNPD não pode prestar trabalho ou otros serviços, remunerados ou não, a entidades sujeitas à fi scalização da CNPD ou outras cuja actividade colida com as atribuições e competências da CNPD.
Artigo 43º.- Mobilidade
- Os funcionários da administração directa ou indirecta do Estado e das Autarquias Locais, bem como os trabalhadores ou administradores de empresas privadas, podem ser providos em comissão ordinária de serviço, por afectação específica, por cedência ou por requisição, para desempenhar funções na CNPD, com garantia do seu lugar de origem e dos direitos nele adquiridos, considerando-se o período de desempenho de funções como tempo de serviço prestado no lugar de origem, suportando a CNPD as despesas inerentes.
- Sem prejuízo do disposto no artigo anterior, os trabalhadores da CNPD podem desempenhar funções noutras entidades, em regime de destacamento, requisição ou outros, nos termos da lei, com garantia do seu lugar de origem e dos direitos nele adquiridos, considerando-se tal período como tempo de serviço efectivamente prestado na CNPD.
Artigo 44º.- Assessoria especializada
- Desde que assegurado o respectivo cabimento orçamental, a CNPD pode encarregar pessoas individuais ou colectivas da realização de estudos ou de pareceres técnicos relativos a matérias abrangidas pelas atribuições previstas no presente diploma, em regime de mera prestação de serviços.
- Os estudos e pareceres técnicos elaborados pelas pessoas identificadas no número anterior não vinculam a CNPD, salvo ratificação expressa dos mesmos pela CNPD.
CAPITULO VI.- Relatório parlamentar e controlo judicial
Artigo 45º.- Relatório parlamentar
- A CNPD deve manter a Assembleia Nacional informada sobre as suas deliberações e actividade, enviandolhe uma colectânea mensal das mesmas.
- A CNPD envia à Assembleia Nacional, para discussão, na comissão parlamentar responsável pelo sector dos Direitos Fundamentais, precedida de audição dos membros da CNPD, um relatório anual sobre as suas actividades, no qual aborde designadamente, questões legislativas, administrativas e financeiras avaliadas no exercício das suas funções.
- O debate em comissão realizar-se-á nos sessenta días posteriores ao recebimento do relatório de actividades e contas.
- Os membros da CNPD comparecerão perante a comissão competente da Assembleia Nacional, para prestar informações ou esclarecimentos sobre as suas actividades, sempre que tal lhes for solicitado.
Artigo 46º.- Controlo judicial
- A actividade dos órgãos, mandatários e representantes da CNPD fi ca sujeita à jurisdição administrativa, nos termos e limites expressamente previstos na lei.
- As sanções por prática de ilícitos de mera ordenação social são impugnáveis junto dos tribunais judiciais competentes.
- Das suas decisões e deliberações cabe recurso para os tribunais judiciais ou arbitrais, nos termos previstos na lei.
CAPÍTULO VII.- Disposições transitórias e fi nais
Artigo 47º.- Regime de instalação
A CNDP funciona em regime de instalação pelo período de sessenta dias a partir da tomada de posse dos respectivos membros, para efeitos de designação de secretário, fixação de suas instalações, elaboração e aprovação do seu orçamento, elaboração de regulamento interno, definição de serviços de apoio, entre outras questões indispensáveis ao seu funcionamento.
Artigo 48º.- Sítio de internet
- A CNPD deve dispor de um sítio de Internet, com todos os dados relevantes, nomeadamente o diploma de criação, os regulamentos, as deliberações e orientações, bem como a composição dos seus órgãos, os planos, os orçamentos, os relatórios e contas referentes aos dois últimos anos da sua actividade e ainda todas as decisões que não se refiram à sua gestão corrente.
- O sítio de Internet serve ainda de suporte para a divulgação de modelos e formulários para a apresentação de requerimentos por via electrónica, visando a satisfação dos respectivos pedidos e obtenção de informações em linha, nos termos legalmente admitidos.
- O teor das sentenças ou acórdãos comunicados à CNPD, nos termos do número 3 do artigo 6º, são obrigatoriamente publicados no sítio de Internet da CNPD.
Artigo 49º.- Logótipo
A CNPD pode utilizar, para identifi cação de documentos e tudo o mais que se relacionar com os respectivos serviços, um logotipo, cujo modelo será aprovado pelo plenário da Comissão.
Artigo 50º.- Base de dados actualmente existentes
As entidades públicas e privadas possuidoras de base de dados pessoais dispõem de 180 dias para submeter à fi scalização da CNPD, nos termos da lei, as informações nelas contidas.
Artigo 51º.- Entrada em vigor
O presente diploma entra em vigor no seguinte ao da sua publicação, salvo as disposições com implicações orçamentais cuja vigência fi ca diferida para o dia 1 de Janeiro de 2014.
Aprovada em 24 de Julho de 2013.
O Presidente da Assembleia Nacional, Basílio Mosso Ramos
Promulgada em 9 de Setembro de 2013.
Publique-se.
O Presidente da República, JORGE CARLOS DE ALMEIDA FONSECA
Assinada em 10 de Setembro de 2013.
O Presidente da Assembleia Nacional, Basílio Mosso Ramos